امنیت اطلاعات (information security) که به اصطلاح infosec نیز خوانده میشود به مجموعهای از اقدامات برای ایمن نگه داشتن دادهها از دسترسی یا تغییرات غیرمجاز، چه هنگام ذخیره سازی و چه هنگام انتقال از یک دستگاه یا مکان فیزیکی به دستگاه یا مکان دیگر، گفته میشود. امنیت اطلاعات گاهی با نام امنیت داده نیز شناخته میشود. از آنجا که دانش به یکی از مهمترین سرمایههای قرن بیست و یکم تبدیل شده است، ایمن نگه داشتن آن نیز بسیار اهمیت دارد.
SANS موسسه ای است که در زمینه امنیت اطلاعات و آموزش مفاهیم آن فعالیت میکند. تعریفی که این موسسه از infosec ارائه کرده است به شرح زیر میباشد:
” امنیت اطلاعات فرآیندها و روشهایی است که برای محافظت از اطلاعات در برابر دسترسی غیرمجاز، سوء استفاده، افشا، تخریب، اصلاح یا ایجاد اختلال طراحی و اجرا میشوند. این اطلاعات میتواند به صورت چاپی، الکترونیکی یا اطلاعات محرمانه، خصوصی و حساس یا هر شکل دیگری باشد.”
امنیت اطلاعات در مقابل امنیت سایبری
امنیت اطلاعات به عنوان عبارتی برای “دستگاههای دیجیتال و خانواده آن” مورد استفاده قرار میگیرد، شاید شما هم دیده باشید که امنیت اطلاعات و امنیت سایبری(cybersecurity) به جای یکدیگر استفاده میشوند. به عبارت دقیقتر، امنیت سایبری برای دفاع از داراییهای فناوری اطلاعات در برابر حمله است و امنیت اطلاعات یک رشته خاص در زیر چتر امنیت سایبری است.
امنیت اطلاعات
مولفههای اصلی امنیت اطلاعات چیست؟
سه مولفه اصلی امنیت اطلاعات که به صورت خلاصه CIA نامیده میشوند عبارتند از: محرمانگی (confidentiality)، درست بودن(integrity) و در دسترس بودن(availability).
محرمانه بودن شاید همان عنصر سه گانهای باشد که وقتی به امنیت اطلاعات فکر میکنید ، بلافاصله به ذهن خطور میکند. اطلاعات محرمانه شامل اطلاعاتی است که تنها برخی افراد اجازه دسترسی به آنها را دارند. برای اطمینان از محرمانه بودن، تنها باید افراد مجاز به داده دسترسی داشته باشند و سایر تلاشها برای دستیابی به داده، مسدود شود. رمزهای عبور، تکنیکهای رمزگذاری، احراز هویت و دفاع در برابر حملات نفوذ، همه تکنیکهایی هستند که برای اطمینان از محرمانه بودن اطلاعات طراحی شده اند.
یکپارچگی به معنای حفظ دادهها در حالت صحیح آن و جلوگیری از اصلاح نادرست آن، چه به صورت تصادفی و چه به صورت خرابکارانه است. بسیاری از تکنیکهای محرمانه بودن از یکپارچگی دادهها نیز محافظت میکنند – به هر حال، یک هکر نمی تواند دادههایی را که نمی تواند به آنها دسترسی پیدا کند، تغییر دهد – اما ابزارهای دیگری نیز وجود دارد که به شما کمک میکند تا یکپارچگی را حفظ کنید: مثلا chechsumها به شما کمک میکنند دادهها را تأیید کنید و نرم افزار کنترل نسخه و پشتیبان گیری میتواند به شما کمک کند در صورت لزوم دادهها را به حالت صحیح برگردانید.
در دسترس بودن، برعکس محرمانه بودن است: باید مطمئن شوید کاربران غیرمجاز به دادههای شما دسترسی ندارند. در عین حال افرادی که مجوزهای مناسب را دارند، باید بتوانند به این دادهها دسترسی داشته باشند.
در حالت ایده آل، دادههای شما همیشه باید محرمانه ، درست و در دسترس باشند. در عمل شما اغلب باید انتخاب کنید که به کدام یک از اصول امنیت اطلاعاتی پایبند باشید، و این نیاز به ارزیابی دادههای شما دارد. به عنوان مثال، اگر اطلاعات حساس پزشکی را ذخیره میکنید، روی محرمانه بودن تمرکز خواهید کرد، در حالی که یک موسسه مالی ممکن است بر اطمینان از صحت دادهها تأکید داشته باشد تا مطمئن باشد که حساب بانکی هیچ فردی نادرست نیست.
مولفههای امنیت اطلاعات
سیاست امنیت اطلاعات در هر سازمانی چگونه تعیین میشود؟
اینکه کدام یک از اصول سه گانه باید برای یک سازمان اعمال شود، سیاست امنیتی را مشخص میکند. این سیاست، یک سندی است که یک کسب و کار یا سازمان بر اساس نیازها و مشکلات خاص خود تهیه میکند تا مشخص کند، چه دادههایی و از چه راههایی باید محافظت شوند. این سیاستها تصمیمات سازمان را در مورد تهیه ابزارهای امنیت سایبری تعیین، و رفتار و مسئولیتهای کارمندان را مشخص میکند.
اقدامات امنیت اطلاعات
اقدامات فنی: شامل سخت افزار و نرم افزاری است که از دادهها محافظت میکند – از رمزگذاری گرفته تا دیوار آتش.
اقدامات سازمانی: شامل ایجاد یک واحد داخلی اختصاص یافته به امنیت اطلاعات ، همراه با قرار بخش امنیت اطلاعات در لیست وظایف بعضی از کارمندان در هر دپارتمان.
اقدامات انسانی: شامل آموزشهای آگاهی بخش برای کاربران در مورد روشهای مناسب تامین امنیت اطلاعات.
ابزارهای فیزیکی: شامل کنترل دسترسی به مکانهای دفتر و به ویژه مراکز داده است.
انواع امنیت اطلاعات
امنیت برنامه: امنیت برنامه موضوعی گسترده است که آسیب پذیریهای نرم افزار در برنامههای وب و تلفن همراه و رابطهای برنامه نویسی کاربردی(API) را پوشش میدهد. این آسیب پذیریها را میتوان در احراز هویت یا تایید اعتبار کاربران، یکپارچگی کد و پیکربندیها، و خط مشیها و رویهها مشاهده کرد. این برنامه امنیتی شامل اقداماتی است که از برنامهها و APIها محافظت میکند. میتوانید از این راهکارها برای پیشگیری، شناسایی و اصلاح اشکالات یا سایر آسیب پذیریهای برنامههای خود استفاده کنید. اغلب برنامههای امنیت برنامه، ابزارهایی برای شناسایی آسیب پذیری دارند.
امنیت برنامههای کاربردی
امنیت ابر: امنیت ابر بر ساخت و میزبانی برنامههای امن در محیطهای ابری و استفاده ایمن برنامههای ابری شخص ثالث تمرکز دارد. “Cloud” به این معنی است که برنامه در یک محیط مشترک در حال اجرا است. مشاغل باید اطمینان حاصل کنند که بین فرآیندهای مختلف در محیطهای مشترک ، تفکیک لازم وجود دارد.
هنگام استفاده از منابع و برنامههای میزبان ابر، غالبا قادر به کنترل کامل محیط خود نیستید زیرا زیرساختها معمولا برای شما مدیریت میشوند. این بدان معنی است که اقدامات امنیتی ابری باید کنترل محدود را در نظر گرفته و اقدامات لازم را برای محدود کردن دسترسی و آسیب پذیری ناشی از فروشندگان در نظر بگیرد.
رمزنگاری: رمزنگاری برای ایمن سازی اطلاعات از روش پنهان کردن مطالب، که با نام رمزگذاری شناخته میشود، استفاده میکند. وقتی اطلاعات رمزگذاری میشوند، فقط برای کاربرانی که کلید رمزگذاری صحیح دارند قابل دسترس است. اگر کاربران این کلید را نداشته باشند، اطلاعات نامفهوم است. رمزگذاری داده موجب اطمینان از محرمانه بودن و یکپارچگی دادهها در هنگام جابه جایی یا در ذخیره سازی میشود.
رمز گذاری یکی از روشهای حفظ امنیت اطلاعات
برای رمزگذاری اطلاعات ، تیمهای امنیتی از ابزاری مانند الگوریتمهای رمزگذاری یا فناوریهایی مانند بلاکچین استفاده میکنند. الگوریتمهای رمزگذاری، همچون استاندارد رمزگذاری پیشرفته (AES) ، بیشتر رایج هستند زیرا این ابزارها دارای پشتیبانی قویتر و سربار کمتری هستند. امضای دیجیتال معمولاً در رمزنگاری برای تأیید صحت دادهها استفاده میشود. رمزنگاری و رمزگذاری امروزه بسیار مهم هستند.
امنیت زیرساخت: زیرساختهای امنیتی با حفاظت از شبکههای داخلی و خارجی، آزمایشگاهها، مراکز داده، سرورها، رایانههای رومیزی و دستگاههای تلفن همراه سروکار دارند. افزایش ارتباطات در زیر ساختها، منجر به افزایش ریسک شده است. با آسیب دیدن بخشی از زیر ساخت، تمام اجزای وابسته نیز تحت تاثیر قرار میگیرند. به همین دلیل ، هدف مهم امنیت زیرساخت، به حداقل رساندن وابستگیها و جداسازی اجزای سازنده است در حالی که هنوز ارتباطات داخلی امکان پذیر است.
پاسخ به عمل خرابکارانه: مجموعه ای از ابزارها یا فرآیندهایی است که با استفاده از آن رفتار آسیب رسان را کنترل و بررسی میکند. این آسیب شامل هرگونه صدمه ای است که به اطلاعات وارد میشود، مانند از دست دادن اطلاعات یا سرقت آن.
کارکنان فناوری اطلاعات باید یک برنامه پاسخگویی به حوادث برای مهار تهدید و بازیابی شبکه داشته باشند. علاوه بر این، این برنامه باید اطلاعات این حمله را برای تجزیه و تحلیل و پیگیری احتمالی نگهداری کند. این دادهها میتوانند به جلوگیری از نقض بیشتر کمک کرده و به کارکنان در کشف مهاجم کمک کنند. ابزاری که معمولاً برای پاسخگویی به حادثه استفاده میشود ، یک طرح پاسخ به حادثه (IRP) است. IRP نقشها و مسئولیتهای پاسخگویی به حوادث را مشخص میکند. این برنامهها همچنین سیاستهای امنیتی را اطلاع میدهند و رهنمودها یا رویههایی را برای اقدام ارائه میدهند.
اهمیت داشتن برنامهای برای پاسخگویی به حملات
مدیریت آسیب پذیری: مدیریت آسیب پذیری فرآیند، بررسی محیط برای کشف نقاط ضعف (مانند نرم افزارهای مخرب) و اولویت بندی رفع این مشکلات بر اساس درجه ریسک آنها است.
در بسیاری از شبکهها، مشاغل دائما در حال افزودن برنامهها، کاربران، زیرساختها و موارد دیگر هستند. به همین دلیل، اسکن مداوم شبکه برای آسیب پذیریهای احتمالی مهم است. یافتن یک آسیب پذیری میتواند از هزینههای فاجعه بار ایجاد اختلال در تجارت شما پیشگیری نماید.
جبران خسارت: استراتژیهای جبران خسارت، سازمان را در برابر ضرر و زیان ناشی از حوادث غیر مترقبه همچون باج افزار ، بلایای طبیعی و … محافظت میکند. استراتژیهای جبران خسارت معمولاً نحوه بازیابی اطلاعات، نحوه بازیابی سیستمها و از سرگیری فعالیتها را در بر میگیرد.
مخاطرات رایج امنیت اطلاعات
در کارهای روزمره ، بسیاری از خطرات میتوانند بر روی سیستم و امنیت اطلاعات شما تاثیر بگذارند. برخی از خطرات رایج که باید نسبت به آنها آگاه باشید در ادامه ذکر شده است:
حملات مهندسی اجتماعی: مهندسی اجتماعی شامل استفاده از روانشناسی برای فریب کاربران در ارائه اطلاعات یا دسترسی به اطلاعات آنها است. فیشینگ یکی از انواع متداول حملات مهندسی اجتماعی است که معمولاً از طریق ایمیل انجام میشود. در حملات فیشینگ ، مهاجمان تظاهر میکنند که قابل اعتماد یا از مراجع قانونی هستند و درخواست اطلاعات میکنند یا به کاربران در مورد انجام کاری اخطار میدهند. به عنوان مثال ، در ایمیل ممکن است از کاربران بخواهند مشخصات شخصی را گزارش کنند یا از طریق یک پیوند مخرب وارد حسابهای شما شوند. در صورت رضایت کاربران، مهاجمان میتوانند به اطلاعات معتبر یا اطلاعات حساس دیگر دسترسی پیدا کنند.
تهدیدات مداوم پیشرفته (APT): APTها تهدیداتی هستند که در آن افراد یا گروهها به سیستم شما دسترسی پیدا میکنند و برای مدت طولانی باقی میمانند. مهاجمان این حملات را برای جمع آوری اطلاعات حساس به مرور زمان یا به عنوان زمینه ای برای حملات آینده انجام میدهند. حملات APT توسط گروههای سازمان یافتهای انجام میشود که ممکن است توسط دولتهای ملی، سازمانهای تروریستی یا رقبای صنعت حمایت میشوند.
تهدیدات داخلی: تهدیدات داخلی آسیب پذیریهایی است که توسط افراد سازمان شما ایجاد میشود. این تهدیدها ممکن است تصادفی یا عمدی باشد و شامل سوء استفاده مهاجمان از امتیازات “مشروع” برای دسترسی به سیستمها یا اطلاعات شود. در صورت تهدیدات تصادفی ، کارمندان ممکن است ناخواسته اطلاعات را به اشتراک بگذارند یا افشا کنند ، بدافزار را دانلود کنند و اعتبار خود را در معرض سرقت قرار دهند. در تهدیدات عمدی، افراد داخلی به قصد منافع شخصی یا شغلی، به اطلاعات عمدا صدمه میزنند، اطلاعات را برای افراد غیرمجاز منتشر میکنند یا اطلاعات را سرقت میکنند.
تهدیدات امنیت اطلاعات
Cryptojacking: Cryptojacking که به آن استخراج رمزنگاری نیز گفته میشود ، زمانی است که مهاجمان از منابع سیستم شما برای استخراج ارز رمزنگاری شده سوء استفاده میکنند. مهاجمان معمولا این کار را با فریب کاربران برای دانلود بدافزار یا هنگامی که کاربران پروندههایی با اسکریپتهای مخرب را باز میکنند ، انجام میدهند. برخی از حملات به صورت محلی هنگام بازدید کاربران از سایتهایی که دارای اسکریپتهای مخرب هستند نیز انجام میشوند.
قطع یا ایجاد اختلال در ارائه سرویس توزیع شده(DDoS): حملات DDoS هنگامی رخ میدهد که مهاجمان، سرورها یا منابع را بیش از حد درخواست میکنند. مهاجمان میتوانند این حملات را به صورت دستی یا از طریق بات نتها، انجام دهند. هدف از حمله DDoS جلوگیری از دسترسی کاربران به خدمات یا مشغول کردن تیمهای امنیتی در هنگام وقوع حملات دیگر است.
باج افزار: حملات باج افزار از بدافزار برای رمزگذاری دادههای شما و نگه داشتن آنها برای باج استفاده میکند. به طور معمول ، مهاجمان در ازای رمزگشایی دادهها، اطلاعاتی را میخواهند به دست بیاورند یا اقدامی انجام دهند یا پرداختی را از سازمانی انجام دهند. بسته به نوع باج افزار استفاده شده ، ممکن است نتوانید دادههای رمزگذاری شده را بازیابی کنید. در این موارد ، فقط میتوانید دادههای سیستم را با داده هایی که تمیز هستند، بازیابی کنید.
حمله MitM: حملات MitM زمانی اتفاق میافتد که ارتباطات از طریق کانالهای ناامن ایجاد شود. در طی این حملات، مهاجمان درخواستها و پاسخها را برای خواندن مطالب، دستکاری دادهها یا هدایت کاربران رهگیری میکنند.
برخی از افراد دنیای امنیت را تنها هک میبینند اما این حوزه بسیار گسترده است و هک تنها بخشی از مخاطرات امنیتی است. امنیت اطلاعات یکی از حوزههای جذاب است و افرادی که در این حوزه فعالیت میکنند باید همیشه خود را به روز نگه دارند و با مخاطرات امنیتی روز دنیا آشنا باشند. مشاغل حوزه امنیت بسیار گسترده اند. افرادی که به این حوزه ورود میکنند معمولا مشکل اشتغال ندارند و این رشته بازار کار خوبی دارد. اما در عین حال محدودیتهایی نیز شامل حال این افراد میشود و گاها نمی توانند مانند یک فرد عادی زندگی کنند.