اقداماتی جهت جلوگیری از نشت داده سازمان ها
به گزارش بست روید عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبكه اینترنت، دقت در راه اندازی پایگاه های داده و خودداری از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب از مواردی است كه مركز ماهر بعنوان اقدامات پایه ای جهت جلوگیری از نشت اطلاعات سازمان ها و كسب وكارها به آنها اشاره نموده است.
به گزارش بست روید به نقل از ایسنا، لو رفتن اطلاعات شخصی مربوط به کاربران تلگرامی به علت استفاده از نسخه های غیررسمی این اپلیکیشن و استفاده کنندگان از فروشگاه های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانی ها در ایام ابتدایی فروردین ماه سالجاری، به یکی از مهم ترین و پرجنجال ترین اخبار تبدیل شد.
البته بعد از نگرانی های کاربران درباره انتشار این اطلاعات، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) بعنوان یکی از زیرمجموعه های سازمان فناوری اطلاعات، اعلام نمود با رصد جهت کشف بانکهای اطلاعاتی حفاظت نشده، به صاحبان آنها اخطار داده خواهد شد و در صورتیکه ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، به منظور حفظ داده ها و حفاظت از حریم خصوصی شهروندان، به مراجع قضایی معرفی می شود.
همینطور امیر ناظمی -رئیس سازمان فناوری اطلاعات- تصریح کرد: هرچند قانون حفاظت از داده های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان ها و دستگاه ها به حفاظت از داده های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی دهد. تک تک این مواد قانونی می تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده ها سهل انگاری کرده است.
در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) دستورالعملی با محوریت اقدامات پایه ای جهت پیش گیری از نشت اطلاعات سازمان ها و کسب وکارها منتشر نمود که در آن آمده است: طی هفته های اخیر، موارد گوناگونی از نشت اطلاعات مختلف از پایگاه های داده ی شرکت ها و سازمان های دولتی و خصوصی در فضای مجازی منتشر گردید. این موارد در کنار سایر نمونه هایی که به صورت خصوصی و مسئولانه به این مرکز گزارش می شوند و یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی می شوند، عموما متاثر از لیست مشترکی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است.
این ضعف ها سبب می شوند در بعضی موارد دسترسی به داده های سازمان ها و کسب وکارها حتی احتیاج به دانش پایه ای هک و نفوذ نداشته باشد و با یکسری بررسی ها و جست وجوهای ساده داده ها افشا می شوند. بنابراین به منظور جلوگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه ها اکیدا سفارش می شود اقدامات زیر صورت پذیرد:
عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه های داده از راه اینترنت برقرار نگردد. یکی از مواردی که سبب این اشتباه بزرگ می شود روال پشتیبانی شرکت های عرضه دهنده راهکارهای نرم افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خویش را اجبار به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی می کنند. در صورت اجبار شرکت ها و سازمان ها به این مسئله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
دقت در راه اندازی پایگاه های داده بخصوص انواع پایگاه های داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است خیلی از موارد نشت اطلاعات مربوط به پایگاه های داده ای است که به صورت موقت و جهت انجام فعالیتهای موردی و کوتاه مدت به راه افتاده است. لازم است اهمیت و حساسیت این نوع پایگاه های داده هم تراز پایگاه های اصلی درنظر گرفته شود.
بررسی و غیرفعال سازی قابلیت Directory Listing غیرضروری در سرویس دهنده های وب جهت پیشگیری از دسترسی به فایل ها.
دقت در وضعیت دسترسی به دایرکتوری های محل بارگزاری داده ها و اسناد توسط کاربران وب سایت نظیر دایرکتوری های uploads و temp و... علاوه بر ضرورت کنترل دسترسی ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس بیرون بروند.
سرویس دهنده رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با عنایت به انتشار عمومی صدمه پذیری های حیاتی و اکسپلویت های مربوطه طی یک سال قبل مورد سواستفاده جدی قرار گرفته اند. در صورت استفاده از این سرویس دهنده ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله های امنیتی انتشار یافته اطمینان حاصل شود.
از عدم دسترسی مستقیم از راه اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و... اطمینان حاصل کنی. این دسترسی ها لازم است از راه سرویس VPN اختصاصی و یا بر مبنای آدرس IP مبدا مجاز محدود شوند.
از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب خودداری کنید.
جهت اطمینان از عدم وجود دسترسی به سرویس ها و سامانه ها به صورت ناخواسته، نسبت به اسکن ساده ی سرویسهای فعال بر روی بلوک های IP سازمان خود به صورت مداوم اقدام نموده و سرویسهای مشاهده شده ی غیرضروری را از دسترسی خارج کنید.
البته این موارد به هیچ عنوان جایگزین فرایندهای کامل امن سازی و ارزیابی امنیتی نبوده و صرفاً برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.
منبع: بست روید
این مطلب بست روید چطور بود؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات کاربران در مورد این مطلب بست روید