مدیریت ریسک در امنیت سایبری: مدیریت آسیب پذیریها
مفهوم مدیریت ریسک در امنیت سایبری
مدیریت ریسک در امنیت سایبری علاوه بر استفاده ازابزارهای امنیت فیزیکی مانند دربها، قفلهای امنیتی و گاوصندوقها، شامل کلیه اقدامات مربوط به استفاده از راهکارهای ترکیبی، شامل استراتژیها، تکنولوژیهای امنیتی وحتی آموزش کاربران برای حفاظت از اطلاعات سازمان در برابر حملات نیز میشود. در حال حاضر هر نوع حملهای میتواند سیستمهای اطلاعاتی سازمان را به خطر بیاندازد و باعث به سرقت رفتن اطلاعات ارزشمند سازمان و آسیب به شهرت سازمانی شود. با توجه به افزایش میزان حملات سایبری نیاز به استفاده از راهکارهای مدیریت ریسک در حوزه سایبری افزایش چشمگیری داشته است.
ایده اصلی پیاده سازی راهکارهای مدیریت ریسک در حوزه امنیت سایبری از مدیریت ریسک در دنیای واقعی الهام گرفته شده است. مدیریت ریسک سایبری شامل شناسایی خطرات و آسیب پذیریهای امنیتی، شناسایی اقدامات و پیاده سازی راهکارهای جامع امنیتی جهت اطمینان از امنیت داراییهای سازمان میشود.
راهاندازی سیستم مدیریت ریسک
سازمانها قبل ازهرگونه اقدامی برای راهاندازی سیستم مدیریت ریسک در حوزه امنیت سایبری، بایستی داراییهای خود را که نیاز به حفاظت دارند مشخص، و براساس ارزش، آنها را اولویت بندی نمایند. طبق گفته موسسه ملی استاندارد و تکنولوژی (NIST) در فریم ورک خود، برای تعیین و اندازه گیری میزان بهبود امنیت زیرساختهای حساس، هیچ راهکار کامل و مشخصی وجود ندارد. از طرف دیگر سازمانها از نظر زیرساخت فناوری اطلاعات و خطرات بالقوه دارای تنوع بالایی میباشند. برایناساس، بعضی از سازمانها از جمله شرکتهای ارایه دهنده خدمات مالی و شرکتهای تامین کننده سرویسهای حوزه سلامت، علاوه بر نگرانیهای تجاری، بایستی نگرانیها و دغدغههای قانونی را نیز در سیستم مدیریت ریسک امنیت سایبری خود در نظر بگیرند. به همین دلیل امنیت سایبری برای افزایش میزان اثر بخشی خود بایستی رویکردی لایهای برای حمایت بیشتر از داراییهای مهم سازمانها مانند دادههای مربوط به سازمان، شرکای تجاری و مشتریان داشته باشند. دلیل این موضوع این است که عواقب مربوط به یک نفوذ میتواند آسیب بیشتری از خود نفوذ به سازمان وارد کند.
در موضوع مدیریت ریسک سایبری توصیه Citrix به سازمانها این است که آنها از روشهای مستند و پیاده سازی شده برای انجام فعالیتهای که ممکن است خطرات امنیتی برای سازمان ایجاد کند، استفاده نمایند. علاوه بر این سازمانها برنامههای امنیتی سایبری خود را بر اساس شیوههای پیشرو و جدید در صنعت و مطابق با استاندارد ISO 270001/2 طراحی و پیاده سازی کنند.
فرایند مدیریت ریسک
قدم اول برای تصمیم گیری در مورد شکل ریسکهای مورد انتظار برای یک کسب و کار استفاده از فریم ورک امنیت سایبری است که برای حوزه کسب و کار مورد نظر پیاده سازی شده است.
توصیه اکثر راهنماهای نرم افزاری ارایه شده در این حوزه استفاده از فن آوریهای جدید با توانایی شناسایی و ترسیم اطلاعات در سراسر شبکه سازمان میباشد. هنگامی که دادههای سازمان به صورت ترسیم شده در اختیار سازمان قرار گیرد، مدیران میتوانند تصمیمات بهتری در مورد نحوه کنترل و مدیریت دادهها و ایجاد راهکارهایی برای کاهش اثرات ریسک مربوط به داده ها اتخاذ کنند. میتوان نتیجه گرفت که حتی با داشتن آموزش و فرهنگ امنیتی قوی، اطلاعات حساس سازمانی مانند دادههای دخیره شده در ردیفهای صفحات گسترده، یا یادداشتهای درون فایل ارایه کارکنان یا به صورت موضوعاتی در یک ایمیل طولانی، میتواند به راحتی و به صورت تصادفی از یک سازمان خارج شوند. در اکثر موارد پایش سازمان برای پیدا کردن اطلاعات حساس در حالتی که در سازمان هیچ اطلاعاتی رد و بدل نمیشود و همچنین حذف هر گونه دادهای که تعلقی به محل ذخیرهاش ندارد، تا حد زیادی خطر از دست دادن تصادفی اطلاعات حساس را کاهش میدهد.
طبق گفته Deloitte، فرآیند مدیریت ریسک از رویکرد مدل “بلوغ توانایی”، از پنج سطح زیر پیروی می کند:
- مدل اولیه (هرج و مرج، ad hoc، قهرمان فردی) : نقطه شروع برای استفاده از فرآیند تکرار جدید یا غیر مستند.
- مدل تکرارپذیر: این فرآیند حداقل به اندازه کافی مستند شده است تا بتواند تکرار مراحل مشابه را انجام دهد.
- مدل تعریف شده: فرآیند تعریف شده که به عنوان یک فرآیند کسب و کار استاندارد مورد تایید است.
- مدل مدیریت شده: فرآیند به صورت کمی و براساس معیارهای توافق شده مدیریت میشود.
- مدل بهینه سازی: مدیریت فرایندها براساس تفکر بهینه سازی\بهبود.
هنگامی که شکل ریسک مورد انتظار مشخص شد، کلیه زیرساختهای فناوری سازمان جهت تعیین وضعیت پایهای برای خطر فعلی و آنچه که سازمان بایستی برای حرکت از حالت فعلی به حالت خطر مورد انتظار انجام دهد، مورد امتحان قرار می گیرد.
تا زمانی که در سازمان اقدامات پیشگیرانه برای پیدا کردن خطرات و تهدیدات احتمالی صورت گرفته باشد، احتمال وقوع خطر و قربانی شدن در لحظه حمله کمتر میشود.
Deloitte برای مدیریت ریسک سایبری روش محاسبه ریسک\پاداش را توصیه میکند. در این روش با اولویتبندی اقدامات لازم جهت افزایش امنیت شبکه، بیشترین بهبود امنیتی با کمترین هزینه فراهم میشود. برخی از شرکتها ممکن است با محقق شدن 99 درصدی اقدامات مربوط به ارتقاء امنیتی موافق باشند. در حالی که سایر سازمانها، به ویژه در صنایع نظارتی، خواهان نزدیک شدن به 100 درصد میباشند. بنابراین بایستی گامهای پیشبینی شده به صورت افزایشی و به صورت اهداف مشخص (5 درصد بهبود در عرض شش ماه) و با قابلیت اندازه گیری، تعریف و اجرا شوند، تا بتوان تعیین کرد که آیا سازمان در حال پیشرفت در جهت برنامههای تعیین شده برای جلوگیری و کاهش خطرات سایبری میباشد یا نه.
آسیب پذیریهای امنیتی کوچک میتوانند باعث ایجاد زیانهای بزرگی در سیستمهای شبکهای شوند. زیرا نفوذ به یک ناحیه بیارزش از شبکه سازمان میتواند باعث دسترسی غیرمجاز به سیستمهای مهم و اطلاعات حساستر شود.
تنها راه ایجاد یک سیستم 100 درصد امن، اطمینان از عدم دسترسی به سیستم میباشد. این کار در بهترین حالت غیرعملی است. ایجاد محدودیتهای زیاد در سیستمهای شبکه و دسترسیهای مربوط به دادههای مورد نیاز کاربران، ممکن است کار را برای پرسنل مجاز، به منظور انجام کسب و کار، سخت تر کند. از طرفی اگر کاربران مجاز متوجه شوند که نمیتوانند به سیستمها یا دادههایی که برای انجام کار خود به آنها نیاز دارند، دسترسی پیدا کنند، ممکن است به دنبال راهکارهایی بروند که میتواند اطلاعات سازمان را به خطر بیندازد.
کاهش ریسک
از جمله اقدامات امنیت سایبری که باید مورد توجه قرار گیرد، عبارتند از:
- محدود کردن دسترسی ایستگاههای کاری به اینترنت.
- نصب نرمافزارهای کنترل دسترسی شبکه.
- محدود کردن تعداد افرادی که دسترسی به مجوزهای مدیر دارند. و داشتن کنترل دسترسی برای مجوزهای هر مدیر.
- Patche اتوماتیک سیستم عاملها و برنامههای کاربردی.
- ایجاد محدودیت برای سیستم عاملهای قدیمیتر (یعنی دستگاههایی که ویندوز XP یا سیستم عاملهای قدیمیتر دارند، پشتیبانی نشوند).
- پیکربندی و میزانسازی فایروالها.
- نصب آنتی ویروسها و نرمافزارهای مربوط به امنیت نقاط پایانی.
- استفاده از احراز هویت دوعاملی برای دسترسی به فایلها و سیستمهای خاص.
- ارزیابی ساختار فعلی برای اطمینان از وجود نظارت و تعادل در سراسر سیستم.
- ایجاد محدودیت برای مجوزهای مدیر.
در ادامه MarkLogic موارد زیر را برای افزایش ویژگیهای کیفی مدیریت ریسک پیشنهاد کرده است :
رمزگذاری پیشرفته:
رمزگذاری دادهها ویژگی جدیدی برای پایگاههای داده نمیباشد. اما امروزه رمزگذاری بایستی طبق استراتژی مشخص و به صورت سیستماتیک اجرایی شود تا از دادههای سازمان در مقابل تهدیدات خارجی و داخلی محافظت شود. این موضوع شامل کنترل دسترسی مبتنی بر نقش سازمانی افراد، رمزنگاری براساس استانداردها، سیستم مدیریت کلید پیشرفته، تفکیک بر اساس ریز وظایف افراد و الگوریتمهای پیشرفته رمزنگاری است که به طور چشمگیری باعث کاهش افشای اطلاعات میشود.
اگرچه رمزگذاری دادهها برای جلوگیری از به سرقت رفتن آنها در برابر تهدیدات بیرونی مفید است، اما در برابر به سرقت رفتن دادههای داخلی کمی ضعیف عمل میکند. زیرا اشخاصی که دسترسی به اطلاعات حساس دارند، لزوما اطلاعات کافی برای رمزگشایی آنها را نیز در اختیار دارند. بنابراین سازمانها بایستی از دادههایی که از سیستمهای حساس سازمان و با استفاده از رسانههای قابل حمل مانند درایوهای اکسترنال و سایر ابزارهای قابل حمل جابه جا میشوند نیز محافظت کند.
اصلاح و بازبینی:
سازمانها بایستی بین حفاظت دادهها و توانایی به اشتراک گذاری آنها تعادل ایجاد کنند. اصلاح و بازبینی، سازمان را قادر میسازد تا اطلاعات را با کمترین زحمت و با مخفی کردن اطلاعات حساس مانند نامها و شمارهها در هنگام جستجو و بروز رسانی، به اشتراک بگذارد.
امنیت در سطح عنصر
از آنجایی که اصلاح و بازبینی در سازمانها نقش بسیار مهمی دارد، سازمانها نیاز دارند که بتوانند این کار را بر اساس نقش کارمندان در سطح ویژگیهای خاص یا براساس نقشهای کارکنان در سازمان انجام دهند. سازمانها باید بتوانند قوانین سفارشی و همچنین قوانین خارج از قاعده را پیاده سازی و اجرا کنند.
عنصر انسانی
فراتر از اقدامات احتیاطی و تکنولوژیهای امنیتی، آموزشهای مداوم در مورد تهدیدات امنیتی امری ضروری میباشد. بسیاری از هکرها خود را پشت تروجانها، ویروسها و دیگر نرمافزارهای مخرب برای فیشینگ قرار میدهند و اکثرا افرادی با مجوزهای مدیریتی و دسترسیهای موجود برای فایلهای اجرایی حاوی نرم افزارهای مخرب را هدف قرار میدهند تا با کسب مجوزهای لازم به اطلاعات کاربری آنها و اطلاعات حساس شخصی و یا اطلاعات مهم سازمان، دسترسی پیدا کنند.
NIST توصیه می کند سازمانها، اطلاعات امنیت حوزه سایبری خود را در سیاست ها و خط مشی سازمان تبعین نماید تا کارکنان و شرکای تجاری اطلاعات کافی در مورد مجوزهای خود داشته باشند.
پاسخ به حوادث
بودن در اینترنت، سازمان را در معرض انواع خطرات سایبری قرار میدهد و تلاشهای داخلی و خارجی برای به خطر انداختن اطلاعات سازمان را افزایش می دهد. بنابراین باید برنامهای برای واکنش به حوادث وجود داشته باشد تا تعیین کند که چه اقداماتی بایستی در صورت وقوع حادثه انجام شود. افزایش تلاشهای هکرها جهت نفوذ در سازمان یا صنایع مرتبط با سازمان میتواند به معنی اتخاذ اقدامات شدید باشد. اگر یک نفوذ واقعی برای سازمان اتفاق بیافتد، سازمان باید برنامهای با جزییات دقیق جهت اطلاع رسانی به داخل و خارج سازمان، مجاری قانونی، شرکای تجاری و کاربران خود، و چک لیست کاملی در ارتباط با اقدامات مورد نیاز، پاسخ هایی برای محافل عمومی و غیره داشته باشد. توصیهNIST برای سازمان داشتن برنامه جامع واکنش به حوادث میباشد.
راهکارهای امنیت سایبری و سرویسهای مدیریت ریسک
در حالت ایده آل، سازمانها ساختار امنیتی جامعی شامل ترکیبی از فن آوریهای مختلف مانند فایروالها، امنیت نقاط پایانی(Endpoint security)، سیستمهای جلوگیری از نفوذ، سیستم Threat intelligence و سیستم کنترل دسترسی را در شبکه خود پیاده سازی میکنند. سازمانها برای رسیدن به این نقطه ممکن است بخواهند بر روی سرویسهای ارزیابی ریسک برای داشتن یک ارزیابی جامع و ارایه راهکار، تمرکز نمایند تا این اطمینان حاصل شود که بودجه امنیتی آنها به صورت بهینهای هزینه میشود.
شرکتهای مختلفی در دنیا سرویسهای مدیریت ریسک جامع ارایه میدهند که در زیر تعدادی از آنها آورده شده است:
- Deloitte
- E&Y
- Booz Allen Hamilton
- Hewlett Packard Enterprise
- Coalfire
- KMPG
- PwC
- Symantec
دیدگاهتان را بنویسید