بایگانی ماهیانه: اسفند ۱۳۹۴

مروری بر کنفرانس RSA 2016

کنفرانس سالانه RSA که در بیست و پنج سال گذشته به طور مداوم توسط شرکت RSA (متعلق به EMC) برگزار شده را می توان معتبرترین و مورد قبول ترین کنفرانس مربوط به مارکت امنیت دانست. کنفرانس امسال هم با عنوان RSAC 2016 و با شعار “اتصال برای حفاظت: Connect to Protect” از ۲۹ فوریه تا ۴ مارس برگزار شد و مطابق معمول از بزرگ ترین شرکت ها تا استارتاپ ها در نمایشگاه آن شرکت کردند. در کنار نمایشگاه، انبوهی از ارائه های تخصصی، مسابقات، سخنرانی های کلیدی و غیره توسط افراد و شرکت های صاحب نظر برگزار شد.

مجموعه اسلایدهای ۳۰۲ ارائه برگزار شده در اینجا در دسترس هست. 

همچنین ویدئوی نوزده سخنرانی کلیدی کنفرانس هم در اینجا در دسترس است. یکی از سخنرانی های کلیدی مورد علاقه من، نگاهی به آینده: مرکز عملیات امنیت سال ۲۰۲۰

است که با حضور مدیرعامل سیمانتک و سه مدیر ارشد امنیت برگزار شد.

بخش جذاب دیگری که هر سال در این کنفرانس برگزار می شود، مسابقه ای بین ده  استارتاپ منتخب در حوزه محصولات امنیتی است که به Innovation Sandbox معروف است. کاندیداهای امسال در اینجا معرفی شده اند و برنده امسال هم محصول فانتوم است که به منظور خودکار سازی عملیات امنیت طراحی شده است.

اشتراک گذاری

آسیب پذیری پانزده هزار دلاری در فیسبوک

فیسبوک بابت کشف یک آسیب پذیری ساده توسط یک کارشناس امنیت اهل هند، پانزده هزار دلار جایزه پرداخت کرده است. Anand Parakash توانسته در بخش فراموشی پسورد، که امکان ریست کردن پسورد را به کاربر می دهد، باگی کشف کند که منجر به سرقت هر حساب کاربری دلخواه فیسبوک می شود. توضیح کامل نحوه سوء استفاده از این آسیب پذیری به همراه فیلم اثبات آن در اینجا آمده است.

شرح آسیب پذیری:

وقتی کاربر در صفحه لاگین فیسبوک اعلام می کند که پسورد خود را فراموش کرده، فیسبوک یک کد شش رقمی را به آدرس ایمیل او (که هنگام ثبت نام در فیسبوک از کاربر دریافت کرده ارسال می کند). کاربر بعد از دریافت کد شش رقمی و وارد کردن آن در سایت، می تواند پسورد خود را ریست کند. برای جلوگیری از حمله brute force روی این کد شش رقمی، با حدود ۱۰ الی ۱۲ بار وارد کردن اشتباه آن، اکانت کاربر قفل می شود. اما این کنترل امنیتی در برخی دامین های زیر مجموعه فیسبوک، مثل beta.facebook.com و mbasic.beta.facebook.com اعمال نشده است. در نتیجه، نفوذگر می تواند حمله brute force روی این کد را در سایت های فوق انجام داده و پسورد هر کاربر دلخواهی را عوض کند.

نتیجه گیری:

خوب است که از فرهنگ تشویق هکرهای کلاه سفید که در دنیا موضوعی کاملاً جا افتاده است بیاموزیم. ارزش آسیب پذیری های امنیتی کشف شده در بسیار از سیستم ها، نه بر اساس پیچیدگی خود آسیب پذیری، بلکه بر اساس میزان تأثیر مخرب آن بر سیستم اندازه گیری می شود.

اشتراک گذاری

بررسی نحوه انتخاب پین کد

یک مطالعه دقیق درمورد رفتار انسان ها در انتخاب پسورد یا پین کد چهار رقمی.

برای کاربران ایرانی، مطالعه میزان تکرار پین کد ۱۳xx احتمالاً نتیجه ای مشابه ۱۹xx در گزارش بالا به دست خواهد داد.

اشتراک گذاری

قابل توجه متقاضیان کار

لطفاً افرادی که متقاضی کار تمام وقت بوده و حداقل دارای یکی از تخصص های زیر هستند، رزومه خود را به ایمیل من که  در همین وبلاگ وجود دارد ارسال کنند. بدیهی است که ارسال رزومه الزاماً منجر به دریافت پاسخ و … نخواهد شد.

۱- راهبری و پیکربندی راه حل های امنیتی (فایروال، آنتی ویروس، IDS، و …)

۲-  طراحی و اجرای راه حل های امنیت شبکه (سیسکو و …)

۳- ارزیابی امنیتی و تست نفوذ نرم افزار

۴- ارزیابی امنیتی و تست نفوذ شبکه (به خصوص تجهیزات سیسکو)

۵- توسعه راه حل های امنیتی مبتنی بر لینوکس

اشتراک گذاری

مسئولیت مدیران در چرخه امنیت اطلاعات

برای هر فردی که در حوزه امنیت اطلاعات سازمانی تجربه کار داشته باشد، اهمیت موضوع حمایت واقعی و عملی رهبران سازمان، به طور مشخص مدیران ارشد، از برنامه های امنیتی سازمان امری بدیهی و واضح است. در واقع یکی از بزرگ­ترین چالش­های یک تیم امنیت اطلاعات و به خصوص مدیر امنیت اطلاعات، جلب حمایت کافی این مدیران است که تأثیر مستقیم بر اثربخشی فعالیت­ها و برنامه­ها دارد. بخش عمده­ای از این حمایت ناشی از درک رهبران سازمان نسبت به اهمیت امنیت اطلاعات و نقش آن در پیشبرد اهداف سازمان یا ایجاد مانع برای رسیدن به آن اهداف است. به بیان دیگر، اگر مدیریت سازمان قائل به حداقل­های لازم اولویت و اهمیت برای موضوع امنیت اطلاعات نباشد، طبعاً حمایت مناسبی هم صورت نخواهد گرفت.

اما دلیل تأکید بر حمایت رهبران سازمان و نقش ویژه آن در پیشبرد برنامه­های امنیتی چیست؟ پاسخ این سؤال را باید در ماهیت غیر کارکردی امنیت اطلاعات در اکثر کسب و کارها جستجو کرد. امنیت اساساً از جنس کیفیت است و در اکثر قریب به اتفاق سازمان­ها، نه به عنوان بخشی از کسب و کار اصلی بلکه عاملی برای تضمین کیفیت کسب و کار است. در نتیجه به راحتی می­تواند قربانی اولویت­ها و فوریت­های مربوط به جنبه­های اصلی کسب و کار شود. به عنوان مثال، تعویق چندباره جلسات مربوط به امنیت اطلاعات یا تأخیرهای طولانی در اختصاص هزینه برای کنترل­های امنیتی از نشانه­های عدم حمایت لازم است. به علاوه، بخشی از وظایف امنیت اطلاعات، جنبه ممیزی داشته و با بخش­های مختلف سازمان از دیدگاه ممیزی ارتباط دارد. در نتیجه انواع مقاومت­های سازمانی از این جنبه در برابر برنامه­های امنیت اطلاعات وجود خواهد داشت.

استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در بخش الزامات عمومی سیستم مدیریت امنیت اطلاعات، بر اهمیت رهبری سازمان در حوزه امنیت اطلاعات تأکید می­کند. در این استاندارد می­بینیم که موضوع حمایت مدیران ارشد از امنیت اطلاعات در سه جنبه اصلی الزام شده است:

۱-    رهبری و تعهد

۲-    خط مشی های امنیتی

۳-    نقش­ها، مسئولیت­ها و اختیارات سازمانی

در اینجا بر اساس متن استاندارد مورد اشاره، برخی از نشانه­های حمایت عملی و موثر رهبران سازمان از موضوع امنیت اطلاعت را بررسی می­کنیم.

در بخش رهبری و تعهد، مدیران ارشد سازمان باید این موضوع را با اقدامات زیر به شکل عملی نشان دهند:

۱-    رهبران باید از همراستا بودن اهداف و برنامه­های امنیت با جهت گیری استراتژیک کل سازمان اطمینان حاصل کنند.

۲-    رهبران باید از دخیل بودن امنیت اطلاعات در همه فرآیندهای  سازمانی اطمینان حاصل نمایند.

۳-    تآمین منابع لازم برای اجرای برنامه­های امنیتی سازمان.

۴-    رهبران باید جایگاه ویژه امنیت اطلاعات را با تعامل در همه بخش­های سازمان مشخص کنند.

 مدیریت ارشد سازمان نقش بسیار حیاتی در استقرار خط­ مشی امنیت اطلاعات دارد:

۱-    مدیران ارشد باید از مناسب بودن خط مشی امنیت برای کسب و کار خود اطمینان حاصل کنند.

۲-    آنها باید از وجود اهداف امنیت اطلاعات در خط مشی یا استقرار روشی برای ایجاد این اهدف اطمینان حاصل کنند.  

۳-    مدیران ارشد باید نسبت به بهبود مستمر امنیت اطلاعات متعهد باشند.

همچنین، مدیران ارشد سازمان باید از تخصیص وظایف، نقش­ها و اختیارات مورد نیاز در حوزه امنیت اطلاعات در زمینه های زیر اطمینان حاصل کنند:

۱-    اطمینان از منطبق بودن سیستم مدیریت امنیت با کلیه الزامات استاندارد ایزو ۲۷۰۰۱ .

۲-    گزارش کارآیی و اثربخشی سیستم مدیریت امنیت اطالعات به مدیران سطح بالای سازمان.

هر یک از آیتم های عنوان شده در بخش رهبری و تعهد در استاندارد ایزو ۲۷۰۰۱، با بخشی از واقعیت های موجود در سازمان­ها منطبق است. به همین دلیل برای افرادی که در حوزه امنیت اطلاعات سازمانی مشغول به کار هستند، هر آیتم دارای ارزش و اهمیت قابل لمس است.

با این حال، این موضوع را نمی­توان یک طرفه و صرفاً از جنبه وظایف رهبران سازمان بررسی کرد. به عبارت دیگر، عملکرد افراد و تیم های امنیت سازمان نیز در نوع نگاه رهبران سازمان بی تأثیر نیست. امنیت اطلاعات به خودی خود نه تنها محصول قابل لمس تولید نمی­کند، بلکه در ظاهر مدام در حال هزینه تراشیدن برای سازمان است. اصلاح این دیدگاه در میان مدیران ارشد سازمان کار ساده ای نیست و اساساً اینکه چگونه و با چه زبانی باید با مدیران ارشد سازمان در خصوص امنیت اطلاعات صحبت کرد تا این دیدگاه در میان آنها رشد نکند، نیاز به تجربه بالایی دارد.

بنابراین اگر بخواهیم  چالش حمایت رهبران و مدیران ارشد سازمان از امنیت اطلاعات را مرتفع کنیم، لازم است هم آن را از دیدگاه وظایف مدیران و هم از دیدگاه مهارت مدیر امنیت اطلاعات بررسی و حل کنیم.

این یادداشت در شماره ۶۶ نشریه بانکداری الکترونیک منتشر شده است. دانلود فایل

اشتراک گذاری