دورکاری امن در دوران شیوع ویروس کرونا_بخش اول

با گسترش ویروس کرونا در سطح ایران و جهان و افزایش تهدید برای سلامتی افراد، دنیای کسب ‌وکار در چند هفتۀ اخیر دچار تغییرات زیادی شده است. این بیماری ترس گسترده‌ای را‌ بین مردم ایجاد کرده و مشکلات عدیده‌ای برای اکثر کسب و کارها پدید آورده و منجر به تعطیلی یا کاهش جدی فعالیت بسیاری از سازمان‌ها و شرکت‌ها شده است. بسیاری از کارفرمایان به صورت داوطلبانه  برای کاهش انتشار ویروس و کنترل بیماری و همچنین ادامه فعالیت‌های سازمانشان تصمیم به دورکاری گرفته‌اند. انجام وظایف در محیط خانه و به صورت دورکاری در کنار مزیت‌های بی‌شمار، دارای نقطه ضعف‌هایی نیز می‌باشد که آگاهی از آن‌ها می‌تواند کارکنان را در انجام هر چه بهتر وظایف یاری نماید. توجه به مسائل مرتبط با امنیت اطلاعات در شرایط دورکاری از جمله بزرگترین دغدغه‌های سازمان‌ها می‌باشد. از همین رو مرکز تخصصی آپا دانشگاه رازی در راستای انجام رسالت خویش در زمینه آگاهی‌رسانی، نکات و موارد امنیتی زیر را جهت به حداقل رساندن تهدیدهای احتمالی در شرایط دورکاری، ارائه نموده است.

توصیه به مدیران شبکه و سازمان‌ها

راهکار امن‌سازی RDP

با توجه به پرکاربرد بودن استفاده از RDP در مواقع دورکاری، در صورت لزوم رعایت موارد جهت امن‌سازی این سرویس ضروری است. برخی از اقداماتی که تا حد زیادی می‌توانند منجر به کاهش آثار مخرب حملات و همچنین کاهش میزان آسیب‌پذیری سازمان‌شما در مقابل حملات مربوط به RDP شود، به شرح زیر می‌باشند:
- انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات، آزمایش نسخه‌های پشتیبان پس از هر مرتبه پشتیبان‌گیری.
- استفاده از راه‌های ارتباط امن با شبکه‌ داخلی از طریق تانل‌های VPN.
- به‌روزرسانی منظم سیستم‌عامل و نرم‌افزارهای کاربردی.
- استفاده از آنتی‌ویروس‌های معتبر و به‌روزرسانی مداوم آن‌ها.
- عدم استفاده از کاربر با سطح ادمین (Administrator) برای دسترسی از راه دور و تعریف کاربران مجاز با دسترسی مشخص و محدود شده.
- سیاست‌گذاری‌های مناسب جهت استفاده از رمز‌عبور پیچیده با طول حداقل ۸ کاراکتر، تغییر دوره‌ای رمزهای عبور‌ و استفاده از مکانیزم‌های ورود چند مرحله‌ای.
- تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تأثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.
- استفاده از فایروال و اعمال قوانین و تنظیمات محدودیت حداکثر، به نحو‌ی که تمامی ارتباطات قطع شوند و صرفا به سرویس‌های مجاز اجازه‌ی دسترسی داده شود.
- استفاده از نرم‌‌افزارهای گزارش‌گیری جهت بررسی وقایع و رخداد‌های ورود و خروج کاربران از طریق ارتباطات راه دور و غیره.
- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصاٌ در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key loggerها و تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند.
- محدودیت دسترسی از راه دور تنها به آدرس‌های IP مشخص.
- عدم دانلود و استفاده از فایل‌های ضمیمه از آدرس‌های ایمیل نامعتبر و ناشناخته.
- تغییر پورت پیش‌فرض.

 احراز هويت و اعطای مجوز دسترسی Authentication & Authorization

•    تأييد هويت چندعاملي کارکنان دورکار
•    صدور مجوزهای دسترسی به سرورهای سازمان برای هر کاربر دورکار
•    تعريف زمان دسترسی و تاريخ انقضا حساب کاربری
•    تفکيک وظايف کاربر با مجوزها/ اعطاي مجوز بر اساس نقش يا قلمرو
•    بررسي سلامتي سيستم کاربر دورکار

     دسترسي و اجراي سياست  Access & Policy Enforcement

•    فيلترينگ ترافيک غير مجاز
•    کنترل دسترسي در سطح سرويس‌های مختلف سازمانی
•    سياست‌دهي و پيکربندي متمرکز

     امن سازی اتصال و مديريت  Connectivity & Management

•    تأمين محرمانگی و صحت ترافيک ارتباطی
•    استفاده از الگوريتم رمز
•    اتصال مبتني بر نياز و بر اساس تقاضا

     نظارت بر رفتار کاربران مجاز Privileged users under magnifier

•     رويدادنگاري
•    ردگيري فعاليت‌هاي كاربر

ارائه ابزارهای مشارکتی امن برای کارکنان دورکار

نداشتن ابزارهای دورکاری مناسب باعث می‌شود کارمندان دست به دامان شیوه‌های دیگر ارتباطی شوند که برخی از آن‌ها شاید قابل اطمینان نباشند. به عنوان مثال، داکیومنتGoogle Docsی که دسترسی آن به طور ناصحیحی تنظیم شده است می‌تواند با موتور جستجو شناسایی شده و به منبع نشت داده سازمانی تبدیل شود. همین اتفاق می‌تواند برای داده‌های داخل ذخیره cloud هم بیفتد. محیط مشارکتی مانند Slack همچنین می‌تواند به نشت داده منتهی شود و فردی به طور تصادفی بتواند به کل تاریخچه فایل‌ها و پیام‌ها دسترسی پیدا کند. در این شرایط انتخاب محیط مشارکتی مناسب برای شما از حیث امنیت و قابلیت با خود کاربر است. اما ایده‌آل آن است رجیستری آدرس ایمیل سازمانی را بخواهد. همچنین باید در صورت لزوم مدیری برای رسیدگی به این موضوعات در نظر گرفته شود. مهم‌تر اینکه پیش از اجازه دادن به کارکنان برای دورکاری یک جلسه آگاهی برگزار گردد (که می‌تواند ریموت هم برگزار شود). در این جلسه می‌توان تأکید نمود که فقط از سیستم مشارکتی به کار گرفته شده در شرکت استفاده کنند. همچنین باید تأکید شود که اگر اطلاعات محرمانه‌ای فاش گردد خودشان مسئول خواهند بود.
یکی از رایج‌ترین نرم‌افزارهای کاربردی در حوزه آموزش مجازی و جلسات آنلاین Adobe Connect می‌باشد. متأسفانه در اغلب سامانه‌های تحت رصد، مشاهده شده است که سامانه بدون تعریف کاربر و اخذ گذرواژه در دسترس است به گونه‌ای که هر کسی می‌تواند صرفاً با وارد کردن URL سرور و با ورود شماره اتاق جلسه مجازی یا کلاس مجازی وارد شود که منجر به افشا اطلاعات خواهد شد. بنابراین توجه به نکات زیر جهت حفظ امنیت سامانه های مبتنی بر این نرم افزار توصیه می‌گردد:
-    پرهیز جدی از در دسترس قرار دادن سامانه بدون استفاده از اطلاعات نام کاربری و رمز عبور و تعیین سیاست‌های استفاده از پسورد قوی جهت ورود به سامانه. مدیر سامانه می‌تواند سیاست‌های امنیتی لازم را برای شیوه ورود و گذرواژه کاربران در Adobe Connect Central تعیین کند. همچنین ضروری است که تعداد دفعات تلاش ورود ناموفق حتما محدود گردد.
-    عدم استفاده از کاربر guest.
-    استفاده از SSL جهت حفظ امنیت ترافیک شبکه و همچنین پرهیز از اجبار کاربران به پایین آوردن تنظیمات امنیتی یا نسخه مرورگر برای پرهیز از نیاز به SSL.
-    عدم راه‌اندازی سایر سرویس‌ها بر روی سرور Adobe Connect: توصیه می گردد سرور Adobe Connect به صورت مجزا راه‌اندازی شود و سرویس‌های دیگر نظیر domain controller، سرویس‌دهنده web و یا سرور FTP بر روی ماشین سرور میزبان Adobe Connect اجرا نشوند.
-    به‌روزرسانی و نصب وصله‌های امنیتی برنامه و سیستم‌عامل میزبان.
-    امن‌سازی سیستم‌عامل و استفاده از فایروال بر روی سرور میزبان و بستن پورت‌های بدون استفاده همچنین محدود کردن دسترسی به آدرس‌های داخل کشور.
-    تهیه پشتیبان از اطلاعات و پایگاه داده به صورت اصولی. باید توجه داشت که ویدیوهای تهیه شده از جلسات می‌توانند حاوی اطلاعاتی ارزشمند باشند و برای مخاطبینی که به هر دلیل موفق به حضور آنلاین نمی‌شوند مورد استفاده قرار گیرند. البته این کار باید با تمهیدات امنیتی مناسب انجام شود.
-    بررسی دوره‌ای امنیت سیستم و فایل‌های لاگ جهت اطمینان از برقراری سیاست‌های امنیتی و تشخیص هرگونه ناهنجاری یا تلاش برای نفوذ.
ایجاد دسترسی VPN برای کارمندان
یکی از روش‌های ایجاد بستر امن ارتباطی، پیاده‌سازی سرویس VPN  برای سازمان‌ها می‌باشد، تا کارمندان یک سازمان قادر به دسترسی به شبکه داخلی سازمان در بستر اینترنت باشند. با درنظر گرفتن پروتکل‌های مختلف VPN مانند L2TP و PPTP و غیره. پروتکل L2TP به دلیل داشتن امنیت بالا (رمزنگاری قدرتمند ۲۵۶ بیتی) و مزایایی همچون سازگاری با تمام سیستم‌عامل‌ها به عنوان یک پروتکل استاندارد به سازمان‌ها و ادارات مختلف پیشنهاد می‌شود.

توصیه به اساتید، دانش‌آموزان و دانشجویان

-    برای ارتباط با سامانه آموزشی از ارتباطات رمز شده (https) استفاده نمایید.
-    در اولین ورود به سامانه، رمز عبور پیش‌فرض خود را تغییر دهید.
-    از نصب و فعال بودن نرم‌افزارهای امنیتی ضروری مانند آنتی‌‌ویروس و فایروال بر روی سیستم خود اطمینان حاصل نمایید.  
-    به صورت مکرر از محتواهای آموزشی تولید شده و فعالیت‌های انجام شده خود نسخه پشتیبان تهیه نمایید.
-    به ایمیل‌ها و پیام‌های اغوا کننده، مشکوک یا ارسال شده توسط افراد ناشناس توجه ننمایید و از دانلود کردن فایل‌ها و نرم‌افزارهای پیوست شده و اجرای آن‌ها جدا خودداری نمایید.  
-    از آنجا که اکثر اساتید برای ساخت محتوای آموزشی از نرم‌افزارهای قفل شکسته مانند SnagIt و BB FlashBack استفاده می‌کنند، توصیه‌ می‌‎‌گردد به جای استفاده از کرک‌های مشکوک و آلوده به بدافزار، از نرم‌افزارهای جایگزین رایگان و متن باز استفاده نمایند.:
•    جایگزین رایگان برای تصویربرداری از صفحه نمایش و ساخت ویدیوی آموزشی نرم‌افزارهای ActivePresenter و OBS Studio می‌باشد. نرم‌‌افزار Moodle هم جایگزین مناسبی برای سامانه مدیریت آموزش (LMS) می‌باشد.
•    در صورتی‌ که نیاز دارید محتوایی را به صورت رمز شده ارسال نمایید می‌توانید از امکاناتات موجود در نرم‌‌افزاهای Microsoft استفاده کنید و یا به منظور بالا بردن امنیت، از نرم‌‌افزارهای رمزنگاری متن‌باز مانند VeraCrypt استفاده نمایید.
•    در صورت تولید محتوای آموزشی، توجه نمایید که هیچ‌گونه اطلاعات خصوصی در ویدیوها و صوت‌‌های تهیه شده توسط استاد در دسترس نباشند. به عنوان مثال محو کردن کلمات عبور وارد شده در حین فیلم‌‌برداری از صفحه نمایش.

توصیه به کارکنان دورکار

بررسی شبکه بی‌سیم خانگی

تغییر نام کاربری و گذرواژه پیش‌فرض: نام کاربری و گذرواژه پیش‌فرض کنسول مدیریت مودم یا اکسس پوینت بی‌سیم را از طریق پنل کاربری دستگاه تغییر دهید.
تغییر نام پیش‌فرض شبکه‌ی بی‌سیم (SSID): نامی انتخاب کنید که ارتباطی با محل زندگی یا نام خانوادگی شما نداشته باشد.
بررسی مدل رمزگذاری: دستگاه مودم یا اکسس پوینت بی‌سیم را برای استفاده از قوی‌ترین مدل رمزگذاری پیکربندی نمایید (مدل رمزگذاری WEP ایمن نیست).
انتخاب رمز عبور قوی: انتخاب یک رمز عبور قوی برای اتصال به شبکه و اشتراک‌گذاری آن فقط با افراد مورد اطمینانی که قرار است به شبکه دسترسی داشته باشند.

ایمن‌سازی دستگاه‌های متصل به شبکه خانگی

بروزرسانی مداوم: سیستم‌عامل‌ها، مرورگرها و نرم‌افزارهای نصب شده بر روی دستگاه‌ها می‌بایست به صورت مداوم بروزرسانی شوند (پیشنهاد می‌شود تا در صورت امکان از راهکارهای بروزرسانی خودکار استفاده نمایید).
فعال‌سازی قابلیت‌های محافظتی: قابلیت‌هایی مانند فایروال، آنتی‎‌ویروس و ضدباج‌افزار می‌بایست بر روی تمامی کامپیوترها و دستگاه‌های متصل به شبکه فعال باشند.
اصالت‌سنجی دومرحله‌ای: در صورت پشتیبانی نرم‌افزار مورد استفاده از این قابلیت (اصالت‌سنجی دومرحله‌ای) پیشنهاد می‌شود تا نسبت به فعال‌سازی و استفاده از آن اقدام فرمایید.
فعال‌سازی قابلیت پشتیبان‌گیری: در صورت پیش‌آمد مشکلات گوناگون، پشتیبان‌گیری منظم  از اطلاعات موجود بر روی کامپیوتر، می‌تواند ما را در بازیابی اطلاعات یاری نماید.

دورکاری ایمن

-    در صورت امکان تنها از دستگاه‌ها و لپ‌تاپ‌های تهیه شده توسط سازمان استفاده شود. سایرین نباید به دستگاه سازمانی دسترسی داشته باشند.
-    از سیستم‌های مشترک (مانند لپ‌تاپ فرزندان) برای اتصال به سامانه‌های مدیریتی استفاده نکنید.
-    درصورت استفاده از سیستم‌های مشترک در منزل، مطمئن باشید که تمام اعضای خانواده ملاحظات امنیتی را رعایت می‌کنند. مانند عدم دانلود و نصب نرم‌افزارهای مشکوک، عدم مراجعه به وب سایت‌های مخرب، اطمینان از فعال بودن نرم‌افزارهای محافظتی مانند آنتی ویروس.
-    حین دورکاری در منزل باید مراقب نگاه اطرافیان به نمایشگر سیستم باشید (مثلاً هنگامی که رفته‌اید برای خود یک فنجان چای بریزید!).
-    انتخاب پین‌کد یا یک نشانه زیستی (عنبیه چشم یا اثرانگشت) می‌تواند روش مؤثری برای باز کردن قفل صفحه نمایش و حفاظت از اطلاعات سازمانی باشد.
-    برای انجام امور سازمانی از شبکه‌های بی‌سیم عمومی نظیر (هتل‌ها، رستوران‌ها، کافی‌شاپ‌ها) استفاده ننمایید.
-    تحت هیچ شرایطی از سیستم‌های عمومی (نظیر سیستم‌های موجود در کتابخانه‌ها) برای انجام امور سازمانی استفاده ننمایید.
-    به محض اینکه نسبت به هک شدن، آسیب دیدن، گم شدن یا دزدیده شدن دستگاه حاوی اطلاعات سازمانی شک کردید (حتی نیمه شب) بلافاصله موضوع را با تیم امنیت سازمان در میان بگذارید.
-    اجازه ندهید سایرین دستگاه‌های خود مانند فلش‌دیسک یا موبایل را به لپ‌تاپ یا دستگاه حاوی اطلاعات سازمانی شما متصل کنند.

تهیه و تنظیم: مرکز تخصصی آپا دانشگاه رازی