6 فناوری قدرتمندی که اجازه می‌دهند از کارمندان راه دور محافظت کنید

هنگامی که بیماری کرونا شیوع پیدا کرد و پروتکل‌های قرنطینه در کشورهای مختلف پیاده‌سازی شدند، بخش عمده‌ای از کارمندان شرکت‌ها دورکار شدند. البته این‌گونه به نظر می‌رسد که پس از پایان همه‌گیری، دورکاری به یکی از روندهای اصلی حاکم بر دنیای کسب‌وکار تبدیل شود. در حالی که برخی مدیران عامل کارمندان را تحت فشار قرار می‌دهند تا به محل کار بازگردند، اما در نقطه مقابل، برخی دیگر ترجیح می‌دهند بر مبنای همین شرایط فعالیت‌های تجاری را ادامه دهند. جالب آن‌که برخی از شرکت‌های بزرگ مثل توییتر و فیس‌بوک اعلام کرده‌اند، پس از پایان کرونا ممکن است همین استراتژی را ادامه دهند و به کارمندانی که حضور آن‌ها در سازمان الزامی نیست، اجازه دهند از منازل خود کارهای‌شان را انجام دهند. به اعتقاد بسیاری از کارشناسان منابع انسانی، دورکاری به یکی از گزینه‌های جدی و مورد توجه جویندگان کار تبدیل خواهد شد. در سوی دیگر، بررسی‌ها نشان می‌دهند دورکاری کارمندان، امکان سوءاستفاده مجرمان سایبری از اطلاعات حساس سازمان‌ها را بیشتر می‌کند که دغدغه اصلی مدیران امنیت اطلاعات است. به‌طور طبیعی کارمندان سازمان‌ها اطلاع دقیقی در ارتباط با شگردهای هکرها ندارند و ممکن است به راحتی قربانی مجرمان سایبری شوند و ناخواسته راه ورود به زیرساخت‌های ارتباطی یک سازمان را برای هکرها هموار کنند. از این‌رو سازمان‌ها مجبور هستند از خط‌مشی‌ها و مکانیزم‌های مختلفی برای محافظت از کارمندان استفاده کنند. فناوری‌های کاربردی مثل شبکه‌های با اعتماد صفر، SASE و مدیریت هویت چند نمونه از راه‌حل‌هایی هستند که سازمان‌ها برای ایمن‌سازی کانال‌های ارتباطی کارمندان دورکار، سیستم‌ها و داده‌های‌شان در اختیار دارند. با این‌‌حال، سازمان‌ها برای تحقق چشم‌انداز امنیتی فعالیت‌های تجاری که با شیوع کووید 19 شکل دیگری به خود گرفته و دستخوش تغییرات ناخواسته‌ای شده‌اند باید از پروتکل‌های امنیتی مناسبی برای محافظت از کارکنان راه دور استفاده کنند. بر همین اساس ضروری است، مدیران و کارشناسان امنیتی از ابزارهایی که باعث ایمن‌سازی دورکاری کارکنان می‌شود، استفاده کنند و سازوکاری آماده کنند تا پشتیبانی از تمامی فرایندهای کاری سازمان به‌ساده‌ترین شکل فراهم شود. اولین گامی که باید در این زمینه برداشته شود، اطمینان از حفظ امنیت داده‌ها و یکپارچگی آن‌ها در زمان انتقال است. در این مقاله به معرفی ابزارها و فناوری‌های امنیتی کاربردی می‌پردازیم که اجازه می‌دهند به بهترین شکل سازوکار انجام کار از راه دور را برای کارمندان فراهم و اطمینان حاصل کنید اطلاعات توسط هکرها دستکاری نمی‌شوند یا در زمان انتقال شنود نمی‌شود. 

1- به‌کارگیری گواهینامه‌های TLS

هنگامی که کارمندان، از راه دور به زیرساخت ارتباطی، شبکه یا سامانه‌های سازمان وارد می‌شوند باید از طریق پروتکل‌ها و ارتباطات رمزنگاری شده استفاده کنند. به همین دلیل سامانه‌هایی که از آن‌ها استفاده می‌کنند باید گواهینامه TLS داشته باشند و تمامی ارتباطات مبتنی بر وب از طریق پروتکل HTTPS انجام شود. پروتکل امنیت لایه انتقال TLS سرنام Transport Layer Security یکی از قدرتمندترین پروتکل‌های رمزنگاری است که یک ارتباط ایمن میان سرور و کلاینت در بستر شبکه را پیاده‌‌سازی می‌کند. این پروتکل نسخه بهبود یافته پروتکل SSL است و برخی از معایب پروتکل مذکور را برطرف کرده است. گواهینامه TLS را می‌توان از مراکز صادرکننده خریداری کرد. البته این امکان وجود دارد تا به‌شکل رایگان و در یک بازه زمانی محدود از گواهی‌نامه ارایه شده توسط شرکت‌های دیگر استفاده کرد که این‌کار توصیه نمی‌شود. 

2- پیاده‌سازی راه‌حل‌های اعتماد صفر

• سازمان‌ها با پیاده‌سازی شبکه خصوصی مجازی می توانند قابلیت اطمینان و امنیت بسته‌هایی که میان گره‌های انتهایی یک شبکه مبادله می‌شوند را به میزان قابل توجهی بهبود بخشند. بیشتر شبکه‌های خصوصی مجازی امنیت یکپارچه و خوبی ندارند و به همین دلیل سازمان‌های بزرگ از شبکه‌های خصوصی مجازی که توسط شرکت‌های شناخته شده‌ای مثل Barracuda، Perimeter 81 و WindScribe ارایه می‌شوند استفاده می‌کنند. در کنار به‌کارگیری شبکه خصوصی مجازی، راهکار قدرتمند دیگر، شبکه‌های مبتنی بر اعتماد صفر است که برای تامین امنیت بهتر فرایندهای تجاری از آن‌ها استفاده می‌شود. این معماری ارتباطی، یک مکانیزم مدیریتی قدرتمند و یکپارچه برای کنترل دسترسی به شبکه در اختیار سازمان‌ها قرار می‌دهد. در مدل امنیتی فوق، به‌شکل پیش‌فرض هیچ سیستم، خدمات یا شخصی قابل اعتماد در نظر گرفته نمی‌شود و در تمام مراحل و از هر جایی در داخل یا خارج از شبکه و حتا در محیط‌های مبتنی بر منطقه غیر نظامی (DMZ) سرنام Demilitarized Zone کاربران و دستگاه‌‌ها باید ابتدا احراز و سپس اصالت و هویت آن‌ها تایید شود. در آخرین مرحله باید حداقل سطح دسترسی به منابع متناسب با شرح وظایف به کارمندان تخصیص داده شود. در روش فوق فرض می‌شود کارمندان از مکان‌های پر مخاطره‌ای مثل کافی‌شاپ و هتل‌ها به شبکه‌های سازمانی متصل می‌شوند و وای‌فای آن‌ها زیر نظر هکرها قرار دارد و تمامی بسته‌های اطلاعاتی که برای سازمان ارسال یا از آن دریافت می‌کنند توسط هکرها شنود می‌شود. این نگرش سخت‌گیرانه تنها برای داده‌های در حال انتقال از شبکه اعمال نمی‌شود و برای داده‌هایی که در وضعیت سکون قرار دارند (روی بانک‌های اطلاعاتی ذخیره‌سازی شده‌اند) نیز صدق می‌کند. تاد تیمن (Todd Thiemann) مدیر بازاریابی شرکت نرم‌افزاری Socure  مستقر در سانفرانسیکو که در زمینه هوش تهدید فعالیت می‌کند، معتقد است: «حرکت به سمت اعتماد صفر، نوعی تغییر نگرش است. این روزها مفهوم محیط شبکه داخلی ایمن منسوخ شده است. بنابراین اگر فقط بر امنیت یک پورت یا حتا یک سوییچ تمرکز دارید، هیچ‌گاه متوجه نخواهید شد ترافیکی که از طریق تجهیزات مورد استفاده برای دورکاری عبور می‌کنند ایمن است یا خیر، زیرا هیچ نظارتی روی آن‌ها ندارید». علاوه بر این، برنامه‌نویسان مستقر در شرکت‌های نرم‌افزاری باید کدها را بررسی کنند و بخش‌هایی از کدها که مبتنی بر فرضیات امنیتی قدیمی هستند و سنخیت چندانی با فناوری‌های روز ندارند را پیدا و ویرایش کنند. به‌طور مثال، آیا یک برنامه کاربردی وب‌محور به هر درخواست دسترسی به یک صفحه وب پاسخ می‌دهد، آیا برنامه مذکور به کاربران اجازه می‌دهد به عنوان میهمان به برخی از منابع دسترسی داشته باشند، آیا تمام کاربرانی که دارای حساب کاربری در یک سیستم هستند، به عنوان مدیر سیستم در نظر گرفته می‌شوند؟ بنابراین کارشناسانی که مسئولیت طراحی معماری و توسعه برنامه‌ها را دارند باید کدها را برای حرکت به سمت الگوی اعتماد صفر بازبینی کنند. آن‌ها باید برخی کدها را با اضافه کردن ماژول‌هایی مثل احراز هویت درست و مناسب ویرایش کنند. حتا ممکن است برخی برنامه‌ها به بازطراحی مجدد نیاز داشته باشند.
• یکی از ساده‌ترین روش‌ها در این زمینه، ایمن‌سازی داده‌هایی است که قرار است برای مدت زمان طولانی از آن‌ها استفاده نشود. تیمن می‌گوید: «ما یکی از شرکای بزرگ مایکروسافت در ارتباط با فناوری آژور هستیم که تخصص ما در زمینه رمزنگاری داده‌های ساکن است. داده‌های ساکن محدود به اطلاعات هویتی یا داده‌های حساس کاربران نمی‌شوند و مطابق با تعاریف استاندارد به هر نوع داده‌ای که انتقال پیدا نمی‌کند یا در حال استراحت هستند داده‌های ساکن گفته می‌شود که باید رمزنگاری شوند».
• آژور مثل سایر زیرساخت‌های ابری مهم راه‌حل‌هایی برای امن‌سازی داده‌ها ارایه می‌کند. اوراکل و سایر شرکت‌های فعال در حوزه بانک‌های اطلاعاتی برای ساده‌تر کردن این فرایند، یک بسته توسعه نرم‌افزاری در اختیار توسعه‌دهندگان قرار داده‌اند که شامل ابزارهایی است که برای توسعه الگوریتم‌ها و ماژول‌های امنیتی قابل استفاده هستند. به این ترتیب، اگر هکرها موفق شوند به زیرساخت‌های یک سازمان نفوذ کنند و حتا به سرقت اطلاعات بپردازند، قادر به مشاهده محتوای فایل‌ها نیستند، زیرا اصل محرمانگی داده‌ها در این حالت حفظ شده است. 

3- طراحی و  پیاده‌سازی راه‌حل لبه سرویس دسترسی امن (SASE)

یکی دیگر از مکانیزم‌های قدرتمند در زمینه ایمن‌سازی سامانه‌هایی که قرار است به اینترنت متصل شوند، اضافه کردن یک سامانه نظارتی ویژه است که در آن همه کاربران و درخواست‌های دریافت داده توسط آن‌ها قبل از اجرایی شدن، ابتدا احراز هویت شده و دسترسی لازم به آن‌ها داده می‌شود. یکی از مدل‌های قدرتمند که برای پیاده‌سازی این معماری در دسترس سازمان‌ها قرار دارد، فناوری لبه سرویس دسترسی امن (SASE) است. این راه‌حل قدرتمند عملکردی کارآمدتر نسبت به دیوارهای آتش ساده دارد و می‌تواند داده‌های موجود در درخواست‌ها را بررسی کند و تصمیم‌گیری هوشمندانه‌ای بر مبنای نوع آن‌ها و منطبق با خط‌مشی‌های تعیین شده اتخاذ کند. این لایه جدید را می‌توان برای محافظت از سرویس‌های وب به ویژه آن‌هایی که در محیط‌های ابری میزبانی می‌شوند، پیاده‌سازی کرد. در این حالت، کامپیوتر کاربر تنها با فناوری SASE مرتبط است و سرویس‌ها تنها به درخواست‌هایی پاسخ می‌دهند که توسط فناوری SASE بررسی شده باشند. امروزه شرکت‌هایی مثل Citrix، Palo Alto Networks و McAfee راه‌حل‌هایی برای پیاده‌سازی فناوری SASE در دسترس سازمان‌ها قرار می‌دهند، حتا اگر زیرساخت‌ها ابرمحور نباشند. برای اطلاعات بیشتر در این زمینه به مقاله معماری چند منطقه‌ای شبکه گسترده- نرم‌افزارمحور سیتریکس شماره 243 ماهنامه شبکه مراجعه کنید. 

4- امنیت فضای ذخیره‌سازی ابری سازمان

• کامپیوترهای کارمندان گزینه مناسبی برای ذخیره‌سازی داده‌ها و اسناد حساس سازمانی نیست. به بیان دقیق‌تر، کارکنان نباید قابلیت ذخیره‌سازی اطلاعات حساس روی درایوهای رمزنگاری نشده را داشته باشند. به‌علاوه، آن‌ها نباید داده‌ها را در مکانی قرار دهند که امکان سرقت یا دستکاری عمدی آن‌ها وجود دارد. بدافزارها و به ویژه باج‌افزارها هنوز هم یکی از تهدیدات مهم هستند که به راحتی قادر به نابود کردن داده‌ها هستند. امروزه بیشتر شرکت‌های فعال در حوزه ابر مثل دراپ‌باکس، قابلیت رمزنگاری داده‌های در حال استراحت را برای به حداکثر رساندن سطح امنیتی در دسترس کاربران قرار می‌دهند. علاوه بر این، توسعه‌دهندگانی که کدهای سازمانی را روی مخازنی مثل گیت‌هاب (GitHub)، گیت‌لب (GitLab) یا بیت‌باگت (Bitbucket) ذخیره‌سازی می‌کنند باید به‌طور منظم آن‌ها را بررسی کنند. تحلیل‌گران داده‌ها نیز بهتر است از سرویس‌هایی مثل Saturn Cloud، Matrix DS یا Collaboratory برای امن‌سازی داده‌ها استفاده کنند.
• آمارها نشان می‌دهند بیشتر سازمان‌ها در حال حرکت به سمت نسخه تحت وب ابزارهای محبوبی مثل آفیس، Google Workspace و Microsoft Teams هستند. این ابزارها علاوه بر انعطاف‌پذیری زیادی که دارند، نصب پیچیده‌ای ندارند و قابلیت ذخیره‌سازی ایمن و رمزنگاری شده اطلاعات را دارند. 
• با این‌حال، فراموش نکنید این ابزارها باید مثل سایر ابزارها بررسی شوند تا مشکلات یا نواقص احتمالی آن‌ها قبل از آن‌که توسط نفوذگران مورد سوءاستفاده قرار گیرند، شناسایی و برطرف شوند.

5- اجرای مکانیزم‌های احراز هویت چندعاملی

شناسایی و احراز هویت کاربران یکی از مهم‌ترین مباحثی است که سازمان‌ها با آن در ارتباط هستند. در شرایطی که برخی کارشناسان فناوری‌اطلاعات تصور می‌کنند روش‌های قدیمی استفاده از نام کاربری و کلمه عبور هنوز هم عملکرد سابق را دارند، اما دقت کنید که وجود لایه‌های امنیتی بیشتر، بهتر است. ساده‌ترین را‌ه‌حل، ملزم ساختن کاربران به استفاده از یک روش احراز هویت مضاعف مبتنی بر شماره تلفن همراه کارمندان به همراه نام کاربری و گذرواژه برای ورود به سامانه‌های حساس سازمانی است. برخی از سرویس‌ها مثل Twilio، Vonage، Plivo و Telnyx  واسط‌های برنامه‌نویسی کاربردی خاصی برای پشتیبانی از روش‌های مختلف احراز هویت مثل پیامک ارایه می‌کنند. در حالت پیشرفته‌تر، سازمان‌های بزرگ از برنامه‌های کاربردی خاصی استفاده می‌کنند که می‌توانند گذرواژه‌های زمان‌دار تولید کنند. در ابزارهایی مثل Google Authenticator، FreeOTP و LinOTP کاربران ابتدا یک گذرواژه اصلی (Master) برای دسترسی به سامانه را حفظ می‌کنند و سپس هر زمان قصد ورود به سرویسی را داشته باشند، یک کلمه عبور جدید در آن لحظه برای آن‌ها تولید می‌شود. عملکرد سرویس فوق درست مثل زمانی است که قصد ورود به حساب بانکی خود را دارید که بانک یک پین‌کد برای ورود به وب‌سایت برای شماره موبایل‌تان ارسال می‌کند که تنها یک دقیقه اعتبار دارد. افزایش تعداد بدافزارهای تلفن‌های همراه باعث شده تا سازمان‌ها به سراغ ساخت توکن‌های سخت‌افزاری اختصاصی بروند که تمامی الگوریتم‌های احراز هویت و رمزنگاری را در یک سخت‌افزار خاص پیاده‌سازی کرده‌اند. ابزارهایی مثل RSA SecurID، Yubikey یا Onlykey در برابر حملاتی که امکان نفوذ به سیستم‌عامل‌ تلفن‌های همراه یا کامپیوترها را دارند، مقاوم هستند و به بهبود سطح امنیت کمک می‌کنند.

6- پیاده‌سازی راه‌حل‌های مدیریت هویت و دسترسی

• یکی از مهم‌ترین نکاتی که در مورد ابزارهای مورد استفاده برای احراز هویت چندعاملی باید به آن دقت کنید قابلیت کار با سامانه‌های سازمانی است. این موضوع یک چالش مهم برای توسعه‌دهندگان است. به همین دلیل سازمان‌ها به سراغ سرویس‌های مدیریت هویت و دسترسی (به این مدل، ارایه هویت به شکل سرویس یا احراز هویت در قالب سرویس گفته می‌شود) روی آورده‌اند.
• نرم‌افزارهای شرکت‌هایی مانند Auth0 و Okta می‌توانند فرایند مدیریت هویت و دسترسی را با استفاده از بهترین الگوریتم‌ها انجام دهند. به‌طور مثال، Auth0 یک کیت توسعه کارآمد در اختیار توسعه‌دهندگان قرار می‌دهد تا از طریق کپی و پیست کردن چند خط کد، برنامه‌هایشان را امن کنند.
• کد Auth0 یک کادر لاگین اضافه می‌کند و سرورهای Auth0، کلمه عبور را بررسی می‌کنند. آن‌ها در صورت نیاز قابلیت پیاده‌سازی خط‌مشی‌های قدرتمندتری مثل پیاده‌سازی احراز هویت دوعاملی را دارند. به‌علاوه، اگر نیاز به ارسال کد به یک برنامه تلفن همراه یا ارسال پیامک ضروری باشد، سرورهای Auth0 می‌توانند این‌کار را انجام دهند.
• Okta نیز سرویس‌های تقریبا مشابهی ارایه می‌کند که شامل مجموعه‌ای از ابزارهای مدیریت و احراز هویت است. سرویس‌های مذکور امکان پیاده‌سازی این خدمات را به شکل انعطاف‌پذیر دارند و به ساده‌سازی فرایند ساخت حساب کاربری و تخصیص دسترسی‌های مناسب کمک زیادی می‌کنند.
• این سرویس‌ها گزینه‌های مختلفی برای کم کردن وابستگی به گذرواژه، در دسترس سازمان ها قرار می‌دهند که زمانی کاربرد پیدا می‌کنند که لپ‌تاپ یا گوشی کاربر به سرقت رفته باشد. این شرکت‌ها با ارایه داشبوردی وب‌محور جهت نظارت بر رفتار کاربران، اضافه کردن حساب‌های کاربری جدید و تنظیم نقش‌های دسترسی روند نظارت بر حساب‌های کاربری را ساده‌تر از قبل کرده‌اند و به توسعه‌دهندگان کمک می‌کنند لایه مضاعف و پیچیده‌‌ای به برنامه‌های خود اضافه کنند که کارهای احراز هویت و شناسایی از طریق کدها ساده‌تر از قبل شود. 

بازنگری تئوری‌های موجود درباره امنیت دورکاری

نکته مهمی که باید به آن دقت کنید این است که برخی مراحل پیچیده امنیت سایبری، به معنای واقعی کلمه فنی نیستند، بلکه مبتنی بر تجربه، مهارت و قدرت تحلیل هستند. به همین دلیل، مدیران و کارمندان تیم‌های امنیت و فناوری‌اطلاعات باید یکبار دیگر استراتژی‌هایی که در مورد دسترسی از راه دور به سامانه‌ها در اختیار کارمندان قرار داده‌اند را دومرتبه بررسی کنند تا آسیب‌پذیری‌های مستتر را قبل از آن‌که به بحران جدی تبدیل شوند شناسایی کنند. به‌طور مثال، عدم وصله آسیب‌پذیری‌های Exchange Server یا سایر نرم‌افزارهایی که امکان دسترسی از راه دور به منابع را به وجود می‌آورند باعث می‌شوند تا کانال‌های ارتباطی به راحتی قربانی حمله‌های هکری شوند. در نهایت به این نکته مهم دقت کنید که کارمندان سازمان و حتا کارشناسان بخش امنیت نیازمند آموزش‌های مستمر هستند. به ویژه در این برهه زمانی که روش‌های نفوذ به سیستم‌ها و شبکه‌های سازمانی شکل پیچیده‌تری به خود گرفته‌اند. درست است که همه‌گیری کرونا راه‌های جدیدی پیش‌روی مهاجمان و نفوذگران سایبری قرار داده، اما با طراحی مناسب سازوکارهای امنیتی و اطمینان از رعایت آن‌ها توسط همه کارکنان می‌توان شانس موفقیت مجرمان سایبری برای حمله به کارکنان دورکار را کم کرد.