برآورد خطر در عرصه موبايل با چهار گام

مايکل ديويس، يکی از افراد با تجربه عرصه امنيت است که درباره برقراری امنيت در محيط موبايل در سايت اينفورميشن‌ويک مقاله‌اي را نوشته است. آنچه می‌خوانيد ترجمه‌ای از نکته‌هاي مطرح شده و چهار گامی است که برای ايجاد يک راهکار امنيتی براي برآورد خطر در محيط‌ها و شبکه‌هایی که با دستگاه‌های موبايل در تعامل هستند، پيشنهاد شده‌است.

نخستين گام در شيوه استاندارد تعيين خطر (چه در ارتباط با برنامه‌های آلوده موبايل و چه در ارتباط با آن دسته از مکان‌ها و کيوسک‌های بی‌سيمی که به داده‌ها دستبرد می‌زنند)، اين است که از اوضاع برآورد درستی در دست داشته باشيم. می‌توان کار را با اين پرسش آغاز کرد: برآورد ريسک در حيطه فناوری، حيطه‌ای که هفته‌ به هفته در حال تغيير است و حتی شايد در مالکيت ما نيز نباشد، چگونه بايد صورت بپذيرد؟ بسياری از شرکت‌ها که VMware نيز از تازه‌ترين نمونه‌هایش است، درصدد هستند به  كارمندان اجازه دهند از تجهيزات همراه شخصي‌‌شان براي انجام كارهاي سازماني استفاده كنند.
 

 اين مقاله بيشتر بر امنيت داده‌های موبايل تمرکز كرده، نه بر ديگر گونه‌های متعدد ريسک از جمله شنود، دسترسی‌پذيری و پايداری پوشش ارتباطی و نه حتی استفاده از اين دستگاه‌ها برای بازيابی داده‌ها پس از آسيب‌ديدنشان؛ هرچند همه اين موارد در جای خود اهميت دارند. درباره چگونگی نگه‌داری از داده‌های موبايل و کاهش تهديدهای معطوف به آن، راه‌حل مشخص و ثابتی وجود ندارد، زيرا موبايل يک دستگاه به نسبت جديد به شمار مي‌آيد و کارایی يا ناکارآمدی شيوه‌های امنيتی مختلف درباره آن هنوز به‌طور کامل مشخص نشده‌است. در حال حاضر بايد برآمده از شرايط داخلی هر محيط باشد. بر کارآمدی شيوه خاص حفاظتی در محيط‌‌تان و نيز بر ميزان رعايت آن از سوی کاربران تمرکز کنيد. پيش از آن‌که تهديد خاصی را در سناريوی امنيتی خود لحاظ کنيد، خود را برای طرح پرسش‌های متعدد و آزمايش نظريه‌هایتان آماده کنيد.

بهتر است برنامه خود را مبنی بر برآورد ريسک امنيت موبايل به چهار بخش تقسيم کنيد: «دسترسی به داده‌های حساس، تهديدهای مربوط به خود دستگاه، خطر مديريت و در نهايت آگاهی.» برای هر يک از اين بخش‌ها پرسش‌هایی را طرح كرده و آن‌ها را در گفت‌وگو با کارکنان خود مطرح کنيد و بازخورد آن‌ها را به اين پرسش‌ها مشاهده کنيد. پرسش‌ها را کمی جامع‌تر طراحی کنيد و به سؤال‌هایی با پاسخ بله/‌خير بسنده نکنيد. به عنوان مثال، می‌توانيد برای پرسشی مانند «چقدر به فرزندتان اجازه می‌دهيد، برنامه دانلود کند؟» پاسخی با دامنه 1 تا 5 در نظر بگيريد که در آن 1 نشانه «هرگز» و 5 نشانه «خيلی‌وقت‌ها» باشد. يکی از روش‌هايي که من از آن استفاده کردم، شيوه «11 سؤالی» است. در برخورد با کارکنان‌ از آن‌ها بپرسيد که اگر به جای شما مسئوليت امنيت سازمان متبوع‌ را بر‌عهده داشتند، چه سؤال‌هایی می‌پرسيدند. طرح پنج يا شش سؤال اول ساده‌تر است، اما بعد از آن کار دشوارتر می‌شود، در عوض برای شما جالب خواهد بود، چون متوجه مواردی خواهيد شد که در عرصه امنيت موبايل از نظرتان پنهان مانده‌بود. اين پرسش‌ها را مستند‌سازی کنيد و در بقيه فرآيند برآورد خطر از آن اطلاعات بهره ببريد.

1- دسترسی به داده‌های حساس
بيشترين نگرانی درباره دستگاه‌های موبايل اين است که شايد بتوانند به داده‌های حساس دسترسی پيدا کرده و آن‌ها را به بيرون نشت دهند. اما آيا اين دستگا‌ه‌ها‌ در هر محيطی چنين قابليتی دارند؟ به عنوان مثال، يکی از شرکت‌های مالی‌اي که ما ميزان خطر را برايشان برآورد کرديم، نمی‌دانست که چه داده‌هایی را بايد جزو داده‌های حساس به شمار‌آورد، سپس دريافتيم که نرم‌افزار اين شرکت تنها روی ويندوز ‌اجرا می‌شود و در نتيجه دستگاه‌های موبايل نمی‌توانند به داده‌های آن دسترسی پيدا کنند. علاوه بر اين، از ميان چهارصد کارمند اين شرکت فقط شش نفر مجوز دسترسی به اين داده‌ها را داشتند. در نتيجه، خطر واقعی بيشتر متوجه گزارش‌های حاوی داده‌های مالی‌ای می‌شد که به اين سو و آن سو ايميل می‌شوند.
 

کار مستندسازی اطلاعات حساسی را که يک دستگاه موبايل به آن دسترسی دارد با تعيين روند چرخش داده‌ها بر‌اساس دسته‌بندی‌ها شروع‌کنيد. همچنين مشخص کنيد که چه کسی به چه چيزی و در چه زمانی دسترسی دارد. در سازمان‌های بزرگ‌تر، چرخه‌های کاری مستندسازی‌شده‌ قابل بازبينی را بررسی کنيد. هرجایی که داده‌های حساس دست‌به‌دست می‌شوند (چه به‌وسيله عامل انسانی و چه توسط سيستم) با اشخاص گيرنده و فرستنده آن داده‌ها صحبت کنيد تا مشخص شود آن داده‌ها چگونه به دستگاه‌های موبايل منتقل می‌شوند. تجربه ما نشان می‌دهد، بيشتر دستگاه‌های موبايل به داده‌های حساس دسترسی مستقيمی ندارند، بلکه دسترسی آن‌ها به‌صورت جانبی (مثال ايميل در بالا) است و به‌طور معمول سيستم‌های امنيتی موجود مانند جلوگيری از گم‌شدن اطلاعات، مديريت هويت و کنترل دسترسی برای برقراری امنيت در اين سطح کافی کافی هستند.

2- تهديد دستگاه
اهميت تهديدهای مربوط به دستگاه موبايل را می‌توان با توجه به آماری که در رسانه‌ها منتشر می‌شود، دريافت: تعداد بدافزارهای موبايلی دويست درصد افزايش داشته، اين در حالی است که کمتر از پنجاه درصد کاربران موبايل روی دستگاه‌های موبايل‌شان رمزعبور می‌گذارند. من در گزارشی با عنوان «پنج تهديد امنيتی بزرگ در سال 2012» نيز توصيه‌کردم که درباره ويروس‌ها و تروجان‌های موبايلی‌کمتر نگران‌باشيد و در عوض نسبت به مواردی مانند رمزنگاری داده‌ها، امن‌سازی دستگاه در مقابله با سرقت و ارتقای فناوری امنيتی آن حساسيت بيشتری داشته باشيد. در بيشتر مواقع وقتی سازوکارهای مربوط به مديريت دستگاه‌های موبايل را تحليل می‌کنيم، می‌بينيم که کاربران از امکان روی دادن برخی موارد شگفت‌زده می‌شوند؛ به عنوان مثال، متعجب می‌شوند وقتی می‌بينند بعضی از دستگاه‌ها نرم‌افزار مديريتی خود را موسوم به MDM (سرنام Mobile Device Management) دور می‌زنند و به طور مستقيم وارد برنامه Active Sync می‌شوند؛ همچنين بهره‌گيری دستگاه از استانداردهای ايميل IMAP و POP3 يا امکان دسترسی آن به شبکه از طريق VPN بی‌آن‌که كاربران متوجه اتصال دستگاه به شبکه شده‌باشند باعث شگفتي‌ آن‌ها می‌شود. نمی‌توان پيش‌بينی کرد که تهديد بعدی در اين عرصه چه چيزی خواهد بود. پس دقت داشته باشيد تا از بيشترين سدهای امنيتی روی بيشترين گونه‌های دستگاه‌های موبايل و پلتفرم‌هايشان بهره ببريد.

3- خطر مديريت
برقراری امنيت در موبايل کار دشواري است، چون روزانه هزاران دستگاه موبايل وارد سازمان‌شده، گم يا سرقت می‌شود يا برنامه‌هاي داخلی و کاربردی آن‌ها به‌روز می‌شود. همواره بايد آماده باشيد تا با اين تغييرات فزاينده دست و پنجه نرم‌ کنيد و در نتيجه بايد سازوکاری داشته باشيد تا به سرعت تحليل کنيد که چه دستگا‌ه‌های موبايلی به داده‌هايتان دسترسی دارند و نيز بتوانيد سيستم‌عامل‌ها و تجهيزات جديد را تحت نظر داشته باشيد. آيا فرد يا گروهی را داريد که کارشان به‌دست آوردن اطلاعات درباره تازه‌ترين بدافزارها و برآورد آسيب‌پذيری‌ پلتفرم‌های جديد باشد؟ به عنوان مثال، روزی که کيندل فاير شرکت آمازون وارد بازار شد، بلافاصله متوجه شديم که کاربران برای دسترسی به ايميل‌های شرکت و داده‌های شبکه‌ از آن استفاده کردند. اگر ناگهان بيست درصد اتصال‌ها به شبکه‌تان با يک دستگاه موبايل جديد با نسخه‌ای تازه از آندروئيد که تست‌اش نکرده‌ايد، انجام شود، آيا آمادگی پذيرش شرايط را خواهيد داشت؟ علاوه بر اين، گفته شد که تعداد زيادی از دستگاه‌های موبايل يا گم می‌شوند يا به سرقت می‌روند. آيا راهکاری داريد که داده‌های موجود در آن‌ها بلافاصله از راه‌دور پاک شوند؟
 

فرآيندهایی را که در صورت روبه‌رو شدن با بدافزارها و مشکلات مربوط به کارکنان به کار خواهيد گرفت، تحليل کنيد. تا چه اندازه قادر خواهيد بود، چنين فرآيندهایی را به‌صورت هماهنگ اجرا کنيد؟ صادقانه بيانديشيد که آيا منابع‌تان در جای درستی قرار گرفته‌اند؟ آيا برای اعمال سياست‌های امنيتی موبايل، راهکاری را برای ملزم کردن افراد براي استفاده از آن در نظر‌گرفته‌ايد؟

4- آگاهی
نخستين و آخرين خط دفاعی برای دستگاه‌های موبايل، خود کاربران هستند. کاربران به مثابه مديران اين دستگاه هستند و می‌توانند برنامه‌هایی را نصب كرده و برنامه‌هایی را حذف کنند، می‌توانند تنظيمات را تغيير‌دهند و از داده‌ها پشتيبان بگيرند يا نگيرند. تا چه اندازه درباره تهديدها به آن‌ها اطلاع‌رسانی کرده‌ايد؟ دفترچه آموزشی که در بدو استخدام به آن‌ها می‌دهيد، کافی نيست. آن‌ها بايد به‌طور دقيق بدانند که اگر در مورد موبايل‌شان متوجه موضوع مشکوکی شدند، چه كاري بايد انجام دهند. آموزش دادن و آگاهی درباره امنيت موبايل به‌طور فراگير، در کاهش تهديد بسيار مؤثر است.

به باور من اين يکی از قوی‌ترين کنترل‌های امنيتی‌است که جدا از فناوری MDM می‌توان به‌کار گرفت، اما بسياری از شرکت‌هایی که با آن‌ها کار می‌کنم آمادگی لازم را ندارند که به‌طور پيوسته با کارکنان خود درباره اين تهديدها گفت‌وگو کنند. برآورد خطر امنيت موبايل چشم‌اندازهای جالب‌توجهی را ارائه می‌دهد تا سازمان مورد نظر بداند در کدام بخش‌ها و در چه مکانيسم‌های امنيتی‌ای موفق نخواهد بود يا چه کنترل‌هایی در کاهش تهديد کارآمدتر خواهند بود. اگر درباره کاهش خطر ايده‌ای داشتيد، از آزمون و خطا نهراسيد. کاهش خطر و تجربه درست در کار با دستگاه‌های موبايل از اساسی‌ترين مواردی است که در يک برنامه امنيتی موبايل بايد مورد توجه قرار گيرد.