موسسه SANS به عنوان یکی از معتبرترین موسسات حوزه امنیت اطلاعات مجموعه ای از کنترل های کلیدی را در حوزه امنیت اطلاعات معرفی نموده است. این کنترل ها، ساز و کارهای اصلی رویارویی با ریسک های امنیت اطلاعات در سازمان ها به شمار می روند و به عنوان یک مرجع مناسب برای شناسایی و ارزیابی کنترل های امنیتی برای حسابرسان داخلی بسیار مفید و موثر می باشند. در این بخش کنترل محافظت از پست های الکترونیکی و مرورگرها به عنوان هفتمین کنترل از این مجموعه معرفی می شود.
تشریح کنترل
مرورگرهای وب و پست الکترونیکی از مبادی کلیدی ورود تهدیدهای و حملات امنیتی می باشند. این ابزارها دارای پیچیدگی های فنی بوده و کاربران نیز به صورت مستقیم با آنها در ارتباط هستند. در بسیاری از موارد آگاهی و دانش محدود کاربران در خصوص استفاده مناسب از آنها باعث بروز آسیب پذیری هایی می شود که فرصت را برای سواستفاده مهاجمان فراهم می کند.
مهاجمان با ارسال و انتشار محتوای جذاب و مورد علاقه کاربران آنها را به سمتی هدایت می کنند تا زمینه را برای انجام حملات آماده کنند. در این موارد مهاجمان ممکن است کدهای مخرب خود را از طریق پست الکترونیکی یا مرورگرهای وب به درون سازمان انتقال دهند. به عنوان مثال زمانی که کاربری پست الکترونیکی ناشناسی دریافت کرده و آنرا باز می کند، ممکن است محتوای پست الکترونیکی حاوی کدهای مخربی باشد که پس از دانلود بر روی رایانه کاربر نصب شده و به شبکه درونی سازمان منتقل شود. همچنین مرورها نیز رفتار مشابهی دارند. در زمان ورود به برخی از سایت ها، ممکن است با کلیک کردن بر روی برخی از محتواها، کدهای مخرب دانلود شود.
حملاتی که از طریق پست الکترونیکی یا مرورگرها انجام می شود ممکن است حتی باعث از دست رفتن داده ها نیز شود. کاربر همچنین ممکن است بواسطه پست الکترونیکی یا مرورگرهای وب با حملاتی دیگری از جمله مهندسی اجتماعی نیز روبرو شود. مهندسی اجتماعی روشی است که در آن هکرها سعی می کنند با تاثیرگذاری بر کاربر فعالیت های مورد نظر خود را توسط وی انجام داده و به مقاصد خود دست یابند. در این حالت فرد ممکن است با ارسال یک پست الکترونیکی با محتوای جذاب، کاربر را فریب داده و از وی بخواهد برخی از اطلاعات کاربری یا محرمانه خود را وارد کند. یا اینکه با استفاده از فیشینگ (Phishing) وی را به صفحه مورد نظر خود هدایت نموده و اطلاعات کاربری وی را دریافت کند. مهندسی اجتماعی در محیط های تعاملی کاربران خطوط شبکه های اجتماعی بسیار مرسوم است.
آزمون کنترل
• اطمینان حاصل کنید کاربران با تهدیدهای اولیه استفاده از پست الکترونیکی و مرورگرهای وب آشنا هستند. برای این منظور می توانید به صورت تصادفی، طی آزمون های سطح مهارت های آنها را ارزیابی کنید.
• اطمینان حاصل کنید که مرورگرهای سازمان به صورت امن تنظیم شده اند. به عبارت دیگر از دانلودهای مشکوک و غیرضروری اجتناب شده است.
• مطمئن شوید که در سازمان از مرورگرهای معتبری استفاده می شود که به صورت مستمر به روزرسانی می شوند. همچنین آسیب پذیری های امنیتی مرورگر نسبت به سایر مرورگرها حداقل باشد. همچنین همیشه از آخرین نسخه مرورها استفاده شود.