آگاهی‌رسانی درباره‌ی امنیت سایبری به کارکنان

دی ۲۷, ۱۴۰۱

از آن‌جا که در بسیاری از رخدادهای امنیتی، ناآگاهی کارمندان از مفاهیم و تهدیدهای امنیتی موجب ایجاد امکان نفوذ در سامانه‌ها می‌شود، در این مقاله به ضرورت آموزش و آگاهی‌رسانی به کارمندان می‌پردازیم.

در تهدیدات سایبری جدید توجه هکرها و سودجویان معطوف به نفوذ از طریق افراد داخلی سازمان می‌باشد و آن‌ها برای رسیدن به هدف خود، گزینه‌هایی به وسعت تمام کارمندان ناآگاه سازمان دارند. بررسی‌های انجام‌شده درباره‌ی میزان حملات سایبری روی سازمان‌ها خبر از آمارهایی جالب‌توجه می‌دهد. برای مثال، چندین سال است که بخش قابل‌توجهی از رخدادهای امنیتی از طریق حملات فیشینگ و سناریوهای مبتنی بر آن، سعی در سوء‌استفاده از عامل انسانی دارند. مطابق گزارش‌ها، ۴۲ درصد از مهاجمان برای نفوذ به سامانه‌های سازمان‌ها از سناریو‌های مبتنی‌بر فیشینگ استفاده می‌کنند؛ همین مسئله اهمیت آگاه‌سازی و آموزش کارمندان را برجسته می‌کند.

مهاجمان قبل از اقدام به پیاده‌سازی حملات خود، به‌دنبال فریب کاربران هستند تا راه را برای دسترسی راحت‌تر آن‌ها ایجاد کنند. به عبارت ساده‌تر، عوامل انسانی آسیب‌پذیرترین عناصر در دیواره‌های دفاعی امنیت سایبری هر سازمان هستند. لذا افراد معمولاً اولین هدف مهاجمان سایبری‌ای که از تاکتیک‌ها و ابزار‌هایی مانند باج‌افزار، بدافزار، فیشینگ، مهندسی اجتماعی و ارسال ایمیل‌های جعلی استفاده می‌کنند، هستند.

آموزش و آگاهی‌رسانی

آموزش و آگاهی‌‌رسانی امنیتی در سازمان‌ها با پذیرش این نکته که کارمندان آسیب‌پذیرترین عناصر امنیت سایبری هستند آغاز می‌شود. از طرف دیگر، کارمندان اولین خط دفاعی در برابر حملات سایبری هستند. آموزش و آگاهی‌رسانی امنیتی این درک را به همه‌ی کارمندان می‌دهد که تهدیدهای سایبری قریب‌الوقوع هستند، به‌طور مداوم وجود دارند و این درک آن‌ها را جهت مواجهه با حملات سایبری و تهدیدهای رایج آماده می‌کند.

این آگاهی‌رسانی‌ها می‌توانند شامل ساده‌ترین کارها مانند نصب پوستر‌های امنیتی، پخش دفترچه‌های راهنمای امنیتی و یادآوری مکرر برای رعایت پروتکل‌های امنیتی سازمان نیز باشند.

همچنین، برگزاری مانورهای امنیتی می‌تواند روش بسیار مفیدی برای آماده‌سازی بیشتر کارکنان باشد؛ زیرا به‌صورت جامعی نقاط قوت و ضعف سازمان و کارکنان را مشخص می‌کند و سطح آگاهی افراد دخیل را درباره‌ی ماهیت و مقیاس حوادث سایبری افزایش می‌دهد.

علاوه بر این روش‌ها، یکی دیگر از راه‌های موثر برای آماده‌سازی بهتر پرسنل، برگزاری دوره‌هایی مانند دوره‌ی CSCU است.

دوره‌ی CSCU (Certified Secure Computer User)

دوره‌ی الزامات امنیت کاربران یا کاربری امن کامپیوتر یکی از دوره‌های مقدماتی امنیت شرکت EC-COUNCIL با کد آزمون CSCU_112-12 می‌باشد که کلیات و مبانی امنیت را برای کاربران رایانه آموزش داده و دانشجو را آماده می‌کند تا با تهدیدات موجود در فضای شبکه، اینترنت و رسانه‌های مجازی آشنا شده و با رعایت یک‌سری اصول ایمن‌سازی، از اطلاعات با‌ارزشی که در اختیار دارد محافظت کند. هدف این برنامه‌ی آموزشی ارائه‌ی دانش و مهارت‌های لازم برای محافظت از دارایی‌ها و اطلاعات افراد است. این دوره افراد را در یک محیط تعاملی غوطه‌ور می کند که در آن درکی اساسی از تهدیدات امنیتی رایانه‌ای از قبیل سرقت هویت، کلاه‌برداری با کارت اعتباری، کلاه‌برداری فیشینگ از طریق تراکنش‌های بانکی، ویروس‌ها، ایمیل‌های آلوده و غیره به‌دست می‌آورند. افرادی که در این دوره شرکت می‌کنند با موضوع‌های زیر آشنا خواهند شد:

ویروس‌ها و آنتی‌ویروس‌ها
تهیدیدات امنیتی شبکه
سرقت اطلاعات کارت بانکی، فیشینگ در بانکداری الکترونیک
تهیدات ایمیل، مهندسی اجتماعی و هک حساب‌های کاربری
سرقت اطلاعات محرمانه
راه‌کارهای مقابله با تهدیدات ایمن‌سازی در برابر آن‌ها

این دوره دانش لازم در زمینه‌ی امنیت در فضای تبادل اطلاعات را برای کاربران خانگی، سازمان‌ها و محیط‌های آموزشی ایجاد می‌کند. درنتیجه هدف از این دوره آموزش کاربر کامپیوتر شخصی برای حفاظ از اطلاعات خود یا سازمان در فضای اینترنت و شبکه است. همچنین کاربران پس از اتمام دوره می‌توانند خود را برای آزمون آماده کنند.

وبلاگ

آخرین مطالب

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.

گزارش عملکرد سالانه باگدشت

در این مقاله به ارائه‌ی چهارمین گزارش عملکردی سالیانه‌ی سامانه‌ی خدمات امنیتی باگدشت می‌پردازیم. مهم‌ترین رویداد‌های سال مربوط به باگدشت، برخی از آمار‌های عملکردی سال گذشته، حضور باگدشت در رسانه‌های تخصصی، برخی از همراهان ما و تحلیل باگدشت از چالش‌های امنیت سازمان‌ها در این مقاله ذکر خواهد شد.

مروری بر دوره‌های آموزشی سومین رویداد CTB

در سالی که گذشت، باگدشت توانست با حمایت و همراهی سازما‌ن‌ها و متخصصین گرامی، سومین رویداد امنیتی سالانه CTB را برگزار کند. در این مقاله مروری بر این رویداد خواهیم‌ داشت.