
بیشتر مدیران امنیت اطلاعات دیگر نیازی به یادآوری ندارند که تهدیدات و رخدادهای داخلی واقعاً اتفاق میافتند. اما چیزی که راحتتر نادیده گرفته میشود، تغییر آرام و تدریجی سطح ریسک است؛ جایی که دیگر موضوع صرفاً «اقدام خرابکارانه آشکار» نیست، بلکه الگوهای عادی کاری هستند که دادههای حساس را از مسیرها و کانالهای جدید جابهجا میکنند.
جدیدترین گزارش «روندهای حفاظت از داده» شرکت Safetica بر اساس دادههای تجمیعشده و ناشناس از محیطهای تحت حفاظت این شرکت تهیه شده است. نتایج این گزارش نشان میدهد موضوعی که بسیاری از تیمها بهصورت تجربی احساس میکردند، اکنون قابل اندازهگیری شده است: خطر افشای دادهها بیش از گذشته در دل فرایندهای روزمره کاری پنهان شده؛ از مجموعههای بهرهوری و اپلیکیشنهای تحت وب گرفته تا پیامرسانها، ابزارهای هوش مصنوعی، اسکرینشاتها و حافظههای جانبی.
یکی از واضحترین نشانههای این تغییر، رشد فعالیتهای مسدودشده در بسترهای «مورد اعتماد» است. در نیمه دوم سال ۲۰۲۵، بیشترین رشد فصلی فعالیتهای مسدودشده مربوط به سرویسهای مایکروسافت (+۶.۱٪) و گوگل (+۴.۴٪) بوده است.
اهمیت این موضوع در آن است که تعریف مسئله را تغییر میدهد:
اگر فشار ریسک در اکوسیستمهای «مجاز و مورد اعتماد» در حال افزایش است، اتکا به راهکارهایی که صرفاً اپلیکیشنهای خارجی را مسدود میکنند، دیگر کافی نیست.
اکنون سؤال اصلی این است:
برای مدیران امنیت اطلاعات (CISO)، این مسئله بیشتر از آنکه یک چالش صرفاً فنی یا ابزاری باشد، به یک چالش در حوزه حاکمیت، سیاستگذاری و کنترل تبدیل شده است.
استفاده از ابزارهای هوش مصنوعی اغلب به عنوان مشکل «پراکندگی» (وجود بیش از حد اپلیکیشنها) مطرح میشود. اما این گزارش، پویایی متفاوتی را نشان میدهد: تمایل به تجمیع و استفاده از پلتفرمهای عمومی و اصلی.
در سهماهه چهارم سال ۲۰۲۵، ابزار ChatGPT با رشد ۹.۳ درصدی نسبت به فصل قبل، ۲۰.۱ درصد از فعالیتهای مسدودشده مرتبط با هوش مصنوعی را به خود اختصاص داد و Read.ai نیز به ۱۵.۴ درصد (رشد ۱۰.۶ درصدی نسبت به فصل قبل) رسید.
این موضوع دو پیامد عملی به همراه دارد:
وقتی استفاده از ابزارها در چند پلتفرم خاص متمرکز میشود، پیادهسازی قوانین و آموزش کاربران میتواند هدفمندتر انجام شود؛ اما تنها در صورتی که بدانید دقیقاً چه نوع دادههایی و در چه جریانهای کاریای وارد این ابزارها میشوند.
تعاملات با هوش مصنوعی اغلب شامل متنهای آزاد و محتوای کپیشده (Paste) است. این امر با فرضیات سنتیِ راهکارهای جلوگیری از نشت داده (DLP) که تمرکزشان بر «فایل» و «متاداده» است، کاملاً متفاوت است.
پرسش کلیدی و مدیریتی که باید در سازمان خود مطرح کنید:
آیا ما با ابزارهای هوش مصنوعی مانند «یک دستهبندی وبسایت دیگر» برخورد میکنیم، یا آنها را به عنوان یک «جریان کاریِ پردازش داده» با رفتارهای ورودی/خروجی مشخص در نظر میگیریم که نیاز به حکمرانی و کنترل دقیق دارد؟
اگر هنوز هم جلوگیری از نشت داده (DLP) را عمدتاً به معنای «خروج اسناد از سازمان» میدانید، روندهای مربوط به پسوند فایلها زنگ خطر جدی هستند.
در سهماهه چهارم سال ۲۰۲۵، فایلهای با پسوند .txt با سهم ۱۷.۵٪ (+۵.۱٪ نسبت به فصل قبل) در رتبه اول فایلهای مسدودشده قرار گرفتند و فایلهای .png (اسکرینشاتها) با ۱۵.۷٪ (+۴.۰٪ نسبت به فصل قبل) در رتبه دوم قرار گرفتند.
این تغییر اهمیت زیادی دارد، زیرا معمولاً بازتاب رفتارهایی از این دست است:
به بیان دیگر، کنترلهایی که حول اسناد اداری سنتی طراحی شدهاند، ممکن است با شیوه واقعی جابهجایی اطلاعات در سازمانهای امروزی همگام نباشند.
این موضوع به معنای ممنوعکردن اسکرینشات نیست؛ بلکه به معنای درک یک الگوست:
کنترلهایی که بر پایه اسناد سنتی طراحی شدهاند، میتوانند از نحوه واقعی انتقال اطلاعات در محیطهای کاری امروز عقب بمانند.
یک اقدام عملی میتواند بازبینی این باشد که آیا در سازمان خود دید و نظارت کافی نسبت به موارد زیر دارید یا خیر:
این نقاط میتوانند تصویر دقیقتری از «رفتار داده» در سازمان نسبت به تمرکز صرف بر نوع فایلها ارائه دهند.
بسیاری از سازمانها تصور میکنند مسئله USB حل شده است: بهصورت کلی مسدود میشود، برای برخی کاربران استثنا تعریف میشود و موضوع پایان مییابد. اما این گزارش نشان میدهد USB همچنان یک شاخص رفتاری مهم محسوب میشود.
در سهماهه چهارم سال ۲۰۲۵، حافظههای USB خارجی ۳۶.۱٪ از هشدارهای مربوط به فعالیتهای غیرعادی را به خود اختصاص دادهاند؛ رقمی که نسبت به فصل قبل ۷.۷٪ رشد داشته است.
همچنین، در بخش مربوط به نقض سیاستهای امنیتی نیز استفاده از USB خارجی بهعنوان یکی از کانالهای روبهرشد ثبت شده است.
نکته مهم اینجاست:
USB فقط یک مسیر سنتی برای خروج داده نیست؛ بلکه در بسیاری موارد به «راه فرار» کاربران از فرایندهای کند یا محدودکننده همکاری تبدیل میشود.
فعالیتهای مکرر مرتبط با USB میتوانند نشانهای از قصد تخلف باشند، اما در عین حال ممکن است وجود اصطکاک و ناکارآمدی در فرایندهای کاری را نیز نشان دهند. هر دو مورد ارزش بررسی دارند.
اگر در بخشی از سازمان استفاده از USB مجاز است، بهتر است این کانال بهعنوان یک مسیر «دارای دسترسی ویژه» مدیریت شود؛ با اقداماتی مانند:
تحلیل نقض سیاستهای امنیتی در این گزارش، بار دیگر نشان میدهد که ریسکهای داخلی در بستر «کار روزمره» شکل میگیرند.
بیشترین کانالهای نقض سیاستها در سهماهه چهارم ۲۰۲۵ عبارت بودند از:
این آمار کمک میکند نگاه ما به ریسکهای داخلی تغییر کند؛ از «رخدادهای نادر» به «مسیرهای عادی و روزمره انتقال اطلاعات».
اگر بخش عمدهای از نقضها در وب، ایمیل و چت اتفاق میافتد، پیشگیری دیگر فقط به معنای ایجاد محدودیت در پیرامون شبکه یا قفلکردن Endpointها نیست؛ بلکه به معنای اعمال کنترلهای یکپارچه و مداوم در تمام بسترهای همکاری و ارتباطی سازمان است.
بسیاری از تیمهای امنیتی دچار مشکل «بازی موش و گربه» (Whack-a-Mole) در سیاستگذاری هستند: یک مسیر را مسدود میکنند و میبینند فعالیتها به جای دیگری منتقل میشوند. این گزارش این پدیده را در قالب محرکهای پویا (Dynamic Triggers) کمیسازی کرده است:
محرکهای مربوط به پیامرسانهای فوری (IM) در سهماهه چهارم، ۸.۵٪ رشد داشتهاند، در حالی که استفاده از ایمیل ۱۰.۷٪ کاهش یافته است؛ این نشاندهنده انتقال فشار فعالیتها به سمت کانالهای ارتباطی لحظهای (Real-time) است.
این یکی از مهمترین بینشهای عملیاتی این گزارش است، زیرا به این معناست که:
این دقیقاً همان مفهوم «حفاظت بیشتر، اخلال کمتر» (Protect More, Disrupt Less) در عمل است.
با وجود تمام تغییرات در کانالهای ارتباطی، ایمیل همچنان یکی از سطوح اصلی برای دریافت هشدارهای اولیه است:
در سهماهه چهارم، ایمیل ۷۲.۲٪ از مسیرهای هشدار در سطح تهدید را به خود اختصاص داد.
نکته کلیدی این نیست که «فقط روی ایمیل تمرکز کنید»، بلکه این است که:
این ترکیب — یعنی ثبات سیگنال در یک کانال و افزایش فشار در کانالهای دیگر — دقیقاً همان دلیلی است که بسیاری از تیمهای امنیتی را در زمینه «قابلیت دید» (Visibility) و «اولویتبندی تهدیدات» دچار چالش کرده است.
اگر میخواهید نکات مطرحشده را به یک گفتوگوی عملی و تصمیمساز درونسازمانی تبدیل کنید، این پنج پرسش میتوانند نقطه شروع مناسبی برای این فصل باشند:
(ایمیل؟ اپلیکیشنهای وب؟ پیامرسانها؟ فضای ذخیرهسازی ابری؟ USB؟)
آیا تصویری شفاف و مبتنی بر داده از محل تمرکز ریسک دارید، یا صرفاً بر اساس فرضیات عمل میکنید؟
آیا میتوانیم همکاری مشروع و ضروری را از جابهجایی پرریسک دادهها تفکیک کنیم، بدون اینکه با سیاستهای کلی و سختگیرانه، کل سازمان را دچار اختلال کنیم؟
از جمله:
اگر مسدودسازی در ایمیل باعث انتقال فعالیت به پیامرسان شود، آیا همان الگوی ریسک را در کانال جدید نیز شناسایی میکنیم؟
این گزارش نشان میدهد که در سهماهه چهارم، پیامرسانهای رمزنگاریشده به دسته غالب اپلیکیشنهای پرریسک تبدیل شدهاند (۶۴.۴٪ با رشد ۱۵٪ نسبت به فصل قبل).
آیا سیاست و کنترلهای ما با این واقعیت همراستا هستند؟
این پرسشها بیش از آنکه درباره خرید ابزار جدید باشند، درباره شفافیت، همراستاسازی سیاستها با رفتار واقعی کاربران و ایجاد تعادل میان حفاظت و بهرهوری هستند.
منبع مقاله: سایت Safetica