فیلترینگ و ناامنی دیجیتال

مرداد ۱۱, ۱۴۰۴

اتخاذ برخی از تصمیمات توسط مدیران منجربه ضربه‌پذیری بیشتر سیستم‌ها شده است. روش‌های مختلفی که کاربر برای دور زدن قوانین فیلترینگ و طبیعتا تامین نیازمندی زندگی خود استفاده می‌کند مانند نصب انواع VPNها، منجربه افزایش سطح حمله سیستم‌ها و آسیب‌پذیری آنها شده است که از ابتدای تصمیم هم قابل پیش‌بینی بود.

`جامعه، آموزش دیده که چطور نیازمندی زندگی خود را بر مبنای دسترسی به اینترنت برآورده نماید و بتواند با هر سختی و پیچیدگی‌ای که در مقایسه با دیگر کشورها و علم روز دنیا وجود دارد، پیش برود`

اهمیت ساده‌سازی در دنیای امنیت

در محیط‌های پیچیده و پویا که جامعه و به تبع آن سازمان نیز این خصوصیت را دارد، ساختارها و فرایندهای ساده‌شده به مدیران این امکان را می‌دهد که تصمیم‌گیری‌های سریع‌تر، مؤثرتر و شفاف‌تری داشته باشند. از طریق کاهش پیچیدگی‌ها، سردرگمی افراد کاهش یافته و به دلیل تمرکز بیشتر، منابع به شکل بهینه‌تری مورد استفاده قرار می‌گیرند. ساده‌سازی و دوری از ایجاد قوانین با تبصره‌های مختلف و غیرهمگن، نه‌تنها به کاهش هزینه‌ها و افزایش کارآمدی کمک می‌کند، بلکه زمینه‌ساز پاسخ‌گویی مؤثر به تغییرات محیطی برای مدیران سیستم نیز است.

دنیای امنیت نیز از این موضوع مستثنی نیست. سیستم‌های پیچیده نه‌تنها از نظر مدیریت و نظارت دشوارتر هستند، بلکه با ایجاد استثناها، آسیب‌پذیری‌های بیشتری نیز ایجاد می‌کنند. هنگامی که زیرساخت‌های سیستم به دلیل افزودن استثناها بیش از حد پیچیده شده باشند، احتمال اشتباهات انسانی، پیکربندی نادرست و تأخیر در پاسخ‌گویی به تهدیدها افزایش می‌یابد. ساده‌سازی به معنای طراحی سیاست‌ها، ابزارها و رویه‌هایی است که هم قابل اجرا برای کاربران باشند و هم کنترل و پایش برای مدیران آسان‌تر شود. درواقع هر چه محدوده تحت مدیریت از قوانین پیچیده و تکثر تکنولوژی‌های مورد استفاده کاربران استفاده کند، در نتیجه سطح حمله سیستم افزایش یافته و آسیب‌پذیرتر خواهد شد. به عنوان مثال، ساده‌سازی در امنیت سایبری نمود خود را در اصولی مانند اعطای حداقل دسترسی بر اساس نیاز کاربر، پیاده‌سازی قوانین ساده و جامع در تجهیزات امنیتی و حداقل نرم‌افزار مورد نیاز کاربر نمایش می‌دهد. البته این موضوع را نباید با حذف کامل دسترسی کاربر اشتباه گرفت، زیرا سیستم موجودیتی پویا و زنده است، بنابراین کاربر راهی برای تأمین نیازمندی خود پیدا می‌کند.

تحلیل پیامد بلند مدت تصمیمات پیش از اجرای آن

ایجاد قوانینی همچون مسدودسازی استفاده از برنامه‌های کاربردی مختلف و یا دسترسی به اینترنت آزاد برای تمام کاربران نیز از این قاعده مستثنا نیست. برای مدیریت یک سیستم پیچیده مانند یک جامعه انسانی که هریک نیازمندی‌های متفاوتی از دسترسی خود به اینترنت دارند، نمی‌توان به‌صورت کلی یک تصمیم را بدون تحلیل هزینه‌هایی که در آینده به سیستم وارد می‌کند اجرایی نمود. سال‌های زیادی در کشور بر این موضوع تمرکز شد که تمامی کاربران به اینترنت دسترسی داشته باشند، خدمات مورد نیاز کاربران بصورت برخط در دسترس قرار گیرد، دانش و فرهنگ کاربران در استفاده از اینترنت افزایش یابد و بصورت بهره‌ور بر مبنای آن کسب و کارهای جدید ایجاد شوند. بنابراین `جامعه، آموزش دیده که چطور نیازمندی زندگی خود را بر مبنای دسترسی به اینترنت برآورده نماید و بتواند با هر سختی و پیچیدگی‌ای که در مقایسه با دیگر کشورها و علم روز دنیا وجود دارد، پیش برود`. بنابراین واضح است که با ایجاد قوانینی از این دست، کاربران یا همان جامعه راهی را می‌یابند تا بتوانند تصمیمات مبتنی بر محدودسازی را دور زده و نیازمندی زندگی و زنده بودن خود را تأمین کنند.

در پیاده‌سازی تغییرات در سیستم‌ها، بخشی که مدیران به دلیل نداشتن خروجی ملموس، به دقت به آن نمی‌پردازند، فاز شناخت و تحلیل سیستم است. می‌توان گفت هر تصمیم منجر به ایجاد تغییر در سیستم و یا اجرایی شدن آن، نیازمند تحلیل نتایج آن است. در واقع صرفاً به دلیل اینکه نتیجه‌ای که اکنون سیستم در حال ایجاد آن است مورد پذیرش تصمیم‌گیران آن نیست، یک تصمیم جدید به سیستم اضافه می‌شود بدون آنکه تأثیرات آن بر افراد، رویه‌ها و ابزارها تحلیل شده باشد. این موضوع مجدداً بارها و بارها تکرار شده و در نهایت مدیران با سیستمی مواجه شده‌اند که از تصمیمات پراکنده و نامرتبط انباشته شده که به دلیل ماهیت زنده بودن سیستم، پس از گذشت چندسال این تغییر پس زده شده و امکان مدیریت سیستم از دست می‌رود. مانند استفاده از تکنولوژی و قوانین فیلترینگ که توسط افرادی که با ذات و نیاز سیستم همخوان نبوده‌اند، اعمال شد و صرفاً بصورت کوتاه مدت نتیجه‌ی مدنظر را تأمین کرد.

استمرار برخی از تصمیمات و ضربه‌پذیری زیرساخت شبکه‌

اینجا همان نقطه‌ای است که از این دست تصمیمات منجربه ضربه‌پذیری بیشتر سیستم شده است. روش‌های مختلفی که کاربر برای دور زدن قوانین فیلترینگ و طبیعتا تامین نیازمندی زندگی خود استفاده می‌کند مانند نصب انواع VPNها، منجربه افزایش سطح حمله سیستم و آسیب‌پذیری آن شده است که از ابتدای تصمیم هم قابل پیش‌بینی بود. این موضوع با یادگیری روش‌های جدید کاربر منجربه تولید قانون محدودیت جدید می‌شود و این تعدد پردازش قوانین مقابله با روش‌های جدید دور زدن فیلترینگ، باعث از دست رفتن یا کاهش کارایی تجهیزات امنیتی، از مدیریت خارج شدن سیستم و کاهش امکان سرویس‌دهی می‌شود.

اکنون مدیران با سیستمی روبرو هستند که تامین امنیت آن به دلیل سربار پردازشی قوانین توسط تجهیزات امنیتی آن هزینه‌بر و پیچیده است، حجم بالای ترافیک آلوده ایجاد‌شده از سیستم کاربران در حال تولید است و نیازمند نیروی انسانی متخصص بیشتری است. ابزارهای پیشرفته‌تر و هوشمندتر، امکان ساده‌سازی بیشتر سیستم‌ها را فراهم می‌کنند، اما در عین حال نیاز به تخصص بیشتری برای طراحی و پیاده‌سازی خواهند داشت. از طرف دیگر هریک از سیستم‌های کاربران به محلی برای هدف قرار گرفتن از طریق انواع بدافزارها تبدیل شده است و عملا این تصمیم کمک نمود تا هکرها به راحتی به داده‌های سیستم کاربران دسترسی داشته باشند و نشت داده‌های متعدد و گوناگون در سال‌های اخیر صورت گرفت.

تعریف صحیح تغییرات، تعادل در نیازمندی کاربر و تامین امنیت

برای ایجاد یک تغییر در سیستم و رسیدن به یک تعادل میان نیاز کاربر و تأمین امنیت آن سیستم، مسلماً می‌بایست چشم‌انداز دقیق وقوع آن تغییر، مهارت‌های مورد نیاز، منابع مورد نیاز اجرای آن تغییر، روش اجرای آن و مهم‌تر از همه همخوانی با انگیزه کاربر بصورت شفاف مشخص باشد و در غیر این صورت تصمیم با شکست و ضربه به خود سیستم مواجه خواهد شد. به نظر می‌رسد نگاه مقطعی و کوتاه مدت در اتخاذ این تصمیم، تحلیل مناسبی در خصوص نتایج هریک از حوزه‌های مذکور را نداشته است. مانند تحلیل اینکه کشور در حالت تحریم قرار دارد و تأمین لایسنس بسیاری از تجهیزات امنیتی و زیرساختی بسیار دشوار یا غیرممکن است. همچنین در حوزه منابع انسانی، چه در لایه مدیریتی و چه در لایه کارشناسی به دلیل مهاجرت گسترده متخصصین امنیتی و زیرساختی کشور، در حالت بهینه قرار نداریم. از سوی دیگر کاربرانی که با وجود مشکلات مالی متعدد در زندگی خود، می‌بایست ردیف هزینه دیگری با نام تأمین VPN را بصورت مستمر در نظر داشته باشند و هزینه استفاده از نرم‌افزارهای VPN را به همراه سرزنش‌شدن به دلیل ارتکاب عمل اشتباه تحمل کنند تا صرفاً بتوانند به کسب‌وکار و زندگی خود ادامه دهند؛ این هزینه خود منجر به نارضایتی کاربر و عدم همراهی او نیز خواهد شد. به نظر می‌رسد ایجاد منفعت‌های بزرگ مالی برای تأمین‌کنندگان سرویس‌های دورزدن فیترینگ، امکان اتخاذ تصمیم صحیح و اصلاح این رویه‌ی اشتباه را از مدیران گرفته است. با کاهش پیچیدگی‌ها و قوانین غیرهمگن، مدیران می‌توانند منابع را بهینه‌تر تخصیص دهند و از سردرگمی جلوگیری کنند. ساده‌سازی، با طراحی سیاست‌های شفاف و قابل پیاده‌سازی، می‌تواند سطح حمله را کاهش دهد و از استفاده غیرمجاز نیز جلوگیری کند. با این حال، هر تصمیمی در این زمینه باید با تحلیل دقیق از تأثیرات آن در سیستم، منابع، و نیازمندی‌های کاربران همراه باشد، چرا که تصمیمات مقطعی و بدون در نظر گرفتن پیامدهای بلندمدت، منجر به ایجاد مشکلات پیچیده‌تری در آینده و ضربه به خود سیستم خواهد شد. بنابراین، برای رسیدن به تعادل میان نیازمندی‌های کاربران و تأمین امنیت سیستم، مدیران باید دقت در تحلیل نتایج تغییرات داشته باشند و از نگاه کوتاه‌مدت پرهیز کنند تا از ایجاد آسیب‌پذیری بیشتر در سیستم‌ها و افزایش پیچیدگی‌ها جلوگیری شود.

منبع: دنیای اقتصاد

وبلاگ

آخرین مطالب

فیلترینگ و ناامنی دیجیتال

داستان شکل‌گیری یک شرکت امنیتی؛ باگدشت، متولد باغ کتاب

بین خبرهای هک و نشت اطلاعات که از هفته اول سال شروع شده بود، شماره آغازین ماهنامه پیوست سال ۱۴۰۴ به شرکت‌‌گردی در حوزه امنیت سایبری پرداخت.

کلاهی که دیگر چندان سفید نیست!

ورود هوش مصنوعی به دنیای امنیت سال ۱۴۰۳ مانند چند سال اخیر دارای نقاط عطف بسیاری در حوزه امنیت سایبری در دنیا و همچنین ایران بود. از مهم‌ترین رخدادهایی که تاثیر چشمگیری بر روند این حوزه داشت می‌توان به ورود عملیاتی هوش مصنوعی به دنیای امنیت اشاره کرد. در این سال با سهولت ایجاد شده […]

سِر شدن به هک شدن، حلقه مفقوده امنیت چیست

به نظر میرسد تعدد اخبار هک شدن کسب و کارها و نبود قانونی قاطع در زمینه حمایت از داده‌های کاربران باعث نوعی بی‌تفاوتی در میان کسب و کارها شده است. تعدد نهادهای ناظر امنیتی باعث شده است شرکت‌های دولتی و استارت‌‌آپی، مجبور شوند نیروی انسانی زیادی برای نوشتن گزارش‌ها و پاسخگویی به رگولاتورها تخصیص دهند، بدون اینکه این اقدامات به بهبود عملکرد واقعی امنیت سازمان‌ کمک کند.

پنجمین رویداد سالانه امنیتی باگدشت با نام CTB در مرداد ماه سال ۱۴۰۳ برگزار شد

پنجمین رویداد امنیتی CTB با حمایت شرکتهای خدمات ارتباطی ایرانسل، دیجی‌کالا، سفرهای علی‌بابا، تپسی، بانک توسعه و تعاون و رسانه پیوست از هشتم تا هفدهم مرداد ماه برگزار شد.

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.