هل يدور في بالك هذا التساؤل؟ كيف يتم اختراق أكبر المؤسسات والشركات؟
نسمع بين الحين والآخر أخبار عن اختراق لأنظمة بنكية تسببت في تسرب بيانات سرية عن آلاف العملاء أو اختراق لهيئات حكومية وفقدان لمعلومات مهمة أو تسرب معلومات هنا وهناك ويتساءل الجميع كيف تم ذلك؟
أليس لديهم متخصصون في حماية أمن المعلومات؟ ألا يستعملون أنظمة تتبع وحماية من الاختراق قد تصل قيمتها لملايين الدولارات؟ ما المشكلة إذن؟
التحدي الذي يواجه أمن المعلومات هو أكبر بكثير من مجرد اللجوء لنظام معين للحماية من الاختراق والاعتماد عليه كحل جذري ومستمر لتأمين المعلومات، كما أنه ليس شرطا أن تكون الثغرات في أنظمة المعلومات أو البرامج المستخدمة، بل أخطر الثغرات هي في مستخدمين الأنظمة أي البشر، فتخيل أنك مكلف بتقييم المخاطر في شركة لديها العديد من الحلول الأمنية القوية في الشبكة، ووجدت أنه من الصعب تخطي ذلك، فقمت باتخاذ طريق آخر وهو الهندسة الاجتماعية أو استغلال ثغرات البشر! الذي قد تصل من خلاله لمعلومات سرية في وقت قصير لم تكن لتستطيع الوصول إليها من خلال الاختراق بسهولة.
المفاجأة أن أحد أكبر شركات أمن المعلومات في العالم تم اختراقها بهذا الأسلوب
كيف تم اختراق أحد أشهر الشركات في مجال أمن المعلومات؟
تم اختراق شركة RSA في الربع الأول من العام الحالي من خلال بريد إلكتروني موجه إلى الموارد البشرية بالشركة يحتوى على ملف باسم 2011 Recruitement Plan
ويظهر كأنه من موقع توظيف ومحتوى الرسالة
"I forward this file to you for review. please open and view it"
والملف هو عبارة عن Microsoft Excel Sheet به كود لاستغلال ثغرة في Adobe Flash (CVE-2011-0609) تمكن من خلالها المخترق من الدخول وسرقة معلومات سرية من أشهر الشركات التي تعمل في مجال أمن المعلومات
كيف يتم تأمين المعلومات؟
تأمين المعلومات لا ينبغي أن يكون فقط حمايتها من التغيير أو الإتلاف، ولكن يجب أن يتضمن أيضا التأكد من مصادر المعلومات وعدم تنصلهم من إرسال أو استقبال المعلومة.
أمن المعلومات يتكون من خمس ركائز أساسية وهي:
Confidentiality - خصوصية وسرية المعلومات
ومعنى ذلك أن المعلومة يجب أن تكون متاحة فقط للجهة أو الشخص المنوط بها استخدام هذه المعلومة ولا يجب أن تراها جهة أخرى
Integrity - سلامة المعلومات
وتعني ضمان أن المعلومة لم يتم العبث بها أو تغيير محتواها
Availability- إتاحة المعلومات
وتعني ضمان إتاحة الوصول للمعلومات
Authentication - إثبات هوية المتصل
وهو يعنى التأكد من هوية المتصل، وأنه بالفعل المسموح له بالدخول للنظام
non-repudiation - عدم التنصل
وهو يعنى عدم تنصل أحد الطرفين من استلام أو إرسال المعلومة وذلك يتم باستخدام التوقيع الإلكتروني
الخلاصة
تأمين المعلومات هي مسئولية مشتركة بين جميع الأطراف الفاعلة التي لها مصلحة في تأمين تلك المعلومات
تأمين المعلومات يحتاج لحصر جميع الأنظمة المطلوب تأمينها لحصر التهديدات التي تحيط بها واحتمالية ومدى تأثير ذلك على سير العمل ومن ثم النظر إلى الحلول المقترحة على سبيل المثال لا الحصر:
خطط استمرارية
Business Continuity and Disaster Recovery Plan تقييم الثغرات Vulnerability Assessment
اختبار اختراق Penetration test
إدارة الثغرات Vulnerability Management
المصادر
http://www.pcworld.com/article/238876/was_this_the_email_that_took_down_rsa.html
http://www.computing.co.uk/ctg/news/2104910/social-engineering-cracked-rsa-research-reveals
http://www.iwar.org.uk/cip/resources/nsa/information-assurance-faq.htm
نسمع بين الحين والآخر أخبار عن اختراق لأنظمة بنكية تسببت في تسرب بيانات سرية عن آلاف العملاء أو اختراق لهيئات حكومية وفقدان لمعلومات مهمة أو تسرب معلومات هنا وهناك ويتساءل الجميع كيف تم ذلك؟
أليس لديهم متخصصون في حماية أمن المعلومات؟ ألا يستعملون أنظمة تتبع وحماية من الاختراق قد تصل قيمتها لملايين الدولارات؟ ما المشكلة إذن؟
التحدي الذي يواجه أمن المعلومات هو أكبر بكثير من مجرد اللجوء لنظام معين للحماية من الاختراق والاعتماد عليه كحل جذري ومستمر لتأمين المعلومات، كما أنه ليس شرطا أن تكون الثغرات في أنظمة المعلومات أو البرامج المستخدمة، بل أخطر الثغرات هي في مستخدمين الأنظمة أي البشر، فتخيل أنك مكلف بتقييم المخاطر في شركة لديها العديد من الحلول الأمنية القوية في الشبكة، ووجدت أنه من الصعب تخطي ذلك، فقمت باتخاذ طريق آخر وهو الهندسة الاجتماعية أو استغلال ثغرات البشر! الذي قد تصل من خلاله لمعلومات سرية في وقت قصير لم تكن لتستطيع الوصول إليها من خلال الاختراق بسهولة.
المفاجأة أن أحد أكبر شركات أمن المعلومات في العالم تم اختراقها بهذا الأسلوب
كيف تم اختراق أحد أشهر الشركات في مجال أمن المعلومات؟
تم اختراق شركة RSA في الربع الأول من العام الحالي من خلال بريد إلكتروني موجه إلى الموارد البشرية بالشركة يحتوى على ملف باسم 2011 Recruitement Plan
ويظهر كأنه من موقع توظيف ومحتوى الرسالة
"I forward this file to you for review. please open and view it"
والملف هو عبارة عن Microsoft Excel Sheet به كود لاستغلال ثغرة في Adobe Flash (CVE-2011-0609) تمكن من خلالها المخترق من الدخول وسرقة معلومات سرية من أشهر الشركات التي تعمل في مجال أمن المعلومات
كيف يتم تأمين المعلومات؟
تأمين المعلومات لا ينبغي أن يكون فقط حمايتها من التغيير أو الإتلاف، ولكن يجب أن يتضمن أيضا التأكد من مصادر المعلومات وعدم تنصلهم من إرسال أو استقبال المعلومة.
أمن المعلومات يتكون من خمس ركائز أساسية وهي:
Confidentiality - خصوصية وسرية المعلومات
ومعنى ذلك أن المعلومة يجب أن تكون متاحة فقط للجهة أو الشخص المنوط بها استخدام هذه المعلومة ولا يجب أن تراها جهة أخرى
Integrity - سلامة المعلومات
وتعني ضمان أن المعلومة لم يتم العبث بها أو تغيير محتواها
Availability- إتاحة المعلومات
وتعني ضمان إتاحة الوصول للمعلومات
Authentication - إثبات هوية المتصل
وهو يعنى التأكد من هوية المتصل، وأنه بالفعل المسموح له بالدخول للنظام
non-repudiation - عدم التنصل
وهو يعنى عدم تنصل أحد الطرفين من استلام أو إرسال المعلومة وذلك يتم باستخدام التوقيع الإلكتروني
الخلاصة
تأمين المعلومات هي مسئولية مشتركة بين جميع الأطراف الفاعلة التي لها مصلحة في تأمين تلك المعلومات
تأمين المعلومات يحتاج لحصر جميع الأنظمة المطلوب تأمينها لحصر التهديدات التي تحيط بها واحتمالية ومدى تأثير ذلك على سير العمل ومن ثم النظر إلى الحلول المقترحة على سبيل المثال لا الحصر:
خطط استمرارية
Business Continuity and Disaster Recovery Plan تقييم الثغرات Vulnerability Assessment
اختبار اختراق Penetration test
إدارة الثغرات Vulnerability Management
المصادر
http://www.pcworld.com/article/238876/was_this_the_email_that_took_down_rsa.html
http://www.computing.co.uk/ctg/news/2104910/social-engineering-cracked-rsa-research-reveals
http://www.iwar.org.uk/cip/resources/nsa/information-assurance-faq.htm
0 التعليقات:
إرسال تعليق