Geekly articles weekly

لا يعفي الجهل بمبادئ أمن المعلومات



الموظفون الأميون يشكلون خطرا على الشركة. يمكن أن يكسروا حطب الوقود هذا حتى يتوجب عليهم إخراجهم بواسطة القطارات. ينطبق هذا على أي صناعة وأمن وأمن المعلومات ، فهو ينطبق على المدى الكامل: النقر فوق أحد المرفقات أو محرك أقراص فلاش مصاب تم إحضاره من المنزل - هذا كل شيء ، فدية رانسومواري تدخل شبكة الشركة ، العمل مشلول ، يبحث قسم تكنولوجيا المعلومات عن النسخ الاحتياطية الحديثة أقراص الكمبيوتر المشفرة بواسطة الفيروس ، وحساب مكتشف خسائر التوقف.

علاوة على ذلك ، ووفقًا لتأثير Dunning-Krueger المعروف ، يظل الموظفون الأميون على ثقة من أنهم يقومون بكل ما هو صواب أو ، على الأقل ، لا يفعلون شيئًا فظيعًا. وهذا هو بالضبط ما يؤدي في كثير من الأحيان إلى عواقب وخيمة.

في الواقع ، لا يوجد أي نظام حماية عديم الفائدة تقريبًا إذا كان الموظفون لا يملكون على الأقل أساسيات أمن المعلومات. يصبح هؤلاء الموظفون نقاط الضعف الرئيسية في نظام الكمبيوتر الخاص بشركتك.

من خلال فهم هذه الحالة ، يستخدم مجرمو الإنترنت الشركات الضحية بشكل متزايد كنقاط ضعف أمام هجماتهم. يعد استخدام الأمية البشرية أسهل بكثير من العثور على ثغرة أمنية في شبكة الشركة. نظرًا لأمية أمن المعلومات حتى بالنسبة لموظف واحد ، تتعرض المؤسسة لخطر فقدان المال والبيانات والسمعة أو الحصول على مطالبات قانونية أو فقدان المعدات.

تحدث خبراء تريند مايكرو عن أنواع الهجمات التي يواجهها الموظفون: تهديد الأجهزة ، والتصيد ، والهدايا التذكارية الضارة.

تسوية الجهاز




يعد استخدام الأدوات الذكية وأجهزة الكمبيوتر المحمولة الخاصة بك (إحضار جهازك الخاص ، BYOD) للعمل في الشركة اتجاهًا عصريًا ، ولا سيما بين الشركات الناشئة. يبدو أن مثل هذه المنظمة للعملية هي تجسيد لمبدأ الفوز: لا يتعين على الشركة إنفاق الأموال على شراء وصيانة مكان العمل ، ويعمل الموظف على جهاز كمبيوتر محمول قام هو بنفسه بتحديده وتكوينه. إذا أراد العمل في المنزل ، فلن يضطر إلى نسخ ملفات العمل ، وتم بالفعل تكوين الوصول إلى أنظمة الشركة. يتم تعويض تكلفة شراء الجهاز من خلال القدرة على النوم لفترة أطول أو حتى البقاء في المنزل ، والعمل عن بُعد.

من وجهة نظر أمن المعلومات ، يعد استخدام جهاز واحد لحل مهام العمل والمنزلية مصدرًا لمخاطر خطيرة ، خاصةً إذا لم يكن الموظف مجتهدًا في تعلم أساسيات أمن المعلومات.

بعد يوم حافل ، أريد أن يصرف انتباهي. يمكن أن يؤدي تنزيل الأفلام والموسيقى والبحث عن الألعاب أو البرامج المقرصنة إلى حدوث شيء ضار على الكمبيوتر. وبعد ذلك ، عند الاتصال بشبكة شركة ، سيتم اختراق جميع بيانات الشركة.

إذا واجهت أحد المقاهي وقمت بالاتصال بشبكة الشركة من خلال شبكة Wi-Fi عامة لإنهاء التقرير لتناول فنجان من القهوة ، فيمكن اعتراض بيانات الاعتماد واستخدامها لسرقة المعلومات السرية. ويمكن سرقة جهاز كمبيوتر محمول أو جهاز لوحي أو نقله من المنزل إلى المكتب. جنبًا إلى جنب مع الكمبيوتر المحمول ، فإن البيانات الموجودة عليه ستتسرب أيضًا.

وجوه كثيرة تصيد


الطريقة التقليدية لتنظيم سير العمل في شكل أجهزة كمبيوتر ثابتة تزيل جزئياً المخاطر النموذجية لـ BYOD ، ولكن في هذه الحالة أيضًا ، قد يصبح المستوى غير الكافي من أمن المعلومات قاتلًا للمؤسسة. يستخدم جميع الموظفين البريد الإلكتروني ، مما يعني أنهم ضحايا محتملون للخداع - رسائل بريد إلكتروني احتيالية متخفية في شكل رسائل بريد إلكتروني من خدمات التوصيل أو المقاولين أو الدعم الفني أو الإدارة.

باستخدام التصيد الاحتيالي ، يمكن لمجرمي الإنترنت إجبار الضحية على تشغيل البرامج الضارة المرفقة بالرسالة ، أو إدخال بيانات اعتمادهم للدخول إلى الشبكة ، أو حتى إجراء الدفع باستخدام تفاصيل المحتالين بدلاً من الطرف المقابل الحقيقي.

يُعد التصيد الاحتيالي خطرًا خاصًا ، حيث يقوم مجرمو الإنترنت أولاً بجمع البيانات حول المؤسسة وهيكلها والموظفين وعمليات العمل الخاصة بها ، ثم إعداد الرسائل التي تحتوي على أسماء ومواقع حقيقية ، يتم وضعها وفقًا لمعايير المؤسسة. التعرف على هذه الرسائل هو أكثر صعوبة ، وبالتالي فإن فعالية هذه الرسائل أعلى بكثير.

قد لا تحتوي رسائل البريد الإلكتروني المخادعة على أي مرفقات ضارة وتبدو غير ضارة تمامًا عندما يتعلق الأمر بمثل هذا النوع من التصيد الاحتيالي مثل المساس بالمراسلات التجارية (Business Email Compromise، BEC). في هذه الحالة ، يبدأ المحتالون في المراسلات مع أحد قادة الشركة نيابة عن مؤسسة أخرى ويقنعونه تدريجيًا بضرورة تحويل الأموال إلى حسابهم. على الرغم من الطبيعة الرائعة للسيناريو الموصوف ، فقد جذب المهاجمون 19 مليون يورو من الفرع الهولندي لشركة الأفلام الفرنسية Pathé ، في ربيع عام 2018.

الأجهزة مفاجأة


المهاجمون لا يقف ساكنا. سنشهد أشكالًا جديدة من الهجمات التي تستهدف المستخدمين الساذجين ولن يتم توزيعها جميعًا عبر الإنترنت. مثال واحد هو الهجوم من خلال محرك أقراص فلاش مجاني. في أحداث الشريك ، والعروض التقديمية ، والمؤتمرات ، وكهدية ، يتلقى الموظفون غالبًا محركات أقراص محمولة تحتوي على مواد عمل. من المحتمل أن يقوم الموظف الذي لا يعرف أساسيات أمان المعلومات بإدخال محرك أقراص فلاش USB في الكمبيوتر فور وصوله إلى المكتب - وقد يتلقى مفاجأة ضارة. في بعض الأحيان ، لا يعلم منظمو الحدث أن الكمبيوتر الذي تم تسجيل المواد الإعلانية منه على محرك أقراص فلاش USB مصاب بشيء ما.

يمكن استخدام هذه التقنية أيضًا في إصابة كمبيوتر الضحية عن قصد. في عام 2016 ، أجريت تجربة في جامعة إلينوي ، حيث انتشرت 300 محرك أقراص فلاش "مشحون" في جميع أنحاء الحرم الجامعي للتحقق من عدد الأشخاص الذين سيستخدمونها ومدى حدوثها. أدهشت نتائج التجربة الباحثين: تم توصيل أول محرك أقراص محمول بجهاز الكمبيوتر بعد 6 دقائق ، ووجد 48٪ فقط من أولئك الذين عثروا على محركات أقراص فلاش محرك الأقراص المحمول ، وفتحوا جميعهم ملفًا واحدًا على الأقل.

أحد الأمثلة على نطاق واسع للهجوم الحقيقي ( DarkVishnya ) ، عندما لم يلاحظ ضباط الأمن المصرفي جهاز مخفي متصل بالشبكة. لتنفيذ الهجوم ، دخل المهاجمون في مكاتب البنوك تحت ستار شركات الشحن أو الزوار ، ثم وصلوا بهدوء جهاز كمبيوتر صغير Bash Bunny متنكر في صورة محرك أقراص محمول USB أو كمبيوتر محمول صغير أو جهاز كمبيوتر يعمل بنظام Raspberry Pi ومجهز بمودم 3G / LTE على الشبكة المحلية للبنك. يتنكر الجهاز كبيئة ليجعل من الصعب اكتشافه. علاوة على ذلك ، قام المهاجمون بالاتصال عن بعد بجهازهم ، وقاموا بفحص شبكة البنك بحثًا عن نقاط الضعف ، واخترقوها وسرقوا أموالهم. نتيجة لذلك ، عانت العديد من البنوك في أوروبا الشرقية ، وبلغت الأضرار الناجمة عن هجمات DarkVishnya عدة عشرات الملايين من الدولارات.

يُظهر الأداء المذهل للهجوم باستخدام محركات أقراص فلاش المفقودة مدى اهتمام الأشخاص التافه بالأمان ومدى أهمية تثقيف المستخدمين حول السلوك الصحيح في مثل هذه الحالات.

ماذا تفعل حيال ذلك؟




على الرغم من وفرة حماية البرمجيات والأجهزة في السوق ، إلا أنه من الجدير تخصيص جزء من الميزانية لمواجهة الهجمات التي تستهدف الموظفين. فيما يلي أهم التوصيات:

- لتدريب. يجب على جميع الموظفين أن يفهموا أن الجهل بمبادئ أمن المعلومات لا يعفي من المسؤولية ، وبالتالي ، يكون مهتمًا بزيادة وعيهم بهذا الأمر. من جانب الشركة ، ينبغي اعتبار تكاليف تنظيم وإجراء حلقات دراسية تدريبية حول أمن المعلومات استثمارات في تقليل المخاطر ومنع الضرر.

- قطار. يتم استبعاد المعرفة النظرية بسرعة من الذاكرة عن طريق المعلومات الأكثر شعبية. تعزيز المهارات في الممارسة العملية سوف تساعد في تدريب الهجمات. من خلال مساعدتهم ، يمكنك تحديد الموظفين الذين لم يتعلموا المعلومات وإجراء إعادة التدريب لهم.

- تنفيذ السياسة "انظر شيئا ، قل شيئا". في مواجهة التهديد السيبراني ، قد يظل الموظف صامتًا حيال هذا الأمر حتى الأخير ، خوفًا من الفصل أو محاولة التخلص منه بشكل مستقل. وفي الوقت نفسه ، يساعد الإشعار في الوقت المناسب لحادث ما في منع انتشار البرامج الضارة عبر شبكة الشركة. بناءً على ذلك ، من المهم وضع لوائح الخدمة بطريقة تجعل الموظف الذي يبلغ عن الهجوم يتلقى الامتنان ، ويمكن لخدمة أمن المعلومات إصلاح التهديد والبدء في القضاء عليه.

الخاتمة




أي نظام كمبيوتر ضعيف ، وأضعف رابط فيه ، كقاعدة عامة ، هو الشخص. تتمثل مهمة كل قائد أعمال في تقليل المخاطر في مجال أمن المعلومات المرتبطة بالهجمات على الموظفين. في حل هذه المشكلة ، سوف يساعد التدريب والتدريب والتنظيم المناسب لمعالجة الحوادث السيبرانية. من الناحية المثالية ، ينبغي أن يكون وجود فهم أساسي للأمن السيبراني جزءًا من فلسفة الشركة.

Source: https://habr.com/ru/post/ar438250/

More articles:


All Articles