نویسنده: Rodd Wagner
مترجم: مهدی نیکوئی
برگرفته ازكتاب: مهرهها
دومین قانون از ۱۲ قانون جدید برای مدیریت انسانی کارکنان این است: آنها را جسور و نترس کنید! اگر آنها را مانند چرخدنده و مهرههایی بیاحساس در شرکت و کسب و کار خود نمیبینید، برای کسب بالاترین تلاشهایشان باید ترسهایشان را از بین ببرید. این همان موضوعی است که بیل هیولت با آن مواجه بود. در سال ۱۹۷۰ و سه دهه پس از شروع افسانهوار فعالیت شرکت هیولتپاکارد از گاراژ پالوآلتو، شرایط شرکت دشوار شده بود. شریک هیولت یعنی دیویدپاکارد به طور موقت از شرکت دور شده بود و به عنوان معاون وزارت دفاع ایالاتمتحده خدمت میکرد.
کشور در رکود اقتصادی به سر میُبرد. سفارشهای خرید اچپی به شدت کاهش یافته و بسیار پایینتر از ظرفیت تولید کارخانه بود. طبیعی است که درآمدها و سودآوری نیز سقوط چشمگیری داشت. شرکت باید ۱۰درصد از هزینههای خود را کاهش میداد تا زنده بماند.
برخی از مدیران که عادت کرده بودند بر اساس میزان سودآوری شرکت اقدام به استخدام و اخراج کارکنان کنند، انگار دست به اسلحه برده بودند و کار همه را تمام میکردند. کارکنان وفادار و سختکوش شرکت به ناگاه غافلگیر میشدند و نامه اخراج را در دست خود میدیدند. هیولت با اطلاع از این وضعیتبخشنامهای به مدیرانش نوشت:
«تعداد موارد روزافزونی گزارش شده است که کارکنان با اخطاری اندک یا بدون اخطار درباره کاهش بهرهوریشان کنار گذاشته شدهاند. در برخی از موارد، ارزیابی عملکرد فقط پس از قطع همکاری به کارکنان داده شده است. هیچ بهانهای برای این رفتار وجود ندارد. انسانی نیست. سبک اچپی این نیست. قابل توجیه نیست.»
هیولت به مدیرانش گفت هیچکس نباید بدون هشدار قبلی از طریق ارزیابیهای مکتوب و همچنین مشاورههای سازنده درباره شیوه بهبود عملکرد اخراج شود. هرگاه ممکن باشد، شرکت و نه کارکنان باید به دنبال مکان دیگری در شرکت برای رشد و موفقیت آن نیروی کار بگردد. او نوشت کارکنان نباید خودشان مجبور شوند به دنبال واحد یا پست جدیدی در شرکت باشند. همچنین پیش از هر اقدام نامساعد، باید به خوبی درباره آن اندیشیده شود. ما باید متوجه شویم که هر کدام از افراد نمایانگر شخصیتهایی مستقل با مشکلات، خانواده و شرایط خاص خودشان هستند.
با این حال، همچنین نیاز به کاهش هزینهها بود و بدون تغییر فهرست حقوق این کار غیرممکن بود. هیولت تصمیم دیگری گرفت. بیشتر کارکنان، از جمله خودش یک روز اضافه به مرخصی خواهند رفت و میزان حقوقشان ۱۰درصد کاهش پیدا میکند. تولید در آن روز تعطیل شد. فقط کارکنان بخش فروش که برای برونرفت از آن معضل باید سفارشها را دریافت میکردند، از این قانون مستثنا شدند.
هیولت در توضیح این تصمیم خود نوشت: «معمولا در کسب و کار، فردی در خط تولید قرار دارد که بیش از دیگران تاوان میدهد؛ در حالی که مدیران و سرپرستان در کار خود باقی میمانند. انصاف فقط این است که همه کارکنان از بالا تا پایین در این درد شریک باشند.»
۶ ماه بعد، سفارشهای خرید هیولت پاکارد به سطح عادی خود بازگشت. پاکارد نوشت: «برخی اعلام کردند که از افزایش تعطیلات خود لذت بردهاند؛ هرچند مجبور بودند از مخارج خود بکاهند. نتیجه این برنامه آن بود که همه افراد بار رکود را به اشتراک گذاشتند. در شرایطی که نرخ بیکاری کشور افزایش یافته و پیدا کردن شغل دشوار شده بود، آدمهای خوب کنار گذاشته نشدند. همچنین ما کارکنان به شدت با صلاحیت خود را برای زمان بهبود اوضاع حفظ کردیم.»
بیل هیولت با این دستور که هیچ فردی نباید بدون اطلاع قبلی کنار گذاشته شود و همه باید با یکدیگر از رکود اقتصادی عبور کنند، ترس و نگرانی را از ذهن کارکنانش زدود. هیولت و پاکارد عنوان کردند که در این تصمیم، دو انگیزه داشتند. نخستین انگیزه، وفاداری بود. آنها حس مسوولیت عمیقی برای افرادی داشتند که بخش جداییناپذیر شرکت به شمار میآمدند. چرا آنها باید در آن بازار کار بیسامان، پشت کارکنان خود را خالی میکردند؟ به این دلیل که برای دو بنیانگذار و مدیر شرکت، کارکنانشان مانند پیچ و مهره نبودند.
تمام شواهد نشان میدهد در چنین مواردی که ترس و نگرانی از ذهن کارکنان حذف میشود، شاهد تعهدی متقابل از سمت آنها خواهیم بود. مایکل مالون در کتاب خود با نام بیلاند دیو درباره آن اقدام هیولت نوشته است: «بسیاری از کارکنان که تسلیم یک تعدیل ناگزیر شده بودند، با برنامه تعطیلات ۹ روزه قدردان و حتی عاشق هیولت و پاکارد شدند؛ بهویژه بیل هیولت که دو دهه دیگر هم به هدایت شرکت ادامه داد.»
انگیزه دوم مدیران شرکت اچپی، موضوعی بود که اقتصاددانان آن را «انباشت سرمایهانسانی» یا «احتکار نیروی کار» میخوانند. وفاداری دلیلی اخلاقی برای حفظ افراد در رکودهاست اما انباشت سرمایه انسانی یک دلیل منطقی و واقعبینانه است. یک رکود قرار نیست همیشگی باشد. زمانی که تمام شود، شرکت به افراد بااستعداد نیاز دارد. اگر تعداد بیش از حدی از آنها طی رکود از دست رفته باشند، شرکت مزیت رقابتی خود را در زمان احیا و سالهای پس از آن از دست میدهد. بهتر است که به گفته پاکارد «کارکنان به شدت باصلاحیت» در کنار شرکت بمانند.
این همان اتفاقی است که در گذشته میافتاد. مطالعات اقتصادی مختلف نشان دادهاند که به ازای هر یکدرصد کاهش سودآوری، فقط نیمدرصد از کارکنان تعدیل میشدند. از آنجا که کاهش بهرهوری یا سودآوری موقت بود، شرکتها آمادگی خود را برای شروع سریع در دوران احیا حفظ میکردند.
اما اتفاقی که طی ۲ دهه اخیر افتاد. در آخرین رکود اقتصادی، شرکتهای بسیاری کارکنان خوب خود را رها کردند. آنها کارکنان را با نرخی سریعتر از گذشته تعدیل کردند. شرکتها به جای کاهش ساعات کاری، تمایل بیشتری به کاهش کارکنان نشان دادند. مجله اکونومیست در تحلیلی نوشت: «در رکود ۱۹۷۳ تا ۱۹۷۵، فقط یکسوم از کاهش مجموع نفر-ساعت به دلیل تعدیل نیرو بود. بقیه آنها از طریق کاهش روزهای کاری هفته یا سال محقق شده بود. اما در بحران مالی بزرگ (سال ۲۰۰۸) این وضعیت، برعکس بود.»
شاید رکودهای جدید دشوارترند. شاید شرکتها دلیل کمتری برای حفظ کارکنان دارند. شاید نگران هزینههای بیمه یا خشم اتحادیهها هستند. شاید هم مدیران به دنبال پاداشهای خودشانند. دلیل هر چه که باشد، رابطهای غیروفادارانه بین کارکنان و کارفرمایان رقم زده است و خطر بیشتری برای رفتار ماشینوار با کارکنان پدید آورده است.
برگرفته از دنیای اقتصاد
یکی از وظایف مهم متخصصان امنیتی، ارزیابی امنیت سازمان است. این ارزیابی، جنبههای فنی مانند وضعیت پیکربندی سرورها، فایروالها، نرمافزارها، کنترلهای امنیت فیزیکی و اطلاعرسانی به کارکنان در رابطه با حملات مهندسی اجتماعی را شامل میشود. ارزیابی امنیتی یکی از وظایف مهم کارشناسان امنیت سایبری است که باید بهطور منظم انجام شود. از اینرو، دانستن نحوه انجام این ارزیابیها اهمیت زیادی دارد، زیرا امنیت سایبری در پیکربندی دیوارهای آتش و تخصیص مجوزها خلاصه نمیشود. درک چگونگی ارزیابی امنیتی بخشهای مختلف یک سازمان و خطرات مرتبط با آن کمک میکند تا بهشکل بهتری از زیرساختهای سازمانی در برابر مجرمان سایبری محافظت کنید.
ممیزی اطلاعات چیست؟
ممیزی اطلاعات (Information Audit) بهمعنای تجزیهوتحلیل و ارزیابی مکانیزمهای امنیتی، پایگاههای داده و منابعی است که اطلاعات حساس را نگهداری میکنند. اینکار با هدف تشخیص، بهبود دقت، امنیت و بهروز بودن اطلاعات و برطرف کردن مشکلات امنیتی انجام میشود. در حالت جامع، ممیزی اطلاعات به دلایل زیر انجام میشود:
رعایت مقررات و خطمشیهای اطلاعاتی و امنیتی سازمان.
آگاهیرسانی با هدف تامین امنیت بهتر منابع اطلاعاتی.
نیازهای اطلاعاتی سازمان.
شناسایی هزینههای پیرامون منابع اطلاعاتی.
شناسایی فرصتهای استفاده از منابع اطلاعاتی برای دستیابی به مزیت رقابتی راهبردی.
توسعه خطمشیهای امنیتی و اطلاعاتی.
یکپارچهسازی سرمایهگذاری در فناوری اطلاعات با اقدامات راهبردی تجاری.
شناسایی جریانها و فرایندهای اطلاعاتی.
رصد و ارزیابی سازگاری و مطابقت با استانداردها.
شناسایی منابع اطلاعاتی سازمان.
ارزیابی امنیتی چیست؟
ارزیابی امنیتی به مجموعه اقدامات دورهای اشاره دارد که وضعیت امنیتی شبکه سازمانی را بررسی میکند. ارزیابی امنیتی شامل شناسایی آسیبپذیریها در سیستمهای فناوری اطلاعات و فرآیندهای تجاری و توصیههایی برای کاهش مخاطرات امنیتی است. ارزیابیهای امنیتی به شما کمک میکنند خطرات را شناسایی کنید و مانع بروز حملههای سایبری شوید.
انواع ارزیابی
ارزیابیهای امنیتی شامل ارزیابی مخاطرات، تهدیدها، پیکربندیها، آسیبپذیریها و تست نفوذ است. هر یک از این ارزیابیها مشکلات مختلف زیرساختهای سازمانی را نشان میدهد.
ارزیابی مخاطره (Risk Assessment):
ارزیابی مخاطره (ریسک) رایجترین نوع ارزیابی در دنیای امنیت سایبری است که با شناسایی مسائلی که ممکن است باعث ایجاد اختلال در فعالیتهای تجاری شوند، به استمرار و تداوم فعالیتهای تجاری کمک میکنند. برخی منابع، ارزیابی ریسک را تجزیهوتحلیل ریسک نیز توصیف میکنند، زیرا به شناسایی ریسکهای پیرامون داراییهای درونسازمانی و یافتن راهحلهایی برای بهحداقل رساندن آن ریسکها میپردازد. بهطور کلی، ارزیابی ریسک بر مبنای مراحل زیر انجام میشود:
شناسایی داراییها (Identify assets):
اولین گام برای ارزیابی ریسک، شناسایی داراییهای سازمان است. دارایی هر چیزی است که برای سازمان ارزش دارد. بهعنوان مثال، اگر شرکتی یک سایت تجارت الکترونیکی داشته باشد که صدها هزار دلار در روز درآمد دارد، یک دارایی مهم بهشمار میرود.
شناسایی تهدیدات (Identify threats):
پس از شناسایی داراییها، باید تهدیدات پیرامون هر دارایی را شناسایی کنید. بهطور کلی، داراییها با تهدیدات مختلفی روبهرو هستند. تنها کاری که باید در این مرحله انجام دهید، فهرست کردن تهدیدات است. بهعنوان مثال، ممکن است یک وبسایت با حمله انکار سرویس (DoS) روبرو شود یا هارددیسک روی وبسرور به دلایل مختلف، همچون حملههای بدافزاری از کار بیفتد.
تحلیل تأثیر (Analyze impact):
این مرحله برای تعیین تأثیری که هر تهدید روی دارایی میگذارد، انجام میشود. بهعنوان مثال، تأثیر یک حمله «انکار سرویس توزیعشده» (DDoS) بر روی سایت تجارت الکترونیک شرکت بهمعنای از دست دادن درآمد در مدت زمانی است که فرآیند بازیابی کامل شده و همهچیز به شرایط اولیه باز گردد. به همین دلیل مهم است که باید تاثیر تهدید بهدقت بررسی شود.
اولویتبندی تهدیدها (Prioritize threats):
پس از شناسایی تهدیدات پیرامون داراییها، هر تهدید را بر مبنای تاثیری که بر فعالیتهای تجاری میگذارد و بر اساس احتمال وقوع تهدید اولویتبندی کنید. در این مرحله باید تصویر کاملتری از تهدیدها داشته باشید.
کاهش تهدید (Mitigate the threat):
پس از اولویتبندی تهدیدها، باید مشخص کنید بر مبنای چه راهکاری بهدنبال کاهش آنها هستید. برای مثال، میتوانید وبسرور را پشت دیوار آتشی قرار دهید تا مانع پیادهسازی موفقیتآمیز حملات پیرامون وبسرور شوید یا از راهحل RAID برای مقابله با خرابی ناگهانی دیسکدرایوها و از دست دادن اطلاعات استفاده کنید.
ارزیابی تهدید (Threat Assessment):
ارزیابی تهدید بخشی از فرآیند ارزیابی ریسک است که تهدیدات مختلف پیرامون یک دارایی را شناسایی میکنید. همانگونه که اشاره شد، شما با تهدیدات مختلفی پیرامون یک دارایی روبهرو هستید، از اینرو بخشی از ارزیابی ریسک، به مبحث اولویتبندی تهدیدها اختصاص دارد.
ارزیابی پیکربندی (Configuration Assessment):
با ارزیابی پیکربندیها، متخصصان امنیت سایبری پیکربندی امنیتی سیستمها یا شبکه را بررسی میکنند. رویکرد فوق شامل آمادهسازی چکلیستی از بهترین شیوههای پیکربندی و بهترین روشهای پیادهسازی آنها است، اما یک سازمان چه داراییهای مهمی دارد که باید به فکر ارزیابی و پیکربندی درست آنها باشیم؟ از جمله این داراییها به موارد زیر باید اشاره کرد:
سامانهها:
هنگام ارزیابی، مطمئن شوید که جدیدترین وصلهها روی سامانهها نصب شدهاند. اطمینان حاصل کنید که هیچ نرمافزار یا سرویس غیرضروری روی سامانهها اجرا نمیشود. همه سامانهها باید با رمزهای عبور قوی محافظت شوند. همه سامانهها باید نرمافزار آنتیویروسی داشته باشند که پایگاه داده آن شامل جدیدترین تعریف و امضا ویروسها است. این پایگاه داده باید بهطور خودکار بهروزرسانی شود.
سرور فایل (File server):
هنگام ارزیابی پیکربندی امنیتی سرور فایل، بررسی کنید کاربران قبل از دسترسی به فایلهای روی سرور توسط سرور فایل احراز هویت شوند، مجوزهای درستی به پوشهها اختصاص داده شده باشد، افرادی را که قادر به دسترسی به اطلاعات هستند کنترل کنید و مطمئن شوید که اصل حداقل امتیاز رعایت شده باشد.
وب سرور (Web server):
وبسایتهایی که با اطلاعات حساس بازدیدکنندگان در ارتباط هستند باید از پروتکلهای SSL/TLS برای رمزنگاری اطلاعات استفاده کنند، احراز هویت بهشکل درستی انجام شده باشد و هیچ فایل غیرضروریای در سرور وب وجود نداشته باشد. وبسرور باید دارای ویژگی گزارشگیری باشد تا بتوانید بر فرآیند دسترسی به وبسایتها نظارت دقیقی اعمال کنید.
سرور SMTP:
علاوه بر وصله و ایمن کردن سامانهها، مطمئن شوید که سرور SMTP توسط دیوار آتش محافظت میشود و هیچگونه دسترسی مستقیم به سرور وجود ندارد. علاوه بر این، سرور SMTP باید توسط ابزارهای امنیتی مثل ضدویروسها محافظت شود تا هرگونه ایمیلی که حاوی ضمیمه آلوده یا هرزنامههایی است که برای سرور ارسال میشوند شناسایی شوند. توجه به این نکته نقش مهمی در کاهش حملههای فیشینگ دارد. بهطور معمول، سازمانهای بزرگ فعال در حوزههای مالی و بیمه با حجم قابل توجهی از هرزنامههایی روبهرو هستند که بیارزش هستند و باز کردن تنها یک مورد از این هرزنامهها راه نفوذ هکرها به سامانهها را هموار میکند.
روترها (Routers):
کارشناسان خبره برای دسترسی به Console ، Auxiliary و Telnet روی روترها گذرواژههایی را تعیین میکنند تا بتوانند افرادی را که قصد دسترسی به پیکربندی روترها دارند کنترل کنند. برای حفظ امنیت، بهتر است از پروتکل پوسته امن (SSH) سرنام Secure Shell به جای Telnet برای مدیریت از راه دور به روتر استفاده کنید. مطمئن شوید روتر یک فهرست کنترل دسترسی (ACL) دارد که کنترل میکند چه ترافیکی مجاز است از روتر عبور کند. بهعنوان مثال، این امکان وجود دارد تا روتر را به گونهای پیکربندی کنید که به ترافیک شبکههای مشخصی اجازه عبور دهد. علاوه بر این، باید یک قانون انکار ضمنی همه (Implicit Deny All) در انتهای یک فهرست کنترل دسترسی قرار دهید. این قانون میگوید، هرگونه ترافیکی که برای روتر وارد میشود به غیر از ترافیک مربوط به شبکههای مشخصشده، باید رد شود. این قانون باید به ترافیک ورودی رابط سریال روی روتر اعمال شود تا هرگونه ترافیکی که وارد روتر میشود این قانون روی آن اعمال شود.
فایروالها (Firewalls):
دیوارهای آتش باید به گونهای پیکربندی شوند که هرگونه ترافیکی بهجز ترافیکی را که صراحتاً مجاز به عبور از دیوار آتش است رد کنند. این پیکربندی بهعنوان رد ضمنی شناخته میشود و اعلام میدارد که تنها ترافیک تعریفشده در دیوارآتش مجاز به عبور است. از آنجایی که فایروالها به اینترنت متصل هستند، باید اطمینان حاصل کنید که تمامی ویژگیهای مدیریت راه دور روی آنها غیرفعال شده باشد و از مکانیزم احراز هویت قوی روی دستگاه استفاده شده باشد.
سوئیچها (Switches):
مطمئن شوید گذرواژهها روی درگاه کنسول، درگاه کمکی و درگاههای Telnet سوئیچها پیکربندی شدهاند تا بتوانید افرادی را که دسترسی مدیریتی به دستگاه دارند کنترل کنید. همچنین، بررسی کنید درگاههای استفادهنشده غیرفعال باشند تا مجرمان سایبری موفق نشوند از این درگاهها برای نفوذ استفاده کنند. برای حفظ امنیت، بهتر است کاربران هر واحد را در شبکه جداگانهای قرار دهید و از مکانیزم تقسیمبندی (Segments) برای شکستن یک شبکه واحد به شبکههای کوچکتر استفاده کنید. امروزه در بیشتر سازمانهای بزرگ از فناوری شبکه محلی مجازی (VLAN) برای ایمنسازی، مدیریت بهتر کاربران و نظارت دقیق بر پهنای باند استفاده میشود.
کارمندان (Employees):
هنگام انجام ارزیابیهای دستی، دانش کارکنان در ارتباط با مسائل امنیت را بیازمایید و چند سناریو حمله مهندسی اجتماعی را برای آنها ترتیب دهید. بهعنوان مثال، میتوانید به بررسی این موضوع بپردازید که آیا یک کارمند رمز عبور خود را در اختیار فردی که ناشناس است قرار میدهد یا خیر. همچنین، میتوانید درایوهای USB را روی میز کارمندان قرار دهید تا ببیند چند نفر از آنها یک درایو USB ناشناس را به سیستمهای خود متصل میکنند. کارمندانی که آموزشهای امنیتی دقیقی دیده باشند بهخوبی از این نکته اطلاع دارند که یک درایو USB ناشناس ممکن است حاوی ویروس باشد و نباید چنین درایوهایی را به سامانههای خود متصل کنند.
امنیت فیزیکی (Physical security):
یکی دیگر از موضوعات مهم پیرامون مبحث ارزیابی، امنیت فیزیکی است. آیا تمام درها و پنجرهها قفل دارند؛ آیا تنظیمات CMOS سیستمها برای جلوگیری از بوت شدن از طریق دیسکهای نوری یا درایوهای USB تغییر کردهاند؛ آیا روی سامانههایی که اطلاعات محرمانه دارند، ویژگی کنترل یا مشاهده از راه دور نصب شده یا نرمافزارهای برقراری ارتباط از راه دور مثل Team Viewer نصب شده است؛ آیا از مکانیزمهای نرمافزاری یا سختافزای برای عدم اتصال درایوهای USB روی سامانهها استفاده شده است یا خیر.
ارزیابی آسیبپذیری (Vulnerability Assessment):
ارزیابی آسیبپذیری به شناسایی نقاط و مناطقی اشاره دارد که احتمال بروز حملههای سایبری از آن مناطق بیشتر است. بیشتر ارزیابیهای آسیبپذیری با استفاده از ابزارهای رایجی مثل Nessus، OpenVAS یا LANguard GFI انجام میشوند. شکل ۱، رابط کاربری ابزار LANguard GFI را که اسکنر شناسایی آسیبپذیری شبکه است نشان میدهد. این ابزار به کارشناسان شبکه کمک میکند بخشهایی از یک سامانه را که در برابر حملهها آسیبپذیرتر هستند شناسایی کنند.
ابزار ارزیابی آسیبپذیری با هدف تجزیهوتحلیل پیکربندیهای یک سیستم و شناسایی بخشهایی که نیازمند رسیدگی بیشتر هستند مورد استفاده قرار میگیرد. از جمله وظایف اصلی این ابزارها به موارد زیر باید اشاره کرد:
ارزیابی وضعیت وصلههای نصب شده روی سامانهها و گزارش این موضوع که آیا وصلههایی وجود دارند که روی سامانهای نصب نکردهاید.
شناسایی حسابهای کاربری که بدون رمز عبور روی یک سیستم ساخته شدهاند.
اطلاعرسانی در ارتباط با حسابهایی که مدت زمان طولانی است که از آنها استفاده نشده است.
اطلاعرسانی در ارتباط با وجود انواع مختلفی از حسابهای مدیریتی.
شناسایی رخنهها یا آسیبپذیریهایی که نیازمند رسیدگی هستند.
شکل 1
نکته کلیدی که هنگام کار با ابزارهای ارزیابی آسیبپذیریها باید به آنها دقت کنید این است که ابزارهای مذکور تنها پیکربندی سامانهها را بررسی میکنند و تا حد امکان توصیههایی را برای رفع مشکل ارائه میکنند، اما کار خاصی در ارتباط با کاهش یا دفع حملههای سایبری انجام نمیدهند، زیرا وظیفه اصلی آنها بررسی پیکربندیهای سامانهها است. هنگامی که قصد ارزیابی آسیبپذیریها را دارید باید موارد زیر را بررسی کنید.
حسابهای استفاده نشده (Unused accounts):
آیا حسابهای کاربریای وجود دارند که برای مدت زمان طولانی استفاده نشدهاند. بهطور معمول در همه شرکتها، کارمندان پس از گذشت مدت زمانی محل کار را ترک میکنند، در حالی که حسابهای کاربری آنها همچنان فعال است. هرگونه حساب کاربریای که استفاده نمیشود، ممکن است در معرض حملههای سایبری قرار بگیرد، زیرا هیچ کارمندی وجود ندارد که وضعیت آنها را بررسی کند. از اینرو، مهم است که حسابهای استفادهنشده را شناسایی کرده و آنها را غیرفعال کنید.
حسابهای مدیریتی (Administrative accounts):
حسابهای مدیریتی را باید بهدقت زیر نظر بگیرید. هرچه تعداد حسابهای مدیریتی کمتر باشد، بهتر است؛ زیرا تعداد افرادی که قادر به اعمال تغییرات در محیط هستند محدودتر است.
سیستمعامل وصلهنشده (Unpatched operating system):
سیستمعامل وصلهنشده یک خطر امنیتی بزرگ در دکترین دفاعی بهوجود میآورد، بههمین دلیل مراقب سیستمهایی باشید که وصلهنشده هستند. علاوه بر این، همواره این احتمال وجود دارد که نرمافزارهای آسیبپذیری که وصله نشدهاند، روی سامانه کاربران نصب شده باشند. اگر سرور ایمیل یا سرور پایگاه داده آسیبپذیر داشته باشید یک مهاجم میتواند یک حمله سرریز بافر روی آن انجام دهد و دسترسی مدیریتی کامل به سیستم پیدا کند.
نرمافزار آسیبپذیر (Vulnerable software):
یکی از قابلیتهای کاربردی نرمافزارهای ارزیابی آسیبپذیری توانایی آنها در شناسایی نرمافزارهای آسیبپذیری است که روی سیستم در حال اجرا هستند. برای مثال، اگر سامانهای در برابر حمله CGI سرنام Common Gateway Interface آسیبپذیر باشد، نرمافزار ارزیابی به شما اطلاع میدهد.
شناسایی آسیبپذیریها (Identifying vulnerabilities):
هدف از اسکن شناسایی آسیبپذیریها پیدا کردن نقاط ضعف موجود در سیستم است. بهعنوان مثال، اگر سیستمی با وصلهها بهروز نباشد، بهعنوان یک نقطه آسیبپذیر در شبکه شناخته میشود.
تشخیص فقدان کنترلهای امنیتی (Identifying the lack of security controls):
هنگام انجام ارزیابی آسیبپذیری، بهدنبال بررسی این موضوع باشید که آیا کنترلهای امنیتی وجود دارند که باید استفاده شوند و در حال حاضر استفاده نمیشوند. بهعنوان مثال، هنگام ارزیابی امنیت یک سرور پایگاه داده متوجه شوید توسط فایروال محافظت نمیشود. در این مورد، باید به مدیر پایگاه داده اطلاع دهید که سامانهها باید از طریق دیوارآتش با سرور پایگاه داده ارتباط برقرار کنند تا همهچیز تحت کنترل قرار گیرد.
شناسایی پیکربندیهای نادرست رایج (Identifying common misconfigurations):
هنگام انجام اسکن آسیبپذیری، پیکربندی سیستم را بررسی کنید تا هرگونه پیکربندی نادرستی را که میتواند باعث بروز مشکلات امنیتی شود پیدا کنید. بهعنوان مثال، ممکن است متوجه شوید نام پیشفرض حساب مدیریتی در یک سرور تغییر نکرده است.
کلام آخر
همانگونه که مشاهده کردید، یکی از وظایف مهم کارشناسان امنیت، انجام ارزیابیها و ممیزیهای امنیتی است. بهطور معمول، توصیه میشود ارزیابیها و ممیزیها را در بازههای زمانی کوتاهمدت انجام دهید تا مطمئن شوید آسیبپذیری ناشناختهای روی یک سیستم و بهویژه وبسرورها وجود ندارد.
نوعی ماده خاموش کننده است که اخیراً توسعه یافته و جایگزین ماده ای به نام هالون 1211 (Halon 1211) شده است. هالون 1211 در کپسول های آتش نشانی استفاده می شد که مشکلات زیادی برای سلامتی انسان دارد و از مواد آسیب رسان به لایه اوزن است. از نظر عملکرد، FE36 شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر بوده و آسیبی متوجه لایه ازون نمی کند.
از نظر عملکرد، FE36 شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر میباشد
FE36 جایگزین شده، بسیاری از مشکلات هالون 1211 را ندارد. از این ماده برای آتش سوزی هایی با کلاس A، B و C و در مواقعی استفاده می شود که کاری از دست پودر، CO2 و آب ساخته نیست. این ماده در کپسول هایی با سیلندر فلزی و با عنوان مایع تحت فشار 15 نگهداری می شود تا در مواقع حریق به طرف آتش پرتاب شود. نام شیمیایی آن hexafluoropropane با فرمول شیمیایی HFC-236fa بوده و حداقل غلظت مورد نیاز آن برای خاموش کردن آتش 5،3٪ درصد است.
نحوه عملکرد کپسول آتش نشانی FE36
از این کپسول برای آتش سوزی های کلاس A و B و C استفاده می شود و به هنگام حریق، FE36 انباشته شده در داخل کپسول، به سمت آتش پرتاب می شود و با برقراری تعادل شیمیایی و جذب گرمای آتش حریق، منجر به خاموشی آن می شود. مهم ترین مزیت FE36 در این است که چون در دمای 4.4 درجه سانتیگراد، تبدیل به گاز می شود، پس از خاموش شدن آتش هیچ اثری از خود به جای نمی گذارد.
مزایای اطفاحریق FE36
زمانی که FE36 از کپسول آتش نشانی خارج می شود، فاقد بو بوده و اثر سمی ندارد. همچنین بعد از اتمام آتش سوزی، هیچ اثری از آن در محل آتش سوزی باقی نمی ماند. از دیگر ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند. این ماده در عین حال که کارایی زیاد و عملکرد مناسبی دارد، به محیط زیست آسیب نزده و تهدیدی برای لایه ازون نیست. زمان مورد نیاز برای تخلیه این ماده از کپسول، کمتر از 10 ثانیه است و در سریع ترین زمان ممکن آتش را خاموش می کند. از آنجایی که این ماده ایمن است، می توان از آن در محیط های کاری استفاده کرد. این کپسول می تواند در دمای اتاق به خوبی عمل کند.
ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند
فاکتورهای مهم fe36
گازی بی بو و پاک
هیچ گونه تاثیری در محل اطفا نمیگذارد
غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است
یکی از مهمترین فاکتورهای این گاز غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است
کپسول نگهدارنده FE36 که جزئی از تجهیزات آتش نشانی، در قسمت روی سیلندر، یک شیر ایمنی دارد که حداکثر ایمنی را فراهم می کند. برای بدنه سیلندر، از رنگ الکترواستاتیک استفاده شده است که این رنگ مقاومت بالایی در برابر خوردگی دارد.
کاربردهای کپسول آتش نشانی FE36
این کپسول که از تجهیزات اطفاء حریق در فضاهای مخصوص نگهداری سرورها، رایانه ها، بایگانی های ارزشمند، تجهیزات آزمایشگاهی، تجهیزات مخابراتی، تأسیسات دریایی، بیمارستان ها، بانک ها، موزه ها و موارد این چنینی کاربرد دارند. برای خاموش کردن آتش سوزی محفظه موتور ماشین نیز استفاده می شود.
قیمت کپسول آتش نشانی FE36
قیمت FE36 با توجه به کیفیت سیلندر نگهداره، عملکرد و … تعیین می شود. یک کپسول آتش نشانی FE36 باکیفیت، ویژگی های زیر را دارد:
بدنه ضخیمی دارد.
بیمه آن معتبر است.
جنس شیلنگ و سایر متعلقات آن خوب است.
روی بدنه آن برچسب شرکت فروشنده و شارژ کننده وجود دارد.
کارت تاریخ شارژ و یا فروش دارد.
شارژ کپسول FE36
از آنجایی که مواد داخل این کپسول فاسد نمی شود، نیاز به شارژ سالانه ندارد.
مزیت بزرگ این کپسولها آن است که میتوان بدون داشتن یک سیستم اطفای حریق و پا پنل اطفا از آنها با تیوب های حساس به گرما برای داخل رک ها استفاده نمود
برنامههای کاربردی، سامانهها و شبکهها با انواع مختلفی از حملههای سایبری مثل شکستن رمزهای عبور، حملههای فرهنگ لغت و جستوجوی فراگیر روبهرو هستند. در سالهای گذشته، شرکتها از برنامهنویسان انتظار نداشتند در ارتباط با مباحث امنیتی شناخت دقیقی داشته باشند، زیرا این مسئولیت برعهده کارشناسان امنیتی قرار داشت، اما امروزه یکی از وظایف مهم برنامهنویسان کدنویسی تمیز و عاری از اشتباهات رایج است. بهطور کلی، برنامههای کاربردی با دو مشکل امنیتی بزرگ روبرو هستند. مشکل اول آسیبپذیری مستتر در چارچوبها، کتابخانهها یا ابزارهایی است که برنامهنویسان برای توسعه نرمافزارها از آنها استفاده میکنند. مشکل دوم، ضعف در کدنویسی است که باعث میشود یک نرمافزار قربانی حملههای سایبری شود. موارد مذکور موضوعات مهمی هستند که باید در مورد آنها اطلاع داشته باشید. امروزه، بخش عمدهای از حملههایی که زیرساختها و شبکههای سازمانی را هدف قرار میدهند از طریق آسیبپذیریهای مستتر در برنامههای کاربردی که روی سامانههای کلاینت یا سرور اجرا میشوند پیادهسازی میشوند. از اینرو، مهم است بهعنوان یک برنامهنویس اطلاعات کاملی در ارتباط با بردارهای حمله داشته باشید تا هنگام کدنویسی برنامهها ناخواسته راه ورودی برای هکرها ایجاد نکنید.
برنامههای کاربردی و چالشهای آنها
برنامههای کاربردی که روزانه از آنها استفاده میکنیم در معرض انواع مختلفی از حملههای سایبری قرار دارند. هکرها همانند کاربران عادی، نرمافزارها را نصب و اجرا میکنند، عملکرد آنها را بررسی میکنند و در ادامه به جستوجوی آسیبپذیریهای موجود در نرمافزارها میپردازند. با توجه به اینکه هکرهای حرفهای در زمینه برنامهنویسی خبره هستند، شناخت کاملی در ارتباط با مفاهیم برنامهنویسی و نحوه سوءاستفاده از آسیبپذیریها دارند.
پیمایش دایرکتوری
توسعهدهندگان برنامههای وبمحور و مدیران سایتها همواره نگران حمله پیمایش دایرکتوری (Directory Traversal) هستند. در حمله مذکور، هکرها سیستم فایلی وبسرور را ارزیابی میکنند تا بتوانند دستورات مخرب را درون پیامهای HTTP تزریق کنند. در این تکنیک، هکر سعی میکند چندمرتبه ../.. را در یک آدرس اینترنتی آزمایش کند تا موفق شود به ساختار دایرکتوری وبسرور وارد شود. پس از ورود به دایرکتوری، چند مرتبه به عقب باز میگردد تا به دایرکتوری سیستمعامل برسد و دستورات سطح سیستمعامل را اجرا کند. برای مقابله با حملههای پیمایش دایرکتوری، باید اطمینان حاصل کنید که سیستمها با وصلههای امنیتی بهروز هستند و به دنبال فهرست سیاه کاراکترهای رایج در آدرسهای اینترنتی مثل ../.. باشید.
حملههای تزریقی
بزرگترین مشکلی که برنامههای کاربردی با آن روبرو هستند حملههای تزریقی است. حمله تزریقی به دلایل مختلفی انجام میشود. بهطور مثال، ممکن است با هدف استخراج اطلاعات انجام شود. در اینجا، نرمافزار کاربردی بهعنوان واسطی برای حمله به یک بانک اطلاعاتی مورد سوءاستفاده قرار میگیرد. هکرها از این تکنیک برای درج انواع مختلف کدهای برنامهنویسی بهجای دادههایی که نرمافزار در انتظار دریافت آنها است، استفاده میکنند. حملههای تزریقی به انواع مختلف زیر تقسیم میشوند.
تزریق SQL
تقریبا همه کارشناسان بانکهای اطلاعاتی و برنامهنویسان وب نگران این حمله هستند. زبان پرسوجوی ساختیافته SQL سرنام Structured Query Language توسط برنامهنویسان برای پیادهسازی محاورهها روی بانکهای اطلاعاتی استفاده میشود. برنامههای کاربردی وب و برنامههای سازمانی برای بازیابی دادهها از بانکهای اطلاعاتی، از زبان پرسجوی ساختیافته استفاده میکنند. بهعنوان مثال، شما ممکن است یک نرمافزار موجودی در دفتر داشته باشید که اطلاعات آن درون یک پایگاه داده ذخیره میشود. این برنامه از زبان پرسوجوی ساختیافته برای بازیابی این دادهها از بانکهای اطلاعاتی استفاده میکند و اطلاعات را نشان میدهد. در حملههای تزریق پرسوجوی ساختیافته، هکر از دستورات این زبان استفاده میکند تا دادههای موجود در بانک اطلاعاتی را دستکاری کند. در روش مذکور، هکر کدهای عادی زبان پرسوجوی ساختیافته را به برنامه وارد میکند و اطمینان دارد که برنامه دستورات فوق را برای بانک اطلاعاتی ارسال میکند. هکر دستورات SQL را در مکانی که برنامهنویسان یا مدیران بانک اطلاعاتی انتظارش را ندارند، مثل فیلدهای نام کاربری و رمز عبور در صفحه ورود به برنامه وارد میکند.
شکل ۱، نمونهای از یک حمله تزریق کد SQL را نشان میدهد. در این شکل، یک صفحه ورود به سیستم را مشاهده میکنید که منتظر دریافت نام کاربری و رمزعبور است. هنگامی که کاربر اطلاعات فیلدهای مذکور را وارد میکند، این اطلاعات در دستورات SQL قرار میگیرند تا کاربر احراز هویت شود و بتواند به سیستم وارد شود. دستوری که برای این منظور استفاده میشود، دستور select است که برای یافتن اطلاعات در پایگاه داده استفاده میشود. هنگامی که کاربر روی دکمه LOGON کلیک میکند، دستور select سعی میکند نام کاربری و رمز عبوری که در برنامه تایپ شده است را پیدا کند.
در مثال فوق، هکر باید اطمینان حاصل کند پس از اجرای یک محاوره، نتیجه دلخواه را دریافت میکند، زیرا نام کاربری و رمز عبور معتبر را نمیداند، بنابراین سعی میکند کدهای SQL را بهعنوان رمز عبور وارد میکند تا شاید بتواند به سیستم وارد شود. بهطور مثال، یکی از تکنیکهای رایجی که در این زمینه استفاده میشود، درج دستورات بانک اطلاعاتی در کادر رمز عبور است تا یک حمله تزریق کد SQL با موفقیت انجام شود:
pass’ or 1=1 --
کلمه pass چیزی است که هکر بهعنوان رمز عبور خود تایپ میکند که در واقع کار نخواهد کرد، زیرا هکر در برنامه حساب کاربری ندارد. دستور 1=1 بهعنوان شرطی در دستور select استفاده میشود، اما بهعنوان رمز عبور واقعی آزمایش نمیشود. در اینجا نکته مهم در کاراکتر «'» مستتر است که برای بستن دستور select استفاده میشود. کاراکترهای «--» در پایان این دستور اشاره به درج نظر دارند و در حالت عادی مشکل خاصی ندارند، با اینحال، نکته ظریفی وجود دارد. در کدهای اصلی، برنامهنویس از کاراکتر «'» در دستور select واقعی استفاده کرده و در اینجا این کاراکتر پایان آن دستور را مشخص میکند. اکنون دو کاراکتر «-» که در دنیای واقعی تنها برای درج نظرات توسط برنامهنویسان استفاده میشود، در خط بالا باعث نادیده گرفتن ادامه دستورات select اصلی میشوند. از اینرو، در کدنویسیهای ضعیف این تکنیک به هکر اجازه ورود به سامانه را میدهد.
یکی دیگر از چالشهای بزرگی که برنامهنویسان بانکهای اطلاعاتی با آن روبرو هستند، تغییر قیمت کالاها در یک فروشگاه آنلاین توسط هکرها است. دستور زیر اجازه به ورود به سیستم را میدهد، اما در عین حال یک عبارت بهروزرسانی را اجرا میکند که قیمت همه کتابهای جدول titles را به ۵۰ سنت تغییر میدهد:
pass’ or 1=1; update titles set price=.5 --
یکی دیگر از مخاطراتی که پیرامون برنامههای کاربردی وجود دارد، فراخوانی دستورات سیستمعامل یا سرور بانک اطلاعاتی برای ساخت حسابهای کاربری است. بهطور مثال، دستور زیر یک رویه ذخیره شده داخلی موجود در
SQL Server را فراخوانی میکند که به توسعهدهنده پایگاه داده اجازه میدهد یک فرمان سیستمعامل را برای جمعآوری اطلاعات فراخوانی کند. در مثال فوق، هکر حساب کاربری خودش که fromSQL نام دارد را در ویندوز ایجاد میکند تا بتواند برای ورود به وبسایت هدف از آن استفاده کند. خوشبختانه این تکنیک از SQL Server 2005 به بعد قابل استفاده نیست، زیرا روال ذخیره شده
xp_cmdshell بهطور پیشفرض غیرفعال است و به این دلیل نباید فعال شود.
pass’ ;exec master ..xp_cmdshell “net user fromSQL password /add» –
دستور زیر از تکنیکی مشابه حالت قبل برای افزودن حساب کاربری به گروه مدیران محلی سیستم استفاده میکند. بهطوریکه هکر یک در پشتی با قابلیتهای مدیریتی کامل بهدست میآورد. این تکنیک نیز تنها زمانی قابل استفاده است که xp_cmdshell فعال باشد، در حالیکه روی نسخههای جدید SQL Server در حالت پیشفرض غیرفعال است.
pass’ ;exec master ..xp_cmdshell “net localgroup administrators fromSQL /add” –
چگونه مانع پیادهسازی موفقیتآمیز حملههای تزریق SQL شویم؟
همانگونه که اشاره شد، ایمنسازی نرمافزارهای کاربردی از وظایف اصلی برنامهنویسان است، زیرا کارشناسان امنیتی قدرت مانور محدودی برای مقابله با این مدل حملهها دارند. از اینرو، برای محافظت از برنامههای کاربردی که دادهمحور هستند به نکات زیر دقت کنید:
Sanitization : برنامهنویسان باید از طریق بهکارگیری الگوهایی مثل عبارات باقاعده هر کاراکتر ورودی دریافتی از کاربر که میتواند کدهای SQL را اجرا کند را شناسایی و پاک کنند. بهعنوان مثال، آنها باید نقطه ویرگول و دو خط تیره را از ورودی حذف کنند.
Validation: برنامهنویسان باید ورودی را تایید کنند و اطمینان حاصل کنند که تعداد نویسههای قابل وارد کردن و نوع نویسههای استفادهشده دارای محدودیت هستند.
Parameterized queries: استفاده از پرسوجوهای پارامتری به این معنا است که ورودی بهشکل مستقیم به یک دستور SQL ارسال نمیشود، بلکه در قالب پارامتر برای دستورات ارسال میشود و تنها مقادیر خاصی پذیرفته میشوند. اگر مقدار پارامتر درست باشد، توسط دستورات SQL اجرا میشود. الگوی محاورههای پارامتری یکی از مهمترین مباحث دنیای برنامهنویسی است که باید به آن دقت کنید.
تزریق کتابخانه پیوند پویا(Dynamic-Link Library Injection)
تزریق کتابخانه پیوند پویا (DLL) هنگامی اتفاق میافتد که یک برنامه مجبور است یک DLL را در فضای آدرس خود بارگذاری کند و کد DLL را اجرا کند. کد موجود در DLL میتواند کد مخربی باشد که هکر میخواهد روی سیستم اجرا کند. این بردار حمله پیچیده و ظریف است؛ بنابراین اگر برنامهنویس در هنگام ساخت برنامههای کاربردی مکانیزمی برای اعتبارسنجی کتابخانه پویا در نظر نگرفته باشد، با موفقیت پیادهسازی میشود.
تزریق پروتکل دسترسی دایرکتوری سبک وزن
(Lightweight Directory Access Protocol Injection)
حمله تزریق پروتکل دسترسی به دایرکتوری سبک وزن هنگامی اتفاق میافتد که هکری یک فرم وب را بهگونهای پر میکند که معمولا از دادههای فرم برای پرسوجو از پایگاه داده با فراخوانی LDAP استفاده میکند، اما از آنجایی که توسعهدهنده برنامه هیچکدام از ورودیها را تایید نکرده، هکر در اجرای دستورات موفق خواهد بود. در این حالت هکر محتوا و دستورات موردنظر را درج میکند و سرور آنها را اجرا میکند.
تزریق زبان نشانهگذاری توسعهپذیر
(Extensible Markup Language Injection)
حمله تزریق زبان نشانهگذاری توسعهپذیر (XML) شبیه تزریق کد اسکیوال و تزریق LDAP است، با این تفاوت که هکر کد XML را به برنامه وارد میکند. اگر توسعهدهنده برنامه، ورودی را اعتبارسنجی نکرده باشد، هکر میتواند روند اجرای برنامه را با تزریق دادههای XML دستکاری کند. برای حل این مشکل کافی است ورودیها را اعتبارسنجی کنید تا مانع پیادهسازی موفقیتآمیز این مدل حملهها باشید.
حملات سرریز بافر (Buffer Overflow Attacks)
با توجه به اینکه بخش عمدهای از برنامههای کاربردی با زبانهای برنامهنویسی سی و سیپلاسپلاس نوشته میشوند، هنوز هم هکرها شانس خود برای انجام حملههای سرریز بافر را امتحان میکنند. بافر ناحیهای از حافظه اصلی است که برای ذخیره اطلاعات ارسالشده به برنامه استفاده میشود. سرریز بافر زمانی است که یک هکر اطلاعات زیادی را به برنامه میفرستد و باعث میشود که اطلاعات از بافر سرریز کنند. بافر را همانند لیوان آبی تصور کنید که گنجایش مشخصی دارد، هنگامی که بیشتر از ظرفیت آب درون لیوان بریزد از آن سرازیر میشود. حمله سرریز بافر نیز دقیقا به همین شکل انجام میشود. شکل ۲، نمونه سادهای از پیادهسازی موفقیتآمیز این حمله را نشان میدهد.
اگر هکر بتواند اطلاعاتی در حافظه خارج از ناحیه بافر ذخیره کند، قادر به اجرای هرگونه کدی با مجوز مدیریتی است. نرمافزارهایی که در معرض این مدل حملهها قرار میگیرند، برنامههای کاربردی یا سرویسهای در حال اجرا در پسزمینه سیستمعامل هستند.
چرا آسیبپذیری در برنامههای کاربردی وجود دارد؟
شاید بپرسید که چرا این حملات موفقیتآمیز هستند. دلایل مختلفی وجود دارد. بهطور معمول، هکرها وقت کافی برای کار با فناوریها اختصاص میدهند تا بفهمند نقاط ضعف فناوریها کجا است و چگونه از آنها برای انجام فعالیتهای مخرب استفاده کنند.
علاوه بر این، برنامهنویسان و تیمهای توسعه نرمافزارهای کاربردی، بهعمد درهای پشتی روی محصولات خود قرار میدهند تا در آینده بتوانند تغییرات موردنیاز را در برنامههای کاربردی وارد کنند. گاهیاوقات، هکرها موفق میشوند این درهای پشتی را شناسایی کنند و به سوءاستفاده از آنها بپردازند. بنابراین توسعهدهندگان مجبور میشوند وصلههایی برای بستن این درهای پشتی منتشر کنند. از مهمترین دلایل موفقیتآمیز بودن حملات به برنامههای کاربردی به موارد زیر باید اشاره کرد:
مدیریت نامناسب ورودی: مدیریت و ارزیابی ورودی یکی دیگر از وظایف مهم برنامهنویسان و توسعهدهندگان نرمافزار است. هر زمان که دادهها به یک برنامه ارسال میشوند، برنامهنویس باید آن دادهها را اعتبارسنجی کند و از مناسب بودن آنها اطمینان حاصل کند.
در این حالت، اگر دادهها نامعتبر باشند، بهجای پردازش اطلاعات، یک خطا به کاربر نمایش داده میشود. اگر برنامهنویس ورودی را تایید نکند، هکرها میتوانند دادههای مخرب را به برنامه تزریق کنند تا نرمافزار را به روشی که مطلوب نیست کنترل کنند.
مدیریت نادرست خطا: مدیریت خطا یکی دیگر از وظایف کلیدی برنامهنویسان است. برنامهنویسان باید اطمینان حاصل کنند که هرگونه خطای تولیدشده در برنامه را بهدام میاندازند و آن خطاها را بهطور مناسب مدیریت میکنند تا برنامه با مشکل جدی روبرو نشود. علاوه بر این، هنگامی که کدنوسی نرمافزار بهپایان رسید، باید بهدنبال شناسایی خطا باشید. مدیریت نادرست خطا میتواند منجر به سوءاستفاده از برنامه شود.
پیکربندی پیشفرض: هنگام نصب نرمافزار یا سیستمها، مطمئن شوید که پیکربندی پیشفرض را تا حد امکان تغییر دهید. هکرها تنظیمات پیشفرض محصولات را میشناسند و یاد میگیرند که چگونه از تنظیمات پیشفرض برای سوءاستفاده از سیستمها استفاده کنند. شما باید پیشفرضها را تغییر دهید تا هکرها شانس کمتری برای نفوذ به برنامهها داشته باشند.
پیکربندی نادرست یا پیکربندی ضعیف: بخش عمدهای از حملههای هکری بهدلیل پیکربندی نادرست یا ضعیف سیستمعامل و برنامههای کاربردی انجام میشوند. در ارتباط با نرمافزارهای مهمی مثل SQL Server، Exchange Server و نمونههای مشابه باید اطمینان حاصل کنید که پیکربندی درستی را اعمال کردهاید.
Weak cipher: یکی از بزرگترین مشکلات برنامههای کاربردی دانش کم برنامهنویسان در زمان بهکارگیری الگوریتمهای رمزنگاری است. متاسفانه برخی از برنامههایی که توسط کاربران سیستمعامل ویندوز و اندروید استفاده میشود از فناوریها یا پروتکلهای رمزگذاری ضعیف استفاده میکنند. بهطور مثال، در برخی برنامهها و سفتافزارها برای رمزگذاری دادهها از الگوریتم متقارن DES یا 3DES استفاده میشود. این رمزگذاری ضعیف است و باید با الگوریتمهای قویتری مثل AES جایگزین شود. مثال دیگر جایگزینی پروتکلهای رمزگذاری ضعیفتر مثل TLS 1.0 و TLS 1.1 با نمونه جدیدتر TLS 1.3 است.
تهدیدات روز صفر: یکی از شایعترین آسیبپذیریهایی که بسیاری از شرکتها را قربانی میکند، تهدید روز صفر است که اشاره به آسیبپذیری ناشناختهای دارد که فروشنده هنوز از آن آگاه نیست، یا بهتازگی از آن آگاه شده است. در آسیبپذیری روز صفر، زمان کافی برای عرضه وصله وجود ندارد و در نتیجه هکرها میتوانند در فرصت کوتاهی از آن استفاده کنند. بهترین راه مقابله با این حمله، بهکارگیری سامانههای تشخیص و پیشگیری از نفوذ است.
کلام آخر
یکی از جنبههای نادیده گرفته شده در حوزه توسعه برنامههای کاربردی که روزانه از آنها استفاده میکنیم مقوله امنیت است. درک این نکته که چگونه هکرها از طریق برنامههای کاربردی در حال اجرا روی سامانهها به زیرساختهای یک شرکت وارد شده و به آنها آسیب جدی وارد میکنند بسیار مهم است. نکته کلیدی در بحث توسعه نرمافزارهای کاربردی، درک این مسئله است که بهعنوان یک برنامهنویس میتوانید کار خود را انجام دهید و پس از بهاتمام رساندن یک پروژه نرمافزاری با دقت و وسواس خاصی آزمایشهای امنیتی را روی نرمافزاری که طراحی کردهاید انجام دهید.
علاوه بر این، مجموعه خطمشیها، چکلیستها و الگوهایی وجود دارد که کمک میکنند هنگام کدنویسی از اشتباهات رایج دوری کنید. با اینحال، دقت کنید هر زبان برنامهنویسی الگوهای امنیتی خاص خود را دارد و اینگونه نیست که قواعد مذکور در مورد تمامی زبانهای برنامهنویسی صدق کند. بهطور مثال، سیشارپ با ارائه مفهومی بهنام Garbage Collection روند کدنویسی را برای برنامهنویسان ساده کرد، در حالی که زبانهایی مثل سی فاقد چنین ویژگیای هستند و برنامهنویسان در هنگام تخصیص حافظه به اشیاء پویا باید خود حافظه را آزاد کنند.
برگرفته از سایت شبکه
اقتصادنیوز: عضو کمیسیون عمران و حمل و نقل شورای شهر تهران گفت : در مورد منشأ حمله سایبری به سایت های شهرداری حدس هایی نزدیک به یقین زده شده و با کمک دستگاه های امنیتی کشور فرایند در حال تکمیل شدن است.
حمله دزدان با کلید به سایت های شهرداری تهران!
به گزارش اقتصادنیوز 8 روز از حمله سایبری به سایت های شهرداری تهران گذشته است ، روز گذشته برخی از اعضای شورای شهر تهران نسبت به این موضوع واکنش نشان داده و رییس شورای شهر تهران هم این حمله را از سوی موساد با کمک تمامی جریان های ضد انقلاب دانست.
علی اصغر قائمی عضو شورای شهر تهران که پیش از این هم درمورد آسیب پذیری سایت های شهرداری هشدار داده بود درخصوص دلایل آسیب پذیری سایت های شهرداری و امکان پیشگیری از این حادثه به اکو ایران می گوید : مدیریت فن آوری اطلاعات چارچوب های استاندارد دارد، مانند استاندار ITSM ، استاندارد ITIL، استاندارد COBIT و از این قبیل استانداردها، هر دستگاهی وقتی می خواهد با مقیاس بزرگ به موضوع ICT بپردازد ، موضوع مدیریت ICT باید ازیکی این چارچوب ها تبعیت کند و یا تلفیقی از عناصر مختلف این چارچوب ها را بنا به ضرورت خودش کنار هم بگذار تا بتواند آن چرخه حیات سیستم هایش را مدیریت کند . این مثل کامپیوتر شخصی در خانه نیست که اگر خراب شد هاردش را فورمت کنیم . انبوهی تجهیزات با مقیاس های متفاوت کنار هم جمع شدند و مرکز داده را تشکیل دادند؛ سیستم های ذخیره سازی و سیستم های پردازشی بزرگ و سیستم های مدیریت ترافیک شبکه بزرگ که مسائل خود را دارند و در این چارچوب ها قاعده مند شدند.
وی ادامه داد : به طورمثال یکی از رایج ترین چارچوب های مورد توجه همه دستگاه ITIL است که نسخه چهارمش از سال گذشته منتشر شده و کتابخانه زیرساخت های فن آوری اطلاعات مجموعه ای از تجارب جهانی است و می گوید در مورد این مساله چه کار کردند.این تجارب جمع شدند و مخرج مشترک گرفته شده و به یک تجربه موفق تبدیل شدند و استاندارد شده و اگر از تجربه دیگران استفاده نکنیم قطعا خطا کردیم. در این چارچوب ها به تعداد زیادی فرایندهای متفاوت پرداخته شده است؛ مثلا وقتی حادثه یا بحرانی رخ می دهد باید چه کار کنید ؟و یا محصولی تولید کردید و می خواهید نشر دهید که بهره برداران شروع به استفاده کنند ،بایستی چه کار کنید؟
قائمی تاکید می کند : از این تیپ استانداردهای فنی در این چارچوب ها وجود دارد تا حتی مدیریت چرخه مالی پروژه های فن آوری اطلاعات و اگر به اینها توجه نکنیم شیر بی یال و دم می شود. تمام این سی و چند فرایند پیکره واحد را به صورت موزون رشد می دهیم.
مدیرعامل سابق سازمان فناوری اطلاعات شهرداری تهران با اشاره به تذکر سال گذشت خود درخصوص افزایش امنیت سامانه های شهرداری می گوید :موردی که در نهم آبان سال 1400 تذکر دادم یکی از زیرفرایندهای حوزه امنیت بود. آن موقع موضوع شبکه کارت سوخت کشور پیش آمده بود و یک بررسی و مطالعه اجمالی روی موضوع داشتم و دیدم برخی از موضوعات که اصطلاحا به آن طرح تداوم کسب و کار می گویند، یعنی سرویسی که بالا می آورید باید به فکر این باشید که سرویس مستمر کار کند نه این که چند ساعت قطع شود و چند ساعت کار کند که به این طرح تداوم کسب و کار می گویند. برای این که طرح تداوم کسب و کار داشته باشید و استمرار خدمت را تضمین کند باید روال های مقابله با حوادث و بحران ها را داشته باشد. در حوزه خاص امنیت که یکی از فرایندهای کلی چارچوب های استاندارد مدیریت فن آوری اطلاعات است استانداردهای دقیق تر و جزئی تری هم وجود دارد که در قالب ایزو 27001 منتشر شده است که اصطلاحا به آن isms می گویند. در تذکرم از شهرداری خواستم به استاندارد isms مبتنی بر ایزو 27001 و bcp و brtتوجه کند و نسبت به راه اندازی مرکز داده دومش توجه کند که اگر مرکز داده اول آسیب دید دومی بتواند استمرار خدمت داشته باشد که این شاکله تذکر قبلی بود و پاسخی که شهرداری آن موقع داد یک پاسخ صرفا اداری بود و یک سری بخش نامه، ابلاغیه و صورت جلسه ارسال شد و گفتند به استناد به این موارد به فکر این مسائل هستیم؛ ولی در عمل اتفاقی نیافتاد چون به مدیریت فرایند تامین منابع مالی پروژه و بودجه پروژه توجه نشده بود؛ یعنی هر چه بخش فنی فریاد بزند که ظرفیت ذخیره سازیش پر شده و در حال لبریز شدن است یا ظرفیت پردازشیش به دلیل حجم تراکنش بالا کند شده و ابزار می خواهد و اگر تامین منابع نشود همه مباحث دیگر به نتیجه نخواهد رسید.
به گفته قائمی پس از این اتفاقی که برای شهرداری تهران رخ داده، کارکنان سازمان فن آوری و بدنه کارشناسی و مدیریتش با حمیت، دلسوزی، تلاش و وقت گذاری شبانه روزی دارند موضوع را مدیریت می کنند و امیدوارم به زودی روال به حالت عادی برگردد و مردم بتوانند از خدمات استفاده کنند. وقتی این شرایط پیش آمد شهرداری چوب این مساله را خورد و حیف است زحمات ده ها ساله ای که کشیده شده با یک بی توجهی آسیب جدی ببیند و حق مردم است.
این عضو شورای شهر تهران با اشاره به افزایش بودجه فاوا در بودجه 1401 شهرداری می گوید :تبصره 15 قانون بودجه 1401 شهرداری اختیارات بسیاری به سازمان فن آوری داده و سهم بودجه سازمان فن آوری اطلاعات حدود 25% نسبت به سال گذشته افزایش پیدا کرده و در بحث تامین منابع انسانی تخصصی اختیاراتی به آن داده شده و در جلسه هماندیشی که با شهرداری تهران داشتیم روی این بحث ها تاکید داشتیم اما کمی نوش دارو بعد از مرگ سهراب است. امیدوارم از حادثه ای که رخ داده درس بگیریم و جبران کنیم و شرایط را بهبود ببخشیم و نگذاریم چنین اتفاقاتی بیافتد.
وی در پاسخ به این پرسش که آیا به اطلاعات دوربین ها و سایت های شهردارنفوذ شده است هم می گوید :چیزی که منتشر شد نشان می دهد به برخی از اینها دسترسی پیدا شده که خوشبختانه ایزوله کردند و جلویش را گرفتند؛ اما درباره این که داده ای سرقت شده باشد هنوز شواهدی نداریم و یک دلیل خیلی ساده دارد؛ کسی که به این شبکه نفوذ کرده و توانسته این اقدامات خراب کارانه را انجام دهد به نظر نمی رسد این قدر پهنای باند کافی داشته باشد که حجم حجیم اطلاعاتی را جا به جا کرده باشد.
قائمی درخصوص شناسایی منشا این حمله سایبری هم توضیح می دهد : در مورد منشأ هک حدس هایی نزدیک به یقین زده شده و با کمک دستگاه های امنیتی کشور فرایند در حال تکمیل شدن است که ان شالله منشأ شناسایی شود و بتوانند قرص و محکم پیشگیری کنند. گزارشی که مدیرعامل سازمان فن آوری اطلاعات داده این است که هیچ سرقت اطلاعاتی نداشته است.
قائمی درخصوص تفاوت هک و حمله سایبری هم می گوید : وقتی که یک دزد با سنجاق قفل در خانه را باز می کند هک می گویند و زمانی که دزد کلید می اندازد و از روی کلید قبلا کپی گرفته نفوذ می گویند. به نظر می رسد اتفاقی که افتاده دراز مدت رویش کار و مطالعه شده و شناخت پیدا شده است . واقعیت این است که مساله خراب کاری در فضای مجازی و سایبری همواره هست و ما با دشمنانی سر و کار داریم که دست بردار نیستند. درست است این حادثه خیلی تلخ بود و آسیب زد و کام همه را تلخ کرد،اما یک درسش برایمان این بود که خود را تقویت کنیم و همچنین اثبات کرد یعنی کسانی که این کار را انجام می دهند به هیچ عنوان حتی منافع مردم هم برایشان مهم نیست. وقتی مستقیم به منافع مردم حمله می کند نشان می دهد کسانی که این کار را کردند نمی توانند خود را مردمی بدانند علی رغم شعارها و حرف هایی که می زنند.
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.