هشدار شرکت‌ها در مورد خطر اتصال به نرم‌افزارهای ثالث

محققان شرکت امنیتی CloudLock می‌گویند که بیش از یک‌چهارم از برنامه‌های ثالث که در شرکت‌ها استفاده می‌شوند، خطرناک هستند و یکی از مشکلات عمده‌ی آن‌ها اتصال به برنامه‌های کاربردی ابری است.
گزارش امنیت سایبری ابری آزمایشگاه شرکت CLoudLock برای سه‌ماهه‌ی دوم سال ۲۰۱۶ که بر پایه‌ی تحلیل ۱۵۰ هزار نرم‌افزار منحصربه‌فرد و ۱۰ میلیون کاربر است، نشان می‌دهد که میزان استفاده از نرم‌افزارهای ثالث در ظرف دو سال گذشته ۳۰ برابر شده است.

این شرکت امنیتی خاطرنشان می‌کند که سازمان‌ها نباید یک جنبه‌ مهم را نادیده بگیرند که مشکل بررسی «فناوری سایه» است و آن اصطلاحی است که برای تشریح نرم‌افزارها و سامانه‌هایی به کار می‌رود که توسط کارمندان بدون تأیید گروه‌های امنیت فناوری استفاده می‌شود. این فناوری می‌تواند مشکلات خطرناکی را در OAth ایجاد کند که یک پروتکل احراز هویت است که به کاربران اجازه می‌دهد تا نرم‌افزارها را تأیید کنند و بدون به اشتراک گذاشتن رمزهای عبور خود آن‌ها را برای استفاده‌ی خود به کار گیرند.
به گفته‌ی کارشناسان مشکل این است که نرم‌افزارهای متصل به OAth دارای دسترسی گسترده‌ای به داده‌های شرکت هستند. این نوع از نرم‌افزارها می‌توانند درخواست‌ مجوزهایی را بدهند تا بتوانند هنگامی که از اعتبارنامه‌های شرکت استفاده می‌کنند، داده‌های شرکت را دیده، حذف کنند، انتقال دهند و یا آن‌ها را ذخیره کنند. از همین رو بسیار مهم است که سازمان‌ها این نرم‌افزارها را شناسایی کنند، به‌خصوص آن دسته را که دارای خطر امنیتی زیادی هستند.

شرکت CloudLock در گزارش خود می‌نویسد: «روزانه کارکنان از نرم‌افزارهای کاربردی بدون اطلاع بخش فناوری استفاده می‌کنند و به آن‌ها اجازه می‌دهند تا از طریق اتصالات OAth به اعتبارنامه‌های شرکت متصل شوند. اگر این نرم‌افزارها ماهیتی مخرب داشته باشند و یا سازنده‌ی متصل به این نرم‌افزارها خود آلوده‌شده باشد، این نرم‌افزارها، در را به روی مجرمان سایبری برای حذف حساب‌های کاربری، انتقال و یا خارج کردن اطلاعات، نظارت و یا لغو مجوز کاربران، ‌تغییر گذرواژه‌ها،‌ دست‌کاری در پیکربندی سطح مدیران، انجام جستجو در سامانه‌های رایانامه و … باز می‌کند».

در بررسی تمام صنایعی که به‌وسیله‌ی این شرکت رصد شده‌اند، به‌طور متوسط در هر سازمان ۷۳۳ نرم‌افزار ثالث به محیط سازمانی و شرکت متصل بودند که در این میان سازمان‌ها و مراکز تحصیلات تکمیلی، فناوری و بخش‌های رسانه‌ای در صدر آن قرار داشتند.
در میان ۱۵۶۰۰۰ نرم‌افزار ثالث که امسال به سامانه‌های تجاری دسترسی داشتند، گروه‌های امنیتی ۲۷ درصد را در رده‌ی «پرخطر» ارزیابی کردند. کارشناسان اشاره کرده‌اند که درصد نرم‌افزارهای پرخطری که به سامانه‌های سازمانی متصل هستند، تقریباً با میانگین آن‌ها در جهان برابر است.

فهرست اول نرم‌افزارهایی که از همه پرخطرتر بوده‌اند شامل بازی‌های مختلف، پخش‌کننده‌های موسیقی، نرم‌افزارهای اینترنتی Goobric و نرم‌افزارهای Pingboard کارکنان بوده‌اند. پرخطرترین نرم‌افزار موبایل بازی استراتژیک Clash Royale بوده است. اگرچه این نرم‌افزارها در ماهیت خود خطرناک نیستند، اما اگر توسط مهاجمان آلوده شوند می‌توانند موجب ایجاد خطرات زیادی شوند، بیشتر به خاطر دسترسی فراوان آن‌ها به محیط سازمان و تعداد زیاد کاربران با دسترسی بالای آن‌ها.

در سازمان‌هایی که این شرکت مورد تجزیه و تحلیل قرار داده است، ‌بیش از نیمی از نرم‌افزارهای ثالث به خاطر نگرانی‌های امنیتی مسدود شده‌اند. ده نرم‌افزاری که در این میان، رتبه اول مسدود شدن را داشته‌اند عبارت‌اند از:

WhatsApp
Zoho Accounts
SoundCloud
Sunrise Calendar
Power Tools
Pinterest
Free Rider HD
Airbnb
Madden NFL Mobile
CodeCombat

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.