موسسه CIS به عنوان یک نهاد غیر انتفاعی در حوزه امنیت اطلاعات مجموعه ای از کنترل های کلیدی امنیت اطلاعات را انتشار نموده است. کنترل دسترسی های بیسیم پانزدهمین کنترل از این مجموعه است که در ادامه توصیف می گردد.
شرح کنترل
طی سال های گذشته استفاده از ارتباطات بیسیم در محیط های سازمانی افزایش یافته است. بسیاری از سازمان ها با وجود ایجاد شبکه داخلی فیزیکی، مجموعه ای از نقاط دسترسی بیسیم (Access Point) را برای کاربردهای مختلف تعبیه کرده اند. یکی از مهمترین مراکز و مجاری نفوذ به شبکه داخلی سازمان ها بهره برداری سوء از این نقاط دسترسی است. این نقاط دسترسی معمولاً در خارج از مرزهای فیزیکی سازمان نیز قابل دسترسی بوده و بدون نیاز به عبور از دروازه های حراستی و حفاظتی می توان بدان ها دسترسی داشت. براین اساس کنترل دسترسی های بیسیم یکی از کنترل های کلیدی امنیت اطلاعات به شمار می رود.
یکی از تهدیدهای کلیدی در این حوزه این است که استفاده کنندگان از ارتباطات بیسیم زمانی که در محل های عمومی مانند فرودگاه ها یا مراکز خرید از اینترنت های بیسیم عمومی استفاده می کنند به عنوان یک طعمه توسط نفوذگران شناسایی می شوند. در این حال با نصب نرم افزارهای Backdoor بر روی تجهیزات آنها امکان بهره برداری غیرمجاز از آنها برای دسترسی به شبکه های بیسیم اختصاصی سازمان هایشان فراهم می شود. در نظر بگیرید فردی برای مسافرت کاری در سالن انتظار فرودگاه به شبکه اینترنت بیسیم عمومی متصل می شود. در این زمان امکان نصب Backdoorها بر روی تلفن همراه یا تبلت وی وجود دارد. زمانی که فرد در سازمان به شبکه بیسیم سازمانی خود متصل می شود، نفوذگران می توانند با استفاده از Backdoor نصب شده از طریق تلفن همراه یا تبلت وی به شبکه سازمانی دسترسی داشته باشند. با افزایش بکارگیری تجهیزات همراه توسط افراد اهمیت کنترل دسترسی های بیسیم روز به روز افزایش می یابد.
در حال حاضر یکی از دغدغه های مدیران و کارشناسان امنیت اطلاعات در سازمان ها تجهیزاتی شخصی است که در محیط کار استفاده می شود. این تجهیزات که اصطلاحاً BYOD) Bring Your Own Device) نامیده می شود می توان آسیب پذیری سازمان را افزایش دهد. رویکرد استفاده از تجهیزات شخصی از یک سو باعث صرفه جویی در هزینه های سخت افزار و زیرساخت سازمان می شود چرا که به جای خرید تجهیزات برای افراد، آنها از تجهیزات خود در محیط کاری استفاده می کنند. لیکن در این رویکرد ریسک های مرتبط با کنترل دسترسی های بیسیم افزایش خواهد یافت.
آزمون کنترل
• آیا پروتکل (Advanced Encryption Standard (AES برای رمزنگاری داده های بیسیم فعال شده است؟
• آیا Access Pointهای بیسیم به صورت فیزیکی مورد محافظت قرار گرفته اند؟
• آیا شبکه ای از Access Pointهای بیسیم به صورت مجزا برای کاربردهای شخصی، استفاده مراجعان سازمان و موارد غیر ایمن ایجاد شده است؟ آیا دسترسی این شبکه به سایر بخش های سازمان تحت نظارت و مانیتورینگ است؟