امنیت

اینترنت و شبکه

فناوری اطلاعات

April 26, 2020

11:04 یکشنبه، 7ام اردیبهشتماه 1399

کد خبر: 111172

اقداماتی جهت پیشگیری از نشت داده سازمان‌ها

عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت، دقت در راه‌اندازی پایگاه‌های داده‌ و خودداری از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب از مواردی است که مرکز ماهر به‌عنوان اقدامات پایه‌ای جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب وکارها به آنها اشاره کرده است.

لو رفتن اطلاعات شخصی مربوط‌به کاربران تلگرامی به دلیل استفاده از نسخه‌های غیررسمی این اپلیکیشن و استفاده‌کنندگان از فروشگاه‌های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در روزهای ابتدایی فروردین ماه سال جاری، به یکی از مهم‌ترین و پرجنجال‌ترین اخبار تبدیل شد.

البته پس از نگرانی‌های کاربران درباره انتشار این اطلاعات، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به عنوان یکی از زیرمجموعه‌های سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانک‌های اطلاعاتی حفاظت‌نشده، به صاحبان آن‌ها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، به‌منظور حفظ داده‌ها و حفاظت از حریم خصوصی شهروندان، به مراجع قضایی معرفی می‌شود.

همچنین امیر ناظمی -رئیس سازمان فناوری اطلاعات- خاطرنشان کرد: هرچند قانون حفاظت از داده‌های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی‌دهد. تک‌تک این مواد قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده‌ها سهل‌انگاری کرده است.

در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) دستورالعملی با محوریت اقدامات پایه‌ای جهت پیش‌گیری از نشت اطلاعات سازمان‌ها و کسب‌وکارها منتشر کرد که در آن آمده است: طی هفته‌های اخیر، موارد متعددی از نشت اطلاعات مختلف از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی منتشر شد. این موارد در کنار سایر نمونه‌هایی که به طور خصوصی و مسئولانه به این مرکز گزارش می‌شوند و یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی می‌شوند، ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است.

این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب‌وکارها حتی نیاز به دانش پایه‌ای هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جست‌وجوهای ساده داده‌ها افشا می‌شوند. لذا به‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌شود اقدامات زیر صورت پذیرد:

عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه‌دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از عدم وجود دسترسی حفاظت‌نشده. لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به‌طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.

بررسی و غیرفعال‌سازی قابلیت Directory Listing غیرضروری در سرویس‌دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها.

دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و … علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

سرویس‌دهنده‌ رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی یک سال گذشته مورد سواستفاده جدی قرار گرفته‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل شود.

از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و … اطمینان حاصل کنی. این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP‌ مبدا مجاز محدود شوند.

از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب خودداری کنید.

جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به‌صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال بر روی بلوک‌های IP سازمان خود به‌صورت مداوم اقدام کرده و سرویس‌های مشاهده شده‌ی غیرضروری را از دسترسی خارج کنید.

البته این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده‌شده هستند.

در این زمینه از آرشیو ایستنا:

مشترک شوید!

برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.