توصیه های امنیتی
چگونه رمزهای عبور بد را بهتر، و امید بیشتر برای آیندۀ احراز هویت ایجاد کنیم

ما می دانیم رمزهای عبور یک دردسر هستند. ما انتظار معجزه نداریم. اما میتوانیم به شما چند راهنمایی ارائه دهیم.
آیا شما باید رمز عبور خود را به من بگویید؟ احتمالا نه، اما ممکن است فرصت خوبی وجود داشته باشد که بتوانم آن را حدس بزنم. در لیست "SplashData" از بدترین رمزهای عبور سال 2015، جمع آوری شده از میان داده‌های نقض و نفوذ‌های مختلف، "123456" و "password" همچنان در صدر قرار دارند.
شما همچنین احتمالا متعجب خواهید شد که شکستن رمز های عبور چقدر برای اشرار سایبری راحت است.  جای تعجب نیست که همه ما بطور جدی به یک  جایگزین نیاز داریم. به هر حال، در حال حاضردو راه وجود دارد که می‌توانید انجام دهید: رمزهای عبور خود را حداقل کمی بهتر کنید، و برخی از جایگزین های رمز عبور که در حال آنلاین شدن هستند را بررسی کنید.

به عبارات فکر کنید ، نه کلمات
اولین اصل برای کلمه عبور بهتر خودداری از کلمات ساده و جفت های عددی است. حتی "Edward Snowden" سال گذشته در مصاحبه با "John Oliver" به این امر اشاره کرد.
شما به جای فکر کردن به کلمات- عبور نیاز به عبارات دارید، و کلمات ساده موجود در لغت‌نامه را فراموش کنید. بطور مثال رمز “admiralalonzoghostpenis420YOLO” متعلق به Oliver احمقانه است ، اما کسی که به آن فکر کند می تواند براحتی آن را به خاطر بسپارد، و از به خاطر سپردن کلمه ای مانند “admiral1” دشوارتر است. بدیهی است که استفاده از هیچ کدام از این راه‌ها نیز توصیه نمی‌شود؛ فقط به آنها به عنوان الهام بخش برای آینده فکر کنید.
شما همچنین باید بدانید که در رمز عبور خود نیاز به بیش از هشت کاراکتر دارید، و هرگز هیچ مرجعی نداشته باشید که برای خودتان مبهم باشد. متاسفم، اما نام خانوادگی قبلی مادر شما دیگر کافی نیست.
همه ی ما برای استفاده مجدد از رمز عبور یکسان مقصر هستیم. با سایت‌ها و رسانه‌های اجتماعی بیشتر از قبل، کمی از خود راضی شدن - حتی به طور تصادفی- آسان است. اگر یک رمز عبور وجود دارد که باید مجدداً استفاده کنید، به هر حال، این ایمیل های شماست. هنگامی که به خطر بیافتد، می توان آن را برای انتقام ویرانگر مورد استفاده قرار داد.
در نهایت ، شما نیاز دارید به طور منظم رمزهای عبور را تغییر دهید. همانطور که اگر یک سایت هک شده است شما باید مشخصات کاربری خود را تغییر دهید، شما واقعا نیاز دارید تا تغییر رمزهای عبور را ادامه دهید تا داده‌های شما یک هدف آسان و بی دفاع نباشند.
در حالت ایده آل، کسی یا چیزی باید همه این‌ها را برای شما انجام دهد، و این جایی است که مدیریت کننده‌های رمز عبور می‌آیند. "Mark Hocking" مدیر "True Key" متعلق به «اینتل» گفت، « امروزه بهترین گزینه برای کاربران یک مدیریت کننده رمز عبور است که می‌تواند رمزهای عبور پیچیده را ایجاد و به یاد داشته باشد بنابراین نیازی نیست شما آن را انجام دهید. اکثر آن ها برای تأیید و امن سازی همه حساب‌های شما به یک رمزعبور اصلی تکیه می کنند»
با این حال، مانند هر نرم افزاری، مدیریت کننده‌های رمز عبور کامل نیستند. برنامه آنتی ویروس «ترندمیکرو» دارای یک برنامه مدیریت کننده رمز عبور پیش ساخته است. به تازگی یک محقق امنیتی گوگل کشف کرد که این برنامه می تواند کد از راه دوری را بپذیرد که می‌تواند برای سرقت کلمات عبور ذخیره شده در نرم افزار مورد استفاده قرار گیرد. برنامه " LastPass" ، دیگر برنامه مدیریت رمز عبور محبوب، طعمۀ یک حمله فیشینگ شده است که می‌تواند کاربران را به افشای رمز عبور اصلی خود برای دسترسی به رمزهای عبور ذخیره شده فریب دهد.

آینده: احراز هویت چند عاملی، زیست سنجی‌ها
احراز هویت دو مرحله‌ای در میان بسیاری از متخصصان امنیتی که با آن‌ها صحبت کرده‌ام به یک توصیه استاندارد تبدیل شده است. این روش، شامل یک فرایند دو مرحله‌ای برای ورود به سیستم- معمولاً با استفاده از یک دستگاه دیگر مانند تلفن همراه همگام سازی شده با حساب کاربری آنلاین شماست. بصورت تئوری، اطمینان حاصل می‌کند که این شما هستید که به حساب کاربری دسترسی پیدا می‌کنید.
ورود از طریق زیست سنجی به آرامی در حال فراگیر شدن است و می‌تواند یک سطح جدید از تایید را معرفی کند. "Touch ID" شرکت «اپل»  و اسکنر اثر انگشت «سامسونگ» به تازگی شروع به کار کرده‌اند. مایکروسافت فن آوری تشخیص چهره در ویندوز 10 را با " Windows Hello" معرفی کرد  که " Dropbox‌‌" نیز آن را به گزینه های ورود خودش اضافه کرده است.
بانک ها و شرکت های پرداخت نیز به حیطه زیست سنجی وارد شده اند. "JPMorgan"سامانه " TouchID‌" را در برنامه آیفون خودش بکار برده است، در حالی که مستر کارت از یک ویژگی "pay by selfie" برای تایید خریدهای آنلاین استفاده می‌کند. آخرین نسخه "Authenticate" شرکت اینتل نیاز به تایید اثر انگشت و در برخی موارد، تشخیص از طریق بلوتوث دارد که در گوشی هوشمند شما بصورت فیزیکی حضور دارد.

این اشتباه شما نیست
"Marc Boroditsky" رئیس «استارآپ »Authy گفت، این اشتباه مصرف کنندگان نیست که تلاش می‌کنند زندگی دیجیتال خود را امن کنند. در عوض، او مسئولیت را به برنامه‌ها، وب سایت‌ها، و شرکت‌هایی می‌سپارد که در توسعه و پرورش واقعی و امن، جایگزین ها ناموفق بوده‌اند.
«برنامه ها و سرویس‌ها در حال حاضر مسئول هر بخش دیگر از تجربه آنلاین کاربر هستند. چرا باید احراز هویت کاربر متفاوت باشد؟ » او توضیح داد. «ما نیاز به متوقف کردن سرزنش کاربران برای ایجاد یک رمز عبور ضعیف داریم، چرا که سایت خود می‌تواند امنیت قوی‌تری داشته باشد و یک رمز عبور شکسته شده را برای یک مهاجم عملاً بی فایده سازد."

 

 

اف‌بی‌آی می‌گوید: قربانیان باج ‌افزارها بهتر است باج خواسته شده را پرداخت کنند

به گزارش وبسایت خبری "SCMagzine": "جوزف بوناولونتا" در کنفرانس "Cyber Security 2015" در بوستون گفت: اف بی آی به شرکت‌هایی که قربانی حملات باج‌افزارهایی مانند "Cryptolocker" ، "Cryptowall" یا دیگر انواع باج‌افزارها شده‌اند، توصیه می‌کند که باج خواسته شده توسط این بدافزارها را پرداخت کنند.

"جوزف بوناولونتا"، مامور ویژه پلیس اف بی آی درحوزه امنیت سایبر و ضد جاسوسی، در واکنش به رواج بدافزارهایی که باعث قفل شدن و ازکار افتادن کامپیوتر قربانبان این دام‌ها درآمریکا می‌شود با ارایه راهکاری جنجالی که از سوی یک مقام رسمی انتظار آن نمی‌رفت، گفت؛ هکرها باج افزارهای بسیار خوبی ساخته‌اند، راستش را بخواهید ما معمولا به مردم پیشنهاد می‌کنیم، باج بدهند.

وی دراین کنفرانس اذعان کرد، به هرحال موارد بدافزارهای باجگیر می­بایست به منظور تحقیقات بیشتر درمورد نحوه کار هکرها به پلیس اف بی آی گزارش شود واضافه کرد: ولی به دلیل پیچیده بودن بدافزارها شکستن آنها توسط مقامات پلیس بسیار دشوار است.

مامور ویژه پلیس اف بی آی و دستیار حوزه امنیت سایبری و ضد جاسوسی در بخش دیگری از سخنان خود گفت: ساده‌ترین راه پرداخت باج است، وافزود، هکرها و مجرمان سایبری از این طریق به مبالغ قابل توجهی دست پیدا می‌کنند و این به دلیل پرداخت باج توسط بخش اعظم نهادها و موسسات به دام افتاده دراین بدافزارها می باشد.

به گفته این مقام اف بی آی، باج افزارهای یاد شده با کد گذاری کردن اطلاعات هارد درایو کامپیوتر قربانی، عملکرد سیستم را مختل می کنند وممکن است به دایرکتوری های دیگر سیستم عامل نیز نفوذ کنند.

باج افزارها که درغالب بدافزار و ازطریق پیوست­ها درایمیل، دانلود از وب سایت­های آسیب­پذیر وحتی تبلیغات به سیستم عامل نفوذ می کنند سالها درگستره اینترنت وجود داشته است ولی درسه چهار سال اخیر، شکل جدی تری به خود گرفته است.

طبق آمار پلیس اف بی آی، تنها درفاصله ماه آپریل 2014 تا ژوئن 2015، 992 مورد شکایت که میزان 18 میلیون دلار خسارت برای قربانیان دربر داشته است، به این اداره ارجاع شده است.

کلمه عبورهای پیچیده، کلید ایمنی اطلاعات نیستند

با توجه به گزارش IBM Security Intelligence: شرکت‌هایی که کارمندان خودشان را مجبور به انتخاب کلمه‌های عبور پیچیده می‌کنند، رویکرد اشتباهی به منظور ایمن سازی اطلاعات و حریم خصوصی کارمندان خود برداشته‌اند.

دکتر Anja Lehmann؛ متخصص علوم رمزنگاری در شرکت IBM، در گزارش اخیر خود گفته است؛ یک کلمه عبور ساده و کوتاه می‌تواند موجب ایمنی حریم خصوصی کاربران شود. زیرا در دنیای مدرن امروزی حتی کلمه عبورهای پیچیده  در کسری از ثانیه می‌توانند شکسته شوند.

دکتر Lehmann در ادامه گفت؛ با توجه به گزارش NIST، یک کلمه عبور 16  حرفی در حدود 30 بیت انتروپی می‌تواند داشته باشد که به 1 میلیارد احتمال برای شکستن آن نیاز خواهد بود. از همین روی، با دستگاه‌های جدید کرک کلمه‌های عبور که 300 میلیارد احتمال را آزمایش می‌کنند، کرک یک کلمه عبور 16 حرفی به کسری از زمان نیاز دارد.

دکتر Lehmann همچنین در گزارش خود ذکر کرده است، شرکت‌ها باید اطلاعات حیاتی به منظور ایجاد کلمه‌های عبور خود را بر روی چندین سرور مختلف نگهداری کنند. زیرا این مورد موجب می‌شود، مجرمان سایبری به منظور کرک کلمه‌های عبور و یا سرقت اطلاعات حیاتی کارمندان و کاربران به سناریو پیچیدهای برای هک سرورها نیازمند باشند. علاوه بر این، این سناریو را حتی می‌توان برای مجرمان سایبری با انتخاب سیستم‌عامل‌های مختلف بر روی سرورها دشوارتر کرد.

 

عدم آموزش امنیتی کارکنان کسب و کارهای ایالات متحده را به ستوه آورده است

آگاهی های امنیتی کارمند همچنان به صورت یک موضوع چشمگیر ادامه دارد: تحقیقات نشان می­دهد که 73 درصد از کارکنان در ایالات متحده معتقدند شرکت آن­ها آموزش کافی در مورد چگونگی محافظت از اطلاعات حساس را فراهم می­کند، در حالی که درصد مشابهی از کارکنان IT (72%) می گویند که کارفرمایان به اندازه کافی برای آموزش کارکنان تلاش نمی­کنند.

این پژوهش، از شرکت "Clearswift"، با توجه به این  موضوع که کارکنان با آموزش نادرست در معرض خطر کلیک کردن روی پیوندهای فیشینگ که مهاجمین را به ورود دعوت می­کند و یا ارسال سهوی اطلاعات پنهان در درون سند و فراداده قرار دارند بر نیاز به همکاری بیشتر بین تیم اجرایی، IT، منابع انسانی و سایر کارکنان در یک سازمان برای اطمینان از ایمنی اطلاعات حساس و مالکیت معنوی (IP) تاکید می­کند.

این بسیار جالب توجه است که  10% از کارکنان، یک دستگاه حاوی اطلاعات حساس کسب و کار را از دست داده اند، 12% بصورت مخفی از زیر ساخت های فناوری اطلاعات بدون احراز هویت استفاده کرده اند و 37% از پاسخ دهندگان می گویند که به اطلاعاتی دسترسی دارند که بالاتر از سلسه مراتب آن­ها در شرکت قرار دارد. با یک چشم انداز مثبت در استفاده از برنامه­های کاربردی ابری مانند "Dropbox" ، یا "Google Drive"، به علاوه گسترش ابزار­های ارتباطی جدید در قالب شبکه­های اجتماعی و دستگاه­های شخصی که برای کار استفاده می­شود ،خطر تشدید شده است.

علاوه بر این، 56 % از کارکنان در ایالات متحده هنگام کار به مالکیت معنوی دسترسی دارند - اما کمتر از نیمی (45٪) تشخیص دادند که اگر مالکیت معنوی به بیرون درز کند می­تواند به شرکت آسیب برساند. این می تواند شامل کد جدید برای محصولات نرم افزاری، اسرار تجاری، طرح و یا برنامه­های استراتژیک باشد و اگر هنوز توسط ثبت اختراع محافظت نشده باشد، از دست دادن آن می­تواند بسیار پر هزینه گردد.

"Heath Davies" مدیر عامل شرکت "Clearswift" گفت: "ارزش مالکیت معنوی یک شرکت اغلب به درستی درک نمی­شود. اول از همه، مالکیت معنوی در بسیاری از چهره­های گوناگون ظاهر می­شود و تشخیص آن برای سازمان­ها به این که مالکیت معنوی آن­ها چیست، کجا وجود دارد و به چه کسی به آن دسترسی دارد، امری ضروری است. مالکیت معنوی با ارزش­ترین مالکیت یک شرکت است، اگر به دست رقیب بیفتد، یا در دست فردی غیرمجاز قرار بگیرد، می تواند خسارت مالی بسیار زیادی را به یک شرکت وارد کند، یا مانند تلاش اخیر برای جاسوسی از نیروی دریایی ایالات متحده، به طور بالقوه باعث اتفاقات وخیمی می­شود. این باور نکردنی است که بسیاری از پاسخ­دهندگان به نظرسنجی می­گویند که به چنین اطلاعاتی دسترسی دارند. به نظر می­رسد هنوز ارزش آن بدرستی درک نشده باشد."

این مطالعه همچنین نشان داد که 62٪ از کسب و کارها در سراسر جهان فکر می­کنند کارکنان آن­ها به اندازه کافی در مورد پیامدهای یک نقض امنیتی برای تغییر رفتارشان اهمیتی نمی­دهند و 57 % پذیرفته­اند که نیاز دارند تا کارکنانشان در مورد پیامدهای یک نقض، توضیح خطرات و بحث درباره موارد در رسانه­ها اهمیت بیشتری بدهند.

"Davies" گفت: "اکثر کارکنان کار مخربی انجام نمی­دهند، اما بی­اهمیتی آن­ها می­تواند به اندازه صدمه زدن باشد. شرکت­ها باید به این باور برسند که کارمندان آن­ها این پتانسیل را دارند که از طریق اقدامات خود باعث آسیب شدید به شرکت شوند و اطمینان حاصل شود که آموزش، سیاست­ها و فن­آوری برای به حداقل رساندن خطر استفاده می­شوند. آن­هایی که در هیئت مدیره هستند نیاز دارند تا توجه کنند، اطلاعات حیاتی باید در بالاترین سطوح اداره شوند واگرنه می­تواند آینده یک شرکت را به خطر بیاندازد."

 

فایروال ها - سرمایه گزاری های استراتژیک امنیتی

هرچند فایروال فناوری بسیار قدیمی ای در دنیای امنیت است ، اما همچنان نقشی بنیادین در ساختار امنیت شبکه دارد.

این ارزیابی از گزارش سال 2014 سازمان FireMan و بر اساس یک نظر سنجی از بین بیش از 700 متخصص امنیت شبکه تهیه شده است . مطالعه ی صورت گرفته نشان میدهد که فایروال ها برای استراتژی های امنیتیِ فعلی و آینده ی سازمان ها مناسب باقی مانده اند. آمارها نشان میدهد که قریب به اتفاق 92 درصد از پاسخ دهندگان معتقدند ، فایروال ها بعنوان یک جز حیاتی از زیر ساخت های امنیتیِ آن ها در پنج سال آینده باقی خواهند ماند .

جودی برازیل مدیر عامل FireMon در بیانیه ای اظهار داشت : مشاهدات قبلی که میگفتند " فایروال مرده است " صراحتا ناقص یا اغراق آمیز بودند.

امروزه متخصصان نه تنها فایروال را به عنوان یک عنصر حیاتی از استراتژی امنیت شبکه خود در نظر میگیرند ، بلکه آن ها یک نقش حیاتی برای فایروال به همراه مدل های در حال تحول شامل cloud و sdn ، در نظر میگیرند که ممکن است برخی از ناظران صنعتی را متعجب سازد.

نظرسنجی از اکثریت پاسخ دهندگان (88%) ، نشان میدهد که آن ها در حال حاضر نسل بعدی فایروال ها (NGFWs) را مستقر کرده اند ، و 12 % از آنها در حال حاضر در نیمی از سیستم هایشان از نسل بعدی فایروال ها استفاده میکنند .

همچنین 87 درصد از پاسخ دهندگان اظهار داشته اند که دستگاه های سنتی و یا نسل جدید، نقش ارزشمندی در تامین امنیت محیط های مجازی و سیستم عامل های مبتنی بر محاسبات ابری(طبق نظر 58%) ، بازی میکنند .

نکته جالب توجه این است که در آمار کلی ، پاسخ دهندگان قابلیت یکپارچه سازی API را در زمان مواجهه با دستگاه های فایروال جدید مهم تر از عامل های قیمت و یا عملکرد ارزیابی کردند.

در هر صورت اجرای رو به جلوی فایروال ها بدون چالش نیست ، چنان که این تحقیق نشان میدهد ، مسائل مهم ، مداوم و گسترده مدیریتی ، بیشتر مربوط به سیاست های پیچیده ی فایروال است .

به گفته Brazil در یک سازمان بزرگ ، بین 35 تا 40 درصد از قوانین فایروال، ناکارآمد ، پنهان و یا فاقد ارزش تجاری و دو سوم از سیاست ها نیز کاملا غیر ضروری هستند . هنگامی که شما این شرایط را با تحقیقاتی مثل گزارش Verizon در سال 2015 ( که مشخص کرد مدیریت فایروال بعنوان یکی از بزرگترین تهدیدات برای امنیت شبکه باقی میماند ) کنار هم میگذارید ، بدیهی است که این وضعیت به توجه زیادی نیاز دارد . در گزارش ماه ژانویه سال 2015 PCI ، Verizon نشان داد که یکی از شایع ترین علل عدم انطباق استاندراد های PCI و حوادث مربوط به نفوذ در داده ها ، مربوط به سیاست های مدیریت شبکه ی فایروال است.

این گزارش همچنین نشان داد که بسیاری از کمپانی ها پس از یکبار دستیابی به استاندارد ، از آن خارج میشوند و کمتر از یک سوم آن ها نیز در زمانی کوتاه تر از یک سال پس از تایید ، کاملا با استانداردهای PCI منطبق بوده اند. Verizon با مطالعه ی داده های مربوط به نفوذ های غیر مجاز ، به وضوح نشان میدهد که در زمان نفوذ، حتی یک شرکت نیز بطور کامل با استانداردهای PCI منطبق نبوده است.