چگونه امنیت را در 7 مرحله آسان بهبود دهیم بخش اول
مدیران نرم افزاری که روی سرورها و configuration نصب شده اند را کنترل می کنند ، اما نقاط پایانی را کنترل نمی کنند ، همان وسایل یا مواردی که در نرم افزار مورد استفاده قرار گرفته و داده ها در دسترس قرار می گیرند. همانطور که مدل های تحویل نرم افزار سرور محور ، به خصوص نرم افزار به عنوان یک سرویس ، محبوبیت یافت ، امنیت نقطه پایانی به شدت مهم شد. اما مدیران سرور نمی توانند نقطه پایانی را که طیف وسیعی از وسایلی که ممکن است برای دسترسی به نرم افزار و کاربران "فقدان آگاهی امنیتی" استفاده شود را تضمین کند.
کاربرها دستگاه ورود به سیستم خود را از دست می دهند ، رمزهای عبور ضعیف را انتخاب می کنند ، رمزهای عبور را به اشتراک می گذارند ، بدافزار نصب می کنند و در دام حملات فیشینگ می افتند. با در نظر گرفتن عدم کنترل بر سر نقاط انتهایی و رفتار کاربر ، مدیران سرور نمی توانند در نقطه پایانی بر امنیت تکیه کنند. اما مدیران می توانند سرورها را برای محدود کردن تاثیر نقاط نا امن ، پیکربندی کنند. کار کردن با این فرض که نقاط انتهایی ذاتا نامطمئن هستند ، می توانند استراتژی های امنیتی سرور را برای دفاع در برابر بدترین نتایج یک نقطه پایانی به خطر افتاده اجرا کنند.
۱. احراز هویت چند عاملی
اعتبارسنجی چند عاملی ، اولین خط دفاع است. اگر چه از نرم افزار و داده های مربوط به از دست رفتن تجهیزات سیستم محافظت نمی کند ، اما ممکن است توانایی مهاجمان برای دستیابی به اطلاعات حساس از یک لپ تاپ یا دستگاه تلفن همراه را محدود کند (با فرض اینکه دستگاه تلفن همراه به عنوان عامل دوم تایید بکار رود). تایید اعتبار چند عاملی همچنین به حفاظت از سرورها و نرم افزار در برابر حملاتی که نقاط آسیب پذیر را هدف قرار می دهند ، کمک می کند و این تنها کافی نیست که اعتبار چند عاملی را فعال کند ، بلکه مدیران باید نیاز داشته باشند که ۲ FA قبل از ورود یک کاربر به سیستم وارد عمل شود تا اطمینان حاصل شود که تایید اعتبار چند عاملی به درستی مورد استفاده قرار گرفته است.
۲. حرکات جانبی محدود
هنگامی که مهاجم از طریق یک نقطه پایانی ناامن به محدوده دسترسی ، دست پیدا می کند ، هدفش معمولا حرکت بیشتر به درون شبکه ، جستجوی اطلاعات با ارزش و دسترسی به زیرساخت های حیاتی است. مدیران سیستم کارآمد چندین استراتژی را برای محدود کردن توانایی مهاجم برای گسترش beachhead بکار می گیرند.
* اصل امتیازات حداقل
تمام حساب های کاربری باید دارای پایین ترین دسترسی سازگار با دستیابی به اهداف کاربر باشند. اگر یک توسعه دهنده وب فقط به SSH دسترسی داشته باشد ، نیازی نیست وارد حساب root شود یا گواهی و اعتبار لازم برای دسترسی root را داشته باشد. اطمینان حاصل کنید که وسایل نقطه پایانی از دست رفته و به سرقت رفته تنها چیزهایی هستند که به آن ها نیاز دارد. از وسایل جداگانه ای برای دسترسی به مدیریت استفاده کنید. اگر عملی باشد ، تنها اجازه دسترسی به root و یا مدیریت از زیرمجموعه محدودی از وسایل را می دهد. اطمینان حاصل کنید که آن ابزارها تا حد امکان قفل می شوند و در یک محیط امن مورد استفاده قرار می گیرند. مثلا از شبکه ناامن WiFi دور هستند. گذرواژه متنی ساده ذخیره نکنید. در سال ۲۰۱۹ هیچ کس نباید کلمه عبور را بصورت متن ساده ذخیره کند ، اما هنوز هم اتفاق می افتد. اطمینان حاصل کنید که همه رمزهای عبور ، salted و hashed با یک الگوریتم درهم سازی کند هستند و بر روی یک سرور ذخیره نمی شوند که به راحتی از طریق نقطه پایانی نامطمئن قابل دسترسی باشند. به طور خلاصه ، پیکربندی سرورها و نرم افزارها از قبیل دسترسی به نقطه پایانی ناامن به مهاجم امکان دسترسی به کل شبکه را ندهد.
۳. حفظ منابع موثق
مهم است که بفهمیم حتی نقاط انتهایی حفاظت شده در برابر ransomware و انواع بدافزار آسیب پذیر هستند. این می تواند به سادگی کلیک کردن یک لینک در یک ایمیل مشکوک باشد که منجر به گرفتاری در یک شبکه کامل از دستگاه های متصل نامناسب برای گرفتن باج می شود. حفظ حمایت پشتیبان قابل اطمینان با استفاده از یک عرضه کننده پشتیبانی ابری و آزمایش منظم آن ها تنها راه حصول اطمینان از این است که اگر یک دستگاه به خطر افتد ، هیچ اطلاعات کسب و کاری مهم از دست نمی رود و هیچ باجی نباید پرداخت شود.
