Sibex سیبکس
از سوی مركز ماهر؛

دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات سازمان ها منتشر گردید

دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات سازمان ها منتشر گردید سیبكس: مركز ماهر با بیان اطلاعیه ای در ارتباط با روند افشای داده های سازمانها و كسب وكارها در فضای مجازی، دستورالعمل اقدامات پایه ای جهت پیش گیری از نشت اطلاعات سازمان ها و كسب وكارها را منتشر نمود.


به گزارش سیبکس به نقل از مهر، هفته گذشته فعالان امنیت سایبری از افشای پایگاه اطلاعات هویتی کاربران برخی سازمان ها و شرکت های دولتی و خصوصی خبر دادند که این اطلاعات در فضای مجازی در حال خرید و فروش است. در همین حال اواسط فروردین ماه نیز نشت اطلاعات شناسنامه ای ۸۰ میلیون کاربر ایرانی بوسیله سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرم افزارهای آیفون، خبرساز شده بود. در این راستا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری اعلام نمود: در هفته های اخیر، موارد مختلفی از نشت اطلاعات مختلف از پایگاه های داده شرکت ها و سازمان های دولتی و خصوصی در فضای مجازی منتشر گردید. این موارد در کنار سایر نمونه هایی که بطور خصوصی و مسئولانه به این مرکز گزارش می شوند و یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی می شوند، عموما متاثر از لیست مشترکی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است. این ضعف ها موجب می شوند در بعضی موارد دسترسی به داده های سازمان ها و کسب و کارها حتی نیاز به دانش پایه ای هک و نفوذ نداشته باشد و با یکسری بررسی ها و کاوشهای ساده داده ها افشا می شوند. بیانیه مرکز ماهر درباره افشای داده های شهروندان مرکز ماهر پیرو پرسش هایی که درباب اخبار مربوط به افشاء داده های شهروندان مطرح شده با انتشار اطلاعیه ای به نکات زیر اشاره کرد: - ارتقا هر سیستمی، همچون امنیت و حفاظت از داده های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همین طور مطالبه گری صحیح، نقطه آغازین بهبود و اصلاح هر سیستمی است. - مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور، «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» بدین سان مسئولیت اصلی در پاسخ به سوالات امنیت بانکهای داده و اطلاعات، در وهله اول بر عهده بالاترین مسئول دستگاه است. - مرکز ماهر برمبنای چارچوب های قانونی و ماموریت های محوله، گزارش خودرا درباب حوادث، فقط برای مقامات مسئول ارسال می کند؛ هر چند بعد از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش هایی عمومی (با حفظ امنیت و حریم خصوصی داده ها ) اقدام کند؛ تا بعنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد. - مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء داده های شهروندان می شود، باید به صورت متمرکز و کاملا تخصصی، فقط به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همین طور ایجاد زمینه مناسب برای اطلاع رسانی بموقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید. - مرکز ماهر برمبنای وظایف ذاتی و قانونی خود موارد مختلفی از این دست را همیشه کشف و یا از افراد دلسوزی که به صورت مسئولانه و صادقانه اطلاع رسانی می کنند دریافت می کند. تمام این موارد بعد از بررسی های فنی جهت راستی آزمایی و استخراج شواهد و راهکار مقابله برمبنای چارچوب های قانونی به صورت محرمانه به صاحبان سرویس ها و داده ها اطلاع رسانی می شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد. - دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشاء غیرمجاز یا لطمه پذیری در سامانه های بومی آنرا بوسیله کانال های ارتباطی مرکز ماهر اطلاع رسانی کنند. طبیعتا اعلام عمومی یک داده افشا شده یا یک لطمه پذیری امنیتی بوسیله رسانه و شبکه های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسئول مانند مرکز ماهر یا مرکز افتای ریاست جمهوری، حرکت سازنده و همراه با مسئولیت اجتماعی محسوب نمی گردد. - به سازمان ها و دستگاه های مختلف یادآور می شود که «سکوت، پاسخ گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می دهد»؛ هرچند شهروندان و مطالبه گران از مرجع پاسخ گویی آگاهی نداشته باشند. دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات در فضای مجازی در همین حال این مرکز با انتشار دستورالعمل اقدامات پایه ای جهت پیش گیری از نشت اطلاعات سازمان ها و کسب و کارها در فضای مجازی و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه ها، به نکات زیر تاکید کرده است: - عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبکه اینترنت تا حد امکان لازم است دسترسی مستقیم به پایگاه های داده بوسیله اینترنت برقرار نشود. یکی از مواردی که موجب این اشتباه بزرگ می شود روال پشتیبانی شرکت های ارائه دهنده راهکارهای نرم افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خودرا گردنگیر به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی می کنند. در صورت اجبار شرکت ها و سازمان ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با بهره گیری از VPN ایجاد شود. - دقت در راه اندازی پایگاه های داده خصوصاً انواع پایگاه های داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده لازم به توجه است خیلی از موارد نشت اطلاعات مربوط به پایگاه های داده ای است که بطور موقت و جهت انجام کارهای موردی و کوتاه مدت به راه افتاده است. لازم است اهمیت و حساسیت این نوع پایگاه های داده هم تراز پایگاه های اصلی درنظر گرفته شود. - بررسی و غیرفعال سازی قابلیت Directory Listing غیرضروری در سرویس دهنده های وب جهت جلوگیری از دسترسی به فایل ها دقت در وضعیت دسترسی به دایرکتوری های محل بارگذاری داده ها و اسناد توسط کاربران سایت نظیر دایرکتوری های uploads و temp و.... علاوه بر ضرورت کنترل دسترسی ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس بیرون بروند. - سرویس دهنده رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra باتوجه به انتشار عمومی لطمه پذیری های حیاتی و اکسپلویت های مربوطه طی یکسال گذشته مورد سواستفاده جدی قرار گرفته اند. در صورت استفاده از این سرویس دهنده ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله های امنیتی انتشار یافته اطمینان حاصل شود. - از عدم دسترسی مستقیم بوسیله اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و... اطمینان حاصل کنید. این دسترسی ها لازم است بوسیله سرویس VPN اختصاصی و یا برمبنای آدرس IP مبدا مجاز محدود شوند. - از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب خودداری کنید - جهت اطمینان از عدم وجود دسترسی به سرویس ها و سامانه ها به صورت ناخواسته، نسبت به اسکن ساده خدمات فعال روی بلوک های IP سازمان خود به صورت مداوم اقدام نموده و خدمات مشاهده شده غیرضروری را از دسترسی خارج کنید این موارد به هیچ عنوان جایگزین فرآیندهای کامل امن سازی و ارزیابی امنیتی نبوده و فقط برطرف کننده شماری از ضعف های جدی مشاهده شده هستند. مرکز ماهر ابراز امیدواری کرده است که صاحبان بانکهای اطلاعاتی که داده ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه فقط نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم برمبنای قانون و هم برمبنای مسئولیت اجتماعی، حساسیت لازم را داشته باشند و با پاسخ گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.


منبع:

1399/02/07
18:06:33
5.0 / 5
1024
تگهای خبر: آیفون , اینترنت , بازار , بانك
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
نظر شما در مورد این مطلب
نام:
ایمیل:
نظر:
سوال:
= ۱ بعلاوه ۱
سیبکس - SibeX

سیبكس

فناوری و محصولات اپل

sibex.ir - حقوق مادی و معنوی سایت سیبكس محفوظ است