هفت خطای نابخشودنی در امنیت شبکه

بیل برنر (Bill Brenner)
مترجم: ابراهیم حیوری

کارشناسان حوزه امنیت معتقدند دفاع همه‌جانبه از اطلاعات با پیاده‌سازی چندین لایه متفاوت از فناوری‌های امنیتی، اعمال سیاست‌های سختگیرانه و تمرین مداوم میسر خواهد شد.

اگر چه به‌کارگیری چندین لایه امنیتی متعدد و پیشرفته نقش مهمی در بالا بردن امنیت شبکه‌ها دارد، اما سازمان‌هایی که خسارت‌های جبران‌ناپذیری از ناحیه نفوذ خرابکاران متحمل شده‌اند، عمدتا با سهل‌انگاری در انجام چندین گام ساده‌تر به دردسر افتاده‌اند. در ادامه با خطاهای بزرگی که کارشناسان این حوزه شیوع گسترده‌شان را در سازمان‌ها کاملا تایید می‌کنند، آشنا خواهیم شد. برای افزایش امنیت شبکه سازمان، بهتر است هرگز مرتکب این هفت خطای نابخشودنی نشوید.

1. عدم ارزیابی مخاطره ها
این خطا شامل کوتاهی در ارزیابی دقیق مهم‌ترین جنبه‌های موجود در سازمان و پیکربندی شبکه در اطراف این جنبه‌ها است. مثل معروفی در این زمینه می‌گوید: «تا زمانی که ندانید جواهر چیست و کجاست، نمی‌توانید از تاج محافظت کنید!»
به نظر چاک مک‌گان (Chuck McGann)، مدیر امنیت و اطلاعات سازمانی شرکت پست ایالات متحده، ایجاد نمودار توپولوژی شبکه و همچنین استفاده از نرم‌افزارهای مناسب برای شناسایی دقیق ابزارهای متصل به شبکه و مشخص کردن دقیق وظایف هر کدام، مسایل بسیار مهمی هستند که اغلب نادیده گرفته می‌شوند.
مایکل لی (Michael Leigh)، مدیر ارشد امنیت اطلاعات شرکت سیسکو، معتقد است در صورتی که مسئولان بخش امنیتی سازمان در زمینه ارزیابی دقیق و همه جانبه مخاطرات امنیتی پیش رو شکست خورده یا آن را ناقص انجام دهند، به خودفریبی روی آورده و این تصور باطل را رواج می‌دهند که داشتن یک نرم‌افزار ضدویروس معتبر یا نصب یک دیوار آتش برای حفظ امنیت شبکه کافی است. متاسفانه گاهی اوقات همین نرم‌افزارها و دیوارهای آتش همان مشکلات و مسایل ناخواسته جدیدی را ایجاد می‌کنند که سازمان‌ها در پی پرهیز و گریز از آن‌ها هستند.
لی ادامه می‌دهد: «در بررسی‌های خود متوجه این موضوع مهم شدم که بسیاری از سازمان‌ها تصور می‌کنند دستگاه‌ها و ابزارهای امنیتی مورد استفاده مثل مسیریاب‌ها، دیوار‌های آتش سخت‌افزاری، راه‌گزین‌ها و مانند آن از امنیت لازم برخوردار بوده و لایه دفاعی دیگری حول این ابزارها فراهم نمی‌کنند. در اغلب موارد همین ابزارهای به ظاهر امن، زمینه‌ساز مشکلات بعدی سازمان می‌شوند.»
کن اسمیت (Ken Smith)، معمار راهکارهای امنیتی شرکت Forsythe Technology مورد فوق را تصدیق کرده و اضافه می‌کند که به دفعات شاهد به‌کارگیری و پیاده‌سازی انواع ابزارهای کنترلی و سیاست‌های امنیتی، بدون درک درست نیازهای سازمان بوده است. طبق اظهارات وی: «این گونه کارهای بی‌حساب موجب شده ذهنیت همه کارمندان نسبت به همکارانشان در بخش امنیتی شرکت یا سازمان خراب شود و آن‌ها را کارکنانی بی‌ارزش تلقی کنند که قادر نیستند کار خود را به‌درستی انجام دهند. در چنین شرایطی افراد برای حل مساله دست به استفاده از میانبرهایی می‌زنند که در برخی موارد همین میانبرها، مشکل اولیه را چند برابر وخیم‌تر می‌کنند.»

2. امنیت یعنی رعایت استانداردهای صنعتی
این خطا معمولا در مواقعی رخ می‌دهد که سازمان‌ها هزینه و وقت بسیار زیادی را صرف برآورده کردن انتظارات و قوانین نهادهای مسئول در زمینه رعایت مقررات سخت‌گیرانه دولتی مانند (HIPAA) یا (PCI DSS) می‌کنند؛ اما بعد از رعایت کلیه موارد مورد انتظار، مسئولان سازمان تصور می‌کنند دیگر نیازی به صرف وقت و هزینه بیشتر برای پیاده‌سازی سایر راهکارهای امنیتی نیست و انجام چنین کاری، هدر دادن سرمایه محسوب می‌شود.
اگر چه کارشناسان معتقدند رعایت این مقررات و قوانین سخت‌گیرانه نقطه شروع خوبی برای تامین امنیت شبکه است، اما سازگاری و پیروی از این اصول هرگز به معنای تضمین کامل امنیت اطلاعات سازمان نیست.
تیموتی براش (Timothy Brush)، یک مشاور امنیتی مستقل کانادایی، دیدگاه «رعایت استانداردهای صنعتی= امنیت» را رد می‌کند و ادامه می‌دهد کسانی که به این دیدگاه پایبندند، امنیت را یک پروژه و نه یک فرآیند می‌دانند که فقط به خاطر قوانین بالادستی باید انجام شود. مدیران ارشد به خاطر صرف وقت و هزینه گزاف و متحمل شدن انواع دردسرها به منظور سازگار کردن محیط شبکه با استانداردهای صنعتی و رعایت قوانین دولتی، امنیت را به چشم پروژه‌ای می‌بینند که باید به پایان برسد و بعد از پایان کار، علاقه چندانی به متحمل شدن دردسرهای جدید بابت پیاده‌سازی راهکارهای امنیتی جدید ندارند.
براش اضافه می‌کند: «فناوری‌های امنیتی، شرکت‌های سازنده محصولات امنیتی، روش‌های نفوذ و امثال آن دایما در حال تغییرند. اگر چه جدیدترین فناوری‌های به کار گرفته شده در دیوارهای آتش‌ سخت‌افزاری و نرم‌افزاری، سیستم‌های کشف یا جلوگیری از نفوذ، سیستم‌های مدیریت شناسه، فناوری‌های خاص سازمان‌ها یا سیاست‌های جدید امنیتی، استاندارد‌ها و مانند آن قادر به افزایش ضریب امنیتی سازمان‌ها هستند، اما بعد از گذشت مدت‌زمانی چند (برای مثال 1 تا 5 سال) ضعف و ناکارآمدی آن‌ها آشکار خواهد شد.»
دنیل بلندر (Daniel Blander)، مدیر عامل شرکت Techtonica، بارها شاهد این مساله بوده و اخیرا مشاهدات خود را طی گزارشی منتشر کرده است. «من بر روی پروژه‌های PCI کار کرده‌ام و می‌توانم به جرات بگویم بزرگترین مانع در سر راه انجام آن‌ها، دیدگاه مدیریت است. آن‌ها می‌گویند: "ما مطابق خط‌مشی‌ها رفتار می‌کنیم، پس مشکلی نداریم." البته دسته‌ای از اعضای تیم مدیریت می‌توانند ضرورت PCI را درک کنند، اما حتی آن‌ها هم متوجه مخاطره کلی نیستند. در واقع بعد از مشخص شدن مساله، بزرگ‌ترین دردسر جلب توجه مدیران برای حل آن است.»

3. خطاهای انسانی
یکی از نکات مشترک در دو خطای قبلی این بود که سازمان‌ها امنیت را تنها مساله‌ای فناورانه دانسته، تصور می‌کنند که نرم‌افزارها یا ابزارهای امنیتی کار خود را به‌درستی و بدون نقص انجام می‌دهند؛ غافل از این که سرچشمه بزرگ‌ترین فجایع امنیتی، خطاهای انسانی است. به عبارت دیگر، در بیشتر مواقع کاربران بدون اطلاع و شناخت دقیق از کاری که انجام می‌دهند، موجبات نفوذ به شبکه را فراهم می‌کنند؛ به طوری که حتی کارمندان ناآگاه را می‌توان از طریق حقه‌های معمولی مهندسی اجتماعی فریب داد و از عدم آگاهی آن‌ها برای نفوذ به شبکه سوءاستفاده نمود.
مت پولاتسک (Matt Polatsek)، مهندس ارشد امنیتی شرکت Hughes Network Systems، معتقد است: «سازمان‌ها دانسته یا ندانسته تمرکز خود را معطوف به استفاده از جدیدترین ابزارها برای افزایش ضریب اطمینان زیرساخت شبکه و تقویت امنیت آن می‌نمایند، در حالی که آموزش افراد و افزایش سطح آگاهی آن‌ها نسبت به تهدیدهای امنیتی را کاملا فراموش کرده یا بودجه‌ای بسیار ناچیز به آن اختصاص می‌دهند.»
وی ادامه می‌دهد: «دیوارهای آتش‌، شبکه‌های خصوصی مجازی (VPN)، سیستم‌های تشخیص و جلوگیری از نفوذ، ابزارهای امنیت اطلاعات و مدیریت رویداد‌ها (SIEM)، امکان دسترسی از راه دور، رمزنگاری، راه‌گزین‌ها و مسیریاب‌ها همگی ابزارها و فناوری‌های جالبی هستند که استفاده از آن‌ها لذت‌بخش است. اما تنها دسته کوچکی از مدیران به مساله افزایش آگاهی کارکنان در مورد امنیت توجه دارند که متاسفانه حتی در این گونه موارد، سیاست‌های اتخاذ شده عمری نه چندان طولانی دارند.»
گری بهادر (Gary Bahadur)، مدیر اجرایی فناوری‌های عملیاتی و امنیتی و نایب رییس پیشین Bank of America، مساله عدم توجه به آموزش افراد را یکی از بزرگ‌ترین مسایل نادیده گرفته شده از سوی مدیران می‌داند. وی می‌گوید: «عدم آموزش اصول پایه‌ای امنیت به کاربران نهایی، مشکلی بسیار بزرگ است. در صورتی که کارکنان به کارهایی مثل باز کردن ایمیل‌های مشکوک، ثبت نام در سایت‌های مخرب، گشت‌وگذار در وب‌سایت‌های غیراخلاقی، دادن رمزعبور به دیگران و مانند آن ادامه دهند، تمامی هزینه‌هایی که صرف بالا بردن امنیت شبکه‌ها شده، عملا به هدر خواهد رفت.»

4. مدیریت نکردن اجازه دسترسی کاربران
مدیریت و کنترل نکردن دسترسی افراد به سیستم‌های کامپیوتری یکی دیگر از خطاهایی است که سازمان‌ها را با مشکل مواجه می‌کند.
تایوو وال (Toivo Voll)، مدیر شبکه یک انستیتوی آموزشی در جنوب غرب ایالات متحده، می‌گوید: «کوتاهی سازمان‌ها در فراهم کردن سیستم پشتیبانی مدیریت هزینه‌های ضروری، اشتباهی بزرگ است؛ ضمنا تعریف نکردن سیاستی کاملا شفاف و کارآمد برای مواردی از قبیل تعیین سطح دسترسی کاربران، مشخص کردن مسئول اعطا یا سلب مجوز دسترسی کاربران و انتصاب متصدی بررسی این تغییرات هم سازمان را با مشکلاتی متعدد روبه‌رو می‌کند.»
به نظر جورج جانسون (George Johnson)، مدیر ارشد امنیتی در مرکز ملی NC4، معمولا مسئولان بخش فناوری اطلاعات هر سازمان سطح دسترسی برابر با «مدیر سیستم» به همه کارکنان می‌دهند تا به این ترتیب زحمت مدیریت دسترسی‌های محدودتر را کاهش دهند. این کار عملا موجب به خطر افتادن امنیت شبکه می‌شود.
جالب این جا است که عکس این کار، یعنی تنها مجاز بودن مدیران به اعمال تغییرات و محدود‌سازی دیگر کاربران هم خطراتی به همراه دارد. جانسون ادامه می‌دهد: «امروزه هدف اصلی هکرها، مدیران هستند؛ دسترسی به حساب کاربری مدیر سیستم به اصطلاح هکرها، «شکار نهنگ» (Whaling) نامیده می‌شود. با این حساب، زمانی که مدیر یک سیستم مجموعه قوانین امنیتی را رعایت نکرده و حساب کاربری‌اش توسط هکرها مورد سوء‌استفاده قرار گیرد، اعتبار کلی سازمان زیر سوال می‌رود و انتظار چندانی از کارکنان آن برای رعایت قوانین امنیتی نمی‌توان داشت. فرهنگ باید از بالادست شروع شود.»

5. تعلل در نصب وصله‌های امنیتی
یکی دیگر از خطاهای امنیتی مربوط به ناتوانی سازمان‌ها در نصب مداوم وصله‌های امنیتی دستگاه‌های مختلف متصل به شبکه و همچنین نرم‌افزارهای مربوط به آن‌ها است. در بررسی انجام شده از سوی شرکت Verizon مشخص شد که 90 درصد از موفقیت هکرها مربوط به سوء‌استفاده از حفره‌های آسیب‌پذیری است که بیش از شش ماه قبل از نفوذ خرابکاران، وصله مناسب آن‌ها توسط شرکت‌های امنیتی عرضه شده است. به عبارتی دیگر، سازمان‌هایی که با استفاده از نقاط ضعف امنیتی مورد هجوم و نفوذ قرار گرفته‌اند، بیش از شش ماه تنبلی کرده و وصله‌های امنیتی لازم را روی سیستم‌ها نصب نکرده‌اند.
طبق اظهارات کارشناسان، خرابکاران به این نقطه ضعف سازمان‌ها واقف بوده و به استفاده از نقاط آسیب‌پذیر قدیمی اشتغال دایمی دارند. جالب این جا است که کرم‌هایی مثل Blaster و Sasser که عمری حدود شش تا هفت سال داشته و وصله‌های امنیتی لازم برای مقابله با آن‌ها هم مدت‌ها پیش عرضه شده، همچنان در قید حیات بوده و گاه و بی‌گاه در کامپیوترهای کاربران جولان می‌دهند.
دن وارد (Dan Ward)، تحلیلگر امنیت فناوری اطلاعات شرکت Acxiom، اهمال در نصب وصله‌های امنیتی را یکی از بزرگ‌ترین خطاهای سازمان‌ها می‌داند. وی معتقد است این مشکل تنها مربوط به نصب وصله‌های امنیتی دستگاه‌های شبکه نبوده، بلکه در برگیرنده مواردی مثل به‌روزرسانی سیستم عامل، میان‌افزار و نرم‌افزارها و حتی وصله‌های امنیتی درایورهای سخت‌افزاری هم می‌شود.

6. بی‌توجهی به رویدادنگار سیستم و کنترل شبکه
خطای بعدی بی‌توجهی سازمان‌ها به بررسی فایل‌های ثبت وقایع دستگاه‌های متصل به شبکه است. طبق اظهارات مک‌گان، برای تامین امنیت، مسئولان بخش فناوری اطلاعات باید دقیقا بدانند که چه کارهایی روی شبکه انجام می‌شود. به عبارت دیگر، فعل و انفعالاتی که در سطح شبکه و توسط ابزارهای مختلف متصل به شبکه انجام می‌شوند، بسیار مهم است و چه بسا هکرها با استفاده از ضعف این دستگاه‌ها اقدامات خرابکارانه خود را بدون اطلاع متصدیان شبکه به‌راحتی انجام دهند.
وارد ضمن موافقت با چنین مخاطره‌ای، می‌گوید: «مدیریت فایل‌های رویدادنگاری جزء کارهایی است که هیچ کس حوصله انجام آن را ندارد؛ در حالی که حرفه‌ای‌های حوزه امنیت به‌شدت به زیرورو کردن اطلاعات فایل‌های رویدادنگاری اعتقاد دارند، زیرا با بررسی این فایل‌ها می‌توان به‌راحتی کارهایی که هر کدام از دستگاه‌ها و همچنین فعالیت‌هایی را که هر کدام از کاربران انجام می‌دهند، زیر نظر داشت.»

7. پایبند نبودن به اصل K.I.S.S
یکی از نکات مهم و مورد توجه طراحان و کارشناسان در هنر طراحی امنیت شبکه، رعایت اصل K.I.S.S است. عبارت K.I.S.S مخفف سرواژه‌های «Keep it simple, stupid» یا «Keep it simple for security» به معنای ساده نگه داشتن اصول به‌کارگرفته‌شده در زمینه امنیت است. متاسفانه روزبه‌روز از هر لحاظ بر پیچیدگی شبکه‌ها افزوده می‌شود و اضافه شدن دستگاه‌های جدید به شبکه، مزید بر علت شده و مشکلات را دو چندان می‌کند؛ چرا که اختلال دستگاه‌های مختلف متصل به شبکه می‌تواند موجبات به خطر افتادن کل شبکه را فراهم کند. براش در این زمینه می‌گوید: «چه می‌شود گفت؟ پیچیدگی بد است. فوق‌العاده بد!»
نیک پوتز (Nick Puetz)، مدیر بخش امنیت اطلاعات شرکت FishNet Security، معتقد است: «شبکه‌سازی امن یکی از مفاهیم پایه تامین امنیت است. اگر چه سازمان‌ها هزینه‌های هنگفتی را خرج امن‌سازی محیط فیزیکی ساختمان‌ها می‌نمایند (مثل به‌کارگیری نیروی انسانی، نصب دوربین مدار بسته و مانند آن)، ولی متاسفانه وقت و هزینه چندانی صرف افزایش امنیت شبکه داخلی نمی‌کنند.»
در این صورت دیگر نمی‌توان فهمید اطلاعات حساس و حیاتی شرکت از کدام نقطه درز کرده و به کدام نقطه جاری می‌شود. اگر ندانید اطلاعات مهمتان کجای شبکه قرار دارند، محافظت از آن بسیار پیچیده‌تر خواهد شد. در نتیجه برخی از مدیران نهادهای دولتی پدید آمدن این گونه خطاهای امنیتی را به مثابه اخلال در خط‌مشی‌های خود می‌دانند.
از این رو حفظ سادگی و اجتناب از پیچیدگی یکی از مسایل بسیار مهمی است که هنگام برپایی شبکه باید مد نظر داشت.

شماره 16