اقداماتی جهت پیش گیری از نشت داده سازمان ها

خط رند ۹۱۲: عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبکه اینترنت، دقت در راه اندازی پایگاه های داده و خودداری از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب از مواردی است که مرکز ماهر بعنوان اقدامات پایه ای جهت پیش گیری از نشت اطلاعات سازمان ها و کسب وکارها به آنها اشاره نموده است.
به گزارش خط رند ۹۱۲ به نقل از ایسنا، لو رفتن اطلاعات شخصی مربوط به کاربران تلگرامی به سبب استفاده از نسخه های غیررسمی این اپلیکیشن و استفاده کنندگان از فروشگاه های آنلاین داخلی و حتی اطلاعات ثبت احوالی ایرانیان در ایام ابتدایی فروردین ماه امسال، به یکی از مهم ترین و پرجنجال ترین اخبار تبدیل شد.
البته بعد از نگرانی های کاربران درباره انتشار این اطلاعات، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) بعنوان یکی از زیرمجموعه های سازمان فناوری اطلاعات، اعلام نمود با رصد جهت کشف بانکهای اطلاعاتی حفاظت نشده، به صاحبان آنها آگهی داده خواهد شد و در صورتیکه ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، بمنظور حفظ داده ها و حفاظت از حریم خصوصی شهروندان، به مراجع قضایی معرفی می شود.
همین طور امیر ناظمی -رئیس سازمان فناوری اطلاعات- اشاره کرد: هرچند قانون حفاظت از داده های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان ها و دستگاه ها به حفاظت از داده های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی دهد. تک تک این مواد قانونی می تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده ها سهل انگاری کرده است.
در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) دستورالعملی با محوریت اقدامات پایه ای جهت پیش گیری از نشت اطلاعات سازمان ها و کسب وکارها منتشر نمود که در آن آمده است: طی هفته های اخیر، موارد مختلفی از نشت اطلاعات مختلف از پایگاه های داده ی شرکت ها و سازمان های دولتی و خصوصی در فضای مجازی منتشر گردید. این موارد در کنار سایر نمونه هایی که بطور خصوصی و مسئولانه به این مرکز گزارش می شوند و یا در رصدهای مداوم کارشناسان مرکز ماهر شناسایی می شوند، عموما متاثر از لیست مشترکی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است.
این ضعف ها موجب می شوند در بعضی موارد دسترسی به داده های سازمان ها و کسب وکارها حتی نیاز به دانش پایه ای هک و نفوذ نداشته باشد و با یکسری بررسی ها و جست وجوهای ساده داده ها افشا می شوند. پس بمنظور پیش گیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه ها اکیدا سفارش می شود اقدامات زیر صورت پذیرد:
عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه های داده بوسیله اینترنت برقرار نگردد. یکی از مواردی که موجب این اشتباه بزرگ می شود روال پشتیبانی شرکت های ارائه دهنده راهکارهای نرم افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خودرا گردنگیر به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی می کنند. در صورت اجبار شرکت ها و سازمان ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با بهره گیری از VPN ایجاد شود.
دقت در راه اندازی پایگاه های داده خصوصاً انواع پایگاه های داده NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است خیلی از موارد نشت اطلاعات مربوط به پایگاه های داده ای است که بطور موقت و جهت انجام کارهای موردی و کوتاه مدت به راه افتاده است. لازم است اهمیت و حساسیت این نوع پایگاه های داده هم تراز پایگاه های اصلی درنظر گرفته شود.
بررسی و غیرفعال سازی قابلیت Directory Listing غیرضروری در سرویس دهنده های وب جهت جلوگیری از دسترسی به فایل ها.
دقت در وضعیت دسترسی به دایرکتوری های محل بارگزاری داده ها و اسناد توسط کاربران سایت نظیر دایرکتوری های uploads و temp و… علاوه بر ضرورت کنترل دسترسی ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس بیرون بروند.
سرویس دهنده رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra باتوجه به انتشار عمومی لطمه پذیری های حیاتی و اکسپلویت های مربوطه طی یک سال قبل مورد سواستفاده جدی قرار گرفته اند. در صورت استفاده از این سرویس دهنده ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله های امنیتی انتشار یافته اطمینان حاصل شود.
از عدم دسترسی مستقیم بوسیله اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و… اطمینان حاصل کنی. این دسترسی ها لازم است بوسیله سرویس VPN اختصاصی و یا برمبنای آدرس IP مبدا مجاز محدود شوند.
از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب خودداری کنید.
جهت اطمینان از عدم وجود دسترسی به سرویس ها و سامانه ها به صورت ناخواسته، نسبت به اسکن ساده ی خدمات فعال بر روی بلوک های IP سازمان خود به صورت مداوم اقدام نموده و خدمات مشاهده شده ی غیرضروری را از دسترسی خارج کنید.
البته این موارد به هیچ عنوان جایگزین فرایندهای کامل امن سازی و ارزیابی امنیتی نبوده و فقط برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.

منبع: