اخبار داخلی آرمان داده پویان

مقالات

نقش اشتباهات انسانی در نقض امنیت داده‌ها

۳۱ خرداد ۱۳۹۹

نقش پر رنگ خطای انسانی در نشت اطلاعات سازمان‌ها

علیرغم سرمایه‌گذاری‌های فراوانی که سالیان گذشته در زمینه ارتقاء امنیت صورت گرفته است، سازمان‌ها هنوز هم نسبت به خطاهای انسانی که موجب نقض امنیت داده‌ها و نشت اطلاعات می‌شود توجه چندانی ندارند. تجارب گذشته نشان می‌دهد که بسیاری از حملات سایبری منتهی به نقض امنیتی در اثر سوءاستفاده از راهکارهای رمزنگاری رخ می‌دهند. متأسفانه اغلب خطای انسانی به مهاجمین این اجازه را می‌دهد تا به ارتباطات رمزنگاری شده و اطلاعات حساس دسترسی پیدا کنند. هرچند عوامل دیگری از قبیل آسیب‌پذیری‌های روز صفر (Zero-day) نقش بسزایی در نفوذ به سیستم‌ها دارند اما حتی در چنین مواردی نیز، موفقیت مهاجمین معمولا بستگی به اشتباهات انسانی دارد. به نقل از مدیرعامل شرکت امنیتی CybSafe، کارکنان معمولا به دلیل ناآگاهی، عدم انگیزه کافی و یا به صورت تصادفی می‌توانند با اشتباهات خود، داده‌های سازمانی را در معرض خطر جدی قرار دهند.

بر اساس آمار منتشر شده در وب‌سایت CybSafe در ۹۰ درصد موارد، خطای انسانی عامل اصلی نقض امنیت داده‌ها در سال ۲۰۱۹ معرفی شده است. همچنین نتایج حاصل از تحلیل‌ها نشان می‌دهد که ۹۰ درصد از ۲٫۳۷۶ مورد نقض سایبری گزارش شده در سال گذشته (۲۰۱۹) بدلیل اشتباهات کاربران رخ داده است. این در حالی است که در دو سال گذشته این رقم برابر با ۶۱ و ۸۷ درصد بوده است. بر اساس گزارش تحقیقات مربوط به نقض داده‌ها در سال ۲۰۱۹ توسط Verizon، از دست دادن داده‌ها، عدم تحویل صحیح اطلاعات به مقصد و سایر خطاهای مرتبط با کاربران، از مهم‌ترین عوامل رخدادهای سایبری و نقض اطلاعات در چند سال اخیر هستند.

مروری بر چند نقض داده معروف در سال‌های اخیر بر اثر اشتباهات انسانی

جالب است بدانیم که خطای انسانی چگونه منجر به نقض داده در برخی از رخدادهای سایبری اخیر شده است. در اینجا به علل و پیامدهای این حوادث می‌پردازیم.

شرکت Equifax، گواهینامه‌های منقضی شده، تشخیص نقض داده‌ها را به تأخیر انداختند

در بهار سال ۲۰۱۷ میلادی، مرکز پاسخگویی به رخدادهای سایبری (CERT) وزارت امنیت داخلی امریکا در خصوص وجود آسیب‌پذیری در برخی از نسخه‌های Apache Struts به شرکت Equifax هشدار داد. به نقل از Richard Smith مدیرعامل سابق Equifax، رایانامه‌ای در این خصوص برای تمام کارکنان شرکت ارسال گردید. تیم امنیت فناوری اطلاعات شرکت می‌بایست بعد از دریافت رایانامه برای رفع آسیب‌پذیری اقدام می‌کرد. اما این کار صورت نگرفت. حتی آسیب‌پذیری مذکور در پویش خودکار آسیب‌پذیری که چند روز بعد از آن نیز انجام شده بود شناسایی نشد. ضمنا دستگاه بررسی ترافیک رمزنگاری شده نیز به دلیل منقضی شدن گواهینامه آن بدرستی پیکربندی نشده بود. تمام این اشتباهات در کنار هم منجر به این شد که یک مهاجم به سیستم داخلی Equifax نفوذ کرد و دسترسی خود را نیز تا پایان ماه جولای حفظ کرد.

نقش رمزنگاری در این سناریو: مهاجم با نفوذ به یک شبکه قادر است تا با نصب یک گواهینامه دیجیتالی جعلی حتی در ترافیک رمزشده نیز مخفی بماند. در این صورت تنها با راهکارهای ارزیابی HTTPS و دسترسی کامل به کلیدها و گواهینامه‌ها می‌توان گواهینامه جعلی را شناسایی نمود.

اثرات: در این حمله اطلاعات شخصی بیش از ۱۴۵ میلیون نفر از شهروندان امریکا و همچنین ۱۰ میلیون نفر از شهروندان بریتانیا افشا گردید. در سپتامبر ۲۰۱۸ شرکت Equifax به موجب قانون حمایت از داده‌ها (۱۹۹۸) به دلیل عدم حفاظت از اطلاعات شخصی به مبلغ ۵۰۰٫۰۰۰ پوند جریمه شد.

شرکت Ericsson، اثرات نامطلوب منقضی شدن گواهینامه‌های دیجیتالی بر روی خدمات تلفن همراه

در اوایل دسامبر ۲۰۱۸ گواهینامه دیجیتالی نرم‌افزار SGSN–MME شرکت اریکسون منقضی شد. این رخداد منجر به قطع سرویس مشتریان تلفن همراه چند شرکت فعال در زمینه ایستگاه‌های رادیویی فرستنده/گیرنده از جمله O2، GiffGaff و Lyca Mobile گردید. در نتیجه در ۶ دسامبر همان سال جمعا ۳۲ میلیون نفر در انگلستان دسترسی به اینترنت ۴G و سرویس پیام کوتاه را از دست دادند. این خاموشی به ۱۱ کشور دیگر از جمله ژاپن نیز سرایت نمود.

نقش رمزنگاری در این سناریو: منقضی شدن گواهینامه‌های دیجیتالی نه تنها اثرات نامطلوب در دسترس نبودن یک سیستم را شدت می‌بخشد بلکه سیستم‌های حیاتی را نیز بدون حفاظت رها می‌کند و به مهاجمین این اجازه را می‌دهد که موانع امنیتی را دور بزنند.

اثرات: شرکت اریکسون توانست در همان روز بیشتر خدمات از دست رفته را به حالت عادی بازگرداند. این شرکت همچنین در وبلاگ خود اعلام نمود نرم‌افزاری که باعث بروز این مشکلات شده است کنار گذاشته خواهد شد.

لینکدین، از بین رفتن ارتباطات میلیون‌ها کاربر در اثر منقضی شدن گواهینامه دیجیتالی

در تاریخ ۳۰ نوامبر، اعتبار گواهی‌نامه دیجیتالی استفاده شده برای تعدادی از زیردامنه‌های وب‌سایت لینکدین پایان یافت. این رخداد بر روی وب‌سایت اصلی لینکدین (www.linkedin.com) تأثیری نداشت چراکه از یک گواهی‌نامه مجزا برای این دامنه استفاده می‌شد. اما این گواهی‌نامه که توسط DigiCert صادر شده بود برای زیردامنه کشور امریکا (us.linkedin.com) و سایر کشورها اعتبار خود را از دست داده بود. در نتیجه میلیون‌ها کاربر به مدت چند ساعت نتوانستند به حساب کاربری خود وارد شوند.

نقش رمزنگاری در این سناریو: منقضی شدن گواهی‌نامه دیجیتالی نشان‌دهنده وجود نقص در امنیت کلی سیستم است. این گواهی‌نامه‌ها هدف اصلی مهاجمین سایبری برای جعل هویت سازمان یا دسترسی‌های غیرمجاز می‌باشند.

اثرات: در بعدازظهر همان روز، لینکدین یک گواهی‌نامه جدید برای زیر‌دامنه‎‌های مذکور صادر کرد و دسترسی کاربران به وب‌سایت لینکدین مجدداً برقرار شد.

کالج Strathmore، عدم محفاظت کافی از سوابق دانشجویی

در ماه آگوست ۲۰۱۸ میلادی یکی از کارکنان Strathmore بطور تصادفی بیش از ۳۰۰ پرونده دانش‌آموزی را در اینترنت منتشر نمود. این اطلاعات شامل سوابق پزشکی و روانی (مثل بیماری‌های اوتیسم و بیش‌فعالی) دانش‌آموزان بود. به نقل از روزنامه گاردین، مهاجمین حتی به نسخه‌های تجویز دارو و سایر مشکلات رفتاری دانش‌آموزان نیز دسترسی پیدا کرده بودند.

نقش رمزنگاری در این سناریو: استفاده از پروتکل‌های رمزنگاری، دسترسی به سوابق دانش‌آموزی را برای افراد غیرمجاز به شدت دشوار می‌نماید. در صورت نفوذ مهاجمان سایبری به شبکه سازمان، تمام اطلاعات رمزگذاری نشده در اختیار آنان قرار خواهد گرفت.

اثرات: پس از این رخداد، مدیر Strathmore برنامه‌ای را برای آموزش حرفه‌ای کارکنان خود برای رعایت اصول امنیتی ترتیب داده بود. وزارت آموزش و پرورش استرالیا نیز دستور داد عوامل بروز این رخداد شناسایی گردند.

شرکت Veeam، بانک اطلاعاتی حفاظت نشده، سوابق مشتریان را به خطر انداخت

اواخر آگوست ۲۰۱۸ موتور جستجوی Shodan یک آی‌پی با میزبانی سرویس ابری آمازون را فهرست کرد. Bob Diachenko مدیر ارزیابی ریسک‌های امنیتیِ Hacken.io، پس از اطلاع از این موضوع بلافاصله متوجه شد که آی‌پی مذکور بر روی یک بانک اطلاعاتی فاقد گذرواژه، Resolve می‌گردد. بانک اطلاعاتی افشاشده حاوی ۲۰۰ گیگابایت داده‌های متعلق به شرکت Veeam (فعال در زمینه پشتیبان‌گیری و بازیابی اطلاعات) بود. در بین این اطلاعات، سوابق مشتریان از جمله اسامی آن‌ها، رایانامه‌ها و برخی از آدرس‌های آی‌پی نیز وجود داشت.

نقش رمزنگاری در این سناریو: استفاده از نام کاربری و کلمه عبور به تنهایی برای حفظ دسترسی‌های محرمانه کافی نیست. به علاوه اگر یک سازمان کنترل کاملی بر روی کلیدهای خصوصی مورد استفاده برای دسترسی به سیستم‌های داخلی خود نداشته باشد، مهاجمان شانس زیادی برای دسترسی به اطلاعات سازمان خواهند داشت.

اثرات: سه ساعت پس از افشای بانک اطلاعاتی، Veeam اتصال سرور مورد حمله با اینترنت را قطع کرد. این شرکت همچنین به TechCrunch اطمینان داد که بررسی‌های بیشتری در این زمینه انجام خواهد داد و اقدامات مناسب در دستور کار قرار خواهد گرفت.

تفنگداران دریایی ایالات متحده، سوءاستفاده از رایانامه‌های رمزنگاری نشده

در اوایل سال ۲۰۱۸ میلادی، سیستم مسافرتی دفاعی (DTS) وزارت دفاع ایالات متحده (DOD) رایانامه‌‌ای بدون رمزنگاری را برای لیستی از گیرندگان اشتباهی ارسال نمود. هرچند محتوای نامه ارسال شده با دامنه رسمی usmc.mil دارای طبقه‌بندی نبود اما گیرندگان آن افراد غیرنظامی بودند. آن‌ها موجب افشای اطلاعات شخصی تقریباً ۲۱٫۵۰۰ تفنگدار دریایی، ملوان و افراد غیرنظامی شدند. این اطلاعات شامل شماره حساب‌های بانکی قربانیان، شماره‌های اختصاری امنیت اجتماعی و همچنین اطلاعات تماس ضروری افراد نیز بود.

نقش رمزنگاری در این سناریو: عدم استفاده از راهکارهای رمزنگاری، مهاجمان سایبری را قادر خواهد ساخت تا با قرارگیری در مسیر سرورهای ارسال و دریافت رایانامه‌ها، اطلاعات رد و بدل شده را شنود نمایند.

اثرات: بلافاصله پس از افشای اطلاعات، فرآیند بازگردانی رایانامه‌های ارسال شده (برای گیرندگانی که هنوز رایانامه را مشاهده نکرده بودند) شروع شد. ضمنا تفنگداران دریایی ایالات متحده، پیاده‌سازی تمهیدات امنیتی اضافی را در دستور کار قرار داد.

وزارت آموزش پنسیلوانیا، تخصیص اشتباه مجوزهای دسترسی

در ماه فوریه ۲۰۱۸ میلادی، یکی از کارکنان دفتر مدیریت پنسیلوانیا مرتکب خطایی شد که متعاقبا سیستم مدیریت اطلاعات معلمان ایالتی (TIMS) را تحت تأثیر قرار داد. به نقل از PennLive، این حادثه موقتاً امکان دسترسی کاربرانی که وارد TIMS شده بودند را به اطلاعات شخصی سایر کاربران از جمله معلمان، شعب مدارس و کارمندان وزارت آموزش و پرورش فراهم کرد. در مجموع اعتقاد بر این است که این رخداد امنیتی تقریباً ۳۶۰٫۰۰۰ معلم فعلی و بازنشسته را تحت تأثیر قرار داده است.

نقش رمزنگاری در این سناریو: اگر سطح دسترسی کاربران، مشخص و شفاف نباشد هرگز متوجه حضور نفوذگران نخواهید شد. رمزگذاریِ دسترسی به اطلاعات حیاتی و مدیریت دقیق هویت سیستم‌های موجود به شما در کنترل دسترسی‌ها کمک خواهد کرد.

اثرات: وزارت آموزش و پرورش پنسیلوانیا متعاقباً نامه‌هایی را به قربانیان این رخداد ارسال نمود و آنان را از امکان افشای اطلاعات شخصی شان مطلع نمود. همچنین اشتراک رایگان یک‌ساله‌ای را برای حفاظت از اعتبار و هویت افراد فراهم نمود.

نتیجه‌گیری

خطای انسانی می‌تواند بر موفقیت حتی قویترین راهکارهای امنیتی نیز تأثیر منفی بگذارد. همانطور که در موارد بالا دیدیم این موضوع از جنبه‌های مختلفی قابل انجام است که در زیر به نمونه‌هایی از آن‌ها اشاره می‌کنیم:

  • کلیدهای SSH دسترسی ویژه‌ای را برای سیستم‌های داخلی فراهم می‌کنند. اغلب این کلیدها تاریخ انقضاء ندارند و نظارت بر آن‌ها دشوار است. بنابراین اگر کلیدهای SSH افشا گردند مهاجمان می‌توانند با سوءاستفاده از آن‌ها به راحتی به شبکه سازمان نفوذ کنند.
  • بسیاری از حملات فیشینگ برای ایجاد صفحات جعلی که در ظاهر معتبر هستند مورد استفاده قرار می‌گیرند. چنین حملات پیشرفته‌ای معمولا مدیران رده بالای سازمان را هدف قرار می‌دهند.
  • استفاده از کلیدهای عمومی رمزگذاری شده و احراز هویت دومرحله‌ای، دسترسی‌های مخرب را محدود می‌کند. دسترسی آسان به کلیدهای SSH ذخیره شده بر روی رایانه‌ها و سرورها، موجب نفوذ مهاجمان به درون شبکه سازمان خواهد شد.
  • رمزگذاری به اندازه تمام فروشندگان یک سازمان مؤثر و مفید است. اگر سازمان‌ها کنترلی بر روی کلیدها و گواهی‌نامه‌های تأیید صحت روابط متقابل با شرکاء را نداشته باشند، محتوای محرمانه رد و بدل شده در تونل‌های رمزنگاری شده در معرض خطر قرار خواهد گرفت.
  • اگر سازمان‌ها بر کلیدها و گواهینامه‌های مورد استفاده در راهکارهای رمزنگاری نظارتی نداشته باشند، مهاجمان سایبری قادر خواهند بود تا از این کلیدها و گواهینامه‌ها برای ایجاد ارتباطات رمزگذاری شده غیرمجاز استفاده نمایند.

باتوجه به موارد گفته شده، بهترین راهکار این است با استفاده از روش‌های خودکار از سوءاستفاده از رمزگذاری در حملات به سازمان جلوگیری کنید. خودکار سازی این فرآیند، خطرات ناشی از خطای انسانی را کاهش داده و کنترل بیشتری بر نحوه اجرای سیاست‌های امنیتی برای ارتباطات رمزگذاری شده فراهم می‌کند. از این رو بهره‌گیری از خدمات مشاوره‌ای مبتنی بر تجربه و دانش حرفه‌ای، همواره می‌تواند علاوه بر فراهم‌آوری دید مناسب‌تر، باعث کاهش آسیب‌های ناشی از خطاهای انسانی گردد. شرکت آرمان داده پویان با تجربه‌ای بسیار گسترده در زمینه مشاوره امنیت اطلاعات در کنار فعالیت چشمگیر خود در طراحی و پیاده‌سازی راهکارهای امنیتی، به طور کامل آماده همکاری با سازمان‌ها و شرکت‌ها در این زمینه می‌باشد. همچنین با استفاده از خدمات آگاهی رسانی امنیتی آرمان داده پویان می‌توانید به میزان زیادی خطای انسانی را در مجموعه خود کاهش دهید، همچنین تخمین درستی از سطح آمادگی کارکنان خود در برابر تهدیدات امنیتی داشته باشید.

آرمان داده پویان ارائه دهنده خدمات اختصاصی آگاهی رسانی امنیتی

تعداد بازدید: 151


تازه ترین ها