استراتژی امنیتی در خدمت توسعه تجارت
چگونه می توان به یک استراتژی امنیتی درست دست پیدا کرده و از آن به عنوان وسیله ای برای پیشرفت در شغل و رسیدن به موفقیت ها و دستاوردهای مثبت استفاده کرد؟
آیا شما به دنبال یافتن فواید راهبری امنیتی هستیدیا اینکه مدیر ساده یک firewall می باشید که مشغله مهم ذهنش خنثی کردن حملات است؟ آیا شما یک کارآفرین هستید؟ اگر پاسخ شما مثبت است عملکرد شما چگونه بوده؛ تاکتیکی یا راهبردی؟در طی این مقاله شما خواهید دانست که هدف استراتژی امنیت صحبت درباره صرف هزینه های بیشتر نیست، بلکه هدف آن عملکرد متمرکز در انجام امور گوناگون می باشد.
برای شروع، تمرکز خود را بر هسته تجاری سازمان خود، اولویت ها و بخش های شلوغ و مرکزی سازمانتان معطوف کنید. برای این کار تمامی نقاط حساس کارتان و به ویژه قسمت هایی که مربوط به امنیت است را در نظر بگیرید. چنانچه کسب و کارتان استراتژی قانونمندی ندارد و یا در برنامه های موجود هیچگونه اشاره ای به امنیت نشده، اصلا نگران نشوید.وظیفه و شغل شما تعریف یک استراتژی امنیتی بر اساس ریسکهای موجود می باشد بطوریکه از تجارت شما پشتبانی کاملی را به عمل آورد.
چگونه امنیت می تواند ارزش کسب و کار شما را بالا ببرد.
ماهیت کسب و کار شما و مجریان حفظ امنیت این کسب و کار، تایید کننده استراتژی های شما هستند:
چرا وجود امنیت در کسب و کارتان لازم است و چرا بابت آن هزینه صرف می کنید؟
مشتریان کسب و کار شما چه کسانی هستند و نقش امنیت در کسب و کارتان چیست؟
آیا شما ویژگی و یا تخصص خاصی دارید که ضامن کار شما باشد. برای مثال آیا شما طراح سخت افزار و یا نرم افزار کامپیوترید؟
خدمات خارجی کسب و کار شما چیست؟ و آیا این خدمات به امنیت کسب و کارتان لطمه ای وارد می کند؟
فروشندگان، تولید کنندگان و شرکای تجاری مهم در کسب و کار شما چه کسانی هستند؟
آیا شما طرفدار بازرسی امنیتی باز هستید؟
آیا سازمان شما نیازمند اقدامات مداوم و منظم است؟
چنانچه شرکت شما یک شرکت بین المللی است، مشکلاتی که به دلیل تقابل فرهنگی برای شما پیش می آید، چه چیز هایی هستند؟
تهدیدات واقعی کسب و کار شما چه چیزهایی هستند؟
نقش شهرت، جریمه های نقدی، فقدان تواناییها و استعدادهای خاص ، زمان تدارک محصول در بازار، ابطال و از دست دادن جواز ها و یا توانایی لازم در تجارت، در کسب و کار شما تا چه اندازه است؟
آنچه که واقعا در کسب و کارتان به آن نیاز دارید و اولویت کاری شما محسوب می شود را به دقت شناسایی کنید.
برآوردی از داشته ها و سرمایه ها، تعیین کننده ملزومات امنیتی
در اولین قدم، شما باید سرمایه گذاران، داشته ها و محدودیت های خود را بشناسید که شامل مقبولیت عام و خاص شما و سرویسی که ارائه می دهید، قانونی بودن فعالیتها، منابع انسانی، بازرسی های داخلی، تکنولوژی اطلاعات و حلقه های مرتبط کننده شما به آن، گزارشات مستقیم و … می باشد. در این زمینه هیچگاه اصول و بخشهای مهم کسب و کارتان را از قلم نیندازید. ابتکارات اصلی در پروژه هایی که کسب و کار شما را پیش می برند در نظر گرفته و مشخص کنید که چگونه امنیتی که تعریف خواهید کرد با مدل فعالیت تجاری شما منطبق می شود.
ارزیابی نفاط قوت، نقاط ضعف، فرصت ها و تهدیدات برنامه های امنیتی (SWOT)
خطرات اصلی و شکاف ها، فرصت های غیر واقعی و فرصت هایی که می توان با صرف وقت و هزینه کم، بیشترین بهره را از آنها برد، شناسایی کنید. از تمام توان کارکنان خود بهره ببرید. به دنبال دستیابی به موفقیت های سریع باشید تا با یک جهش بزرگ، تجارت خود را به پیش برید .
بکار گیری روشهای غیر اصولی،همانطور که بر صنعت و سازمان شما تاثیر می گذارد ، بر امنیت نیز تاثیر خواهد گذاشت
پخش شایعات جعلی، رشد درصد جرایم on-line ای که با فریب افراد صورت می گیرد و همچنین رشد این جرایم در بخشهای wireless و mobility ، مجازی سازی، افزایش مقررات جهانی و نیز نرم افزارهایی که بعنوان سرویس دهنده عمل کرده و با نام نه چندان جدید Cloud Computing یا Shred IT Services شناخته می شوند ،همگی باید مورد توجه قرار گیرند زیرا احتمال آسیب رساندن آنها به کسب و کار و امنیت شما بیشتر است. حال چند مثال دیگر را برایتان مطرح می کنیم:
هجوم دزدان لب تاپ ها: چنانچه تا کنون اطلاعات مهم روی لب تاپتان را کدگذاری نکرده اید، اکنون زمان آن فرا رسیده است. پایگاه داده های کد گذاری شده ، حافظه های قابل انتقال، رمز عبور ها و وسایل سخت افزاری بی سیم ، همگی باید از این استراتژی پیروی کنند. با عمل به این استراتژیها، در صورت دزدیده شدن لوازم سخت افزاریتان کمتر نگران خواهید شد.
امروزه اغلب فعالیت های کامپیوتری از اداره به خانه منتقل شده است. سوالی که در اینجا مطرح خواهد شد این است که چنانچه برخی از کارمندان شما از خانه کارها را دنبال می کند چگونه می توانید امنیت دسترسیها ها را تضمین کنید در حالیکه نه آن کامپیوتر متعلق به شماست و نه در شبکه شما این فعالیت انجام شده است؟
امروزه دزدان اطلاعات در همه جا پرسه می زنند. بنابر اعلام دو شرکت SANS و ISC2 ریسک خطر و نیز تقاضا برای امن کردن برنامه های کاربردی Web-facing و نیز توسعه چرخه های زندگی ، افزایش پیدا کرده است.
چگونه مدل کسب و کار شما با مدل امنیتی لازم برای کارتان منطبق خواهد شد.
برنامه های عملی خود را بر اساس نتایج خروجی ها، باز خورد سرمایه گذاران و سرمایه هایتان و تحلیل های SWOT تعریف کنید.
برای این کار، یک دوره زمانی ۱۲ ماهه را در نظر بگیرید. چنانچه از قبل ، برای این دوره زمانی استراتژی مشخصی داشته اید، مدت زمان آنرا به ۲۴ تا ۳۶ ماه افزایش داده استراتژی و اهداف خود را بر اساس آن ، توسعه داده و سازماندهی کنید.
پیش نویسی از تحولات اساسی و مبتکرانه ای که باید پیاده سازی شوند و اهدافی که آنها را پشتیبانی می کنند، ارائه دهید.
باز خورد سرمایه گذاران را به دقت مورد بررسی قرار داده و سپس طرحها، برنامه هایتان رابر اساس آن، از بالا به پایین رتبه بندی کنید.
استراتژی های خود را ثبت و مستند کنید.
از قوانین و بندهای موجود طرحهای نوشته شده خود، استفاده کنید و یا در صورت نیاز قوانین و بندهای جدیدی ایجاد کنید.
بندهای جدید را به صورت خلاصه و اجرایی بنویسید.
اهدافتان را با کلمات کاملا روان، واضح و موجز نوشته و چیزی را در لفافه بیان نکنید.
آیا شما یک مدیر عالی رتبه هستید؟ چنانچه شما مدیر یک شرکت و یا مالک یک سازمان نیستید، می بایستی مهارت های اجتماعی تان را مرور کرده و یاد بگیرید چگونه از کلمات استفاده کنید.
پس از تهیه برنامه هایتان بصورت مستند:
نکات کلیدی آنها را را برای سرمایه گذارانتان ارسال کرده و یا حتی آنها را در وب سایت داخلی سازمانتان قرار دهید. سپس آنها را به اطلاع کلیه کارکنان سازمانتان در تمامی سطوح، برسانید.
هر ساله، یک گزارش مشروح امنیتی از وضعیت سازمانتان تهیه کرده و منتشر کنید و یا آن را در یک جلسه ویژه ارائه دهید.
به خاطر داشته باشید که موفقیت شما بستگی به وسعت دید، پشتیبانی و باز خورد سرمایه گذاران شما دارد و شما باید راهی برای رسیدن به خواسته های آنان ایجاد کنید.
چنانچه شورا و یا کمیته راهبری امنیتی ندارید، با دقت کافی و در کمترین زمان آین کمیته را تشکیل دهید. سرمایه گذاران باید در این کمیته عضو باشند. می توانید مطمئن باشید که تصمیمات این کمیته در سطوح بالایی ارائه خواهد شد.
چنانچه شما می بایستی به سازمان های مسئول در امر فناوری اطلاعات گزارش بدهید، سعی کنید نمایندگانی که این کار ار بر عهده دارند از دو نفر بیشتر نباشند. واحدهای تجارتی،باید در ایده آل ترین حالت اولویت های کاری خود را بر اساس میزان ریسک در تجارت تنظیم کنند که این امربدلیل ضرورت رعایت اصول کسب و کار و تاکید بر این اصول، از اهمیت بسزایی برخوردار است. سپس باید پشتیبانهایی برای امنیت در نظر گرفت و از بکار بردن شیوه های نادرستی که از میزان امنیت می کاهند، خودداری کرد. این موضوع با تمرکز بر منابعی که از بیشترین اهمیت برخوردارند، ریسک تجاری امنیت شما را متعادل خواهد کرد.
بمنظور مدیریت بهتر دستاوردها، برنامه های خود را مورد ارزیابی و سنجش قرار دهید.
بالا بردن استانداردها، میدان دید و میزان تمرکز شما را بر کسب و کارتان افزایش داده و تغییرات درست رفتاری را در پی خواهد داشت. شما باید یک دید معقول و منطقی،برای مدیریت امنیتی خود انتخاب کنید. سپس تمامی استانداردهای لازم را با زبان مدیریتی و نه زبان خودتان به کار ببرید
حال تصاویری برای شما ایجاد می شوند که بصورت واضح نشان می دهند چطور برنامه های شما، از بالا به پایین، بر ریسکهای امنیتی تاثیر می گذارند. حال در این مرحله باید مشخص کنید در کجا و در چه مرحله ای ، ایستاده اید، شکاف ها را شناسایی کنید ومیزان تغییرات را اندازه گیری کنید. توجه کنید که تمامی این مباحث را به طور منظم و پیوسته به سرمایه گذاران گزارش کنید.
برنامه هایتان را به روز نگه دارید.
یادداشت کردن برنامه ها نیمی از مبارزه شما در میدان تجارت محسوب می شود. پس از نوشتن حالا نوبت به اجرای آن برنامه هاست. استراتژی های خود را حداقل هر سه ماه یکبار مرور کرده و با همکاری و مشورت سرمایه گذارانتان، آنها را بطور سالیانه، مورد بررسی و تغییر قرار دهید.
ایجاد استراتژی های امنیتی بطور معمول برای شما هزینه ای در بر نخواهد داشت.
این استراتژی حتی یک ریال هم برای شما هزینه ای به دنبال ندارد، در عوض ارزش دستاوردهای آن در شغل و برنامه های امنیتی شما به میلیون ها دلار هم می تواند برسد. امنیت، تجارت شما را در بر می گیرد نه تکنولوژی شما را. حیاتی ترین نکته در این پروسه، متمرکز ماندن، مدیریت امنیت بعنوان یک تجارت و کسب و کار، و شکستن و از بین بردن بارهایی است که بر دوش کسب و کار شماست.
- منتشر شده در سیستم های امنیتی و کنترلی, شبکه و امنیت شبکه, فناوری اطلاعات
۱۰ روش برتر هک وب سایت ها در سال ۲۰۱۰
در این مقاله قصد داریم تا نگاهی به ۱۰ تکنیک رایج هک وب سایتها در سال ۲۰۱۰ داشته باشیم. در یک نظرسنجی که از گروهی از کارشناسان و نیز با استفاده از رای گیری آزاد انجام شده است، ۱۰ تکنیک جدید و خطرناک هک وب سایت در سال ۲۰۱۰ که میتواند معاملات و تراکنشهای بانکی آنلاین را به مخاطره بیاندازد، انتخاب شدهاند:
۱- Padding Oracle Crypto Attack
در این روش، از ویژگیهای Microsoft web framework ASP.NET در از محافظت کوکیهای رمزگذاری AES استفاده میشود. اگر رمزگذاری دادههای کوکی تغییر پیدا کند، زمانیکه ASP.NET نتایج خود را در برنامه مدیریت میکند، برخی از اطلاعات درباره رمزگشایی ترافیک را فاش میسازد. با تکرار تغییرات و افشای اطلاعات، هکر میتواند نتیجه بگیرد که کدام بایتها را میتواند از کلید رمزگذاری حذف کند و حدس زدن کلید را راحت میکند.
۲- Evercookie
کوکیهای سنتی، مقدار کمی داده هستند که توسط مرورگر کاربر ذخیره میشوند و اطلاعات کاربر را ذخیره میکنند. بخاطر مسائل امنیتی و حریم خصوصی، تمام مرورگرها مکانیزمی برای پاک کردن آنها دارند.
Evercookie، برنامه مبتنی بر جاوا است که در مرورگر کاربران، کوکیهای zombie تولید میکند و خود را در ماشین قربانیان مخفی میکند تا پاک کردن آنها دشوار شود. هکر با استفاده از Evercookie میتواند کامپیوتر قربانی را بشناسد حتی اگر کوکیهای سنتی پاک شده باشند.
در واقع این روش برای تولید کوکیهای دائمی بر روی مرورگر کلاینت استفاده میشود و هدف اصلی آن، شناسایی کلاینتها حتی پس از پاک کردن کوکیهای استاندارد است. برای این منظور، Evercookie، کوکی را در چندین نقطه ذخیره میکند و اگر پاک شود، با استفاده از مکانیزمهای خود، دوباره آن را ایجاد میکند. (این روش را Samy Kamkar در سال ۲۰۱۰ ابداع کرد).
۳- Hacking Autocomplete
اگر قابلیت Autocomplete که امکان کامل کردن خودکار فرمهای وب سایتها را میدهد در مرورگر فعال شده باشد، اسکریپتی که در وب سایت هکر قرار دارد میتواند مرورگر را مجبور کند که فیلد مربوط به اطلاعات شخصی را با اطلاعات مختلفی که در کامپیوتر قربانی وجود دارد پر کند (این روش توسط Jeremiah Grossman ابداع شده است).
۴- Attacking HTTPS with Cache Injection
هکر میتواند با تزریق اسکریپتهای مخربانه جاوا به داخل کش یک مرورگر، وب سایتهایی که با SSL محافظت میشوند را به خطر بیاندازد. این روش تا زمانیکه کش پاک شود، کار میکند. تقریبا نصف یک میلیون وب سایت برتر از کتابخانههای جاوا اسکریپت استفاده میکنند بنابراین مستعد این حمله هستند (این روش توسط Elie Bursztein، Baptiste Gourdi، و Dan Boneh ابداغ شده است).
۵- Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution
هکر در این روش، cross site را دور میزند و با ارسال درخواست جعلی، قربانیان را گول میزند تا آدرس ایمیل آنها را بدست آورد و سپس با استفاده از اینها، پسوردهای قربانی را ریست کند و به اکانتهای آنها دسترسی داشته باشد (این روش توسط Lavakumar Kuppan ابداع شده است).
۶- Universal XSS in IE8
مرورگر Internet Explorer 8 از حملات XSS پیشگیری میکند. اما نه تنها میتوان این قابلیت IE را دور زد بلکه میتوان از آن سواستفاده کرد. با استفاده این اکسپلویت میتواند پیش دستی کند و توسط کاربر شرور صفحات وب را بصورت غیر صحیح درآورد.
۷- HTTP POST DoS
تفاوت این روش DoS با دیگر روشها در این است که برطرف کردن آن بسیار دشوار است برای اینکه این روش بر مبنای روشی است که پروتکل HTTP کار میکند. بنابراین، برطرف ساختن آن، به معنای شکستن پروتکل HTTP است.
در این روش هکر تعدادی ارتباط با وب سرور برقرار میسازد که هر کدام از این ارتباطات دارای هدری با طول بزرگ (برای مثال ۱۰۰۰۰۰۰۰) است بنابراین وب سرور انتظار ۱۰۰۰۰۰۰۰ بایت را از این ارتباطات دارد. اما این همه داده بصورت یکجا ارسال نمی شود و با فاصلههای زمانی طولانی (مثلا هر ۱۰ یا ۱۰۰ ثانیه یک بایت) ارسال میشوند. بنابراین وب سرور این ارتباطات را برای مدت زمان طولانی باز نگه میدارد تا تمام دادهها را دریافت کند. بنابراین کلاینتهای دیگر نمیتوانند به آن متصل شوند (این روش توسط Wong Onn Chee and Tom Brennan ابداع شده است).
۸- JavaSnoop
java agent که به ماشین هدف متصل میشود، با ابزار JavaSnoop ارتباط برقرار میکند تا نقاط ضعف و آسیب پذیریهای برنامههای ماشین قربانی را آزمایش کند. این میتواند یک ابزار امنیتی یا یک ابزار هک باشد و بستگی به ذهنیت کاربر دارد (این روش توسط Arshan Dabirsigh ابداع شده است).
۹- CSS History Hack in Firefox without JavaScript for Intranet Port Scanning
شیوه ارائه آبشاری (cascading style) که برای نمایش HTML استفاده میشود میتواند تاریخچه مرورگر قربانیان را بگیرد. سپس با بررسی تاریخچه سایتهایی که قربانی مشاهده کرده برای انجام عملیات فیشینگ استفاده شود (این روش توسط Robert ‘RSnake’ Hansen ابداع شده است).
۱۰- Java Applet DNS Rebinding
در سال ۲۰۰۷ کشف شد که اپلتهای جاوا زمانیکه با پلاگین LiveConnect مرورگر فایرفاکس همراه میشود، آسیب پذیر میشود و مستعد حمله DNS Rebinding است و از قابلیتهای جاوا از قبیل ارتباطات TCP و UDP بر روی وب سایتهای غیرمجاز استفاده میکند. اپلتهای جاوا، مرورگر را به وب سایت هکر هدایت میکند و مرورگر را مجبور به دور زدن کش DNS میکند در نتیجه برای حمله DNS rebinding آسیب پذیر میشود. همانطوریکه ذکر شد این حمله تنها بر روی مرورگر فایرفاکس کار میکند. (این روش توسط Stefano Di Paola ابداع شده است).
منابع:
وب سایت شرکت نورا ایمن سیستم
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات
تشریح تصویری نفوذ به یک دستگاه تلفن همراه
گوشی هوشمند شما ممکن است از خطر مبرا به نظر برسد، اما هنگامی که توسط بدافزارها مورد حمله قرار بگیرد متوجه میشوید که اطلاعات شما دیده شده است و جعل میشود.
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات
تولید باتری های پله ای،کابلی و خمیده

- منتشر شده در الکترونیک, برق قدرت, فناوری اطلاعات
هدفونها و اختلالات شنوایی
هدفونها برای ۱۰ درصد افراد اختلالات شنوایی ایجاد میکنند
کمیته دانشمندان و محققان اتحادیه اروپا بر پایه آخرین مطالعات و بررسیهای خود اعلام کرد، ۵ تا ۱۰ درصد افرادی که روزانه دستکم یک ساعت به وسیله هدفونها موسیقی را با صدای بلند گوش میدهند، در معرض اختلالات شنوایی قرار میگیرند.
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران،از سایت خبرگزاری فارس، این مسئله بر همگان واضح است که صاحبان دستگاههای قابلحمل پخش موسیقی، PDAها، تلفنهای همراه و … معمولا صداها را از طریق هدفون با صدای بلند گوش میدهند. زیرا افراد با این کار سعی میکنند که تمرکز بیشتری بر موسیقی داشته باشند و توجه بیشتری به اشعار و صدای پخش شده بکنند. این مسئله باعث میشود تا آسیب بیشتری به گوش آنها وارد شود.
این کمیته بر مبنای نتایج حاصل از آخرین بررسیهای خود اعلام کردهاند که ۵ تا ۱۰ درصد تمام کسانی که موسیقی را در دستگاههای قابلحمل پخش موسیقی با صدای بلند گوش میدهند و روزانه دستکم یک ساعات موسیقی را به این صورت برای خود پخش میکنند، خطر ابتلا به نارساییها و اختلالات شنوایی را بیشتر میکنند.
کمیسیون اروپا هماکنون همایشی ترتیب داده است تا از این طریق بتوانند کاربران را در جریان آخرین خطرات ناشی از گوش دادن به موسیقی با صدای بلند بگذارد.
این کمیته اعلام کرده است که به صورت کلی، صحبت کردن، گوش دادن به موسیقی و … با صدای کمتر از ۸۰ دسیبل برای گوشها ایمن است و بیشتر از آن میتواند خطرآفرین باشد.
- منتشر شده در الکترونیک, فناوری اطلاعات
معرفی بدترین رمزهای عبور سال ۲۰۱۳
طبق اعلام شرکت SplashData که سازنده برنامه مدیریت رمزهای عبور است، متاسفانه هنوز رده های بالای بدترین رمزهای عبور در اختیار عبارت password و ۱۲۳۴۵۶ است. با استفاده از اطلاعات شخصی میلیون ها کاربر که بعد از هک سرورهای مختلف مانند سونی و CIA، توسط هکرها منتشر شده، این شرکت لیستی از ۲۵ رمزعبور ضعیف امسال را منتشر کرده است.
رمزعبور شماره ۹ (trustno1) جالب و کنایه آمیز است و عجیب اینکه این همه پرکاربرد شده و رمزعبور شماره ۱۸ (passwOrd) نشان می دهد که اکثر افراد برعکس آنکه سعی می کنند باهوش و زرنگ جلوه کنند، اینچنین نیستند.
۱٫ password
۲٫ ۱۲۳۴۵۶
۳٫ ۱۲۳۴۵۶۷۸
۴٫ qwerty
۵٫ abc123
۶٫ monkey
۷٫ ۱۲۳۴۵۶۷
۸٫ letmein
۹٫ trustno1
۱۰٫ dragon
۱۱٫ baseball
۱۲٫ ۱۱۱۱۱۱
۱۳٫ iloveyou
۱۴٫ master
۱۵٫ sunshine
۱۶٫ ashley
۱۷٫ bailey
۱۸٫ passw0rd
۱۹٫ shadow
۲۰٫ ۱۲۳۱۲۳
۲۱٫ ۶۵۴۳۲۱
۲۲٫ superman
۲۳٫ qazwsx
۲۴٫ michael
۲۵٫ football
- منتشر شده در سیستم های امنیتی و کنترلی, شبکه و امنیت شبکه, فناوری اطلاعات
۹ نکته پنهان از چشمان مدیران امنیت شبکه
۹ نکته پنهان از چشمان مدیران امنیت شبکه
اینکه کاربر به دسترسی به اینترنت و تمام وسایل ارتباطی نیاز دارد و انتظار دارد در هر زمان این دسترسی فراهم باشد پذیرفتنی است. در عین حال خواستههای کسب و کار برای وسایل ارتباطی نیز، روز به روز در حال افزایش است. روند رو به رشد اطلاعات کارکنان و شرکتها چالش مضاعفی را ایجاد میکند و نگهداری از این اطلاعات با توجه به رشد تهدیدات سایبری کاری دلهرهآور است.
به گزارش روابط عمومی شرکت کسپرسکی، حتی در برخی موارد بدون آگاهی و ناخواسته، بسیاری از حوزه های IT به همدستان مجرمان اینترنتی تبدیل شدهاند. این مقاله روشهای متعددی که حوزههای IT جرایم اینترنتی را فعال میسازند را توضیح میدهد و راهحلهایی برای جلوگیری از این خطر ارایه میکند.
مقاله ارایه شده درباره ۹ راهکاری است که امروزه در ایجاد جرایم اینترنتی نقش دارند و بر اساس تحقیقاتی که توسط متخصصان و محققان کسپرسکی انجام شده، راهحلهایی برای توقف این جرایم پیشنهاد میکند.
۱-فرض اینکه اطلاعات در مرکزداده (data center) هستند
در نظر بگیرید که مدیران شرکت یک کپی از ایمیلهایشان را روی تلفنهای همراه خود، کپی دوم را در لپتاپ و نسخه سوم را در سرور ایمیل سازمان ذخیره میکنند. این موضوع به وضوح نشان میدهد که اطلاعات بیرون مرکز داده دو برابر اطلاعاتی است که داخل آن ذخیره میشود. علاوه بر اینها، اطلاعات داخل حافظههای فلش، CDها، نوارهای پشتیبان، راهکارهای مبتنی بر فناوری ابر(cloud) و همچنین اطلاعاتی که بین سازمان و شرکاء مبادله میشود نیز وجود دارد، و اندازه این اطلاعات بیش از آنچه تصور میکنیم در حال رشد است.
چه لزومی دارد که برای تقویت مرکز داده با پرداخت هزینه و زمان زیاد از فناوریهایی مانند Authentication، مدیریت دسترسی، فایروال، جلوگیری از نفوذ شبکه و غیره استفاده شود؟ بیان این مطلب به معنی بی اهمیت بودن این فناوریها نیست، به طور قطع آنها از اهمیت بالایی برخوردارند، اما ما احتیاج داریم که بر بخشی که اطلاعات در آن مترکز شده است تمرکز کنیم؛ و این یعنی کاربر نهایی.
دادهها در سیلو نگهداری نمیشوند! بلکه به طور آزادانه خارج از مرکز داده در حال انتقال هستند.در واقع، تحقیقات IDC نشان میدهد که رایانههای شخصی و لپتاپها بیشترین نگرانی را در زمینه پیشگیری از نشت دادهها (Data Leakage Prevention) به وجود میآورند. کاربر نهایی یک تهدید جدی در زمینه از دست دادن دادههاست. تحقیقات IDC نیز نشانگر این است که در جهان نوین سایبری، بیشترین هزینهها بابت جابهجا شدن اطلاعات (Mobility) پرداخته میشود که نشانگر این است که میزان دادههای بیرون از پایگاههای داده سازمانها، بسیار زیاد شده است.
۲-عدم به رسمیت شناختن ارزش دادههای گوشی تلفن همراه
وقت شما گرانبهاست. ساعتهای بیشماری را برای ساخت گزارشها و تحلیل آنها برای اخذ تصمیمات برای سازمان میگذاریم. تعطیلات خود را صرف نگارش یک ایمیل یا ارایه آن میکنیم و یا تلاش و کوشش فراوانی برای نتیجه گرفتن از یک فرصت تجاری حساس انجام میدهیم؛ تمام این موارد مقادیر زیادی از اطلاعات را در سیستم های قابلحمل بارگذاری میکند.
حوزههای IT با لپتاپ مانند یک بطری نوشابه برخورد میکنند. زمانی که یک دستگاه گم میشود یا به سرقت میرود، شرکت بیمه تنها بهای بطری خالی را میپردازد نه محتویات آن را، بدون توجه به اینکه این محتویات چه حد اهمیت دارند.
به همین دلیل، راهکارهای حفاظتی روی گوشی بیشتر هم تراز قیمت گوشی است تا ارزش دادههای داخل آن. در حالی که واقعیت این است که در اغلب مواقع ارزش اطلاعات داخل تلفن همراه از ارزش خود تلفن بسیار بیشتر است.
بنابراین استفاده از برنامههای ضد سرقت، ضد بدافزار و فناوریهای حفظ حریم خصوصی برای دستگاههای موبایل شروع خوبی برای حفاظت از اطلاعات داخل این دستگاههاست.
یک روند تجاری در میان شرکتهای تولیدکننده سامانههای رایانهای به کاربران اجازه میدهدکه هنگام خرید، مدل دستگاه دلخواه خود مانند لپتاپ یا تلفنهای هوشمند را انتخاب کنند. رشد تعداد گوشی های iPhone که از شبکه شرکتها پشتیبانی میکند، مثال واضح این مطلب است.
متاسفانه، نگرانی بیشتر مردم و فروشگاههای IT از هزینه و زمانی است که صرف جایگزینی یک دستگاه میکنند بدون اینکه توجهی به ارزش اطلاعات داخل آن دستگاه بکنند.
کارمندان مجهز به دستگاههایی به انتخاب خود هستند به جای اینکه به دستگاههایی با برنامه های ضد بدافزار، ضد سرقت و فناوری حریم خصوصی مجهز باشند. در نتیجه، شاهد تنوع درحال گسترش دستگاهها، سیستمعاملها، پروفایلهای امنیتی و دیگر فناوریهای داخل شبکه سازمانها هستیم. برای سازمان با اعضاء امنیتی محدود، تقاضا برای تضمین امنیت یک پلاتفورم میتواند بیش از ظرفیت پشتیبانی کارکنان واحد امنیت باشد.
۳-با لپتاپها و دستگاههای موبایل مانند داراییهای از شرکت برخورد کنید که هرگز نباید از آنها برای موارد شخصی استفاده شود،
اعتقاد داشته باشید که اطلاعات شرکت هیچ راهی برای ورود به سیستمهای شخصی نخواهند یافت.
چند سال پیش، شبکههای حوزه IT به عنوان یک محیط جامد تعریف میشد. فناوریهای محافظتی تعیین میکردند که کدام دستگاها خارجی و و کدام داخلی هستند. دستگاههای خارجی به عنوان دستگاههای غیرقابل اعتماد شناخته میشدند و دستگاههای داخلی از حفاظت فایروال شرکتها بهرهمند میشدند.
تجارتها در سراسر دنیا شاهد افزایش مزایای استفاده از دستگاههای ارتباط از راه دور و یا تلفن همراه بودند. پیشرفت در تکنولوژی موبایل به شرکتها اجازه ایجاد کاربران «همیشه متصل» را داد که این کاربران اجازه دسترسی به تمام اطلاعات شرکت اعم از نرمافزارها، مدارک و ایمیلها از سراسر دنیا، حتی در زمان سفر را داشتند. این دسترسی شامل دستگاههای دستی است. کارکنان موبایل، میتوانستند به شبکه شرکتها و دادهها ازسالنهای فرودگاه، هتلها و در طول پرواز دسترسی داشته باشند که این ارتباطات بسیار نا امن بود. همچنین، ساعت کاری مشترک که محدود به ۹ تا ۵ است و در این ساعتها بیشتر کارمندان در حال استفاده از اطلاعات روز، پاسخگویی به مشتریان و انجام وظایف روزمره خود هستند. حال این محیط یک آسیبپذیری جدید شرکت های بزرگ را ایجاد کرده است که این محیطها را به هدفی برای تهدیدات نوظهور تبدیل میکند. سیاست قدرتمند برای مدیریت لپتاپها با رایانههای شخصی متفاوت است. در اغلب مواقع به دلیل اینکه رایانههای شخصی تنها در محیط شرکت استفاده میشوند نیاز به استفاده از فناوری خاصی، مانند فایروال مجزا ندارند در حالی که لپتاپها نیاز دارند.
هنگامی که آنها محیط داخل شبکه شرکت با امنیت نسبی را ترک میکنند، نرم افزارهای امنیتی باید به طور خود کار برنامهریزی شده فعال شوند. اقدامات امنیتی مانند فعال کردن فایروال، غیرفعال کردن ارتباطات بیسیم و بلوتوث بدون درخواست رمز عبور و افزایش بررسی دستگاههای USB، باید بلافاصله پس از خروج لپتاپ از شبکه شرکت تغییر کنند.
۴-قبول رسانههای اجتماعی بدون محافظت
شبکههای اجتماعی آمدهاند که بمانند! زمانی که از این شبکهها به درستی استفاده شود به طور فوقالعادهای میتوانند یاری رسان باشند. ۱۰ سال پیش، بیشترین فشار بر حوزه IT مدیریت بر دسترسی کاربران به اینترنت بود. مدتی بعد از آن دغدغه دسترسی به ایمیل و بعد از آن نرمافزارهای مربوط به چت پیش آمد. هر کدام از این موارد به یک ماموریت حساس در تجارت تبدیل شد. رسانههای اجتماعی قدم بعدی خواهند بود و ما باید آماده باشیم.
برای بسیاری از سازمانها این سوال مطرح است که چگونه به کاربران خود اجازه دسترسی به ابزار وب بدهند بدون اینکه امنیت به خطر بیافتد و یا قوانین سازمان نقض شود؟ رسانههای اجتماعی و فناوریهای وب، اگر به صورت ایمن استفاده شود میتواند به بالا بردن بهرهوری سازمان کمک کند و سازمان را به سمت بازدهی بیشتر سوق دهد. تمرکز ما باید بر روی این موضوع باشد که چگونه میتوان سازمانها را به استفاده از رسانههای اجتماعی با رویکردی امن تشویق کرد؟ زیرا ثابت شده است که جز چند مورد استثناء، ممنوعیت آشکار رسانههای اجتماعی کاری نشدنی است.
یک سیاست رسمی برای کنترل دسترسی و مدیریت استفاده از رسانههای اجتماعی ضرورری است. به عنوان مثال، اگر یک شرکت مجموعه خود را در مقابل حمله بدافزارها ایمن ساخته باشد، ولی کنترل کافی بر دسترسی کاربران به شبکههای اجتماعی نداشته باشد، یک کارمند به طور غیر عمد میتواند شبکه را آلوده کند و مسبب زیانهایی به آن شرکت شود. شبکههای اجتماعی نیز به عنوان راهی برای نشت اطلاعات محسوب میشود، زمانی که کارمندی به طور ارادی اطلاعات خود را با شخص ثالثی در این محیط به اشتراک میگذارد میتواند خطر ایجاد کند.
جز موارد اندکی، مانند محیطهای دانشگاهی که به میزان زیادی تحت کنترل هستند، ممنوعیت رسانههای اجتماعی غیر عملی است. یک روش عملی به کارگیری فناوریهایی است که ترافیک شبکه و میزان استفاده از این رسانهها را دقیقا بررسی میکند و سایتهای مخرب شناخته شده را مسدود میکند.
۵-تمرکز بر محافظت مقابل شناسایی و پاسخ
در نظر گرفتن طرحهای جامع امنیتی قابلیتهای متعددی را درگیر میکند. این قابلیتهای بنیادی محافظت، شناسایی و پاسخ است. محصولات آنتیویروس اغلب نادیده گرفته میشوند و با آنها تنها به عنوان یک کالا که هر سال تمدید میشود برخورد میشود و در نتیجه قابلیتهای شناسایی و پاسخ نیز نادیده گرفته میشود. همانطور که ذکر شد، این سه مورد عناصر ضروری در ایجاد امنیت برای سازمان شما هستند. همچنین در صنعت طیف گستردهای از ابزارها برای امنیت، مدیریت، کارایی و پشتیبانی وجود دارد.
تمرکز بسیاری از سازمانها بر انتقال به فناوریهای امنیت مدرن مانند DLP، رمزگذاری و غیره است. و این در حالی است که با وجود استفاده از این ابزارها، میزان حوادث مربوط به بدافزارها و آلودگی حاصل شده از این بدافزارها رو به افزایش است. بررسیهای که توسط IDC انجام شده نشانگر این است که ۴۶ درصد سازمانها شاهد افزایش این حوادث بودهاند و این در حالی است که تنها ۱۶ درصد سازمانها کاهش این حوادث را داشتهاند. این آمار در محیطهای SMB (که تعداد کاربران بین ۵۰۰ تا ۲۵۰۰ است) با محیطهای دیگر تفاوت چشمگیری داشته است. در محیط SMB 44 درصد افزایش و تنها ۷ درصد کاهش این حوادث را شاهد بودیم.
این آمار به این معنی است که با وجود این همه ابزار پیشگیری، باز هم بدافزارها در حال انتشار هستند و این روند رو به رشد تاکید دارد که برای قابلیتهای شناسایی و پاسخ باید هزینههای بیشتری شود. حوزههای IT در بخش مکانیسمهای محافظت در gateway سرمایهگذاری کردهاند و این درحالی است که هنوز برای کارمندان درهای گشت و گذار در وب بدون مکانیسم امنیتی مناسب باز است و مجرمان شناسایی نمیشوند و به طور موثر فعالیتهای مخرب آنها مسدود نمیشود.
امروزه به دلیل اینکه مجرمان کاربر نهایی را هدف خود قرار میدهند روی سیستم کاربران نهایی نیاز به فناوری تشخیص و پاسخ قوی است که آنها را در مقابل بدافزارهایی که مجرمان اینترنتی برای سرقت اطلاعات مهم طراحی میکنند، محافظت کند.
۶-عدم ترویج فرهنگ آگاهی
آگاهی و آموزش به کاربر نهایی در تمام مراحل و سطوح امنیت دادهها امری ضروری است. به عنوان مثال، کاربر باید از نحوه دفاع از خود در مقابل کدهای مخرب، گشت و گذار امن، جلوگیری از نرم افزارهای جاسوسی و قوانین الصاق آگاه باشد. سیاستهای مربوط به رمز عبور باید اجرا شده و سیاستهای استفاده از وب باید به وضوح طراحی، اجرا و بررسی شود.
آگاهی از تهدیدات، اثر و روش تکثیر آنها، به هوشیاری کاربران کمک میکند و از اتخاذ تصمیمات نادرست توسط کاربر که باعث آلودگی سیستم میشود جلوگیری میکند. مطمئنا به کارکنان حوزه IT نیز باید مبارزه با تهدیدات مدرن آموزش داده شود تا بتوانند تصمیمات درستی در استفاده از فناوریهای محافظت و تشخیص اخذ کنند.
۷-گزارشهای نقض امنیت
گرچه جرایم نقض امنیت بیش از ۲۳ درصد افزایش یافته است و هزینه این جرایم نیز بیش از ۲ برابر شده است، ولی این تنها نوک یک کوه یخ است! این آمار، که توسط FBI منتشر شده، ناقص است. زیرا بسیاری از شرکتها گزارشی درباره به سرقت رفتن اطلاعاتشان نمیدهند. شرکتها به دلیل ترس از کاهش سهام، ارزش، شهرت و تاثیرات منفی آنها، از ارایه این گزارشها جلوگیری میکنند. در حالی که این امر کاملا طبیعی است، اما تاثیر منفی آنرا میتوانیم در نتایج نادرست به دست آمده در زمینه رشد تهدیدات در اینترنت شاهد باشیم.
گزارشهای نادرست به شرکتها این باور غلط را میدهد که تهدیدات ناشی از نرمافزارهای مخرب و رشد مجرمان اینترنتی کاهش یافته است. اما واقعیت این است که تهدیدات بیش از ۲۳ درصد افزایش یافتهاند، ولی به دلیل کامل گزارش نشدن سرقت اطلاعات که در هر روز اتفاق میافتد، FBI قادر به ارایه گزارش دقیق نیست. این در حالی است که شرکتها از آگاهی درباره این سرقتها، چگونگی انجام آنها و راههای مقابله با آنها در موارد مشابه، سود بیشتری خواهند برد.
۸-الگوهای امنیتی
پیروی از مقررات و امنیت IT همیشه هم معنی نیستند. شما همیشه میتوانید از یکسری مقررات وضع شده پیروی کنید و در عین حال همیشه در مقابل تهدیدات ایمن نباشید. بسیاری از سازمانها به محافظت در مقابل بدافزارها تنها به چشم یک بخش برای چک کردن نگاه میکنند. صرف پیروی از مقررات، اغلب یک روش «بالا به پایین» است. قالب برش بیسکوئیت این مطلب را به سادگی توصیف میکند. یک کارخانه باید به محصولات خود نگاه کند و بیابد که چگونه میتواند آنها را با این قالب تطابق دهد.
امنیت زمانی که به درستی پیادهسازی شود یک رویکرد «پایین به بالا» است. زمانی که شما در حال طراحی یک نرمافزار و یا معماری جدید برای شبکه سازمان خود هستید باید عناصر امنیتی را در نظر بگیرید. همانطور که زمانی که در حال طراحی یک نرمافزار تغییرات احتمالی بعدی را در نظر میگیرید، در استفاده از عناصر امنیت نیز باید این نکته را در نظر بگیرید که شبکه در طول مدت گسترش، باید مودر بازبینی مداوم قرار گیرد.
۹-فرض اینکه همه چیز خوب است
اگرچه ممکن است که سیستمها ضد گلوله باشند، اما در نهایت انسانها از این سیستمها استفاده میکنند. در بسیاری از موارد مشکلات در نتیجه همین عنصر انسانی به وجود میآید، بر اساس اشتباهات ساده، فقدان دانش لازم و آموزش کافی، و مانند اینها. کارکنان یک شرکت باید درباره مدیریت اطلاعات، مانند چگونه رفتار درست در شرایط خاص، چگونگی پیروی از سیاستهای شرکت و چگونگی جلوگیری از بدافزارها را آموزش ببینند. همچنین آگاه باشند زمانی که یک بدافزار به شبکه نفوذ کرده است، چه عملی باید انجام دهند تا از اطلاعات محافظت کنند و جلوی خسارت بیشتر را بگیرند.
نگاهی دقیق بر رویدادهای امنیتی احتمالی در شرکت خود داشته باشید. همه چیز خوب نیست. همه ما میتوانیم راههای بیشتری برای جلوگیری از سرقت اطلاعات مهم خود پیدا کنیم.
خلاصه هر روز مجرمان اینترنتی راههای جدیدی برای نفوذ به سیستم کاربران نهایی شرکتها مییابند تا به این وسیله اطلاعات مهم و دارایی آنها را به سرقت ببرند. طبق گزارش «The Top Cyber Security Risks» که توسط SANS.org ارایه شده، شرکتها روزانه هزاران دلار خسارت میدهند در حالی که فکر میکنند در برابر تهدیدات ایمن هستند.
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات
دستیابی به امنیت بیشتر در چاپگرهای HP
استفاده از دستگاه های تلفن همراه برای گرفتن پرینت با پرینترهای شرکت امری بدیهی است. Hewlett-Packard سعی کرده است از طریق ویژگی پرینت مستقیم بی سیم با خطرات امنیتی این روش مقابله نماید.
شرکت HP دو ویژگی NFC و وای فای مستقیم را به پرینترهای رنگی لیزری جدید اضافه کرده است در نتیجه دستگاه های تلفن همراه می توانند بدون اتصال به شبکه سازمان و به طور مستقیم یک ارتباط بی سیم را با پرینتر برقرار نمایند. این پرینترها می توانند یک ارتباط نظیر به نظیر را با تبلت ها یا گوشی های هوشمند برقرار نمایند و کاربران می توانند به راحتی و به طور مستقیم درخواست های پرینت خود را برای یک پرینتر ارسال نمایند.
مدیر شرکت HP اظهار داشت: هدف از افزودن این دو ویژگی آن است که کاربران شرکت ها به راحتی بتوانند به پرینتر دسترسی داشته باشند و هم چنین به راحتی بتوان با تبلت ها و گوشی های هوشمند تقلبی مبارزه کرد.
پرینترهای سازمان به طور فزاینده ای برای گرفتن پرینت اسناد شخصی مورد استفاده قرار می گیرند و در محیط هایی که از دستگاه های شخصی استفاده می شود، دستگاه های تقلبی می توانند یک مشکل امنیتی محسوب شوند. ویژگی های جدید نظیر به نظیر برای پرینت گرفتن می تواند باعث شود تا محیط های BYOD راحت تر مدیریت شود.
بسیاری از پرینترها اغلب بواسطه دیوار آتش به سیستم متصل می شوند و برای کاربران مجوزهای خاصی برای پیرنت گرفتن درنظر گرفته می شود و بر روی سیستم اعمال می گردد. اما اتصال مستقیم به پرینترها از طریق ویژگی های NFC و وای فای مستقیم مستقل از دیوار آتش عمل می کند و هم چنین دیگیر نیازی نیست تا مدیر شبکه مجوزهای خاص را برای کاربران BYOD نمایند.
شرکت HP به همراه انتشار پرنترهای لیزری جدید خود، نرم افزاری را برای امنیت بیشتر پرینترها پیشنهاد می دهد. نرم افزار مربوطه برای دستگاه های تلفن همراه برنامه ePrint Enterprise 3.2 می باشد که قبل از اتصال کاربر به پرینتر لایه های امنیتی را ارائه می دهد.
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات
هشت نکته ضروری برای استفاده از بانکداری الکترونیک
در چند سال اخیر آن قدر از رسانه های مختلف در باب فواید بانکداری الکترونیک دیده و شنیده اید که نیازی به تکرار مکررات و واضحات نیست. اما طبیعتاً هر دست-ساخته بشری در کنار مزایا،مضررات و همراه با ساده کردن ها، خطراتی هم در پی دارد. فناوری های نوین هم از این قاعده کلی مستثنی نیستند.
بانکداری الکترونیک نیز با مخاطراتی همراه است، کما اینکه بانکداری سنتی هم خطراتی داشت و دارد. حتماً زیاد شنیده اید که پول افراد را پس از خروج از بانک زده اند یا کارت بانک کسی را دزدیده و از آن سوء استفاده کرده اند. پس مسئله بود و نبود خطر نیست؛ آنچه مهم است نحوه مواجهه با آن و آموزش استفاده صحیح از یک فناوری است. در این نوشتار قصد داریم به ۸ نکته ابتدایی برای به حداقل رساندن مخاطرات پیش رو در بانکداری الکترونیک بپردازیم.
۱- حسابی با دو مرحله تایید انتخاب کنید
تلاش اول تان این باشد که بانکی را برای حساب باز کردن انتخاب کنید که در زمینه بانکداری الکترونیک پیشرو باشد، سامانه اینترنتی مجهز و امنی داشته و حتماُ از «تایید دو مرحله ای» برای ورود به سامانه خود برخوردار باشد.
مدتی است که بسیاری از بانک ها، اما نه همه شان، یک دستگاه کوچک (نمونه آن را Token می نامند) به مشتریان خود می دهند که برای ورود به حساب اینترنتی هر بار یک رمز منحصر به فرد تولید می کند. این رمز فقط برای مدت کوتاهی معتبر است و در کنار اطلاعات حساب آنلاین خود برای ورود به سامانه، به آن هم نیاز دارید.
۲- یک رمز عبور قوی انتخاب کنید
اگر بانک تان دستگاه تولید رمز ارائه نمی کند و به جای آن هر مشتری رمز خودش را می تواند داشته باشد حتماً مطمئن شوید که رمز انتخابی شما به اندازه کافی قوی است . بهترین راه برای دست یابی به این هدف، این است که یک رمز طولانی با حروف لاتین بزرگ و کوچک، اعداد و علائم خاص (مثل @ و $) درست کنید.
همیشه از استفاده از واژه ها و عبارات پر کاربرد احتراز کنید و هرگز رمزی شامل اسم خود، سال تولد یا هر چیز شبیه به اینها نسازید. اگر بانک تان اجازه می دهد، هر دو الیٔ سه ماه، رمز ورود را عوض کنید.
اگر حساب بانکی شما این امکان را دارد که در صورت فراموش کردنِ رمز تعیین شده، با پاسخ به چند سوال پیش فرض، وارد حساب آنلاین خود شوید یادتان باشد قرار نیست این سوال ها راستی آزمایی برای شما باشند و پاسخ های حقیقی دریافت کنند.
یعنی مجبور نیستید به سوالِ اسم عموی مورد علاقه تان چیست، پاسخ دهید «عمو مهدی». چیز دیگری انتخاب کنید و با آن به مثابه یک رمز عبور برخورد کنید. اگر فکر می کنید آن قدر حافظه خوبی ندارید که همه این رمزها را به خاطر بسپارید از نرم افزارهای مدیریت گذر واژه استفاده کنید.
۳- مسائل امنیتی را در مورد رایانه تان رعایت کنید و همیشه به روز نگه ش دارید
این روزها فارغ از اینکه از رایانه خود برای چه کاری استفاده می کنید، داشتن یک نرم افزار امنیتی قدرتمند، ضروری است.
حداقل کار این است که مطمئن شوید بازوی (Firewall) سیستم عامل تان فعال است و یک ضد ویروس به روز شده روی آن نصب دارید. این دو تا حدی شما را در برابر جاسوس افزارها، کی لاگرها و انواع دیگر بدافزار که می توانند اطلاعات حساب بانکی شما را بدزدند، محافظت می کنند.
در ضمن خیلی مهم است که سیستم عامل، مرورگر و نرم افزارهای دیگر خود را همیشه به روز نگه دارید تا مطمئن شوید حفره امنیتی در آنها وجود ندارد.
۴- از کلیک کردن روی لینک هایی که به صورت ایمیل برای تان ارسال شده خودداری کنید
هیچ موسسه مالی امکان ندارد که به شما ایمیلی ارسال کند و ازتان مشخصات ورود به حساب بانکی را طلب نماید.
اگر ایمیلی (یا پیامک یا تماس تلفنی) دریافت کردید که در ظاهر از بانک تان ارسال شده بود و چنین مشخصاتی را می خواست حتماً به آن شک کنید که ممکن است یک حقه فیشینگ باشد و قصد به دست آوردن مشخصات حساب شما را دارد.
همچنین از لینک هایی که در ایمیل برای تان ارسال شده و به نظر می رسد از سوی بانک تان هم باشند به شدت بر حذر باشید؛ این حقه ای است که توسط خلاف کاران به کار گرفته می شود تا شما را به وبگاهی درست شبیه بانک تان هدایت کند؛ وقتی به خیال خود وارد حساب بانکی تان شدید در واقع مشخصات ورود به آن را در اختیار دزدها قرار داده اید تا به سادگی حساب تان را خالی کنند.
همیشه برای ورود به وبگاه بانک، نشانی آن را مستقیماً در نوار نشانی مرورگر وارد کنید.
علاوه بر این، مراقب تماس های تلفنی ناخواسته ای که ادعا می کنند از طرف بانک تان هستند باشید. هیچ وقت، هیچ وقت، هیچ بانکی با شما تماس نمی گیرد تا مثلاً رمز حساب بانکی آنلاین تان را بپرسد! حتی اگر احساس کردید مورد خواست تماس گیرنده (چیزی غیر از مسائل شخصی حساب تان) ممکن است درست هم باشد، تلفن را قطع کنید و خودتان با شعبه ای که در آن حساب دارید تماس گرفته و در صورت نیاز به سوالات آنها پاسخ دهید.
۵- از یک مکان امن وارد حساب تان شوید
همواره از رایانه و شبکه ای به سامانه بانک تان وصل شوید که از امنیت آن مطمئن هستید.
اما اگر به هر دلیلی ناچارید از جای ناامن و ناشناسی مثل کافی نت وارد حساب آنلاین تان شوید کار درست این است که یک شبکه خصوصی مجازی (VPN) بسازید و بین رایانه مطمئن خود در منزل با رایانه کافی نت یک ارتباط رمز گذاری شده ایجاد کنید و از آنجا به حساب تان متصل شوید. اگر چنین امکانی ندارید بهتر است از خیرش بگذرید.
حواس تان باشد قبل از وارد کردن اطلاعات حساب به نوار نشانی مرورگر نگاه کنید: بررسی نمایید که نشانی درست باشد، علامت قفل را کنار نشانی اینترنتی بانک ببینید و قبل از آن عبارت Https و نه Http نوشته شده باشد. این دو نشان می دهند که ارتباط شما با حساب تان رمز گذاری شده.
۶- همیشه وقتی کارتان تمام شد از حساب خود خارج شوید
به خود عادت دهید که همیشه بعد از اتمام کار از هر حسابی به طور کامل خرج شده و از خروج صحیح اطمینان حاصل کنید؛ خواه حساب ایمیل، خواه حساب مهمی مثل حساب بانکی.
با این کار احتمال سرقت اطلاعات حساب خود را کاهش می دهید. خوب است یک مرورگر را فقط و فقط به این کار اختصاص دهید و تنظیم کنید که بعد از هر بار بسته شدن، کل کش، کوکی ها و تاریخچه مرورگر پاک شود.
۷- حتماً سامانه های آگاه سازی را برای حساب تان فعال کنید
الان دیگر همه بانک ها امکان آگاه سازی از تراکنش ها توسط پیامک یا ایمیل را دارند؛ مثلاً هر موقع مبلغی از حساب تان برداشت شود اطلاع داده می شود؛ حتماً این امکانات را درخواست و فعال کنید. بهتر است تنظیم کنید که پایان هر روز خلاصه وضعیت حساب برای تان ارسال شود.
۸- به طور دائم حساب تان را زیر نظر داشته باشید
وقتی ندانید چقدر موجودی داشته اید و الان چقدر موجوی دارید، چطور می خواهید از بروز تغییر در آن باخبر شوید. باید حتماً حساب بانکی خود را حداقل به طور هفتگی کاملاً بررسی کنید و از صحت تراکنش های طول هفته مطمئن شوید.
یادتان باشد ناسلامتی شما صاحب یک حساب آنلاین هستید و هر لحظه می توانید به حساب تان دسترسی داشته باشید، پس هر موقع که وقت آزاد داشتید این کار را انجام دهید و هرگز پشت گوش نیندازید.
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات
اس اس اچ چیست و چه تفاوتی با اف تی پی دارد؟
FTP و SSH هر دو پروتکل هایی تحت شبکه هستند که درست مانند HTTP بالای لایه TCP/IP اجرا می گردند. به زبان ساده این یک راه شناخته شده برای ابزارها است، تا درون شبکه با یکدیگر تماس برقرار کنند.
شیوه های مختلف برقراری تماس، ویژگی ها و شرایط استفاده متفاوت و ویژه ای دارند. کاربردهای مختلف و توانایی های گوناگونی در هر کدام گنجانده شده است. اما اینکه FTP و SSH دقیقا چه تفاوت ها و کارکردهایی دارند، برای بسیاری هنوز مبهم و گنگ است. در این مقاله قصد داریم به شرح و توضیح تکنولوژی های به کار رفته در این دو پروتکل و تفاوت های میان آنها بپردازیم.
برنامه واسط (Shell) و اکانت های برنامه واسط
بگذارید ابتدا به اصطلاحات فنی پایه و زیرساخت ها بپردازیم. برای فهمیدن هدف SSH، نیاز دارید با برخی عناصر اصولی و زیرساخت آن آشنا شوید.
Shell کامپیوتر، یک قطعه نرم افزاری است که به کاربر اجازه می دهد مستقیما با کرنل یا هسته اصلی سیستم عامل ارتباط برقرار کند. Shell می تواند دارای رابط گرافیکی یا محیط خط فرمان باشد و یا اینکه هر دو را با هم داشته باشد.
اکانت Shell یک اکانت شخصی است که به کاربر اجازه دسترسی به Shell را از طریق کامپیوترهای مختلف و راه دور می دهد. از این اکانت ها معمولا می توان برای کار با فایل های ذخیره شده، اکانت های ایمیل، گروه های خبری و مانند آن استفاده کرد. نقطه مشترک همه کاربردهای Shell هم در این است که معمولا برای استفاده از اکانت Shell دستورات را از راه دور و توسط خط فرمان ارسال می کنیم.
پروتکل برنامه واسط امن (Secure Shell Protocol – SSH)
همانطور که مرورگرهای وب از پروتکل HTTP برای صحبت و ارتباط با سایت ها استفاده می کنند، اکانت شل هم نیاز دارد تا از یک پروتکل مشخص برای ممکن ساختن انتقال اطلاعات (یا همان ارتباطات) میان دو ابزار درون شبکه استفاده کند. افتخار دارم SSH یا پروتکل برنامه واسط امن (Secure Shell Protocol) را خدمت تان معرفی کنم.
SSH از یک کلید رمزنگاری عمومی استفاده می کند و هدف اولیه توسعه آن، خلق جایگزینی به جای ارتباطات ناامن و حفاظت نشده ای همچون Telnet بود. این پروتکل دارای دو نسخه اصلی SSH-1 و SSH-2 است که هم اکنون پروتکل های عمده و حاکم بر دنیای دسترسی اکانت های شل هستند.
امروزه از SSH برای لاگین و اجرای کدها از طریق کامپیوترهای راه دور، جستجوی وب با استفاده از کلاینت های پروکسی رمزنگاری شده و انتقال فایل استفاده می شود. همچنین برای تنظیم و آماده سازی شبکه خصوصی مجازی یا همان VPN هم می توان از SSH بهره برد.
کلاینت های SSH یا برنامه های دسکتاپ اس اس اچ برای همه سیستم عامل های اصلی در دسترس هستند. سیستم های بر پایه یونیکس، مانند لینوکس و مک او اس ایکس، می توانند از OpenSSH استفاده کنند. همچنین در سایت OpenSSH می توانید برنامه های SSH مناسبی برای مک و ویندوز پیدا کنید. PuTTY هم یکی از برجسته ترین کلاینت های ویژه تحت ویندوز است.
پروتکل انتقال فایل امن یا SFTP در برابر FTP
انتقال فایل واجرای VPN به صورت پیش فرض بر روی SSH فعال نیستند. به یاد داشته باشید که SFTP پروتکل اف تی پی قابل اجرا بر روی SSH نیست. بلکه یک پروتکل متفاوت انتقال فایل (file transfer protocol) است که به عنوان یک اکستنشن یا افزونه برای SSH-2 توسعه یافته است. SFTP همیشه برای انتقال فایل روی اس اس اچ استفاده می شود، اما در حقیقت به گونه ای طراحی شده که می تواند توسط دیگر پروتکل ها هم مورد استفاده قرار گیرد.
البته جدای از صحبت های فنی، SFTP برای کاربر نهایی می تواند یک جایگزین امن و مطمئن برای FTP باشد. اف تی پی تمامی اطلاعات را به صورت متن ساده و بدون رمزنگاری انتقال می دهد. بنابرین سرقت بسته های اطلاعاتی می تواند باعث بروز مشکلات وخیمی برای اطلاعات شخصی شما از قبیل نام کاربری و رمزهای عبورتان گردد.
SFTP که تبدیل به یک افزونه برای SSH-2 شده، از شیوه امنیتی کلید رمز عمومی برای انتقال اطلاعات استفاده می کند. این بدان معنی است که اطلاعات به صورت رمزنگاری شده ارسال می گردند و خطر بالقوه نفوذ بین مسیر به اطلاعات تقریبا منتفی می گردد.
SFTP معمولا در بسیاری از برنامه های مشهور FTP قابل استفاده است. البته در این حالت، دیگر قابلیت های SSH در این حالت غیر فعال خواهند بود.
- منتشر شده در شبکه و امنیت شبکه, فناوری اطلاعات