مجرمان سایبری چگونه اطلاعاتی را جمع آوری می کنند تا خود را در موقعیت حمله به سیستم های فناوری اطلاعات قرار دهند؟ چگونه یک هکر موفق به ارسال ایمیل های جعلی برای تعداد زیادی از کارمندان یک شرکت می شود؟ آنها اغلب با هدف قرار دادن ضعیف‌ترین حلقه در زنجیره مفهوم امنیت، یعنی افراد، موفق می‌شوند. به همین دلیل است که برای کارکنان بسیار مهم است که جایگاه خود را در اقدامات موثر در برابر حوادث امنیت اطلاعات بدانند. و آنها باید به خطرات و فرصت های امنیت اطلاعات از منظری متفاوت و آگاهانه نگاه کنند. کلمه کلیدی: آگاهی امنیتی مقاله مهمان توسط آروید زنگ، مدیر عامل greenhats.com

Loading...

محتوا

  • وب سایت ها مانند کتاب های باز هستند
  • ساده ترین خطرناک است
  • آدرس های ایمیل: "سرمایه" فیشینگ
  • آگاهی از امنیت: اسب تروا به طور رسمی وارد می شود
  • حوادث امنیت اطلاعات: یک مثال واقعی
  • امنیت اطلاعات: کارکنان به عنوان یک عامل موفقیت
  • همه چیز و همه چیز: کارکنان را نسبت به حملات حساس کنید
  • ISO 27001 آگاهی به عنوان بخشی از فهرست اقدامات
  • یک حادثه امنیت اطلاعات معمولاً به معنای هرج و مرج است
  • درب پشتی به سیستم شما
  • عدم آگاهی: مناسب برای یک حمله هدفمند
  • احتمال وقوع را به حداقل برسانید

وب سایت ها مانند کتاب های باز هستند

امنیت فناوری اطلاعات و امنیت اطلاعات به عنوان دو جفت کفش کاملاً متفاوت شناخته شده‌اند، اما خطوط همچنان ممکن است تار شوند. واضح است که حوادث امنیتی فناوری اطلاعات به طور منظم منجر به حوادث امنیت اطلاعات می شود. مطمئناً، اگر من یک هکر باشم که یک شبکه شرکتی را به خطر می اندازد، باید با چشمانم به طور تشنجی جلوی صفحه بنشینم تا از جمع آوری اطلاعاتی که برای من در نظر گرفته نشده است جلوگیری کنم.

با این حال، این امکان نیز وجود دارد که مجرمان سایبری در ابتدا اطلاعاتی را جمع‌آوری کنند که در دراز مدت، آنها را قادر می‌سازد در وهله اول به سیستم‌های فناوری اطلاعات قربانی انتخابی خود حمله کنند.

در پلتفرم بررسی‌های امنیتی greenhats.com، کار روزمره ما هک کردن شرکت‌ها، شناسایی آسیب‌پذیری‌ها و رفع آنها قبل از یافتن مجرمان است.

وفادار به شعار "بیایید فقط در مورد آن صحبت کنیم"، در این مقاله می خواهم روش حمله ای را که همه را تحت تأثیر قرار می دهد به طور مفصل برای شما توضیح دهم. و من می خواهم به همراه شما به این سوال بپردازم: واقعاً چرا این همه را به شما می گویم؟

حوادث امنیت اطلاعات: ساده ترین خطرناک است

البته ما در مورد به اصطلاح "حمله فیشینگ" صحبت می کنیم - نگران نباشید، من سعی می کنم از کلمات خارجی و واژگان فناوری اطلاعات بیشتر دریغ نکنم. من حتی به آنها نیازی ندارم، زیرا فیشینگ یک حمله فنی نیست، بلکه حمله ای به ضعیف ترین حلقه در زنجیره (تقریبا) هر مفهوم امنیتی است. حمله به مردم

بیایید فرض کنیم می خواهم به شما حمله کنم. سپس من به طور تصادفی پشت نوت بوکم نمی نشینم و شروع به تایپ کردن روی کنسول های مشکی نمی کنم. نه، اول نیاز دارم... دقیقا! اطلاعات و داده های شخصی. این شامل:

  • آدرس های ایمیل شرکت شما
  • نام کارکنان IT شما
  • امضای ایمیل
  • اطلاعاتی در مورد هویت شرکت شما
  • موضوعی که برای کارمندان شما جالب است
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email
Loading...

در اصل، فیشینگ یک حمله فنی نیست، بلکه حمله ای به ضعیف ترین حلقه در زنجیره (تقریبا) هر مفهوم امنیتی است.

حمله به مردم

با فرض اینکه من چیزی جز نام شرکت شما نمی دانم، طبیعتاً ابتدا به وب سایت می روم، همه چیز را می خوانم و یاد می گیرم. مهمتر از همه، من به آدرس های ایمیل و افراد تماس IT شما علاقه مند هستم. زیرا در حمله زیر میخواهم یک ایمیل جعلی را برای تعداد زیادی از کارمندان (که به آدرس آنها نیاز دارم) ارسال کنم و در عین حال از ارسال آن به IT نیز اجتناب کنم.

آدرس های ایمیل: "سرمایه" یک حمله فیشینگ.

وقتی چند آدرس ایمیل پیدا کردم، الگو را استخراج می کنم. به عنوان مثال، "firstname.lastname@samplecompany.com" بنابراین من سعی می کنم منطقی را کشف کنم که چگونه آدرس ایمیل کارمند را می توان از نام آنها استنباط کرد.

سپس دوباره به اینترنت می روم - این بار به شبکه های اجتماعی. من در مورد بازیکنان "شیطان" مانند Facebook & Co صحبت نمی کنم. XING و LinkedIn بسیار جالب تر هستند.

Loading...

در آنجا من شرکت شما را جستجو می کنم و نگاه می کنم که چه افرادی اظهار می کنند که برای این شرکت کار می کنند. به این ترتیب فهرستی از نام‌ها را دریافت می‌کنم که می‌توانیم آدرس‌ها را با استفاده از الگوی شناسایی شده از آن استخراج کنیم. در عین حال، من قبلاً می‌توانم از نمایه‌های موجود در شبکه‌های اجتماعی بگویم که کدام یک از همکاران شما می‌توانند حمله آتی من را براساس تجربه حرفه‌ای و علایق فناوری اطلاعات خود تشخیص دهند.

این همکاران هیچ نامه جعلی از من دریافت نخواهند کرد.

آگاهی از امنیت: اسب تروا به طور رسمی وارد می شود

اکنون که هدف حمله خود را می شناسم، می خواهم خود را به عنوان کارمند شرکت شما جا بزنم. برای این کار ابتدا با شما ارتباط برقرار می کنم. از طریق کانال های رسمی، به عنوان مثال به عنوان یک مشتری بالقوه. من برای شما یک ایمیل می نویسم و درخواست پیشنهاد می کنم. شما پاسخ می‌دهید - در حالت ایده‌آل با یک سبد محصول یا مشابه.

پاسخ شما اطلاعات ارزشمندی را در اختیار من قرار می دهد:

  • امضای ایمیل شما چگونه است؟
  • از چه فونت هایی استفاده می کنید؟
  • لوگوی خود را کجا در اسناد قرار می دهید؟
  • چگونه سرفصل ها را برجسته می کنید؟
  • از چه رنگ هایی استفاده می کنید؟
  • و، و، و...

تا اینجا، این علم موشکی نیست. اما مراقب باشید - ترفند اینجاست. بیایید فرض کنیم که شرکت شما "SampleCompany" نام دارد و می توانید آن را در اینترنت در "samplecompany.com" پیدا کنید. سپس من اکنون به دنبال آدرسی در اینترنت می گردم که بسیار شبیه آدرس شما است. به عنوان مثال "samplecompany.eu". من این آدرس را می خرم (در واقع فقط چند یورو قیمت دارد) و اکنون می توانم حمله خود را روی آن ایجاد کنم.

زیرا از طریق "firstname.lastname@samplecompany.eu" می توانم ایمیل هایی با امضای شما ارسال کنم که به نظر می رسد مستقیماً از جانب شما آمده است. برای من مهم نیست که از چه نام یا مترادفی به عنوان فرستنده استفاده می کنم، زیرا از نظر فنی تفاوتی ندارد.

حوادث امنیت اطلاعات: یک مثال واقعی

مدیر کسب و کار شما مدیر کسب و کار شما نیست

برای مثال اگر من وانمود کنم که مدیر فناوری اطلاعات شما هستم، این می تواند واقعا خطرناک باشد. من یک ایمیل برای شما و همه همکارانتان می نویسم که در آن توجه شما را جلب می کنم، به عنوان مثال، به یک پورتال ویدیویی جدید برای جلسات راه دور، جایی که همه کارکنان باید یک بار احراز هویت کنند تا بررسی کنند که آیا مخاطبین موجود منتقل شده اند یا خیر.

یا وقتی به‌عنوان دستیار مدیر عاملتان برایتان نامه می‌نویسم و توضیح می‌دهم که جشن کریسمس به دلیل همه‌گیری همه‌گیر لغو شده است، اما در عوض پنج آیفون کاملاً جدید توسط مدیریت قرعه‌کشی می‌شود. برای اطمینان از اینکه همه فقط یک بار در گلدان قرعه کشی قرار می گیرند، لطفاً از هر کارمند بخواهید یک بار در پورتال پیوست احراز هویت کند - سپس برندگان در پایان دسامبر اعلام می شوند.

مهم نیست که کدام روش را انتخاب می کنم - باید پیوندی را برای شما ارسال کنم که به "پورتال" گفته شده منتهی شود. این می تواند "raffle.samplecompany.eu" یا "portal.samplecompany.eu" باشد.

همچنین در این مرحله من می توانم به خلاقیت خود آزادی عمل بدهم. از آنجایی که من صاحب صفحه مربوطه هستم، فقط باید چیزی را در آنجا بسازم که برای شما و همکارانتان قابل اعتماد به نظر برسد. در مورد مسابقه، به عنوان مثال، یک منطقه ورود خوب در طراحی شرکت شما، با لوگوی شما و شاید یک بابا نوئل کوچک. یا چند ستاره در حال تیراندازی

پسوردها به مهاجم ختم می شوند - در متن ساده

البته امنیت در پرتال من در اولویت است! همه چیز به خوبی رمزگذاری شده است و خواندن ورودی شما برای اشخاص ثالث غیرممکن شده است. پس از همه، شما نام کاربری و رمز عبور را وارد می کنید که اطلاعات حساسی است. از نقطه نظر فنی، همه اینها کاملاً جدی است. داده های شما به صورت ایمن منتقل می شوند و به بهترین دست ها - مال من - ختم می شوند.

به هر حال، پیچیدگی رمز عبور شما در چنین حمله ای کاملاً بی ربط است. در نهایت به صورت متن ساده با مهاجم به پایان می رسد. و به خاطر داشته باشید که (حتی اگر بسیار پیچیده تر باشد) طیف گسترده ای از راه حل های 2 عاملی را می توان "فیش کرد" اگر من پورتال خود را مطابق با آن تطبیق دهم.

امنیت اطلاعات: کارکنان به عنوان یک عامل موفقیت

من به شما قول دادم که مهمترین سوال را در پایان روشن کنید: چرا این همه را به شما می گویم؟ پاسخ این است: چه کسی دیگر؟

درک این نکته مهم است که حمله ای که من توصیف می کنم - از نقطه نظر فنی کاملاً - به هیچ وجه یک حمله نیست. من از آدرسی که در واقع متعلق به من است برای شما ایمیل می نویسم. حتی یک پیوست در آن وجود ندارد، چه رسد به بدافزار. شما به صفحه ای در اینترنت هدایت می شوید که سعی در به خطر انداختن سیستم شما ندارد. و همانطور که قبلا توضیح دادم، این سایت نیز کاملاً ایمن است و تمام ترافیک به صورت بهینه رمزگذاری شده است.

در مورد سایر سایت‌های (معتبر) که وارد آنها می‌شوید اینگونه است. و همانطور که رمز عبور خصوصی خود را در LinkedIn یا XING برای احراز هویت خود وارد می کنید، اکنون آن را در سایت من وارد می کنید.

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search
Loading...

از نقطه نظر فنی، فیشرها ایمیل جعل نمی کنند. آنها کل شرکت شما را جعل می کنند. و دقیقاً به همین دلیل است که اقدامات حفاظتی فنی کارساز نیست. راه حل این است که حمله را بشناسید و از آن جلوگیری کنید - و این به شما بستگی دارد.

درک این نکته مهم است که از نظر فنی، من ایمیلی را جعل نمی کنم. من کل شرکت شما را جعل می کنم.

و دقیقاً به همین دلیل است که اقدامات حفاظتی فنی کارساز نیست. راه حل در شناسایی و جلوگیری از حمله نهفته است - و این به شما بستگی دارد. درست مانند اقدامات مناسب برای افزایش آگاهی کارکنان در این راستا.

زیرا اگر من این سناریو را به طور منظم تنظیم کنم، تشخیص حمله تنها با توجه به تفاوت در آدرس امکان پذیر است، بنابراین در مورد ما به جای ".com" شما، ".eu" را انتخاب کنید. من می دانم که یکی از شما در حال حاضر کاملاً مطمئن هستید که حتی در کارهای پر استرس روزمره خود، دید کلی لازم برای انجام این کار را دارید. بنابراین، من می خواهم به افراد پیشرفته تر از شما کمی برای فکر کردن بدهم:

آیا "samplecompany.com" را نیز جعلی تشخیص می دهید؟ یک اشاره کوچک: "l" یک L نیست بلکه حرف یونانی "Iota" است. برای چشم انسان هیچ تفاوتی بین آنها وجود ندارد، رایانه شما احتمالاً آن را کمی متفاوت می بیند. من می توانم به شما اطمینان دهم که در تمام حملات فیشینگ که برای شرکت ها شبیه سازی کرده ایم، حتی یک مشتری وجود نداشته است که هیچ کارمندی اطلاعات خود را فاش نکرده باشد.

همه چیز و همه چیز: کارکنان را نسبت به حملات حساس کنید

بنابراین سوال این نیست که آیا همکاران شما در معرض چنین حمله ای قرار می گیرند یا خیر. سوال بسیار بیشتر این است که چه تعداد از کارمندان حمله را تشخیص خواهند داد، با چه سرعتی آن را به IT گزارش خواهند کرد و IT چقدر زمان برای پاسخگویی دارد.

این دقیقاً جایی است که کارمند به یک عامل موفقیت برای امنیت اطلاعات بیشتر و امنیت فناوری اطلاعات از نظر آگاهی امنیتی تبدیل می شود.

من نمی خواهم یکی از آن سفید هکرهایی باشم که استراتژی های خود را برای خود نگه می دارند و از نتایج فاجعه بار چنین حملاتی لذت می برند. خیلی بیشتر دوست دارم با شما همکاری کنم تا شرکت شما کمی امن تر شود.

اکنون نوبت شماست: آنچه که من برای شما توضیح دادم تنها نمونه ای از روش های متعددی است که از طریق آن افراد و استفاده گاه سهل انگارانه آنها با اطلاعات می تواند مورد سوء استفاده قرار گیرد و برای کسب سود به عنوان مهاجم استفاده شود. دپارتمان‌های فناوری اطلاعات فقط می‌توانند به میزان محدودی از این موضوع محافظت کنند یا اصلاً نتوانند. این کار آنهاست خودتان به حملات فکر کنید، به این فکر کنید که چگونه می توانید همکاران خود را ربوده و آن را به موضوعی در میز ناهار (مجازی) تبدیل کنید.

ISO 27001: آگاهی به عنوان بخشی از فهرست اقدامات

و سپس، شرکت خود را به طور منظم مورد آزمایش قرار دهید و آگاهی را بخشی از برنامه امنیتی خود قرار دهید. با خواندن کمی بین خطوط، این را در استاندارد بین المللی شناخته شده برای سیستم مدیریت امنیت اطلاعات (ISMS) نیز خواهید دید.

برای مثال، ISO/IEC 27001 از شما می‌خواهد که از آگاهی و در نتیجه حساس‌تر کردن ضعیف‌ترین حلقه زنجیره در مورد نحوه مدیریت اطلاعات شرکت خود اطمینان حاصل کنید (فصل 7.3 و پیوست 7.2.2). این با چیزی به سادگی یک آدرس ایمیل شروع می شود. سایر الزامات قانونی یا قانونی مانند GDPR نیز رویکرد پیشگیرانه اجتناب از حادثه را هدف قرار می دهد.

"یک ISMS بر اساس ISO 27001 الزامات، قوانین و روش هایی را برای تضمین امنیت اطلاعات ارزش حفاظت در شرکت ها تعریف می کند. این استاندارد مدلی را برای معرفی، اجرا، نظارت و بهبود سطح حفاظت ارائه می دهد. هدف شناسایی خطرات احتمالی برای شرکت، آنها را تجزیه و تحلیل کرده و از طریق اقدامات مناسب آنها را قابل کنترل می کند. ISO 27001 الزامات چنین سیستم مدیریتی را فرموله می کند که به عنوان بخشی از فرآیند صدور گواهینامه خارجی ممیزی می شود. این استاندارد از وب سایت ISO در دسترس است."

همانطور که برای مشتریان خود انجام می دهیم، الزامات استاندارد را با اقدامات آگاهی، مانند دستورالعمل ها، آموزش، ارتباط در مورد اخبار جاری یا حتی حملات فیشینگ شبیه سازی شده برآورده کنید. و: با خود صادق باشید و از خود بپرسید که اقدامات آموزشی قبلی شما تا چه اندازه در آماده سازی شما برای شرایط اضطراری مانند آنچه که قبلاً توضیح دادم موفق بوده است.

Man and a woman with a laptop in a server room
Loading...

ISO 27001 - پرسش و پاسخ

اطلاعات ارزشمند، طلای امروزی است - و بنابراین دارایی‌ای است که باید در شرکت شما محافظت شود. ISO 27001 راه حل های زیادی را در اختیار دارد.

یک حادثه امنیت اطلاعات معمولاً به معنای هرج و مرج است

در حالی که ما در مورد موضوع صداقت صحبت می کنیم: واقعاً در برابر یک حادثه امنیت اطلاعات که توسط یک حمله سایبری ایجاد شده است، چگونه واکنش نشان می دهید؟ مسلماً موضوع امنیت واکنشی همیشه کمی ناراحت کننده است، اما موضوعی است که باید درباره آن صحبت کرد.

 

مردم دوست دارند به آن مانند یک مته اعلام حریق فکر کنند - در برخی از ساعات کاری، زنگ به طور غیرمنتظره به صدا در می آید، همه با نظم و آرامش ساختمان را ترک می کنند، کمی بیرون منتظر می مانند و با همکاران در مورد آب و هوا چت می کنند و بعد از آن. مدتی به همه اجازه داده می شود که برگردند و در راه می توانند قهوه بخورند.

 

اما اینطور نیست.

 

قبلاً چند شرکت با تیم من تماس گرفته اند که در آنها حمله ای صورت گرفته است، و من می توانم به شما قول بدهم: این هرج و مرج است. حتی چندین روز پس از واقعه واقعی. از جمله دلایل دیگر، به این دلیل است که هکرهای مدرن از غرور قربانیان خود سوء استفاده می کنند.

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention
Loading...

آگاهی را بخشی از مفهوم امنیتی خود قرار دهید و شرکت خود را به طور مرتب مورد آزمایش قرار دهید. با خواندن کمی بین خطوط، این را در استاندارد بین المللی شناخته شده برای سیستم مدیریت امنیت اطلاعات، ISO 27001 نیز خواهید دید.

من می خواهم این را برای شما توضیح دهم، پس بیایید به حمله فیشینگ خود برگردیم. فرض کنید من به عنوان مهاجم موفق می شوم از راه دور با استفاده از رمز عبور به سیستم فناوری اطلاعات یکی از همکاران شما متصل شوم. آیا فکر می کنید من نمی دانم که شخصی در شرکت شما متوجه حمله ای شده است و آن را به IT گزارش می دهد؟ در بهترین حالت، شما شخصاً انجام می دهید، من کاملاً از آن آگاه هستم.

حوادث امنیت اطلاعات: درب پشتی سیستم شما

به همین دلیل است که من دو کار انجام می دهم: اول، یک کار واضح انجام می دهم که شرکت شما را آزار می دهد و به شما کاری می دهد که انجام دهید. به عنوان مثال، من ایمیل های اسپم را به نام همکار شما برای مشتریان شما ارسال می کنم. که برجسته است و به شما و بخش IT شما کاری می‌دهد تا انجام دهید. اکنون می‌توانید تمام برنامه‌های اضطراری خود را از گنجه بیرون بکشید و با نمایندگان فناوری اطلاعات خود، در مورد حادثه امنیت اطلاعات کار کنید. از جمله اقدامات بازاریابی پیچیده که تصویر مخدوش شده را به یک براقیت جدید براق می کند و شاید شما را به عنوان یک "بازمانده" حتی بهتر از قبل نشان دهد. حرفه ای ها می توانند این کار را انجام دهند.

اما در عین حال، به عنوان یک مهاجم، سعی می‌کنم یک درب پشتی برای سیستمی راه‌اندازی کنم که فناوری اطلاعات شما در همه جا متوجه آن نشود. مثل رفتن به جواهر فروشی، ضربه زدن به بزرگترین ویترین، و مخفیانه گذاشتن تمام انگشترها و ساعت های گران قیمت در جیبم در حالی که همه به تکه های شکسته هجوم می آورند.

نیازی به گفتن نیست که اگر ندانید به دنبال چه هستید پیدا کردن درب پشتی من بسیار سخت است. و بعد من هیچ کاری نمی کنم. برای هفته ها، برای ماه ها.

"من از طریق شبکه شما، بی سر و صدا کار می کنم. پخش شدم - و منتظرم..."

اکنون سعی می کنم بی سر و صدا راهم را از طریق شبکه شرکتی شما طی کنم. بدون هیچ گونه اسکنر نرم افزاری "پر سر و صدا" که شبکه شما را خسته می کند و به سیستم های امنیتی شما هشدار می دهد. کاملا دستی شبه مدرسه قدیمی. به هر حال، این جایی است که گندم از کاه در سمت هکر جدا می شود. اگر شبکه شما فقط در سناریوهای آزمایشی در معرض اسکنرهای امنیتی قرار داشت، اکنون به هیچ وجه به شما کمکی نخواهد کرد. من گسترده شدم و صبر می کنم - صبورانه. من سعی می‌کنم تشخیص دهم که چه زمانی و چگونه پشتیبان‌گیری ساخته می‌شود، چه کسی با چه کسی ارتباط برقرار می‌کند، و سازمان شما در کجا حساس‌تر است. در مثال ما، من احتمالاً این کار را در شب انجام می‌دهم - یا حداقل بعد از ساعات اصلی کار، زمانی که احتمال کمتری وجود دارد که مرا مشاهده کنند. و البته من هر روز مسیرهایم را پوشش می دهم.

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search
Loading...

تدابیر امنیتی پیشگیرانه فناوری اطلاعات و به ویژه آگاهی از امنیت بارز مهمترین عناصر سازنده در مفهوم امنیت فناوری اطلاعات هر شرکتی است. با این وجود، یک آگاهی امنیتی به خوبی توسعه یافته همچنین شامل این درک است که ممکن است برای شما اتفاق بیفتد. و اگر این اتفاق بیفتد، باید آماده باشید.

و سپس - ماه ها بعد - حادثه بزرگ امنیت اطلاعات رخ می دهد. کاملاً غیر منتظره برای شرکت شما. برای مثال، من از یکی از تروجان های رمزگذاری متعدد برای باج گیری شما استفاده می کنم. با این حال، "تصادف"، به دلیل کار مقدماتی من، تحت بالاترین امتیازات اجرا می شود، اقدامات امنیتی شما را دور می زند و ابتدا به سیستم هایی با مرتبط ترین فایل های شما گسترش می یابد. و اگر در تمام مدتی که داشته ام، متوجه ضعف سیستم پشتیبان شما شده باشم... همانطور که گفتم، هرج و مرج.

عدم آگاهی: مناسب برای حمله هدفمند

بله، ما هنوز در نمونه خود هستیم، اما این هالیوود به هیچ وجه نیست. این یک رویه رایج و یک دلیل کلیدی است که چرا ما هنوز در مورد شرکت هایی که با چنین تروجان های رمزگذاری دست و پنجه نرم می کنند می شنویم و می خوانیم. چند سال پیش، اینها کم و بیش در اینترنت منتشر شد و تنها ضعیف ترین گوسفندان گله قربانی آنها شدند: شرکت هایی که امنیت فنی ضعیفی در بیرون داشتند.

امروز اوضاع فرق کرده است. عدم آگاهی کارکنان برای هدف قرار دادن شرکت ها مورد استفاده قرار می گیرد و تنها زمانی که قربانی کاملاً کنترل شود، نرم افزار حمله خودکار مستقر می شود.

من هنوز بر این باورم که اقدامات پیشگیرانه امنیتی فناوری اطلاعات و به ویژه آگاهی امنیتی قوی، مهم ترین بلوک های سازنده در مفهوم امنیت فناوری اطلاعات هر شرکتی هستند - به سادگی مثال ها و موارد عینی زیادی برای پشتیبان گیری از این موضوع وجود دارد. با این وجود، یک آگاهی امنیتی به خوبی توسعه یافته همچنین شامل این درک است که ممکن است تحت تأثیر قرار گیرد. من خودم را در این امر گنجانده ام. و اگر این اتفاق بیفتد، باید آماده باشید.

به حداقل رساندن احتمال وقوع

من عمداً مثال اعلام حریق را در سخنانم گنجاندم. این شرکت را برای رویدادی آماده می کند که علی رغم تمام اقدامات پیشگیرانه، آتش سوزی رخ دهد. برخی از شرکت ها نیز چنین چیزی را برای حوادث امنیت اطلاعات و حوادث امنیت فناوری اطلاعات دارند. و اگر این برای شما خیلی خوب است (این واقعاً همیشه در هر مورد به شرکت بستگی دارد)، من هنوز یک نکته برای شما دارم:

اگر آزمایش‌های نفوذ یا سایر شبیه‌سازی‌های حمله را به عنوان بخشی از اقدامات امنیتی پیشگیرانه خود اجرا می‌کنید، به سادگی به رفع آسیب‌پذیری‌هایی که پیدا می‌کنید بسنده نکنید. همیشه این سوال را بپرسید: آیا این آسیب پذیری در گذشته مورد سوء استفاده قرار گرفته است؟ آیا درب های پشتی نصب شده اند؟

از سوال پرسیدن دست نکشید.

یا به عبارت دیگر، با هر «یافته» با جدیت یک حادثه واقعی امنیت اطلاعات برخورد کنید. به این ترتیب، احتمال وقوع را به حداقل می‌رسانید و در عین حال برنامه‌های امنیتی واکنشی خود را - که صمیمانه آرزو می‌کنم هرگز نیاز نداشته باشید - را نیز آزمایش می‌کنید. مثل اعلام حریق.

همه اینها بخشی از آگاهی و در عین حال تنها بخشی از کل است. با این حال، با این مؤلفه مهم، می‌توانید امیدوار باشید وقتی می‌پرسم، «اگر فردا ذهنم را به آن فکر کنم، آیا می‌توانم تو را روی پای اشتباه بگیرم؟» به من لبخند بزنی. خوشبختانه.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gern beantworten wir Ihre Fragen

هنگام تأیید سیستم مدیریت امنیت اطلاعات خود باید چه نوع تلاشی را در نظر بگیرید؟ بدون تعهد و رایگان پیدا کنید. ما مشتاقانه منتظر صحبت کردن با شما.

اعتماد و تخصص

متون و بروشورهای ما منحصراً توسط کارشناسان استاندارد یا حسابرسان با سالها تجربه نوشته شده است. اگر در مورد محتوای متن یا خدمات ما به نویسنده سؤالی دارید، لطفاً با ما تماس بگیرید.

نویسنده
Arwid Zang

Managing Director of the security platform "greenhats". IT security specialist, trainer and author specializing in white-hacking, awareness training, information security and proactive hardening of IT systems.

Loading...