كشفت دراسة بحثية أجرتها كاسبرسكي حديثًا عن خدمات الويب التي يستخدمها موظفو المنشآت الصغيرة والمتوسطة بشكل متكرر أثناء العمل. ووجدت الدراسة أن الموظفين يستخدمون باستمرار خدمات وتطبيقات تشمل “يوتيوب” و”فيس بوك” و”جوجل” و”واتساب”، وذلك بالرغم من أن مجرمي الإنترنت كثيرًا ما يستغلون بعضها في محاولاتهم للتصيّد. وتختلف هذه المجموعة من التطبيقات عن خدمات أخرى يميل أرباب العمل إلى تقييد استخدامها على الأجهزة المؤسسية. وبينما يمكن أن تحدد المنشآت الأولويات والأذونات المتعلقة باستخدام موظفيها لخدمات الويب، يظلّ من المهم التأكّد من بقائها محمية من أية مخاطر رقمية.
من المهم للمنشآت أن تدرك خطر التهديدات وإمكانية تسلّلها إلى النقاط الطرفية في المنشأة من خلال محاولات التصيد التي تجري في الخدمات السحابية، على سبيل المثال. وتزداد جاذبية خدمة الويب بين المحتالين بمجرد أن تصبح شائعة الاستخدام. فمثلًا، اكتسب تطبيق “تك توك” شعبية هائلة على مدار السنوات القليلة الماضية، في حين أصبح يبدو مليئًا بالحسابات المزيفة والمحتالين الذين يعملون تدريجياً على تحسين مهاراتهم كلما ارتفعت شعبية الخدمة وازدادت رواجًا. وتعدّ الحماية من عمليات الاحتيال ومحاولات التصيّد هذه أمرًا بالغ الأهمية لضمان أمن حسابات المستخدمين الشخصية وبيانات المنشأة وأجهزتها.
وتشمل أبرز خمس خدمات ويب يصل إليها الموظفون في كثير من الأحيان من الأجهزة المؤسسية منصة مقاطع الفيديو “يوتيوب”، وشبكة التواصل الاجتماعي “فيس بوك”، وخدمة البريد الإلكتروني “جيميل”، وخدمة التراسل “واتساب”، وخدمة مشاركة الملفات السحابية “جوجل درايف”، وجميعها خدمات رائدة في مجالاتها، وذلك وفقًا لإحصاءات تتعلق بالحوادث الأمنية التي اكتشفها أحد منتجات كاسبرسكي، والتي جرى تقديمها طواعية من قبل المستخدمين الذي أُبقي على هوايتهم مجهولة.
وتُستَغل خدمات الويب في محاولات التصيّد وغيرها من الأنشطة التخريبية؛ إذ كشفت تحليلات كاسبرسكي عن أهم خمسة تطبيقات استُغلّت في محاولات تصيّد في أغلب الأحيان، وهي “فيس بوك” (4.5 مليون محاولة تصيّد) و”واتساب” (3.7 مليون) و”أمازون” (3.3 مليون) و”أبل” (3.1 مليون) و”نتفليكس” (2.7 مليون). واحتلت خدمات “جوجل” المجمعة معًا، والتي تشمل “يوتيوب” و”جيميل” و”جوجل درايف”، المركز السادس بعدد 1.5 مليون محاولة تصيد.
وتؤكّد النتائج الواردة في القائمتين اللتين تشتركان بالعديد من الخدمات، الميل للاعتقاد بأن التطبيقات الشائعة أصبحت منصات قيّمة لأنشطة المحتالين التخريبية.
وكشفت إحصائيات المنتجات أيضًا عن تطبيقات الويب التي يُرجح أن تكون مقيّدة الاستخدام على الأجهزة المؤسسية في المنشآت. وتشمل التطبيقات الخمسة الأولى الأكثر حظرًا تطبيقات للتواصل الاجتماعي فقط: “فيس بوك” و”تويتر” و”بنتريست” و”إنستغرام” و”لينكدإن”. ويمكن أن تعود القرارات التي تتخذها المنشآت بحظر هذه التطبيقات على أجهزتها إلى أسباب عدة تشمل الامتثال للوائح التنظيمية الخاصة بالتعامل مع البيانات، أو المتطلبات المؤسسية التي تقيّد استخدام وسائل التواصل الاجتماعي. وبالرغم من أن تلك التطبيقات تتضمن “فيس بوك” الذي كثيرًا ما يستغلّه المحتالون، فهي لا تشمل تطبيقات التراسل أو مشاركة الملفات أو خدمات البريد الإلكتروني، ربما لأنها تُستخدَم غالبًا لأغراض العمل بجانب الاحتياجات الشخصية.
وقالت تاتيانا سيدورينا الخبيرة الأمنية في كاسبرسكي إنه لا يمكن تصوّر الحياة اليومية والعمل من دون خدمات الويب المختلفة، بما يشمل وسائل التواصل الاجتماعي وتطبيقات المراسلة ومنصات مشاركة الملفات، مشيرة إلى أهميتها في التواصل ومشاركة الصور والأفكار الملهمة. وأضافت: “ازدادت هذه التطبيقات رسوخًا في حياتنا عندما قضى العالم بأسره عدة أشهر يعمل ويتعلّم عبر الإنترنت هذا العام، لكن من المهم أن تدرك المنشآت مصدر التهديدات التي قد تنطوي عليها هذه الموارد، وأن تكون ملمّة بالتقنيات والتدابير التوعوية اللازمة لمنعها، كما أن عليها في المقابل أن تقدّم لموظفيها إمكانية الاستخدام المريح للخدمات التي يحتاجونها، وذلك عبر تحقيق التوازن السليم، ونحن في كاسبرسكي ندرك أهمية هذا الأمر، ونحرص على تزويد المنشآت بأدوات الحماية المناسبة والخبرة الواسعة في هذا المجال”.
وتوصي كاسبرسكي المنشآت باتباع التدابير التالية لضمان استخدام موظفيها لخدمات الويب بأمان:
- تعريف الموظفين بطريقة التعرف على مواقع الويب المزيفة أو غير الآمنة وتمييز رسائل التصيّد، وتشجيعهم على عدم إدخال بيانات الدخول إلى حساباتهم مطلقًا قبل التحقّق من مصداقية موقع الويب، وتجنب فتح الملفات وتنزيلها من مرسلين مجهولين.
- إجراء تدريب أساسي على الوعي الأمني للموظفين عبر الإنترنت بحيث يغطي الممارسات الأساسية التي تتضمّن الحماية من التصيد، كإدارة الحسابات وكلمات المرور، وأمن البريد الإلكتروني، وأمن النقاط الطرفية، وتصفح الويب. وتقدّم منصة Kaspersky Automated Security Awareness Platform مثل هذا التدريب بطريقة سهلة وفعالة.
- اعتماد منتج أمني معروف بقدرته على تأمين حماية شاملة للنقاط الطرفية مع الحماية من تهديدات الويب والشبكات والبريد الإلكتروني.
- من المهم أيضًا تعزيز خبرة مديري تقنية المعلومات بشأن التهديدات الرقمية الخطرة وكيفية منعها. ويقدّم الحلّ الأمني Kaspersky Endpoint Security Cloud تدريبًا عبر الإنترنت على الأمن الرقمي يتيح لمسؤولي تقنية المعلومات تعلم مهارات جديدة حول كيفية تصنيف البرمجيات الخبيثة وتمييز السلوكيات المريبة والخطرة في البرمجيات. ويتاح هذا الحلّ في إصدار تجريبي ضمن قسم إدارة المنتجات
