نظرًا لأن مواقع الويب الداخلية عادةً ما تحتفظ بمعلومات حساسة للموظفين والعملاء، فإن أمان الشبكة الداخلية يمثل أولوية عالية، خاصة بالنسبة للصناعات الخاضعة للتنظيم مثل الخدمات المصرفية أو الرعاية الصحية التي قد تحصل على غرامات باهظة بسبب الثغرات الأمنية.
لقد كنا تطوير شبكات داخلية آمنة استنادًا إلى SharePoint لمدة 16 عامًا، ونود أن نشارككم التهديدات الأكثر شيوعًا وأفضل الممارسات للتعامل معها في هذه المقالة.
مخاطر أمن الإنترانت وطرق التعامل معها
تنقسم مخاطر أمن الإنترانت إلى مجموعتين: نقاط الضعف الداخلية والتهديدات الخارجية.
ل نقاط الضعف الداخلية ينتمي ل:
يجب على فريق تكنولوجيا المعلومات لديك تقديم سياسة إنشاء كلمات مرور قوية وضرورة إعادة تعيينها بانتظام، على سبيل المثال، بعد كل 60 يومًا من الاستخدام. كما يجب على المسؤولين تمكين تسجيل الخروج التلقائي بعد فترة معينة من عدم نشاط المستخدم ومنع حفظ تسجيلات الدخول على أجهزة الكمبيوتر والأجهزة المحمولة.
- الوصول غير المقيد. إذا تمكن أي مستخدم من عرض أي معلومات على الإنترانت، بما في ذلك البيانات الحساسة، فقد يؤدي ذلك غالبًا إلى تسرب المعلومات.
يحتاج متخصصو تكنولوجيا المعلومات لديك إلى تكوين الأذونات المستندة إلى الأدوار التي تحدد من يمكنه عرض ملفات معينة أو تحريرها أو مشاركتها. كما يمكنهم أيضًا تمكين المصادقة الثنائية. علاوة على ذلك، يمكن استخدام مسار التدقيق لتتبع جميع أنشطة المستخدم ذات الصلة بالمحتوى مثل التحميل والتعديل.
- البيانات غير المحمية. على الرغم من أن بيانات الإنترانت ليست مشفرة، إلا أنها قد تكون عرضة للانتهاكات الأمنية.
يجب على المسؤول الخاص بك تشفير بيانات الإنترانت أثناء الراحة وأثناء النقل. على سبيل المثال، في شبكات SharePoint الداخلية، يوفر BitLocker تشفيرًا على مستويين للبيانات غير النشطة: فهو يقوم بتشفير كافة البيانات الموجودة على القرص ويوفر مفتاحًا فريدًا لكل ملف. والبيانات أثناء النقل محمية بفضل اتصال SSL/TLS.
- الوصول عن بعد غير آمن. يمكن للموظفين الدخول إلى شبكات الإنترانت السحابية عن بعد عبر أجهزتهم المحمولة. لا تحتوي هذه الأجهزة عادةً على برامج مكافحة فيروسات أو جدران حماية موثوقة قادرة على حماية معلومات الشركة داخل شبكات 3G أو 4G أو Wi-Fi العامة.
يجب على متخصصي تكنولوجيا المعلومات لديك ترتيب تدريب الموظفين على أهمية تأمين أجهزتهم المحمولة، خاصة إذا كانوا يستخدمونها للوصول إلى شبكة الإنترانت الخاصة بالشركة. علاوة على ذلك، يجب أن يتمتع فريق تكنولوجيا المعلومات بإمكانية الوصول عن بعد إلى البيانات المتعلقة بالعمل الموجودة على هذه الأجهزة. سيساعدهم ذلك على مراقبة أنشطة المستخدمين وجمع معلومات السجل وتنفيذ المسح عن بعد للبيانات الحساسة في حالة فقدان الأجهزة أو سرقتها. ونتيجة لذلك، تتم استعادة الجهاز إلى التكوين الافتراضي مع إزالة جميع البيانات والتطبيقات والإعدادات المتعلقة بالإنترانت.
ل التهديدات الخارجية ينتمي ل:
- البرامج الضارة. يمكن للفيروسات وبرامج الفدية وبرامج التجسس مهاجمة شبكة الإنترانت والتأثير بشكل خطير على أدائها، على سبيل المثال، التسبب في بطء التشغيل وأخطاء فنية.
يجب أن يقوم فريق تكنولوجيا المعلومات بإجراء مراقبة منتظمة لأحداث الشبكة الداخلية، مما يساعد على اكتشاف مشكلات مثل النشاط غير المعتاد أو تدفق البيانات الكبير بشكل غير عادي. نظرًا لأن تهديد البرامج الضارة يتغير باستمرار، فمن الضروري تحديث أدوات مكافحة البرامج الضارة في الوقت المناسب.
- الهندسة الاجتماعية (التصيد الاحتيالي). يمكن لهجمات التصيد الاحتيالي التي تستخدم أدوات مدمجة في شبكة الإنترانت (مثل البريد الإلكتروني والدردشة) أن تغري الموظفين بالكشف عن معلومات حساسة مثل جهات اتصال العملاء أو أرقام حساباتهم، مما قد يؤدي إلى الإضرار بسمعة الشركة المعنية.
يحتاج فريق تكنولوجيا المعلومات لديك إلى تثبيت برنامج مكافحة التصيد الاحتيالي. أيضًا، يجب على الفريق تشجيع المستخدمين على أن يكونوا على دراية تامة برسائل البريد الإلكتروني التي تطلب معلومات شخصية ومالية، وفحص عناوين URL والروابط بحثًا عن الأحرف الفردية أو الكلمات التي بها أخطاء إملائية، والمزيد.
- هجمات حجب الخدمة الموزعة (DDoS).. وتهدف هذه الهجمات إلى إغراق شبكة الإنترانت بطلبات البيانات، مما يجعلها غير صالحة للعمل.
للحماية من هجمات DDoS، يجب على متخصصي تكنولوجيا المعلومات لديك استخدام أدوات مثل جدران الحماية وموازنات التحميل للتحكم في حجم حركة المرور التي تصل إلى الشبكة الداخلية لديك.
حماية الإنترانت الخاصة بك
يعد استخدام مجموعة متنوعة من الأدوات التقنية والتدابير الوقائية، مثل التحليلات الأمنية التي أجراها فريق تكنولوجيا المعلومات لديك، بمثابة نصف المعركة للحصول على موقع ويب داخلي آمن. أما النصف الآخر فيقع على عاتق مستخدمي الإنترانت الذين يجب أن يخضعوا للتدريب على الأمان والامتثال ويتبعوا سياسات أمان الشركة.
