مدیریت ریسک در امنیت سایبری: مدیریت آسیب پذیری‌ها

مدیریت ریسک در حوزه امنیت یک مفهومی کلیدی است که هدف اصلی آن استفاده از مکانیزم‌های مختلف امنیتی برای حافظت بیشتر از دارایی‌های حیاتی سازمان‌ می‌باشد. یک مثال ساده از مدیریت ریسک در دنیای واقعی می‌تواند انواع بیمه‌هایی باشد که برای حفاظت از فرد در برابر زیان‌های جانی و مالی طراحی شده‌اند. بیمه عمر، سلامت، خودرو، نمونه هایی از این بیمه هاست. در دنیای امروزی مفاهیم مربوط به مدیریت ریسک به اندازه‌ای مهم است که مفاهیم آن به دستگاه‌های فیزیکی مانند درب‌ها و قفل‌های امنیتی جهت محافظت از خانه‌ها و خودروها، گاوصندوق‌ها برای محافظت از پول و جواهرات گران‌بها و مامور آتش نشانی و پلیس امنیت برای محافظت در برابر سایر خطرات، نیز گسترش یافته است.

مفهوم مدیریت ریسک در امنیت سایبری

مدیریت ریسک در امنیت سایبری علاوه بر استفاده ازابزارهای امنیت فیزیکی مانند درب‌ها، قفل‌های امنیتی و گاوصندوق‌ها، شامل کلیه اقدامات مربوط به استفاده از راهکارهای ترکیبی، شامل استراتژی‌ها، تکنولوژی‌های امنیتی وحتی آموزش کاربران برای حفاظت از اطلاعات سازمان در برابر حملات نیز می‌شود. در حال حاضر هر نوع حمله‌ای می‌تواند سیستم‌های اطلاعاتی سازمان را به خطر بیاندازد و باعث به سرقت رفتن اطلاعات ارزشمند سازمان و آسیب به شهرت سازمانی شود. با توجه به افزایش میزان حملات سایبری نیاز به استفاده از راهکارهای مدیریت ریسک در حوزه سایبری افزایش چشمگیری داشته است.

ایده اصلی پیاده سازی راهکارهای مدیریت ریسک در حوزه‌ امنیت سایبری از مدیریت ریسک در دنیای واقعی الهام گرفته شده است. مدیریت ریسک سایبری شامل شناسایی خطرات و آسیب پذیری‌های امنیتی، شناسایی اقدامات و پیاده سازی راهکارهای جامع امنیتی جهت اطمینان از امنیت دارایی‌های سازمان می‌شود.

راه‌اندازی سیستم مدیریت ریسک

سازمان‌ها قبل ازهرگونه اقدامی برای راه‌اندازی سیستم مدیریت ریسک‌ در حوزه امنیت سایبری، بایستی دارایی‌های خود را که نیاز به حفاظت دارند مشخص، و براساس ارزش، آنها را اولویت بندی نمایند. طبق گفته موسسه ملی استاندارد و تکنولوژی (NIST) در فریم ورک خود، برای تعیین و اندازه گیری میزان بهبود امنیت زیرساخت‌های حساس، هیچ راهکار کامل و مشخصی وجود ندارد. از طرف دیگر سازمان‌‌ها از نظر زیرساخت‌ فناوری اطلاعات و خطرات بالقوه دارای تنوع بالایی می‌باشند. بر‌این‌اساس، بعضی از سازمان‌ها از جمله شرکت‌های ارایه دهنده خدمات مالی و شرکت‌های تامین کننده سرویس‌های حوزه سلامت، علاوه بر نگرانی‌های تجاری، بایستی نگرانی‌ها و دغدغه‌های قانونی را نیز در سیستم مدیریت ریسک امنیت سایبری خود در نظر بگیرند. به همین دلیل امنیت سایبری برای افزایش میزان اثر بخشی خود بایستی رویکردی لایه‌ای برای حمایت بیشتر از دارایی‌های مهم سازمان‌ها مانند داده‌های مربوط به سازمان، شرکای تجاری و مشتریان داشته باشند. دلیل این موضوع این است که عواقب مربوط به یک نفوذ می‌تواند آسیب بیشتری از خود نفوذ به سازمان وارد کند.

در موضوع مدیریت ریسک سایبری توصیه Citrix به سازمان‌ها این است که آنها از روش‌های مستند و پیاده سازی شده برای انجام فعالیت‌های که ممکن است خطرات امنیتی برای سازمان ایجاد کند، استفاده نمایند. علاوه بر این سازمان‌ها برنامه‌های امنیتی سایبری خود را بر اساس شیوه‌های پیشرو و جدید در صنعت و مطابق با استاندارد ISO 270001/2 طراحی و پیاده سازی کنند.

فرایند مدیریت ریسک

قدم اول برای تصمیم گیری در مورد شکل ریسک‌های مورد انتظار برای یک کسب و کار استفاده از فریم ورک امنیت سایبری است که برای حوزه کسب و کار مورد نظر پیاده سازی شده است.

توصیه اکثر راهنماهای نرم افزاری ارایه شده در این حوزه استفاده از فن آوری‌های جدید با توانایی شناسایی و ترسیم اطلاعات در سراسر شبکه سازمان می‌باشد. هنگامی که داده‌های سازمان به صورت ترسیم شده در اختیار سازمان قرار گیرد، مدیران می‌توانند تصمیمات بهتری در مورد نحوه کنترل و مدیریت داده‌ها و ایجاد راهکارهایی برای کاهش اثرات ریسک مربوط به داده ها اتخاذ کنند. می‌توان نتیجه گرفت که حتی با داشتن آموزش و فرهنگ امنیتی قوی، اطلاعات حساس سازمانی مانند داده‌های دخیره شده در ردیف‌های صفحات گسترده، یا یادداشت‌های درون فایل ارایه کارکنان یا به صورت موضوعاتی در یک ایمیل طولانی، می‌تواند به راحتی و به صورت تصادفی از یک سازمان خارج شوند. در اکثر موارد پایش سازمان برای پیدا کردن اطلاعات حساس در حالتی که در سازمان هیچ اطلاعاتی رد و بدل نمی‌شود و همچنین حذف هر گونه داده‌ای که تعلقی به محل ذخیره‌اش ندارد، تا حد زیادی خطر از دست دادن تصادفی اطلاعات حساس را کاهش می‌دهد.

طبق گفته Deloitte، فرآیند مدیریت ریسک از رویکرد مدل “بلوغ توانایی”، از پنج سطح زیر پیروی می کند:

  • مدل اولیه (هرج و مرج، ad hoc، قهرمان فردی) : نقطه شروع برای استفاده از فرآیند تکرار جدید یا غیر مستند.
  • مدل تکرارپذیر: این فرآیند حداقل به اندازه کافی مستند شده است تا بتواند تکرار مراحل مشابه را انجام دهد.
  • مدل تعریف شده: فرآیند تعریف شده که به عنوان یک فرآیند کسب و کار استاندارد مورد تایید است.
  • مدل مدیریت شده: فرآیند به صورت کمی و بر‌اساس معیارهای توافق شده مدیریت می‌شود.
  • مدل بهینه سازی: مدیریت فرایندها براساس تفکر بهینه سازی\بهبود.

هنگامی که شکل ریسک مورد انتظار مشخص شد، کلیه زیرساخت‌های فناوری سازمان جهت تعیین وضعیت پایه‌ای برای خطر فعلی و آنچه که سازمان بایستی برای حرکت از حالت فعلی به حالت خطر مورد انتظار انجام دهد، مورد امتحان قرار می گیرد.

تا زمانی که در سازمان اقدامات پیشگیرانه برای پیدا کردن خطرات و تهدیدات احتمالی صورت گرفته باشد، احتمال وقوع خطر و قربانی شدن در لحظه حمله کمتر می‌شود.

Deloitte برای مدیریت ریسک سایبری روش محاسبه ریسک\پاداش را توصیه می‌کند. در این روش با اولویت‌بندی اقدامات لازم جهت افزایش امنیت شبکه، بیشترین بهبود امنیتی با کمترین هزینه فراهم می‌شود. برخی از شرکت‌ها ممکن است با محقق شدن 99 درصدی اقدامات مربوط به ارتقاء امنیتی موافق باشند. در حالی که سایر سازمان‌ها، به ویژه در صنایع نظارتی، خواهان نزدیک شدن به 100 درصد می‌باشند. بنابراین بایستی گام‌های پیش‌بینی شده به صورت افزایشی و به صورت اهداف مشخص (5 درصد بهبود در عرض شش ماه) و با قابلیت اندازه گیری، تعریف و اجرا شوند، تا بتوان تعیین کرد که آیا سازمان در حال پیشرفت در جهت برنامه‌های تعیین شده برای جلوگیری و کاهش خطرات سایبری می‌باشد یا نه.

آسیب پذیری‌های امنیتی کوچک می‌توانند باعث ایجاد زیان‌های بزرگی در سیستم‌های شبکه‌ای شوند. زیرا نفوذ به یک ناحیه بی‌ارزش از شبکه سازمان می‌تواند باعث دسترسی غیرمجاز به سیستم‌های مهم و اطلاعات حساس‌تر شود.

تنها راه ایجاد یک سیستم 100 درصد امن، اطمینان از عدم دسترسی به سیستم می‌باشد. این کار در بهترین حالت غیرعملی است. ایجاد محدودیت‌های زیاد در سیستم‌های شبکه و دسترسی‌های مربوط به داده‌های مورد نیاز کاربران، ممکن است کار را برای پرسنل مجاز، به منظور انجام کسب و کار، سخت تر کند. از طرفی اگر کاربران مجاز متوجه شوند که نمی‌توانند به سیستم‌ها یا داده‌هایی که برای انجام کار خود به آنها نیاز دارند، دسترسی پیدا کنند، ممکن است به دنبال راهکارهایی بروند که می‌تواند اطلاعات سازمان را به خطر بیندازد.

کاهش ریسک

از جمله اقدامات امنیت سایبری که باید مورد توجه قرار گیرد، عبارتند از:

  • محدود کردن دسترسی ایستگاه‌های کاری به اینترنت.
  • نصب نرم‌افزارهای کنترل دسترسی شبکه.
  • محدود کردن تعداد افرادی که دسترسی به مجوزهای مدیر دارند. و داشتن کنترل دسترسی برای مجوزهای هر مدیر.
  • Patche اتوماتیک سیستم عامل‌ها و برنامه‌های کاربردی.
  • ایجاد محدودیت برای سیستم عامل‌های قدیمی‌تر (یعنی دستگاه‌هایی که ویندوز XP یا سیستم عامل‌های قدیمی‌تر دارند، پشتیبانی نشوند).
  • پیکربندی و میزان‌سازی فایروال‌ها.
  • نصب آنتی ویروس‌ها و نرم‌افزارهای مربوط به امنیت نقاط پایانی.
  • استفاده از احراز هویت دوعاملی برای دسترسی به فایل‌ها و سیستم‌های خاص.
  • ارزیابی ساختار فعلی برای اطمینان از وجود نظارت و تعادل در سراسر سیستم.
  • ایجاد محدودیت برای مجوزهای مدیر.

در ادامه MarkLogic موارد زیر را برای افزایش ویژگی‌های کیفی مدیریت ریسک پیشنهاد کرده است :

رمزگذاری پیشرفته: 

رمزگذاری داده‌ها ویژگی جدیدی برای پایگاه‌های داده نمی‌باشد. اما امروزه رمزگذاری بایستی طبق استراتژی مشخص و به صورت سیستماتیک اجرایی شود تا از داده‌های سازمان در مقابل تهدیدات خارجی و داخلی محافظت شود. این موضوع شامل کنترل دسترسی مبتنی بر نقش سازمانی افراد، رمزنگاری براساس استانداردها، سیستم مدیریت کلید پیشرفته، تفکیک بر اساس ریز وظایف افراد و الگوریتم‌های پیشرفته رمزنگاری است که به طور چشمگیری باعث کاهش افشای اطلاعات می‌شود.

اگرچه رمزگذاری داده‌ها برای جلوگیری از به سرقت رفتن آنها در برابر تهدیدات بیرونی مفید است، اما در برابر به سرقت رفتن داده‌های داخلی کمی ضعیف عمل می‌کند. زیرا اشخاصی که دسترسی به اطلاعات حساس دارند، لزوما اطلاعات کافی برای رمزگشایی آنها را نیز در اختیار دارند. بنابراین سازمان‌ها بایستی از داده‌هایی که از سیستم‌های حساس سازمان و با استفاده از رسانه‌های قابل حمل مانند درایوهای اکسترنال و سایر ابزارهای قابل حمل جابه جا می‌شوند نیز محافظت کند.

اصلاح و بازبینی: 

سازمان‌ها بایستی بین حفاظت داده‌ها و توانایی به اشتراک گذاری آنها تعادل ایجاد کنند. اصلاح و بازبینی، سازمان را قادر می‌سازد تا اطلاعات را با کمترین زحمت و با مخفی کردن اطلاعات حساس مانند نام‌ها و شماره‌ها در هنگام جستجو و بروز رسانی، به اشتراک بگذارد.

امنیت در سطح عنصر

از آنجایی که اصلاح و بازبینی در سازمان‌ها نقش بسیار مهمی دارد،  سازمان‌ها نیاز دارند که بتوانند این کار را بر اساس نقش کارمندان در سطح ویژگی‌های خاص یا براساس نقش‌های کارکنان در سازمان انجام دهند. سازمان‌ها باید بتوانند قوانین سفارشی و همچنین قوانین خارج از قاعده را پیاده سازی و اجرا کنند.

عنصر انسانی

فراتر از اقدامات احتیاطی و تکنولوژی‌های امنیتی، آموزش‌های مداوم در مورد تهدیدات امنیتی امری ضروری می‌باشد. بسیاری از هکرها خود را پشت تروجان‌ها، ویروس‌ها و دیگر نرم‌افزارهای مخرب برای فیشینگ قرار می‌دهند و اکثرا افرادی با مجوزهای مدیریتی و دسترسی‌های موجود برای فایل‌های اجرایی حاوی نرم افزارهای مخرب را هدف قرار می‌دهند تا با کسب مجوزهای لازم  به اطلاعات کاربری آنها و اطلاعات حساس شخصی و یا اطلاعات مهم سازمان، دسترسی پیدا کنند.

NIST توصیه می کند سازمان‌ها، اطلاعات امنیت حوزه سایبری خود را در سیاست ها و خط مشی سازمان تبعین نماید تا کارکنان و شرکای تجاری اطلاعات کافی در مورد مجوزهای خود داشته باشند.

پاسخ به حوادث

بودن در اینترنت، سازمان را در معرض انواع خطرات سایبری قرار می‌دهد و تلاش‌های داخلی و خارجی برای به خطر انداختن اطلاعات سازمان را افزایش می دهد. بنابراین باید برنامه‌ای برای واکنش به حوادث وجود داشته باشد تا تعیین کند که چه اقداماتی بایستی در صورت وقوع حادثه انجام شود. افزایش تلاش‌های هکرها جهت نفوذ در سازمان یا صنایع مرتبط با سازمان می‌تواند به معنی اتخاذ اقدامات شدید باشد. اگر یک نفوذ واقعی برای سازمان اتفاق بیافتد، سازمان باید برنامه‌ای با جزییات دقیق جهت اطلاع رسانی به داخل و خارج سازمان، مجاری قانونی، شرکای تجاری و کاربران خود، و چک لیست کاملی در ارتباط با اقدامات مورد نیاز، پاسخ هایی برای محافل عمومی و غیره داشته باشد. توصیهNIST برای سازمان داشتن برنامه جامع واکنش به حوادث می‌باشد.

راهکارهای امنیت سایبری و سرویس‌های مدیریت ریسک

در حالت ایده آل، سازمان‌ها ساختار امنیتی جامعی شامل ترکیبی از فن آوری‌های مختلف مانند فایروال‌ها، امنیت نقاط پایانی(Endpoint security)، سیستم‌های جلوگیری از نفوذ، سیستم Threat intelligence و سیستم کنترل دسترسی را در شبکه خود پیاده سازی می‌کنند. سازمان‌ها برای رسیدن به این نقطه ممکن است بخواهند بر روی سرویس‌های ارزیابی ریسک برای داشتن یک ارزیابی جامع و ارایه راهکار، تمرکز نمایند تا این اطمینان حاصل شود که بودجه امنیتی آنها به صورت بهینه‌ای هزینه می‌شود.

شرکت‌های مختلفی در دنیا سرویس‌های مدیریت ریسک جامع ارایه می‌دهند که در زیر تعدادی از آن‌ها آورده شده است:

  • Deloitte
  • E&Y
  • Booz Allen Hamilton
  • Hewlett Packard Enterprise
  • Coalfire
  • KMPG
  •  PwC
  •  Symantec