Wednesday, 8 November 2017

إف 5 نتوركس: 5 توجهات أمنية ينبغي على الشركات التركيز عليها خلال الأشهر الـ 12 القادمة

استخدام شبكة مؤتمتة مؤلفة من 150 ألف جهاز لإنترنت الأشياء من أجل القيام بهجوم الحرمان من الخدمة الموزعة الذي استهدف مؤخراً شركة أو في إتش المتخصصة بخدمات الاستضافة على الإنترنت 

دبي، الإمارات العربية المتحدة، 8 نوفمبر 2017: من الواضح أن نطاق التهديدات الأمنية آخذ في الاتساع والتنامي، سواءً من حيث الحجم أو مستوى التطور، بالتزامن مع ارتفاع فرصة تعرض الشركات للاستهداف من قبل الهجمات. لذا قامت F5 نتوركس باستعراض أفضل 5 توجهات ينبغي على الشركات اتباعها كي تكون مستعدة لما يلي:
1- هجمات الحرمان من الخدمة الموزعة الموجهة بإنترنت الأشياء 
تشهد أجهزة إنترنت الأشياء معدل نمو لا توازيه في ذلك التدابير والإجراءات الأمنية المتبعة لحمايتها. فنقاط الضعف والثغرات الأمنية لموجة الانتشار الكبيرة للأجهزة الذكية، والمتصلة بالشبكة، في الأسواق، تجعل منها أهدافاً سهلة أمام مجرمي الإنترنت، الذين بدأوا بتسخير المزيد والمزيد من الأجهزة غير التفاعلية، مثل كاميرات المراقبة. هذا، وسيوفر الهجوم الذي تعرضت له شركة أو في إتش OVH، المذكورة أعلاه، مخططاً عملياً سيتم اتباعه من قبل قراصنة الإنترنت الآخرين، الذي بإمكانه وبكل سهولة تسخير قوة أجهزة إنترنت الأشياء للتسبب بالخسائر الكبيرة، وذلك عن طريق شن هجمات ضخمة وهائلة للحرمان من الخدمة الموزعة DDoS، القادرة على الإطاحة بالمواقع الإلكترونية وعمليات الشركات. ويجب على المؤسسات إبداء اليقظة والحذر إزاء طبيعة استخدام أجهزة إنترنت الأشياء IoT، التي على الرغم من تمهيدها الطريق أمام المستقبل، إلا أنها توفر مساراً وقناةً إضافية للمجرمين بإمكانهم استغلالها. وينبغي على الشركات ضمان تطبيق استراتيجية واضحة وفعالة للحد من مخاطر هجمات الحرمان من الخدمة الموزعة DDoS، التي قد يتعرضون لها.
2- تطبيق اللائحة العامة لحماية البيانات GDPR  
لن تدخل اللائحة العامة لحماية البيانات GDPR حيز التطبيق حتى حلول شهر مايو من العام 2018، والالتزام بها سيستغرق سنوات من الإعداد والتحضير من قبل الشركات، لذا يجب أن تكون حاضرةً على جدول أعمال جميع الشركات. وفي ظل تطبيق سياسة العقوبات الصارمة، مثل إمكانية تغريم الشركات بـ 4 بالمائة من إيراداتها السنوية العالمية، ينبغي على الشركات إعداد وتهيئة بنيتها التحتية الخاصة بتقنية المعلومات بأسرع وقت ممكن. كما أن بنود اللائحة العامة لحماية البيانات GDPR المتعلقة بخصوصية البيانات، مثل الحق في النسيان وقابلية نقل البيانات، قد تتسبب بالكثير من المشاكل. ويعزى هذا الأمر بالنسبة للكثير من المؤسسات، إلى مدى اتساع قاعدة بيانات العملاء غير المعروفة، سواءً كانت من حيث الحجم أو الموقع. أما أكبر التحديات التي تواجه المؤسسات فتتمثل في محاولة فهم ومعرفة حجم البيانات التي تقع تحت مسؤوليتها. لذا، فإن تعرضها لاختراق أمني في المستقبل، أو لتنامي طلب عملائها على البيانات، قد يؤدي إلى إلحاق بالغ الضرر بالدخل الصافي للشركة، وبمستوى ولاء العملاء.
3- الانسيابية بالارتقاء نحو السحابة 
باعتبارها عامل دفع وتعزيز للأعمال، أضحت المؤسسات، وعلى نحو متنامي، تتمتع براحة أكبر في عملية نقل بنيتها التحتية إلى السحابة. ومع ذلك، لا تزال هناك الكثير من مصادر القلق الأمنية. فهل تعي الشركات كيفية العمل والتشغيل الآمن انطلاقاً من السحابة، أو من يستطيع الوصول إلى بياناتها، باعتبار أنها لم تعد تُحفظ ضمن تجهيزات الشركة أو في مراكز بياناتها؟ وتتابع التقنيات مسيرة تطورها لمساعدة المؤسسات على إدارة عملية ارتقائها نحو السحابة بشكل آمن. فعلى سبيل المثال، توفر حلول الوصول الآمن للوسيط إلى السحابةCloud Access Security Broker، أو ما تعرف بـ CASB، لمؤسسات السياسات الأمنية الفعالية المطبقة على امتداد خدمات السحابية المتعددة، ما يوفر لفرق عمل تقنية المعلومات القدرة على التحكم بمن يستطيع الوصول إلى الخدمات السحابية، وفي نفس الوقت ضمان تشفير بيانات الشركة بالمستوى المطلوب.
4- أمن التطبيقات 
ينبغي على المؤسسات التي تعتمد بدرجة كبيرة على التطبيقات (أي، معظم الشركات) التركيز بشكل رئيسي على المستخدم النهائي، وعلى حماية بيانات الاعتماد والمطابقة. فقد أدى ارتفاع معدل الموظفين العاملين أثناء الحركة والتنقل إلى استخدامهم لعدد كبير من التطبيقات التي تتيح لهم إمكانية الوصول إلى أصول الشركة، وذلك انطلاقاً من عدة أجهزة ومواقع. وأي نقطة ضعف في هذه الشبكة، مثل إصابة الهاتف المحمول بالبرمجيات الخبيثة، سيوفر لمجرمي الإنترنت مفتاح الدخول إلى شبكة الشركة. فإذا ما استطاع مجرم الإنترنت الحصول على بيانات الاعتماد والمصادقة الخاصة بالموظف، فإنه سيتمكن وبكل سهولة من الوصول إلى جميع بيانات الشركة. وبتوجيه التركيز والموارد نحو أمن طبقة التطبيقات وتعزيز وعي المستخدم، عوضاً عن التركيز بشكل خاص على منهجيات جدران الحماية التقليدية، ستتمكن المؤسسات من حماية أنفسها بدرجة أعلى من الأمان.
5- إدارة الوصول / إدارة الهوية والوصول IDAM
أدى تنامي استخدامات السحابة إلى ظهور منظومة الخدمات المقدمة من طرف ثالث التي تستعين بها الشركات، حيث بإمكان الموظفين الوصول من بوابات مختلفة عبر الانترنت، بدءاً من المبيعات، مروراً بالخدمات المالية، وصولاً إلى بدلات العطل، وذلك من خلال عملية تسجيل دخول واحدة مُصادق عليها. فإذا ما ترك أحد الموظفين العمل لدى الشركة، ستبقى مصادر القلق مشروعة إزاء قدرته على الوصول إلى البيانات الحيوية للشركة، وذلك من خلال بيانات وحسابات الاعتماد الخاصة به، إذا لم تتم إزالتها في ذات الوقت. وبالتالي، ينبغي على الشركات توجيه استثماراتها نحو تقنية الخدمات الاتحادية Federated Services، التي بإمكانها تقديم عملية تسجيل دخول واحدة، ومُصادق عليها، قادرة على إعادة توجيه الموظفين نحو الخدمات السحابية، كي يتمكنوا وبكل سهولة من الوصول إلى التطبيقات. ومن خلال تحمل مسؤولية بيانات وحسابات اعتماد موظفيها، تستطيع الشركات استعادة مكانتها كحارس قوي، وتأمين حماية أصولها بدرجة أعلى ضد عمليات الاحتيال.
وبهذه المناسبة، قال كيرون شبرد، كبير الأخصائيين الأمنيين لدى شركة F5 نتوركس: "قد يؤدي الفشل في معرفة ومتابعة القضايا الشائكة والمتنامية، كالتي قمنا بذكرها أعلاه، إلى إيقاف مسيرة عمل ونشاط الشركات. وقد أصبح بالإمكان اكتساب خبرة سنوات لأفضل الممارسات، ومنهجيات الحفاظ على ولاء العملاء، من خلال عدة نقرات على الماوس من قبل قراصنة الإنترنت. لكن من خلال تحديد وتعريف التهديدات في وقت مبكر، والاستثمار السليم والموجه في البنية التحتية للأمن الالكتروني، وتعزيز مستوى ثقافة المستخدمين حول مشهد الأمن الالكتروني، يصبح بإمكان الشركات التقدم بخطوة على قراصنة الإنترنت، وترجيح العام 2017 ليصبح عاماً ناجحاً".
=