امنیت اطلاعات

امنیت اطلاعات (information security) که به اصطلاح infosec نیز خوانده می‌شود به مجموعه‌ای از اقدامات برای ایمن نگه داشتن داده‌ها از دسترسی یا تغییرات غیرمجاز، چه هنگام ذخیره سازی و چه هنگام انتقال از یک دستگاه یا مکان فیزیکی به دستگاه یا مکان دیگر، گفته می‌شود. امنیت اطلاعات گاهی با نام امنیت داده نیز شناخته می‌شود. از آنجا که دانش به یکی از مهمترین سرمایه‌های قرن بیست و یکم تبدیل شده است، ایمن نگه داشتن آن نیز بسیار اهمیت دارد.

SANS موسسه ای است که در زمینه امنیت اطلاعات و آموزش مفاهیم آن فعالیت می‌کند. تعریفی که این موسسه از infosec ارائه کرده است به شرح زیر می‌باشد:

” امنیت اطلاعات فرآیندها و روشهایی است که برای محافظت از اطلاعات در برابر دسترسی غیرمجاز، سوء استفاده، افشا، تخریب، اصلاح یا ایجاد اختلال طراحی و اجرا می‌شوند. این اطلاعات می‌تواند به صورت چاپی، الکترونیکی یا اطلاعات محرمانه، خصوصی و حساس یا هر شکل دیگری باشد.”

امنیت اطلاعات در مقابل امنیت سایبری

امنیت اطلاعات به عنوان عبارتی برای “دستگاه‌های دیجیتال و خانواده آن” مورد استفاده قرار می‌گیرد، شاید شما هم دیده باشید که امنیت اطلاعات و امنیت سایبری(cybersecurity) به جای یکدیگر استفاده می‌شوند. به عبارت دقیق‌تر، امنیت سایبری برای دفاع از دارایی‌های فناوری اطلاعات در برابر حمله است و امنیت اطلاعات یک رشته خاص در زیر چتر امنیت سایبری است.

امنیت اطلاعات

مولفه‌های اصلی امنیت اطلاعات چیست؟

سه مولفه اصلی امنیت اطلاعات که به صورت خلاصه CIA نامیده می‌شوند عبارتند از: محرمانگی (confidentiality)، درست بودن(integrity) و در دسترس بودن(availability).

محرمانه بودن شاید همان عنصر سه گانه‌ای باشد که وقتی به امنیت اطلاعات فکر می‌کنید ، بلافاصله به ذهن خطور می‌کند. اطلاعات محرمانه شامل اطلاعاتی است که تنها برخی افراد اجازه دسترسی به آنها را دارند. برای اطمینان از محرمانه بودن، تنها باید افراد مجاز به داده دسترسی داشته باشند و سایر تلاش‌ها برای دستیابی به داده، مسدود شود. رمزهای عبور، تکنیک‌های رمزگذاری، احراز هویت و دفاع در برابر حملات نفوذ، همه تکنیک‌هایی هستند که برای اطمینان از محرمانه بودن اطلاعات طراحی شده اند.

یکپارچگی به معنای حفظ داده‌ها در حالت صحیح آن و جلوگیری از اصلاح نادرست آن، چه به صورت تصادفی و چه به صورت خرابکارانه است. بسیاری از تکنیک‌های محرمانه بودن از یکپارچگی داده‌ها نیز محافظت می‌کنند – به هر حال، یک هکر نمی تواند داده‌هایی را که نمی تواند به آنها دسترسی پیدا کند، تغییر دهد – اما ابزارهای دیگری نیز وجود دارد که به شما کمک می‌کند تا یکپارچگی را حفظ کنید: مثلا chechsumها به شما کمک می‌کنند داده‌ها را تأیید کنید و نرم افزار کنترل نسخه و پشتیبان گیری می‌تواند به شما کمک کند در صورت لزوم داده‌ها را به حالت صحیح برگردانید.

در دسترس بودن، برعکس محرمانه بودن است: باید مطمئن شوید کاربران غیرمجاز به داده‌های شما دسترسی ندارند. در عین حال افرادی که مجوزهای مناسب را دارند، باید بتوانند به این داده‌ها دسترسی داشته باشند.

در حالت ایده آل، داده‌های شما همیشه باید محرمانه ، درست و در دسترس باشند. در عمل شما اغلب باید انتخاب کنید که به کدام یک از اصول امنیت اطلاعاتی پایبند باشید، و این نیاز به ارزیابی داده‌های شما دارد. به عنوان مثال، اگر اطلاعات حساس پزشکی را ذخیره می‌کنید، روی محرمانه بودن تمرکز خواهید کرد، در حالی که یک موسسه مالی ممکن است بر اطمینان از صحت داده‌ها تأکید داشته باشد تا مطمئن باشد که حساب بانکی هیچ فردی نادرست نیست.

مولفه‌های امنیت اطلاعات

سیاست امنیت اطلاعات در هر سازمانی چگونه تعیین می‌شود؟

اینکه کدام یک از اصول سه گانه باید برای یک سازمان اعمال ‌شود، سیاست امنیتی را مشخص می‌کند. این سیاست، یک سندی است که یک کسب و کار یا سازمان بر اساس نیازها و مشکلات خاص خود تهیه می‌کند تا مشخص کند، چه داده‌هایی و از چه راه‌هایی باید محافظت شوند. این سیاست‌ها تصمیمات سازمان را در مورد تهیه ابزارهای امنیت سایبری تعیین، و رفتار و مسئولیت‌های کارمندان را مشخص می‌کند.

اقدامات امنیت اطلاعات

اقدامات فنی: شامل سخت افزار و نرم افزاری است که از داده‌ها محافظت می‌کند – از رمزگذاری گرفته تا دیوار آتش.

اقدامات سازمانی: شامل ایجاد یک واحد داخلی اختصاص یافته به امنیت اطلاعات ، همراه با قرار بخش امنیت اطلاعات در لیست وظایف بعضی از کارمندان در  هر دپارتمان.

اقدامات انسانی: شامل آموزش‌های آگاهی بخش برای کاربران در مورد روش‌های مناسب تامین امنیت اطلاعات.

ابزارهای فیزیکی: شامل کنترل دسترسی به مکان‌های دفتر و به ویژه مراکز داده است.

انواع امنیت اطلاعات

امنیت برنامه: امنیت برنامه موضوعی گسترده است که آسیب پذیری‌های نرم افزار در برنامه‌های وب و تلفن همراه و رابط‌های برنامه نویسی کاربردی(API) را پوشش می‌دهد. این آسیب پذیری‌ها را می‌توان در احراز هویت یا تایید اعتبار کاربران، یکپارچگی کد و پیکربندی‌ها، و خط مشی‌ها و رویه‌‌ها مشاهده کرد. این برنامه امنیتی شامل اقداماتی است که از برنامه‌ها و APIها محافظت می‌کند. می‌توانید از این راهکارها برای پیشگیری، شناسایی و اصلاح اشکالات یا سایر آسیب پذیری‌های برنامه‌های خود استفاده کنید. اغلب برنامه‌های امنیت برنامه، ابزارهایی برای شناسایی آسیب پذیری دارند.

امنیت برنامه‌های کاربردی

امنیت ابر: امنیت ابر بر ساخت و میزبانی برنامه‌های امن در محیط‌های ابری و استفاده ایمن برنامه‌های ابری شخص ثالث تمرکز دارد. “Cloud” به این معنی است که برنامه در یک محیط مشترک در حال اجرا است. مشاغل باید اطمینان حاصل کنند که بین فرآیندهای مختلف در محیط‌های مشترک ، تفکیک لازم وجود دارد.

هنگام استفاده از منابع و برنامه‌های میزبان ابر، غالبا قادر به کنترل کامل محیط خود نیستید زیرا زیرساخت‌ها معمولا برای شما مدیریت می‌شوند. این بدان معنی است که اقدامات امنیتی ابری باید کنترل محدود را در نظر گرفته و اقدامات لازم را برای محدود کردن دسترسی و آسیب پذیری ناشی از فروشندگان در نظر بگیرد.

رمزنگاری: رمزنگاری برای ایمن سازی اطلاعات از روش پنهان کردن مطالب، که با نام رمزگذاری شناخته می‌شود، استفاده می‌کند. وقتی اطلاعات رمزگذاری می‌شوند، فقط برای کاربرانی که کلید رمزگذاری صحیح دارند قابل دسترس است. اگر کاربران این کلید را نداشته باشند، اطلاعات نامفهوم است. رمزگذاری داده موجب اطمینان از محرمانه بودن و یکپارچگی داده‌ها در هنگام جابه جایی یا در ذخیره سازی می‌شود.

رمز گذاری یکی از روش‌های حفظ امنیت اطلاعات

برای رمزگذاری اطلاعات ، تیم‌های امنیتی از ابزاری مانند الگوریتم‌های رمزگذاری یا فناوری‌هایی مانند بلاکچین استفاده می‌کنند. الگوریتم‌های رمزگذاری، همچون استاندارد رمزگذاری پیشرفته (AES) ، بیشتر رایج هستند زیرا این ابزارها دارای پشتیبانی قوی‌تر و سربار کمتری هستند. امضای دیجیتال معمولاً در رمزنگاری برای تأیید صحت داده‌ها استفاده می‌شود. رمزنگاری و رمزگذاری امروزه بسیار مهم هستند.

امنیت زیرساخت: زیرساخت‌های امنیتی با حفاظت از شبکه‌های داخلی و خارجی، آزمایشگاه‌ها، مراکز داده، سرورها، رایانه‌های رومیزی و دستگاه‌های تلفن همراه سروکار دارند. افزایش ارتباطات در زیر ساخت‌ها، منجر به افزایش ریسک شده است. با آسیب دیدن بخشی از زیر ساخت، تمام اجزای وابسته نیز تحت تاثیر قرار می‌گیرند. به همین دلیل ، هدف مهم امنیت زیرساخت، به حداقل رساندن وابستگی‌ها و جداسازی اجزای سازنده است در حالی که هنوز ارتباطات داخلی امکان پذیر است.

پاسخ به عمل خرابکارانه: مجموعه ای از ابزارها یا فرآیندهایی است که با استفاده از آن رفتار آسیب رسان را کنترل و بررسی می‌کند. این آسیب شامل هرگونه صدمه ای است که به اطلاعات وارد می‌شود، مانند از دست دادن اطلاعات یا سرقت آن.

کارکنان فناوری اطلاعات باید یک برنامه پاسخگویی به حوادث برای مهار تهدید و بازیابی شبکه داشته باشند. علاوه بر این، این برنامه باید اطلاعات این حمله را برای تجزیه و تحلیل و پیگیری احتمالی نگهداری کند. این داده‌ها می‌توانند به جلوگیری از نقض بیشتر کمک کرده و به کارکنان در کشف مهاجم کمک کنند. ابزاری که معمولاً برای پاسخگویی به حادثه استفاده می‌شود ، یک طرح پاسخ به حادثه (IRP) است. IRP نقش‌ها و مسئولیت‌های پاسخگویی به حوادث را مشخص می‌کند. این برنامه‌ها همچنین سیاست‌های امنیتی را اطلاع می‌دهند و رهنمودها یا رویه‌هایی را برای اقدام ارائه می‌دهند.

اهمیت داشتن برنامه‌ای برای پاسخگویی به حملات

مدیریت آسیب پذیری: مدیریت آسیب پذیری فرآیند، بررسی محیط برای کشف نقاط ضعف (مانند نرم افزارهای مخرب) و اولویت بندی رفع این مشکلات بر اساس درجه ریسک آنها است.

در بسیاری از شبکه‌ها، مشاغل دائما در حال افزودن برنامه‌ها، کاربران، زیرساخت‌ها و موارد دیگر هستند. به همین دلیل، اسکن مداوم شبکه برای آسیب پذیری‌های احتمالی مهم است. یافتن یک آسیب پذیری می‌تواند از هزینه‌های فاجعه بار ایجاد اختلال در تجارت شما پیشگیری نماید.

جبران خسارت: استراتژی‌های جبران خسارت، سازمان را در برابر ضرر و زیان ناشی از حوادث غیر مترقبه همچون باج افزار ، بلایای طبیعی و … محافظت می‌کند. استراتژی‌های جبران خسارت معمولاً نحوه بازیابی اطلاعات، نحوه بازیابی سیستم‌ها و از سرگیری فعالیت‌ها را در بر می‌گیرد.

مخاطرات رایج امنیت اطلاعات

در کارهای روزمره ، بسیاری از خطرات می‌توانند بر روی سیستم و امنیت اطلاعات شما تاثیر بگذارند. برخی از خطرات رایج که باید نسبت به آنها آگاه باشید در ادامه ذکر شده است:

حملات مهندسی اجتماعی: مهندسی اجتماعی شامل استفاده از روانشناسی برای فریب کاربران در ارائه اطلاعات یا دسترسی به اطلاعات آنها است. فیشینگ یکی از انواع متداول حملات مهندسی اجتماعی است که معمولاً از طریق ایمیل انجام می‌شود. در حملات فیشینگ ، مهاجمان تظاهر می‌کنند که قابل اعتماد یا از مراجع قانونی هستند و درخواست اطلاعات می‌کنند یا به کاربران در مورد انجام کاری اخطار می‌دهند. به عنوان مثال ، در ایمیل‌ ممکن است از کاربران بخواهند مشخصات شخصی را گزارش کنند یا از طریق یک پیوند مخرب وارد حساب‌های شما شوند. در صورت رضایت کاربران، مهاجمان می‌توانند به اطلاعات معتبر یا اطلاعات حساس دیگر دسترسی پیدا کنند.

تهدیدات مداوم پیشرفته (APT): APT‌ها تهدیداتی هستند که در آن افراد یا گروه‌ها به سیستم شما دسترسی پیدا می‌کنند و برای مدت طولانی باقی می‌مانند. مهاجمان این حملات را برای جمع آوری اطلاعات حساس به مرور زمان یا به عنوان زمینه ای برای حملات آینده انجام می‌دهند. حملات APT توسط گروه‌های سازمان یافته‌ای انجام می‌شود که ممکن است توسط دولت‌های ملی، سازمان‌های تروریستی یا رقبای صنعت حمایت می‌شوند.

تهدیدات داخلی: تهدیدات داخلی آسیب پذیری‌هایی است که توسط افراد سازمان شما ایجاد می‌شود. این تهدیدها ممکن است تصادفی یا عمدی باشد و شامل سوء استفاده مهاجمان از امتیازات “مشروع” برای دسترسی به سیستم‌ها یا اطلاعات شود. در صورت تهدیدات تصادفی ، کارمندان ممکن است ناخواسته اطلاعات را به اشتراک بگذارند یا افشا کنند ، بدافزار را دانلود کنند و اعتبار خود را در معرض سرقت قرار دهند. در تهدیدات عمدی، افراد داخلی به قصد منافع شخصی یا شغلی، به اطلاعات عمدا صدمه می‌زنند، اطلاعات را برای افراد غیرمجاز منتشر می‌کنند یا اطلاعات را سرقت می‌کنند.

تهدیدات امنیت اطلاعات

Cryptojacking: Cryptojacking که به آن استخراج رمزنگاری نیز گفته می‌شود ، زمانی است که مهاجمان از منابع سیستم شما برای استخراج ارز رمزنگاری شده سوء استفاده می‌کنند. مهاجمان معمولا این کار را با فریب کاربران برای دانلود بدافزار یا هنگامی که کاربران پرونده‌هایی با اسکریپت‌های مخرب را باز می‌کنند ، انجام می‌دهند. برخی از حملات به صورت محلی هنگام بازدید کاربران از سایتهایی که دارای اسکریپت‌های مخرب هستند نیز انجام می‌شوند.

قطع یا ایجاد اختلال در ارائه سرویس توزیع شده(DDoS): حملات DDoS هنگامی رخ می‌دهد که مهاجمان، سرورها یا منابع را بیش از حد درخواست می‌کنند. مهاجمان می‌توانند این حملات را به صورت دستی یا از طریق بات نت‌ها، انجام دهند. هدف از حمله DDoS جلوگیری از دسترسی کاربران به خدمات یا مشغول کردن تیم‌های امنیتی در هنگام وقوع حملات دیگر است.

باج افزار: حملات باج افزار از بدافزار برای رمزگذاری داده‌های شما و نگه داشتن آنها برای باج استفاده می‌کند. به طور معمول ، مهاجمان در ازای رمزگشایی داده‌ها، اطلاعاتی را می‌خواهند به دست بیاورند یا اقدامی انجام دهند یا پرداختی را از سازمانی انجام دهند. بسته به نوع باج افزار استفاده شده ، ممکن است نتوانید داده‌های رمزگذاری شده را بازیابی کنید. در این موارد ، فقط می‌توانید داده‌های سیستم را با داده هایی که تمیز هستند، بازیابی کنید.

حمله MitM: حملات MitM زمانی اتفاق می‌افتد که ارتباطات از طریق کانال‌های ناامن ایجاد شود. در طی این حملات، مهاجمان درخواست‌ها و پاسخ‌ها را برای خواندن مطالب، دستکاری داده‌ها یا هدایت کاربران رهگیری می‌کنند.

برخی از افراد دنیای امنیت را تنها هک می‌بینند اما این حوزه بسیار گسترده است و هک تنها بخشی از مخاطرات امنیتی است. امنیت اطلاعات یکی از حوزه‌های جذاب است و افرادی که در این حوزه فعالیت می‌کنند باید همیشه خود را به روز نگه دارند و با مخاطرات امنیتی روز دنیا آشنا باشند. مشاغل حوزه امنیت بسیار گسترده اند. افرادی که به این حوزه ورود می‌کنند معمولا مشکل اشتغال ندارند و این رشته بازار کار خوبی دارد. اما در عین حال محدودیت‌هایی نیز شامل حال این افراد می‌شود و گاها نمی توانند مانند یک فرد عادی زندگی کنند.