أساليب فعالة لمراقبة الهجمات الداخلية على شبكات الشركات

الزعيم · 20-03-2007, 12:42 AM

خلال ايام من الآن تكون قد مضت ثلات سنوات على ما نفذه روجر ديورونيو مدير الانظمة في شركة «يو بي إس باين ويبر»، وهو عملية زرع قنبلة منطقية في انظمة شركته، ما ادى الى تعطيل نحو 2000 جهاز كومبيوتري خادم في كل شبكة الشركة التجارية التي يعمل بها والتي تمتد عبر البلاد. وكان ديورونيو الذي عمل في الشركة كمدير للانظمة لمدة ثلاث سنوات قد شعر بالسخط والغضب عليها عندما اكتشف ان مكافأته النقدية السنوية ستكون اقل مما توقع. وتحولت تلك الحادثة منذ ذلك الحين الى حالة دراسية حول قدرة النشاط الداخلي غير المصرح به، سواء كان شريرا او عرضيا، الى ان يقود الى كارثة على نطاق الشركات.
اذن، كيف بإمكان شركتك تفادي ان تصبح الـ «يو بي إس باين ويبر» التالية؟ وكيف تستطيع ان تتأكد ان موظفيك لا يقومون عن قصد، أو عن غير قصد، بإفشاء اسرار الشركة ومخططاتها، او يحاولون تخريبها؟ كذلك كيف يمكنك تأمين انظمة شركتك ومعلوماتها من اولئك الأكثر ترشيحا لسرقتها او اتلافها، اي من موظفيك؟

الجواب طبعا انك لا تستطيع، اذ لا توجد سبل لدرء التهديدات من الداخل (الا اذا منعت جميع المستخدمين من دخول الشبكة) كما لا توجد سبل اخرى للقضاء على محاولات التخريب والسرقة من الداخل. هذه هي الاخبار السيئة، لكن الاخبار الجيدة هي ان مراقبة الهجمات الداخلية لسنوات جعلت الخبراء يطورون اساليب فعالة تساعد على اكتشاف مثل هذه المحاولات وهي تتطور وتقترب من اهدافها، وفي بعض الاحيان قبل ان يقع الضرر.

* نصائح وإرشادات

* وفي ما يلي لائحة بالنصائح والإرشادات مع بعض التوصيات التي قدمها خبراء أمن المعلومات في مجلة «دراك ريدينغ» الالكترونية، حول ما ينبغي عمله اذا لاحظت مثل هذه الامور. لذلك افتح عينيك جيدا لمراقبة مثل هذه الاشارات التي تحذرك بما يجري بين مستخدمي الشبكة، كي تحول من ان تصبح شركتك الضحية التالية بعد «يو بي إس باين ويبر».

1. الغياب المستمر من العمل: انه امر مخالف للحدس. الا ان إحدى الدلالات الاولى على ان احد الموظفين ينوي، أو على وشك، مهاجمة انظمتك في المكتب او الشركة، هو الميل المتزايد في الابتعاد عن مبانيها. والغياب المستمر، والعطلات المفاجئة، والطلبات المتكررة والمتزايدة للحصول على أذونات لأغراض علاجية او زيارة الطبيب، قد تشير الى ان الموظف مشتت الذهن، او ساخط، او انه يقوم بإجراء مقابلات في الخارج للحصول على وظيفة اخرى.

والموظفون الساخطون هم الاكثر احتمالا لتخريب الانظمة من الداخل، في حين ان الذين قبلوا وظائف اخرى هم الاكثر عرضة لبيع او إفشاء معلومات الشركة الخاصة الى شركة منافسة.

2. التغير في طباع الموظفين: العواطف القوية والجياشة غالبا ما تكون مؤشرا على ان الموظف ينوء تحت ضغط شديد، كما يقول الخبراء. والموظف العادي او ذو الطباع الحادة الذي يسمع صوته وهو يصيح ويتحول الى العنف قد يكون قنبلة منطقية متحركة. وعلى الصعيد ذاته فان الموظف العادي المنفتح على الناس الذي يقوم بعزل نفسه قد يكون يخطط لأمر ما يستغل فيه الشركة، او يحاول اخفاء سرقة، أو اي نشاط اجرامي اخر.

والغضب والكآبة هما سببان من الاسباب الرئيسية التي تجعل الموظفين يقومون بأعمال منافية لمصالح شركاتهم على حد قول الخبراء. وفي كثير من الحالات يتطلب الانتقام بعض الوقت والتخطيط، بحيث يظهر الموظف خلاله سلوكا غير طبيعي يمكن ملاحظته خلال هذه الفترة.

وعلى موظفي تقنيات المعلومات الافادة عن اي سلوك مريب لأحدهم، او انحراف في مزاجه الذي قد يدل على مشكلة يعاني منها، وبالتالي مراقبة نشاطاته ايضا.

3. السلوك غير العادي في المكتب: «البشر هم مخلوقات مجبولة بالعادات والسلوكيات لذا حاول النظر الى الأمور التي لا تكون عادة من طبيعة النمط اليومي العادي» كما يلاحظ آر سنايك مؤسس موقع hackers.org ، فاذا كان من عادة احد الموظفين مثلا ان يغادر مكتبه في الساعة الخامسة مساء وشرع بعد ذلك يعمل حتى ساعة متأخرة من الليل فان ذلك يعني ان هناك احتمالا كبيرا على انه يقوم بتدبير امر ما لا يرغب ان يعرفه زملاؤه كما يقول الخبراء. وعلى الصعيد ذاته اذا كان احد المستخدمين يعمل عادة وبشكل روتيني حتى ساعات متأخرة، ثم شرع بعد ذلك فجأة في مغادرة مكتبه الساعة الخامسة مساء بالضبط، فهذا قد يدل انه بات غير متحمس لعمله يعد الايام والساعات الى ان يعثر على عمل آخر.

4. جهود متعددة للوصول الى الانظمة غير المصرح بها: زيادة المحاولات الفاشلة لاختراق كلمات المرور من قبل مستخدم خارجي قد يمكن ملاحظتها من قبل دائرة الامن في الشركة الا ان مثل هذه المحاولات المتكررة من قبل موظف في الداخل قد لا يمكن ملاحظتها. ومع ذلك فان مثل هذه المحاولات قد تشير الى احتمال وجود نشاط خطر في الداخل.

واذا شاهدت مستخدمين يتفحصون اعدادا كبيرة من الملفات المخزنة، او المحفوظة على الاقراص التي يمكن التشارك بها، لا سيما خارج دوائرهم، فقد يكون هذا مؤشرا كبيرا. واذا تنبهت الى العديد من التساؤلات التي مصدرها انظمة «ادارة العلاقات الخاصة بالزبائن» تتعلق بمحاولات لطمس المعلومات والتخلص منها، خاصة من زبائن لا يمتون بصلة الى ذلك المستخدم، فقد تكون هذه محاولة لسرقة لوائح الزبائن.

* معلومات حساسة

* 5. التغيير في سلوك الكومبيوتر او نمطه يشير الى ان الموظفين في الاقسام الداخلية الذين ينهمكون عادة في ممارسة سلوك او اسلوب معين لدى استخدامهم الكومبيوتر يحاولون المشاركة في الحصول على معلومات حساسة او تخريبها. ومثل هذا السلوك يمكن في بعض الاحيان كشفه لدى اجراء عمليات مسح روتينية لنشاطات الكومبيوترات الشخصية (بي سي) او طريقة ترتيبها، على حد قول الخبراء.

«واذا لاحظت نشاطا غير عاد في بروتوكول نقل الملفات FTP صادر الى الخارج، فان من المحتمل جدا ان المستخدم يحاول تحميل ملفات في مكان ما»، كما يلاحظ آرسنايك الذي يضيف قائلا «واذا لاحظت أن السعة التخزينية الباقية في كومبيوتر المستخدم تتسع، او تقل بشكل دراماتيكي فذلك يعني اما انه يحاول شطب معلومات شخصية بغية طمس اي آثار باقية، او انه يقوم بتنزيل معلومات خاصة بالشركة لنقلها الى منزله».

ويقول الخبراء انه حتى لو لم يجر بشكل روتيني رصد نشاط المستخدم، يمكن لهيئات تقنيات المعلومات كشف مثل هذه الانواع من التغيرات في النمط والترتيب بواسطة برنامج تدقيق بسيط للكومبيوتر الشخصي.

6. تلقي الموظف تقريرا حول ادائه السيئ قد يجعله يفكر بالانتقام. وكانت شركة «سنسي انتربرايزز» المتخصصة في القضايا القانونية والجنائية الخاصة بالكومبيوتر قد لاحظت في تقرير اخير لها ان هناك موظفا في شركة «برودينشال انشورانس كومباني» يشعر بالاحباط انطلاقا من شعوره بأن اجره ضئيل واقل من المعدل المعمول به، «وجاء انتقامه» وفقا للتقرير «بأن اختلس الملفات الشخصية الالكترونية الخاصة بأكثر من 60 ألفا من موظفي «برودينشال» التي لم يقم ببيعها عبر الانترنت فحسب، بل قام ايضا باتهام المشرف عليه سابقا في اقتراف جريمة الاختلاس هذه.

7. الموظفون الذين يظهرون اشارات تنم عن ازمة مالية: الموظفون الذين يعانون من أزمات مالية هم الأكثر عرضة لتجنيدهم لسرقة المعلومات، او تخريب انظمة الشركة على حد قول الخبراء. ولا ينبغي الاعتماد على الاخلاقيات لمنع السرقة، لأنه استنادا الى استطلاع نشرته في اكتوبر الماضي شركة «بريفكس سيكيورتي» فان نحو 37 في المائة من الذكور الذين اشتركوا في الاستطلاع ذكروا انه من المقبول الاستيلاء على قاعدة المعلومات، وعلى بيانات تحول طرق التسويق والبيع. وأقرت أغلبية من الألف موظف الذين ساهموا في الاستطلاع بانهم سرقوا معلومات أو مستندات سرية، لكن اغلبيتهم لا يدركون ان افعالهم هذه تنطوي على «خطأ كبير».

8. العلاقات الغرامية في المكاتب: في دراسة اجريت قبل سنوات من قبل جمعية الادارة الاميركية اقر 30 في المائة من 391 مديرا جرت مقابلتهم، بأنهم تواعدوا مع زميلات لهم في المكتب. وسواء اعجبنا ذلك أو لم يعجبنا فان غرام المكاتب هو أمر حاصل وبديهي، حيث ان الغضب الكبير يعقب عادة الفشل في العلاقات العاطفية، او اذا رفض أحد الطرفين اقامة أو استمرار مثل هذه العلاقة. من هنا كانت هناك حوادث كثيرة قام خلالها أحد الموظفين بإطلاق هجمات بالبريد الالكتروني على موظف من الجنس الآخر بعد انقطاع العلاقة بأسلوب بشع كما يلاحظ الخبراء. وقد يسعى الموظفون الى الحصول على الملفات الشخصية، او اي معلومات اخرى في محاولة للعثور على المزيد في ما يتعلق بالنواحي الحياتية والاهتمامات الغرامية للشخص الآخر. في اي حال ينبغي على دوائر تقنيات المعلومات الاهتمام بأي معلومات تتلقاها حول الموظفين ومشاكلهم الشخصية مع الموظفين الاخرين.

9. فصل الموظفين: ليس من المستغرب ابدا ان الموظفين المقالين أو المفصولين من اعمالهم يشكلون جزءا كبيرا من التهديدات الداخلية، ومثل هؤلاء يحملون عادة ضغينة كبيرة على شركاتهم التي فصلوا منها خاصة مع انقطاع المورد المالي لفترة غير منظورة من الزمن ما يعني انه لا توجد اي دوافع تردعهم عن طلب الانتقام.

والامر المدهش هنا، هو كم من هؤلاء المهاجمين الذين فصلوا من اعمالهم كانوا يعملون في دوائر تقنيات المعلومات، ففي إحصاء اخير أجرته دائرة الخدمات السرية الاميركية وبرنامج «سيرت» التابع لمعهد هندسة البرمجيات في جامعة كارنيغي مالون افادت الشركات بان 86 في المائة من الاشخاص الذين نفذوا عمليات التخريب الداخلية كانوا يحتلون مناصب فنية، وأن 90 في المائة كانوا اداريي انظمة! 10. الموظفون المستقيلون طوعا: الموظفون الذين يتركون أعمالهم طوعا لهم حساباتهم الخاصة ايضا مع المؤسسات التي يغادرونها، وقد لا يستطيعون مقاومة اغراء ترك «تذكار» يفاجئ المدير والعاملين الذين كانوا يمقتونهم. او قد يختارون ترك انطباع يحسنهم في نظر مخدومهم الجديد عن طريق اصطحاب أثر فني معهم ينم عن الذكاء من عملهم السابق.

* * إرشادات أميركية حول تقصي الأدلة في كومبيوترات المشتبه فيهم كيف تقبض على مجرمي الكومبيوتر؟

* نيويورك: «الشرق الأوسط»

* هل تساءلت يوما كيف يجري تدريب الشرطة على كيفية التحري عن جرائم الكومبيوتر؟ إليك التفاصيل: أصدر مكتب التحقيقات الفيدرالي الأميركي (اف بي آي) تقريرا من 137 صفحة قدمت فيه توجيهات وإرشادات الى الوكالات المحلية لسلطات الأمن حول كيفية تقصي الجرائم الكومبيوترية والرد عليها. والتقرير يشرح بإسهاب كيفية تحديد موضع الادلة والحفاظ عليها التي قد تساعد على ادانة المجرمين. وعلى الرغم من ان هذا التقرير موجه الى المسؤولين عن فرض القانون، الا انه يقدم بعض المشورة التي قد تفيد مديري الامن في الشركات الذين يشكون في ان اجهزة الكومبيوتر الخاصة بها قد تكون تستخدم في ارتكاب الجرائم.

ويقول هذا الدليل ان الاستجابة الاولى لعملية التقصي على سبيل المثال، قد تؤدي الى خطأ محاولة الابحار داخل كومبيوتر الشخص المشكوك في أمره بحثا عن الادلة من دون اي توثيق، او الحفاظ على المعلومات الموجودة سلفا هناك. والحفاظ على ما هو موجود على شاشة الكومبيوتر المشكوك في أمره قد يؤكد حيثيات الجريمة او يلغيها.

ويقول التقرير «غالبا ما تجري مجابهة مسائل الادلة المعقدة في الانترنت، وفي التحقيقات الخاصة بالشبكة. كما ينبغي استخلاص الادلة بسرعة والحفاظ عليها». كما ان المعلومات الخاصة بالزمن والتاريخ الممهورين قد يشكلان عاملا مهما في ملاحقة أي قضية. وفي الوقت الذي يقدم فيه هذا الدليل معلومات حول كيفية تحري الجرائم المشكوك فيها وحماية الادلة، فانه يصف ايضا الحاجة الى الكفالات والتراخيص والأذونات المطلوبة للتحري عن الجرائم المشكوك فيها. وفي بعض الحالات قد تختار شركة طلب كفالة قبل السماح لوكالات فرض القانون الكشف على اجهزتها وانظمتها.

ويقول الخبراء ان دليل مكتب التحقيقات الفيدرالي قد يساعد على منع الوكالات المحلية الخاصة بفرض القانون، او الشركات، من رفع قضية خاسرة ضد كومبيوتر مشكوك في أمره

منقول للفائدة

تحيات الزعيم

الهاوي جروب · 20-03-2007, 09:23 AM

شكراااااااااااان زعيم شرفتنا في ارضنا

grandv8 · 22-03-2007, 03:52 PM

السلام عليكم ورحمة الله وبركاته

عند الغضب تثور البراكين.

تسلم يالزعيم

aham_9305 · 26-03-2007, 10:00 PM

مشكووور اخويه الزعيم