در ادامه به شما خواهیم گفت که مفهوم کاربر High-Risk چیست و برای حفاظت از سازمان به شکل موثر در برابر تهدیدات امنیتی و داخلی چه کارهایی را می توانید انجام دهید.
سناریوهای متداول برای کاربران High-Risk
اگر بخواهیم این موضوع را ساده بیان کنیم، افرادی که در درون سازمان هستند مانند یکدیگر نیستند و برخی از آن ها ممکن است برای سازمان تهدید آمیز و خطرناک باشند. به همین دلیل این امر ضروری و حائز اهمیت است که بدانید کاربران High-Risk چه کسانی هستند و برای جلوگیری از آسیب رسیدن به سازمان، استراتژی های خاصی را جهت محافظت از سازمان در برابر تهدیدات داخلی اتخاذ نمایید. در وهلهی اول، نگاهی به سناریوهای رایج و متداول کاربران High-Risk میاندازیم.
اختیارات و دسترسی های کاربران
به طور کلی، هر چه کاربر اختیارات و دسترسی های بیشتری داشته باشد، خطر بیشتری را برای سازمان ایجاد می نماید. گزارش Crowd Research Partners نشان می دهد که کاربران تام الاختیاری که در شبکه های سازمانی مختلف قرار دارند از بزرگترین خطرات امنیتی هستند که بیش از 55٪ سازمان ها را تهدید می کنند. یک کاربر داخلی (اعم از کارمند، پیمانکار یا مدیر) به دلیل موقعیت شغلی یا سمت خود ممکن است به دسترسی های بیشتری نسبت به دیگران نیاز داشته باشد. برای مثال، پرسنل IT در مواردی احتیاج دارند تا از دسترسی های سطح بالا، دسترسی هایی که صرفاً فقط به مدیر سیستم System Administrator)) داده می شود، برخوردار شوند. ممکن است برخی افراد از این فرصت سوء استفاده کنند و دسترسی ها و مجوزهای بیشتری را به خود اختصاص دهند تا با استخراج اطلاعات اشخاص (مانند ایمیل، پسورد، کد شناسایی و غیره)، به اطالاعات افراد و سازمان صدمات جدی وارد کنند. همچنین این احتمال وجود دارد که تعدادی از کاربران درون سازمان برای انجام وظایف خود به انواع خاصی از داده های بسیار حساس و حیاتی دسترسی داشته باشند. برای مثال، ممکن است بخش فروش یک سازمان به لیست مشتریان و تیم مدیریت محصول به آیپی شرکت نیاز داشته باشند از این رو باید دانست که تهدیدهای داخلی در یک سازمان بسیار رایج هستند و از سوی هر کاربری ممکن است رخ دهد.
براساس گزارش تحقیقاتی Data Breach شرکت وریزون (Verizon)، سوء استفاده از اختیارات و دسترسی های افراد درون سازمان، 30٪ از کل تخلفات سازمانی را شامل می شود. بنابراین در بسیاری از موارد، کاربران با دسترسی های بیشتر ممکن است مشکلاتی را برای سازمان ایجاد کنند نه فقط به این دلیل که آن ها قصد چنین کاری را دارند، بلکه به این دلیل است که همه ما انسان هستیم و در برخی مواقع اشتباه میکنیم. از این رو، آموزش کاربران به شکل صحیح و اثربخش برای استفاده درست از دسترسی ها و اختیارات کمک زیادی به کاهش خطر در سازمان می کند.
در پایان می توان گفت، در حالی که برخی از کاربران برای انجام وظایف و کارهای خود به امتیازات و دسترسی هایی احتیاج دارند، این امر ممکن است برای سازمان پیامدهایی را داشته باشد. به شما توصیه می کنیم که به صورت مستمر بر دسترسی ها و اختیاراتی که به افراد در سازمان می دهید نظارت کنید تا اصل حداقل اختیار (Principle of least privilege)برای همه افراد داخل سازمان به بهترین روش اعمال می شود.
کاربران آسیپ پذیر
کاربران آسیپ پذیر نوعی دیگری از کاربران High-Risk هستند که در سازمان های مختلف مورد حمله قرار می گیرند. به عبارت ساده تر، برخی از کاربران ممکن است به دلایل مالی یا دلایل دیگر، توسط یک شخص خارجی که قصد دارد به داده ها و منابع داخلی دسترسی پیدا کند، در معرض خطر قرار گیرند. این موضوع ممکن است در نگاه اول، غیر واقعهای بنظر برسد اما در حقیقت، بسیاری از کارشناسان و متخصصان امنیت سایبری بر این باورند که حتی نقض های امنیتی از این دست می توانند باعث بروز مشکلاتی برای کشورهای مختلف شود و امنیت افراد جامعه را به خطر بیندازد به این دلیل که فرد رخنهگر با استفاده از اطلاعات کاربری شخص یا اشخاص درون سازمان به شبکه سازمان نفوذ کند و صدمات جدی و غیر قابل جبرانی را به زیرساخت های سازمان وارد نماید. به همین منظور، شناسایی افرادی که ممکن است در معرض خطر تبدیل شدن به ابزاری برای جاسوسی باشند، حائز اهمیت است.
نکته ای که در مورد این نوع کاربران وجود دارد این است که تشخیص آنکه چه کسی مورد هدف قرار می گیرد اغلب آسان یا حتی ممکن نیست. در ادامه، ما در مورد اینکه چرا یک رویکرد اصولی و منطقی، با محوریت نظارت بر فعالیت کاربر و داده بهترین راه برای کاهش خطر احتمالی از سوی این نوع کاربران است، صحبت خواهیم کرد.
به چه طریق میتوان از کاربران High-Risk دوری نمود؟
اکنون که با مثال های متداولی در رابطه با سناریوهای کاربران High-Risk آشنا شدیم و تاثیرات آنها را بر سازمان بررسی کردیم، حال راه و روش دوری از این نوع کاربران را بیان خواهیم کرد.
سازمان ها به دلیل وجود محدودیت های زمانی نمی توانند از تمامی تهدیدها در امان باشند به همین جهت، باید کاربران High-Risk را قبل از بروز فاجعه به خوبی بشناسید. یکی از راه های انجام این کار شناسایی و نظارت بر آنها بر اساس موقعیت شغلی، جایگاه و همچنین دسترسی ها و اختیاراتی است که به آنها داده می شود. شما می توانید با استفاده از یک پلت فرم اختصاصی مدیریت تهدیدات داخلی (Insider Threat Management Platform)، کاربران پر خطر را شناسایی کرده و فعالیت آنها را بصورت مستمر و فعال کنترل نمایید.
نظارت و کنترل بر دسترسی ها و اختیارات
همانطور که اشاره شد، مدیریت، نظارت و کنترل بر دسترسی ها و اختیارات کاربر بهترین روش برای جلوگیری از بروز هر گونه آسیب به سازمان است. همیشه هنگام تعیین اینکه چه کسی در سازمان به کدام داده و سیستم دسترسی دارد، از اصل حداقل اختیار (Principle of least privilege)استفاده نمایید. تقسیم بندی اختیارات براساس نقش های افراد نیز می تواند در این موضوع مفید واقع شود و می توانید از ابزارهایی استفاده کنید که دسترسی هر فرد را با توجه به موقعیت شغلی او محدود می کند.
گزارشهای تحقیقاتی نشان میدهد که 64٪ از آسیب های داخلی وارد شده به سازمان مربوط به سهل انگاری افراد است. اشتباهاتی که ممکن است در نگاه اول غیر عمدی باشند و حتی قابل پذیرش باشند اما پیامدهای آن ها به عنوان تهدید جدی برای سازمان به شمار می شود. به همین دلیل، بهرهمند بودن از یک برنامه جامع و کامل برای آگاهی از امنیت، یک انتخاب هوشمندانهای است که می توان در این خصوص اتخاذ نمود. توصیه میشود برای یادآوری به کاربران در هنگام اقدام به انجام کاری که ممکن است برای سازمان تهدید آمیز محسوب شود، از ابزارهای آموزشی استفاده نمایید تا بدین ترتیب، یک اشتباه ساده و غیر عمد شانس کمتری برای آسیب رساندن به سازمان شما داشته باشد.
نظارت بر فعالیت کاربران و دادهها
در نهایت میتوانیم اینطور به موضوع نگاه کنیم که پیش بینی بسیاری از خطرات احتمالی در درون سازمان بسیار دشوارتر از آن چیزی است که بنظر می رسد و نظارت بر فعالیت افراد و داده ها جزو اقداماتی است که باید برای محافظت از سازمان صورت گیرد. موارد بسیاری وجود دارند که بیانگر تهدیدات امنیتی در درون سازمان هستند و میتوان آن ها در طی بازه های زمانی مختلف شناسایی کرد تا قبل از آنکه تبدیل به مشکل بزرگ و جدی شوند، آن ها را خنثی و مرتفع نمایید.
از این رو، سازمان ها باید برای نظارت بر فعالیت های افراد که مربوط به:
- ذخیره سازی در فضای ابری (Cloud) که غیر مجاز هستند و یا سایت هایی که برای ارسال فایل های بزرگ طراحی شدهاند.
- استفاده از کلاینت های ایمیل یکبار مصرف (Disposable) یا موقت (Temporary)
- استفاده از دیوایس های ذخیره سازی قابل حمل مانند USB
- کپی پیست (Copy-Paste)، کات پیست (Cut-Paste) و غیره
این موارد نمونه های کاملی از فعالیت هایی هستند که ممکن است یک کاربر High-Risk برای انتقال اطلاعات یا آسیب رساندن به سازمان انجام دهد و فرق ندارد که هدف از این کار صرفاً انجام وظیفه خود باشد یا به شکل عمدی، برای آسیب رساندن به سازمان صورت پذیرد.
نتیجه گیری
درک این نکته مهم و حائز اهمیت است که آنالیز داده های خام مورد استفاده در فعالیت های High-Risk داخلی سازمان اغلب ممکن است بسیار دشوار و غیر قابل انجام باشد اما در هر صورت می توان به روش های مختلفی این کار را انجام نمود. سازمان ها نیاز دارند تا دید کاملی نسبت به آنچه قبل، حین و بعد از حادثه رخ میدهد داشته باشند. با داشتن گزارشی از فعالیت های کاربر و داده های رد و بدل شده، می توانید از این موضوع اطمینان حاصل کنید که حتی کاربران High-Risk شانس بسیار کمی برای آسیب رساندن به سازمان شما خواهند داشت.