پسوردها؛ تهدید شماره ۱ در امنیت اطلاعات سازمانی

هنوز پسورد ها تهدید شماره یک در سازمان های کوچک و متوسط به شمار میروند. در دنیای واقعی این بسیار سخت است که مجبور باشید یک شبکه ایمن داشته باشید و هر کس در این شبکه باید یک رمز عبور مخصوص خود را داشته باشد که اولاً بسیار سخت و دشوار باشد تا براحتی حدس زده نشود، و ثانیاً صاحب آن بتواند آنرا به یاد بیاورد. امروزه اکثر افراد حداقل ۵ رمز عبور دیگر که باید برای موارد دیگر نظیر حساب بانکی، ایمیل های شخصی، عضویت در وبسایت های غیر کاری و غیره را بخاطر داشته باشند. بدیهی است پسوردی که در محل کار استفاده میشود نباید با پسوردی که برای این موارد استفاده میگردد یکی باشد.

برخی حملات در اینترنت نظیر حمله ای که به Twitter انجام شد، نشان میدهد که هنوز پسورد ها اولین تهدید برای ورود به برخی سیستم ها به شمار میروند. حمله کنندگان در این روش احتیاجی به داشتن تجربه و دانش بالا برای انجام این حملات نخواهند داشت.

طبق تجربیات گذشته، سیاست های مربوط به پسوردها میتواند تا به حدی پیچیده باشند که ریسک های امنیتی را به حداقل کاهش دهند. ولی در بسیاری از موارد وقتی سیاست های سازمانی بسیار پیچیده و سخت گیرانه میگردد، کارمندان اکثرا راهی برای دور زدن این سیاست ها و مقررات پیدا میکنند. خیلی از آنها پسوردهای خورد را بروی کاغذ نوشته و آنرا به مانیتور خود میچسبانند، برخی پسوردهای مشابه با سایر همکاران انتخاب میکنند، بعضی از الگوهای کیبورد نظیر ۱۲۳!@#qw استفاده میکنند، و بسیاری روشهایی که ریسک لو رفتن پسوردها را به شدت افزایش میدهند.

بسیاری از سیاست های سخت گیرانه در پسوردها میتوانند بوسیله فاکتورهای غیر تکنولوژیکی دور زده شوند. در بسیاری از موارد، مدیران سیستم، علاوه نقش های اجرایی و مدیریتی که در سیستم ها دارند، نقش ها امنیتی و تکنیکی در بحث حفاظت از شبکه را نیز ایفا میکنند. این تهدید بسیاری بزرگی است از آنجاییکه عمدتاً این افراد از دانش و تجربه کافی برای بحث های امنیتی برخوردار نبوده و با سهل انگاری هایی که انجام میدهند، مشکلات امنیتی زیادی را بوجود می آورند. در بسیاری از موارد این افراد مسئول تنظیم پسورد برای سیستم های امنیتی و یا پرتال ها و مدیریت اسناد سازمانی هستند و پس از ترکشان، این پسوردها بدون تغییر باقی میمانند و میتوانند یک backdoor خطرناک برای سازمان ایجاد کنند. بخصوص برای کارمندان قبلی که ممکن است قصد ضربه زدن به سازمان را داشته باشند.

یک شرکت بزرگ آمریکایی به نام JournalSpace با یک فاجعه بزرگ روبه رو شد. آنها هیچ backup از اطلاعات مهم سازمانی خود نداشتند. هنگامیکه یکی از کارمندان ناراضی آنها که اتفاقا مدیر سیستم بوده و همه نام های کاربری را در اختیار داشت از سازمان خارج شد، تصمیم به پاک کردن همه اطلاعات گرفت و توانست ضربه بزرگی به این شرکت وارد آورد. در نهایت این شرکت مجبور شد از بسیاری از مشتریان خود بخواهد تا اطلاعات مهمی را از روی کش گوگل خود برای این شرکت بازیابی نمایند.

در بسیاری از موارد مدیران سازمانی ممکن است نیاز داشته باشند که دسترسی های بسیاری زیادی در سازمان و شبکه داشته باشند. آنها ممکن است بخواهند سیستم های زیادی را بازبینی کنند و بدون نظارت، بتوانند اطلاعات زیادی را ایجاد، حذف یا کپی نمایند. اشکال این روش این است که لو رفتن پسوردهای این سیستم ها، که صاحبان آنها عمدتاً از نظر امنیتی کم تجربه هستند، ممکن است به فاجعه ختم شود. زیرا این سیستم ها مجوزهای دسترسی بالایی دارند.

در مواردی مدیران پروژه و یا استفاده کنندگان از یک سرویس یا سیستم حیاتی در سازمان مسئولیت ها و اطلاعات خود را به مدیر و یا فرد دیگری واگذار میکنند. در حالیکه نیاز است از نظر امنیتی دسترسی های آنها کاهش پیدا کند. ولی این اتفاق نیفتاده و آن حساب کاربری با وجود اینکه نیازی به داشتن آن حساب ندارد، همچنان با سطح دسترسی های بالا میتواند حضور داشته باشد. این باعث میشود که در صورت لو رفتن پسورود آن حساب، ریسک های زیادی به سیستم فعلی وارد آید.

در خیلی از موارد کاربران موبایل و لپ تاپ های شخصی که به شبکه ها متصل میشوند میتوانند تهدیدات بزرگی را به همراه داشته باشند. وقتی موبایلی به یک بد افزار آلوده است، ممکن است پس از دست یابی به پسورود شبکه بی سیم سازمان برای استفاده از اینترنت در یک کنفرانس ساده یا همایشی چند ساعته، کل شبکه سازمان را آلوده کند. استفاده از مکانیزم های VLAN و جداسازی شبکه های داخلی از میهمان ها و ایجاد دسترسی های میهمان و کنترل آنها میتواند آسیب های این موارد را به حداقل برساند.