آموزش های عمومیامنیتسایر موضوعاتشبکه

روش صحیح دور انداختن اطلاعات سازمانی

مهاجمین برخی‌اوقات موقع آماده‌سازی حمله‌ای هدف‌دار علیه یک شرکت به امید پیدا کردن اطلاعاتی مفید به روش زباله‌گردی متوسل می‌شوند. در زندگی واقعی آن‌ها هرگز به 50 پسورد معتبر در سطل زباله دسترسی پیدا نخواهند کرد اما در جهان دیجیتال هنوز هم لابه‌لای آشغال‌های سازمانی برای مجرمان سایبری زباله‌های به دردبخوری پیدا می‌شود. در ادامه با ما همراه شوید تا روش صحیح دورانداختن اطلاعات سازمانی را خدمتتان توضیح دهیم.

چرا باید حواسمان به سطل زباله‌ها باشد؟

حتی خوشبین‌ترین زباله‌گردها هم انتظار ندارند پورتفولیویی از داکیومنت‌ها را که رویشان برچسب «فوق محرمانه»خورده پیدا کنند. علاوه بر اینها آن‌ها برای اعتبار کردن شرکت یا پیش بردن حمله‌ای هدف‌دار نیازی به اطلاعات فوق محرمانه ندارند؛ همین که زباله سازمانی‌ای باشد که به آن‌ها کمک کند از طریق مهندسی اجتماعی کارمندان را فریب دهند کفایت می‌کند.

دستمالی کردن آشغال‌ها

فرض را بر این می‌گیریم که عادت ندارید شواهد و مدارکی دال بر گزارشات سازمانی یا حساب‌های شرکت از خود به جای بگذارید؛ اما این را بدانید که خطر آنجایی در کمین است که پای داده‌های شخصی به میان می‌آید (هم اطلاعات شخصی مشتریان و هم اطلاعات شخصی خود کارمندان!). با این حال تا امروز سعی کردیم همواره پرونده‌هایی را مورد نظر قرار دهیم که سر و کارشان با داده‌های شخصی دورانداخته‌شده بوده است. با وجود اینکه در مورد پیشگیری از بروز این حملات و تهدیدها کلی داستان گفتیم باز هم همه‌ی کارمندان متوجه نشده‌اند که برای مثال فهرستی از آدرس‌های تحویل پیتزا می‌تواند در نوع خود «اطلاعات محرمانه» محسوب شود. آنچه بیشتر نگران کننده است، سوابق پزشکی با شماره‌های امنیت اجتماعی است؛ همینطور فاکتورهای پرداخت با جزئیات کارت بانکی رویشان و اسکن‌های داکیومنت‌های هویتی.

میزبان هاست سوشال

برای یک حمله مهندسی اجتماعی چه چیزی برای مجرمان سایبری می‌تواند مفید باشد؟

مجرمان سایبری می‌توانند از اطلاعاتی که در داکیومنت‌های کاری دورانداخته‌شده، پاکت‌نامه‌ها و رسانه‌های ذخیره دیجیتال پیدا می‌کنند به عنوان حربه‌ استفاده نمایند. داکیومنت‌های کاری –حتی آن‌هایی که حاوی اطلاعات دسته‌بندی‌نشده هستند- می‌توانند هدف تیم سازمانی را و پروسه‌هایی که شرکت قرار است طی کند برملا کنند. مهاجم اگر به چنین اطلاعاتی خود را مجهز کند می‌تواند با ایمیل یا حتی تلفن خودش را جای شریکی در راستای فرآیند کار غالب کند. بدین‌ترتیب از آن‌ها اطلاعات بیشتری بیرون می‌کشند و شاید هم حمله دستکاری ایمیل سازمانی را پیش ببرند. پاکت‌ نامه‌های شرکت همیشه رویشان آدرس و نام فرستنده دارند. مجرم سایبری اگر بداند کارمند شرکت M داکیونت‌های کاغذی را از نمایندگان شرکت N دریافت می‌کند می‌تواند برای مثال به گیرنده تماس بگیرد و از او درخواست متقاعدکننده‌ای کرده یا لینک مخربی را -که به نظر، رسیدِ تأیید داکیومنت فیزیکی و واقعی است- ارسال کند.

مدیای دیجیتال هم حقیقتاً مخزن اطلاعاتی خوبی به حساب می‌آیند. یک اسمارت‌فون شکسته می‌تواند کلی مخاطب و پیام در خود جای داده باشد که همه اینها برای تقلیدکردن از صاحب قبلی دستگاه مفید است. فلش درایوها و حتی هارددرایوهای دورانداخته‌شده کلی داکیومنت‌های کاری و داده‌های شخصی در خود نگه می‌دارند. اگر بخواهیم کلی صحبت کنیم، حتی یک بسته تحویل غذا که رویش نام کارمند شرکت است می‌تواند فرصت‌هایی را در اختیار مهاجمی قرار دهد: برای مثال ایمیلی فیشینگ با لینک‌های جعلی برای منوهای مخصوص یا برنامه‌های وفاداری (البته این مورد خیلی هم محبوب نیست با این حال ترفندی واقعی است!).

راهکارهای امنیتی

در قدم اول توصیه می‌کنیم استفاده از کاغذ بعنوان مدیوم ذخیره‌سازی را حذف کرده یا دست کم به حداقل برسانید. با این کار نه تنها درختان را نجات داده‌اید که حتی ازمشکل تولید زباله هم خلاص می‌شوید. ابتدا همه داکیومنت‌های کاغذی را که به هر شکلی به کار شرکت مربوط می‌شوند دور بیاندازید. این یعنی همه‌شان، نه تنها آن‌هایی که حاوی داده‌های شخصی هستند. همه‌شان را خرد کنید حتی پاکت‌نامه‌ها. مدیای دیجیتال (هارددرایوها و فلش‌ها) جایشان در زباله نیست. گام بعدی این است که آن‌ها را به طور مکانیکی غیرقابل استفاده کرده و به مراکز بازیافت الکترونیک ببرید. برای دیسک‌ها و فلش درایورها از انبردست استفاده کنید و برای هارددرایوها از دریل برقی یا چکش.

سرورهای مجازی میزبان هاست

یادتان باشد که داخل هر تلفنی یک فلش درایو و داخل هر کامپیوتری یک هارد درایو وجود دارد. اگر آن‌ها را دور انداختید مطمئن شوید داده‌هایشان قابل خواندن نیست. پیش از دور انداختن هر بخش یا کیسه تحویل غذا هر برچسبی را که نام و آدرس گیرنده رویش دارد پاره کنید. در نظر داشته باشید که امنیت کسب و کار شما مستقیماً به هر کارمند شرکت بستگی دارد؛ آن‌ها همگی می‌بایست درک کافی از این مسئله را داشته باشند و از قوانین اطاعت کنند. هر کسی صرف‌نظر از سمت و جایگاه به دانش پایه و عملی در خصوص تحویل اطلاعاتی که بالقوه خطرناکند نیاز دارد.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 4.43 ( 2 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا