شبکه و فناوری

حفاظت و امنیت اطلاعات

حفاظت و امنیت اطلاعات

امنیت اطلاعات (InfoSec) چیست؟ امنیت اطلاعات (گاهی اوقات InfoSec نیز نامیده می شود) ابزار ها و فرایند هایی را که سازمان ها برای محافظت از اطلاعات و داده ها استفاده می کنند، پوشش می دهد. این شامل تنظیمات خط مشی است که از دسترسی افراد غیرمجاز به اطلاعات تجاری یا شخصی جلوگیری می کند. InfoSec یک زمینه رو به رشد و در حال تحول است که طیف وسیعی از زمینه ها را شامل می شود، از امنیت شبکه و زیرساخت ها گرفته تا آزمایش و حسابرسی.

امنیت اطلاعات از اطلاعات حساس در برابر فعالیت های غیر مجاز، از جمله بازرسی، اصلاح، ضبط و هرگونه اختلال یا تخریب محافظت می کند. هدف امنیت اطلاعات، این است که امنیت و حریم خصوصی داده های مهم مانند اطلاعات حساب مشتری، داده های مالی یا مالکیت معنوی تضمین شود.

نتایج حوادث امنیتی شامل سرقت اطلاعات خصوصی، دستکاری داده ها و حذف داده ها است. حملات می توانند فرایند های کاری را مختل کرده و به شهرت یک شرکت صدمه بزنند و همچنین هزینه قابل توجهی را در پی داشته باشند.

سازمان ها باید بودجه ای را برای امنیت اختصاص دهند و اطمینان حاصل کنند که برای تشخیص، پاسخگویی و پیشگیری از حملات مختلف مانند فیشینگ، بدافزار ها، ویروس ها، خودی های مخرب و باج افزار ها، آماده هستند.

3 اصل امنیت اطلاعات چیست؟

اصول اساسی امنیت اطلاعات عبارتند از محرمانه بودن، تمامیت و در دسترس بودن. هر عنصر برنامه امنیت اطلاعات باید برای پیاده سازی یک یا چند مورد از این اصول طراحی شود. آنها با هم سه گانه CIA نامیده می شوند.

محرمانه بودن

اقدامات محرمانه برای جلوگیری از افشای غیر مجاز اطلاعات طراحی شده است. هدف از اصل رازداری حفظ خصوصی بودن اطلاعات شخصی و اطمینان از قابل رویت بودن و دسترسی به آن برای افرادی است که صاحب آن هستند یا برای انجام وظایف سازمانی خود به آن نیاز دارند.

تمامیت

سازگاری و تمامیت شامل حفاظت در برابر تغییرات غیر مجاز (اضافه، حذف، تغییر و غیره) در داده ها است. اصل یکپارچگی و‌ تمامیت  تضمین می کند که داده ها دقیق و قابل اعتماد هستند و به طور تصادفی یا مخرب، به اشتباه اصلاح نشده اند.

دسترسی

در دسترس بودن، حفاظت از توانایی سیستم برای در دسترس قرار دادن کامل سیستم ها و داده های نرم افزاری در زمان نیاز کاربر (یا در یک زمان مشخص) است. هدف از در دسترس بودن این است که زیرساخت فناوری، برنامه ها و داده ها در مواقعی که برای فرایند سازمانی یا مشتریان سازمان مورد نیاز است، در دسترس قرار بگیرد.

امنیت اطلاعات در مقابل امنیت سایبری

امنیت اطلاعات از نظر دامنه و هدف با امنیت سایبری متفاوت است. این دو اصطلاح اغلب به جای یکدیگر استفاده می شوند، اما به طور دقیق تر، امنیت سایبری زیرمجموعه ای از امنیت اطلاعات است. امنیت اطلاعات یک حوزه گسترده است که بسیاری از زمینه ها مانند امنیت فیزیکی، امنیت اند پوینت، رمزگذاری داده ها و امنیت شبکه را شامل می شود. همچنین با اطمینان از اطلاعات مرتبط است، که اطلاعات را در برابر تهدیداتی مانند بلایای طبیعی و خرابی سرور محافظت می کند.

امنیت سایبری در وهله اول تهدید های مربوط به فناوری را با شیوه ها و ابزار هایی که می تواند از آنها جلوگیری کرده یا آنها را کاهش دهد، برطرف می کند. یکی دیگر از رده های مرتبط، امنیت داده ها است که بر محافظت از داده های یک سازمان در برابر قرار گرفتن تصادفی یا مخرب در معرض گروه های غیر مجاز، تمرکز دارد.

سیاست امنیت اطلاعات

سیاست امنیت اطلاعات (ISP) مجموعه ای از قوانین است که افراد را هنگام استفاده از دارایی های فناوری اطلاعات، راهنمایی می کند. شرکت ها می توانند سیاست های امنیت اطلاعات را ایجاد کنند تا اطمینان حاصل کنند که کارکنان و سایر کاربران از پروتکل ها و روش های امنیتی پیروی می کنند. سیاست های امنیتی برای اطمینان از این است که فقط کاربران مجاز، می توانند به سیستم ها و اطلاعات حساس دسترسی داشته باشند.

ایجاد یک سیاست امنیتی موثر و برداشتن قدم هایی برای اطمینان از موافقت و اطاعت آن، گامی مهم در جهت پیشگیری و کاهش تهدیدات امنیتی است. برای اینکه سیاست شما واقعاً موثر واقع شود، آن را اغلب بر اساس تغییرات شرکت، تهدید های جدید، نتیجه گیری از نقض های قبلی و تغییر در سیستم ها و ابزار های امنیتی، به روز کنید.

استراتژی امنیت اطلاعات خود را عملی و منطقی کنید. برای برآوردن نیاز ها و فوریت های بخش های مختلف در داخل سازمان، لازم است که یک سیستم استثنا، با فرایند تأیید، به کار گرفته شود تا بخش ها یا افراد بتوانند در شرایط خاص از قوانین تخطی کنند.

برترین تهدیدات امنیت اطلاعات

صد ها دسته از تهدیدات امنیت اطلاعات و میلیون ها بردار تهدید شناخته شده وجود دارد. در ادامه ما برخی از تهدید های کلیدی را که در اولویت تیم های امنیتی در شرکت های مدرن هستند، پوشش می دهیم.

سیستم های ناامن یا با امنیت ضعیف

سرعت و پیشرفت فنی اغلب منجر به سازش در اقدامات امنیتی می شود. در موارد دیگر، سیستم ها بدون در نظر گرفتن امنیت توسعه پیدا می کنند و به عنوان سیستم های قدیمی در سازمان باقی می مانند. سازمان ها باید این سیستم های دارای امنیت ضعیف را شناسایی کرده و با ایمن سازی یا پچ کردن آنها، از کار انداختن آنها یا جداسازی آنها، تهدید را کاهش دهند.

حملات شبکه های اجتماعی

بسیاری از افراد حساب های رسانه های اجتماعی دارند، جایی که اغلب به طور ناخواسته اطلاعات زیادی در مورد خود به اشتراک می گذارند. مهاجمان می توانند حملات خود را مستقیماً از طریق رسانه های اجتماعی انجام دهند، به عنوان مثال با انتشار بدافزار از طریق پیام های رسانه های اجتماعی یا به طور غیر مستقیم، با استفاده از اطلاعات به دست آمده از این سایت ها برای تجزیه و تحلیل آسیب پذیری های کاربر و سازمان، و استفاده از آنها برای طراحی حمله جدید.

مهندسی اجتماعی

مهندسی اجتماعی شامل ارسال ایمیل ها و پیام هایی از سوی مهاجمان است که کاربران را فریب می دهد تا اقداماتی را انجام دهند که ممکن است امنیت آنها را به خطر بیاندازد یا اطلاعات خصوصی را افشا کند. مهاجمان با استفاده از عوامل روانشناختی مانند کنجکاوی، ضروری بودن یا ترس، کاربران را تحت تاثیر قرار می دهند.

از آنجا که به نظر می رسد منبع یک پیام مهندسی اجتماعی قابل اعتماد است، افراد به احتمال زیاد از آن پیروی می کنند، به عنوان مثال با کلیک روی لینکی  که بدافزار را روی دستگاه آنها نصب می کند، یا با ارائه اطلاعات شخصی، اعتبارنامه یا جزئیات مالی.

سازمان ها می توانند مهندسی اجتماعی را با آگاهی کاربران از خطرات آن و آموزش آنها برای شناسایی و اجتناب از پیام های مشکوک مهندسی اجتماعی، کاهش دهند. علاوه بر این، از سیستم های تکنولوژیکی و فنی می توان برای مسدود کردن مهندسی اجتماعی در منبع آن یا جلوگیری از انجام اقدامات خطرناک مانند کلیک روی لینک های ناشناخته یا دانلود پیوست های ناشناخته، استفاده کرد.

بدافزار در اند پوینت ها

کاربران سازمانی با طیف وسیعی از دستگاه های اند پوینت، از جمله رایانه های رومیزی، لپ تاپ، تبلت و تلفن های همراه کار می کنند، که بسیاری از آنها خصوصی هستند و تحت کنترل سازمان نیستند و همه آنها به طور منظم به اینترنت متصل می شوند.

تهدید اصلی همه این اند پوینت ها، بدافزار است که می تواند با وسایل مختلف منتقل شود، می تواند به خود اند پوینت آسیب برساند و همچنین می تواند منجر به افزایش فرصت حمله به سایر سیستم های سازمانی شود.

نرم افزار های آنتی ویروس سنتی برای مسدود کردن تمام شکل های بدافزار مدرن، کافی نیستند و رویکرد های پیشرفته تری در جهت ایمن سازی اند پوینت مانند تشخیص و پاسخ اند پوینت (EDR) در حال توسعه است.

عدم رمزگذاری

رمزگذاری، داده ها را کد گذاری می کند به طوری که فقط توسط کاربران با کد های مخفی رمزگشایی می شود. رمزگذاری در جلوگیری از از دست رفتن اطلاعات یا فساد در صورت از بین رفتن تجهیزات یا سرقت، یا در صورت خراب شدن سیستم های سازمانی توسط مهاجمان بسیار موثر است.

متأسفانه، این اقدام اغلب به دلیل پیچیدگی و عدم تعهدات قانونی مرتبط با اجرای مناسب، نادیده گرفته می شود. سازمان ها با خرید دستگاه های ذخیره سازی یا استفاده از سرویس های ابری که از رمزگذاری پشتیبانی می کنند یا استفاده از ابزار های امنیتی اختصاصی، به طور فزاینده ای از رمزگذاری استفاده می کنند.

پیکربندی اشتباه امنیتی

سازمان های مدرن از تعداد زیادی از بستر ها و ابزارهای تکنولوژیکی، به ویژه برنامه های وب، پایگاه های داده و نرم افزار به عنوان برنامه های سرویس (SaaS) یا زیرساخت به عنوان سرویس (IaaS) از ارائه دهندگانی مانند خدمات وب آمازون استفاده می کنند.

سیستم عامل های سازمانی و سرویس های ابری دارای ویژگی های امنیتی هستند، اما اینها باید توسط سازمان پیکربندی شوند. پیکربندی نادرست امنیتی به دلیل سهل انگاری یا خطای انسانی می تواند منجر به نقض امنیت شود. مشکل دیگر “Configuration Drift” است، جایی که پیکربندی امنیتی صحیح، می تواند به سرعت قدیمی شده و سیستم را آسیب پذیر کند، بی آنکه شخصی از کارکنان فناوری اطلاعات یا امنیت مطلع باشد.

سازمان ها می توانند با استفاده از پلتفرم های تکنولوژیکی که به طور مداوم سیستم ها را زیر نظر دارند، پیکربندی نادرست امنیتی را کاهش دهند، مشکل های پیکربندی را شناسایی کرده و در مورد مسائل پیکربندی که سیستم ها را آسیب پذیر می کند، هشدار داده و یا حتی آنها را برطرف کنند.

حملات فعال در برابر حملات غیرفعال Active vs Passive Attacks

امنیت اطلاعات برای محافظت از سازمان ها در برابر حملات مخرب در نظر گرفته شده است. دو نوع اصلی حملات وجود دارد : فعال و غیرفعال. پیشگیری از حملات فعال دشوارتر است و تمرکز بر تشخیص، کاهش و بازیابی آنها است. با اقدامات امنیتی قوی می توان از حملات غیرفعال جلوگیری کرد.

حمله فعال

یک حمله فعال شامل رهگیری یک ارتباط یا پیام و تغییر آن برای اثرات مخرب است. سه نوع متداول از حملات فعال وجود دارد :

وقفه – مهاجم ارتباط اصلی را قطع می کند و پیام های مخرب جدیدی ایجاد می کند و وانمود می کند که یکی از طرفین ارتباط است.

اصلاح – مهاجم از ارتباطات موجود استفاده می کند و یا آنها را برای فریب یکی از طرفین ارتباط مجدد پخش می کند، یا آنها را برای به دست آوردن مزیت تغییر می دهد.

ساخت – مهاجم ارتباطات جعلی یا مصنوعی ایجاد می کند، معمولاً با هدف دستیابی به محرومیت از خدمات (DoS). این مانع از دسترسی کاربران به سیستم ها یا انجام عملیات عادی می شود.

حمله غیر فعال

در یک حمله غیرفعال، یک مهاجم سیستم را رصد می کند، نظارت می کند و اطلاعات را بدون تغییر، به طور غیرقانونی کپی می کند. سپس آنها از این اطلاعات برای ایجاد اختلال در شبکه ها یا به خطر انداختن سیستم های هدف استفاده می کنند.

مهاجمان هیچ تغییری در ارتباطات و سیستم های هدف ایجاد نمی کنند. این امر تشخیص را دشوارتر می کند. با این حال، رمزگذاری می تواند به جلوگیری از حملات غیرفعال کمک کند، چون داده ها را مبهم می کند و استفاده از آن را برای مهاجمان دشوارتر می کند.

در حملات فعال پیام ها، ارتباطات یا داده ها را تغییر می دهند. تهدیدی برای در دسترس بودن و یکپارچگی داده های حساس است. ممکن است به سیستم های سازمانی آسیب برساند. قربانیان معمولاً از این حمله اطلاع دارند. تمرکز اصلی امنیت بر تشخیص و کاهش است.

در حملات غیر فعال، هیچ تغییری در داده ها و سیستم ها ایجاد نمی شود. محرمانه بودن اطلاعات حساس را تهدید می کند. مستقیماً به سیستم های سازمانی آسیب نمی رساند. قربانیان معمولاً از این حمله اطلاعی ندارند. تمرکز اصلی امنیت بر پیشگیری است.

قوانین امنیت اطلاعات و حفاظت از داده ها

امنیت اطلاعات در تعامل مداوم با قوانین و مقررات جا هایی است که یک سازمان در آن، فعالیت می کند. مقررات حفاظت از داده ها در سراسر جهان بر افزایش حریم خصوصی داده های شخصی متمرکز است و محدودیت هایی را در مورد نحوه جمع آوری، ذخیره و استفاده از داده های مشتریان توسط سازمان ها، ایجاد می کند.

حریم خصوصی داده ها بر روی اطلاعات شخصی (PII) متمرکز است و عمدتا به نحوه ذخیره و استفاده از داده ها مربوط می شود. PII شامل هر گونه داده ای است که می تواند مستقیماً به کاربر متصل شود، مانند نام، شماره شناسه، تاریخ تولد، آدرس فیزیکی یا شماره تلفن. همچنین ممکن است شامل مصنوعاتی مانند پست های رسانه های اجتماعی، تصاویر پروفایل و آدرس های IP باشد.

این قوانین در اروپا و آمریکا با هم تفاوت هایی دارند.

امنیت اطلاعات با شرکت هنر توسعه و ارتباطات شایگان

شرکت شایگان به سازمان ها در هر اندازه کمک می کند تا برنامه های امنیت اطلاعات را اجرا کرده و از داده ها و دارایی های حساس محافظت کنند.

شرکت شایگان، حفاظت چند لایه ای را برای اطمینان از در دسترس بودن وب سایت ها و برنامه های کاربردی، به راحتی در دسترس و ایمن ارائه می دهد.

راه حل امنیتی معمولاً شامل موارد زیر است :

DDoS Protection – زمان کارکرد را در همه شرایط حفظ می کند. از هرگونه حمله DDoS، در هر اندازه، از دسترسی به وب سایت و زیرساخت شبکه جلوگیری می کند.

CDN – افزایش عملکرد وب سایت و کاهش هزینه های پهنای باند با CDN طراحی شده برای توسعه دهندگان. هنگام شتاب بخشیدن به API ها و وب سایت های پویا، منابع استاتیک را ذخیره می کند.

WAF-راه حل مبتنی بر ابر به ترافیک قانونی اجازه می دهد و از ترافیک بد جلوگیری می کند و از برنامه های کاربردی در حاشیه محافظت می کند. Gateway WAF برنامه ها و API های درون شبکه شما را ایمن نگه می دارد.

مدیریت ربات – ترافیک ربات شما را برای مشخص کردن ناهنجاری ها تجزیه و تحلیل می کند، رفتار بد ربات را شناسایی کرده و آن را از طریق مکانیسم های چالشی که بر ترافیک کاربران تأثیر نمی گذارد، تصدیق می کند.

امنیت API – از API ها محافظت می کند زیرا اطمینان حاصل می شود که تنها ترافیک مورد نظر می تواند به اند پوینت API شما دسترسی داشته باشد و همچنین سو استفاده ها را شناسایی و مسدود کند.

حفاظت از تصاحب حساب-از یک فرایند تشخیص مبتنی بر قصد برای شناسایی و دفاع از تلاش برای در اختیار داشتن حساب کاربران با اهداف مخرب استفاده می کند.

RASP – برنامه های شما را از درون در برابر حملات شناخته شده و صفر روز ایمن نگه می دارد. محافظت سریع و دقیق بدون امضا یا حالت یادگیری.

تجزیه و تحلیل حمله – تهدید های امنیتی واقعی را به طور موثر و دقیق با اطلاعات عملی در تمام لایه های دفاعی خود کاهش داده و به آنها پاسخ دهید.

راه حل امنیت داده شرکت شایگان، از داده های شما در هر کجا که زندگی می کنید، محافظت می کند – در محل، در ابر و در محیط های ترکیبی. همچنین اطلاعات کاملی در مورد نحوه دسترسی، استفاده و انتقال داده ها به سازمان در اختیار تیم های امنیتی و فناوری اطلاعات قرار می دهد.

رویکرد جامع ما متکی بر لایه های متعدد حفاظتی است، از جمله :

فایروال دیتا بیس- تزریق SQL و سایر تهدید ها را مسدود می کند، در حالی که آسیب پذیری های شناخته شده را ارزیابی می کند.

مدیریت حقوق کاربر – دسترسی به داده ها و فعالیت های کاربران ممتاز را برای شناسایی امتیازات بیش از حد، نامناسب و استفاده نشده نظارت می کند.

پنهان سازی و رمزگذاری داده ها – داده های حساس را مبهم می کند، بنابراین برای هیچ مهاجم فایده ای ندارد، حتی اگر به نحوی استخراج شود.

پیشگیری از اتلاف اطلاعات (DLP) – داده ها را در حال انتقال، در حالت استراحت روی سرورها، در فضای ابری یا دستگاه های اند پوینت بررسی می کند.

تجزیه و تحلیل رفتار کاربر – مبانی رفتار دسترسی به داده ها را تعیین می کند، از ماشین لرنینگ برای تشخیص و هشدار فعالیت های غیرعادی و بالقوه خطرناک استفاده می کند.

کشف و طبقه بندی داده ها – مکان، حجم و زمینه داده ها را در محل و در ابر نشان می دهد.

نظارت بر فعالیت پایگاه داده – پایگاه های داده ارتباطی، انبار های داده، داده های بزرگ و رایانه های اصلی را نظارت می کند تا هشدار های سریع در مورد نقض خط مشی ایجاد کند.

اولویت بندی هشدار – از هوش مصنوعی و فناوری ماشین لرنینگ، برای بررسی رویدادهای امنیتی و اولویت بندی مواردی که بیشترین اهمیت را دارند، استفاده می کند.

امنیت اطلاعات سازمانی

امنیت اطلاعات در یک سازمان بی شک یکی از ارزشمندترین اهداف سازمان ها و کسب و کارهای امروز است و نگرش اصولی مدیران به این موضوع، دغدغه حفاظت از این دارایی ها را در ذهن آن ها ایجاد خواهد نمود.

نتایج تحقیقات انجام شده، بیانگر این واقعیت است که سالانه نیمی از کاربران کامپیوتر، اطلاعات خود را به اشکال مختلف از دست می دهند. بروز نقص در تجهیزات ذخیره سازی داده ها، خطاهای انسانی، سرقت کامپیوترها، حملات ویروسی و خطاهای نرم افزاری و نیز حوادثی نظیر آتش سوزی و زلزله، از شایع ترین عوامل تخریب و از دست دادن اطلاعات و داده های کامپیوتری و دیجیتال است.

شرکت شایگان به منظور حفاظت و امنیت اطلاعات و تامین امنیت سیستم های کامپیوتری و پشتیبانی شبکه، خدمات تخصصی زیر را به شرکت ها ارائه می نماید:

  • برقراری امنیت شبکه و ایجاد سطح دسترسی  کاربران شبکه و اینترنت
  • تعیین سطح دسترسی کابران به اینترنت در راستای افزایش امنیت شبکه و امنیت اطلاعات
  • کنترل دسترسی از راه دور به تجهیزات و برقراری امنیت و تهیه گزارشات دسترسی
  • نصب آنتی ویروس و محافظت کننده های تحت شبکه
  • ایجاد امنیت شبکه های بی سیم
  • بازیابی اطلاعات دیجیتال بر مبنای مکانیزم تهیه نسخه های پشتیبان
  • طراحی و پیاده سازی روال های تهیه نسخه های پشتیبان از اطلاعات و داده های دیجیتال
  • مانیتورینگ روال های تهیه نسخه های پشتیبان از لحاظ صحت عملکرد
  • آزمایش نسخه های پشتیبان از لحاظ یکپارچگی و کارایی
  • حفاظت از داده های دیجیتال در برابر تخریب و دسترسی غیر مجاز
  • پیاده سازی سطوح دسترسی به داده ها
  • پیاده سازی مکانیزم های رمز نگاری بر روی داده ها
  • تامین امنیت  اطلاعات و سیستم های کامپیوتری
  • پیاده سازی حداقل الزامات امنیتی بر روی سیستم های کامپیوتری برای مقابله با تهدیدهای نرم افزاری
  • مانیتورینگ سیستم های کامپیوتری از لحاظ امنیت و صحت عملکرد مکانیزم های امنیتی
  • ذخیره سازی داده ها به صورت امن و پایدار
  • پیاده سازی مکانیزم های پایدار ذخیره سازی داده ها بر روی کامپیوتر سرور
  • مانیتورینگ مکانیزم ها و تجهیزات ذخیره سازی داده ها از لحاظ صحت و کیفیت عملکرد
  • مدیریت طول عمر تجهیزات ذخیره سازی داده ها

منبع: imperva