نیروی انسانی، آسیب‌پذیری نادیده گرفته شده

هفته‌ای نیست که خبر کشف حفره‌های امنیتی جدید در سیستم‎های ‌عامل و برنامه‌های معروف بر روی سایت‎های اینترنتی و مجلات کامپیوتری منتشر نشود. کارشناسان امنیتی هم به تفصیل به اهمیت به‌روز کردن و نصب اصلاحیه‌ها توصیه و تاکید دارند. تماس‎های مکرر مشترکین برای دریافت DVDهای حاوی اصلاحیه‌های امنیتی Microsoft و نصب (و یا درخواست نصب) سرویس WSUS همگی مؤید این است که خوشبختانه بسیاری از مدیران شبکه شرکت‎های ایرانی به این باور رسیده‌اند که نصب اصلاحیه‌ها یک ضرورت اجتناب‌ناپذیر است. اما آسیب‌پذیری‌هایی هم وجود دارد که نه در نشریات چاپ می‌شود و نه بر روی سایت های اینترنتی صحبتی از آنها به میان می‎آید.

این آسیب‌پذیری‌ها خاص هر سازمان هستند و آنها را با استفاده از آزمون‎های نفوذ می‎توان شناسایی کرد. بسیاری از این آسیب‌پذیری‌ها نه به دلیل وجود نرم‌افزارهای دارای نقطه ضعف، بلکه به خاطر نداشتن سیاست‎های سازمانی صحیح و تنظیم نادرست نرم‌افزارها رخ می‎دهند. برای مثال، برخی از مدیران شبکه از رمزهای بسیار ضعیف برای سیستم‌های عامل و سرویس‌دهنده‌هایی چون SQL استفاده می‌کنند. کم نیستند افرادی که از یک رمز واحد هم برای ایمیل خود، هم برای تالارهای گفتگو و هم برای سرویس‌دهنده‌ای که Active Directory روی آن قرار دارد، استفاده می‌کنند. حتماً کاربرانی را هم دیده‌اید که رمز کامپیوترشان را کنار صفحه مانیتور می‌چسبانند!

در ماه‌های اخیر بسیاری از کاربران ایرانی به سمت نرم‌افزارهایی همچون Team Viewer و Ammyy رفته‌اند. استفاده از این نرم‌افزارها می‌تواند به فرآیند پشتیبانی و حل برخی مشکلات کمک شایانی کند اما اینکه بر روی مهمترین سرویس‌دهنده سازمان، چنین نرم‌افزارهایی نصب و اجرا شود، با حداقل استانداردهای امنیتی هم منافات دارد.

برخلاف تصور عموم، بسیاری از حملات موفق با بکارگیری روش‎های پیچیده و نرم‌افزارهای حرفه‌ای انجام نمی‎شود، بلکه با استفاده از روش‎های مهندسی اجتماعی و سوءاستفاده از اعتماد کاربران عادی صورت می‌گیرند. دادن مجوزهای دسترسی بالا به کاربران عادی یکی دیگر از مشکلاتی است که عمدتاً نادیده گرفته می‌شود. حال با تلفیق این دو عامل، راه آسانی را پیش روی نفوذگران باز می کنیم.

 همانطور که گفته شد، در بسیاری از حملات سایبری، نفوذگر از روش‎های اجتماعی بهره می‌گیرد. تماس تلفنی هم یکی از راه های موفق برای فریب کاربر است. داشتن مجوز دسترسی بالا سبب می‌شود که کاربران غیرحرفه‌ای به هدفی جذاب برای نفوذگران تبدیل شوند. تنها کافی است نفوذگر با مراجعه به سایت یک سازمان، شماره تلفن آن سازمان را به دست آورد. سپس با سازمان تماس بگیرد و با جا زدن خود بجای شخص دیگر و با کمی آه و ناله درباره اینکه آقای رئیس اینکار را زود می خواهد و یا ممکن است توبیخ شود، از کارمند سازمان بخواهد تا در عالم رفاقت! یک پوشه را بر روی دستگاه خود با حق دسترسی کامل به اشتراک بگذارد، Remote را فعال کند و یا نرم‌افزار Team Viewer را اجرا کرده و ID و رمز را از پشت تلفن به او بگوید!

استفاده از این روش‎ها نیاز به تبحر در برنامه‌نویسی و تسلط به نرم‌افزارهای هک ندارد. هزینه آن فقط خرید یک سیم کارت و یک کارت اینترنت است. ولی مقابله با این گونه حملات، بسیار پرهزینه و زمانبر است. چرا که عامل آسیب‌پذیر، نیروی انسانی است که آموزش آن محتاج زمان و هزینه بسیار است. اما اگر سازمان از عهده هزینه آموزش همه کاربران بر نمی‌آید، حداقل می‎تواند با تهیه سیاست‎های امنیتی جامع، آسیب‌پذیری‌ها را مدیریت کرده و آنها را کاهش دهد.

استفاده از رمزهای پیچیده، محدود کردن مجوزهای دسترسی کاربران و داشتن دستورالعمل سخت‌گیرانه برای به اشتراک گذاشتن منابع با بیرون از سازمان، همگی می‌توانند شانس موفقیت نفوذگررا بطور چشمگیری کاهش دهند. شکی نیست که اعمال این سیاست‎ها، بار اضافه‎ای بر دوش مدیران شبکه، به خصوص در ابتدای کار، می‌گذارد. اما تنها کافی است تصور کنیم که اگر یک حمله نفوذگر، موفقیت‌آمیز باشد، چه هزینه‎های بیشتر و خسارات جبران‌ناپذیری به سازمان وارد خواهد آمد.

نویسنده: سیدحسین محتسبی، کارشناس ارشد گروه پشتیبانی شبکه گستر

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *