تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری – قسمت دوم

در قسمت اول برخی از دلایل استفاده از Cyber Resilience در امنیت سازمان‌ها و همچنین آنالیز راهکار Cyber Resilience در ساختار شبکه سازمان‌ها پرداخته شد. در این مقاله که قسمت دوم از سری مقالات تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری می باشد به بررسی برخی دیگر از مزایای این مفهوم امنیتی می پردازیم

ناکارآمدیِ برخی راهکارهای امنیتی

علی رغم اینکه امروزه بهترین راهکارهای Defense in Depth همراه با کنترل‌های امنیتی بازدارنده ایجاد گردیده، همچنان ممکن است نفوذ به سیستم‌های سازمان اتفاق بیافتد. متخصصان گاهی Policyهای امنیتی را که شامل مدیریت اقدامات مناسب در قبل، بعد و همچنین حین یک نفوذ است را بررسی می‌نمایند. این روند شامل طراحی، مانیتورینگ و مدیریت کنترل‌‌های امنیتی مناسب است که توسط نظارت مستمر بر ترافیک شبکه داخلی انجام می‌گردد تا در سریع‌ترین زمان ممکن نفوذ به شبکه را شناسایی نماید و موارد اصلاح شده‌ی ساختار و تنظیم کنترل‌‌های امنیتی بر اساس اطلاعات جدید را برای جلوگیری از آسیب های بیشتر اعمال نمایند.

طبق تحلیل‌های انجام شده از این پس تمرکز امنیت سایبری نباید بر روی 98.5 درصد از حملاتی باشد که کنترل‌‌های امنیتی فعلی در حال شناسایی و جلوگیری از آنها هستند، بلکه باید برروی 1.5 درصد از حملاتی تمرکز نمود که بصورت پنهان، از سیستم‌های دفاعی فعلی عبور می‌کنند و شناسایی آنها در اولویت قرار می‌گیرد. توجه داشته باشید که تمامی راهکارهای امنیتی، حتی تکنولوژی‌های شناسایی نفوذ، در شناسایی تعداد قابل توجهی از حملات شکست می‌خورند. اینکه کدام یک از حملات شناسایی نمی‌شوند برای مثال Mac OSX  یا Windows 64Bit، برای مدیریت ریسک، کلیدی می‌باشد.

اکوسیستم گسترده از کنترل‌‌های امنیتی پیاده شده امروزی را، نباید به عنوان یک سیستم دفاعی کامل در مقابل حملات تصور کرد. بلکه آنها را باید مانوری بر علیه حملات بدافزارها به منابع سازمان‌ها دانست و در مرحله بعد به صورت پیشگیرانه آسیب ناشی از حمله را مدیریت و همچنین باعث کاهش نفوذ واقعی در شبکه، به سطحی که قابل مدیریت توسط تیم‌های پاسخگویی و ترمیم باشد قلمداد کرد. سازمان‌ها باید به طور پیوسته در حال آزمودن و انتخاب کاربردی‌ترین راهکار برای افزایش بهره‌وری و کاهش هزینه مرتبط با استفاده از شبکه‌های عمومی و همچنین نگرانی‌های امنیتی ناشی از انتخاب راهکارهای امنیتی‌شان باشند.

امن‌سازی زیرساخت‌های حیاتی یک کشور، نیازمند اقداماتی بسیار جدی‌تر نسبت به موارد ذکر شده می‌باشد، به عنوان مثال ایجاد نمودن یک Air-Gap یا ترکیبی از Gatewayهای امنیتی یک طرفه و تجهیزات ایمن Bypass میان زیرساخت حساس و شبکه‌های عمومی برای کاهش خطرات ناشی از حملات نمونه‌ای از این  اقدامات امنیتی سختگیرانه است. همچنین سازمان‌ها باید استفاده از تکنولوژی‌هایی مانند Honeypot را بررسی کنند تا هزینه حمله را برای مهاجم افزایش دهند، هرچند با این تکنولوژی‌ها می‌توان مانع فعالیت مهاجمان کم خطر شد یا حملات آنها را خنثی نمود ولی سازمان‌ها باید زمان بیشتری صرف تحقیق و ترمیم ساختار شبکه نمایند.

اسکن آسیب پذیری به کمک Threat Intelligence

با اینکه Threat Intelligence، اسکن‌های نقاط آسیب‌پذیری و Threat Feedهای مرسوم همچنان ابزاری کارآمد در جدال با جرایم سایبری به شمار می‌آیند، باید در نظر داشت که آنها مشکلات چشمگیری دارند که مانع استفاده مفید از این ابزارها برای تیم‌های امنیتی سازمانی می‌شوند. Threat Feedها هنگامی که یک آسیب‌پذیری جدید شناسایی می‌شود و یا یک Exploit جدید در معرض عموم قرار می‌گیرد، اطلاع رسانی می‌کنند. به بیان دیگر، می‌توانند تیم‌های امنیتی را از یک تهدید احتمالی با خبر سازند ولی توانایی مشخص کردن هدف را ندارند. دلیل اینکه یک سازمان مجبور می‌شود نرم‌افزارهای خود را به آخرین آپدیت بروزرسانی نماید، Exploitهای گزارش شده‌ای است که باعث می‌گردد، متوجه شوند آسیب‌پذیرتر از گذشته هستند.

برای مثال آزمایش گروهی EPP NSS نشان می‌داد با وجود اینکه محافظت برای Java 6 Update 23 تقریبا 100 درصد است، برای Java 7 Update 2 این میزان کمتر از 5 درصد می‌باشد. یک سیاست مدیریتی بروزرسانی که به بروزرسانی در یک بازه زمانی کوتاه بدون در نظر گرفتن قابلیت‌های محصول امنیتی اجبار می‌کند، می‌تواند سیستم‌ها را بیشتر از زمانی که بروزرسانی انجام نشده بود در معرض خطر قرار دهد. مدیریت بروزرسانی به صورت هوشمندانه‌تر که قابلیت‌های محصول امنیتی را در نظر می‌گیرد، بسیار با اهمیت است.

از طرف دیگر اسکن‌های آسیب‌پذیری، مانند یک Snapshot در زمان مشخص است که تمامی آسیب‌پذیری ممکنه را در برنامه‌های کاربردی پیاده‌سازی شده در سرتاسر سازمان مشخص می‌سازد. موضوع غیر قابل تشخیص توسط تیم امنیتی، تعداد آسیب‌پذیری‌هایی احتمالی است که به طور موثر توسط سیستم‌های امنیتی پیاده شده کنونی امن می‌گردند. این امر می‌تواند برای تیم امنیتی لیست بزرگی از مشکلات را بوجود آورد که بیشتر آنها اگر به صورت کامل شناسایی می‌شدند، اولویت خیلی پایین‌تری داشتند.

تمرکز برروی ورودی Logها و اطلاعات Security Information And Event Management یا SIEM می‌تواند باعث یک نگرش اشتباه شود که به دفاع در مقابل تهدیدهای پیچیده کمکی نمی‌کند. سوال کلیدی این نیست که چه چیزی توسط سیستم دفاعی جلوگیری شده بلکه سوال این است که چه چیزی از سیستم دفاعی عبور کرده است. مشکل این است که محصولات امنیتی گزارشات و Logهای حملاتی که متوجه آن نمی‌شوند را ارائه نمی‌دهن،. بنابراین سعی برای شناسایی جایی که نفوذ از آنجا اتفاق افتاده و آسیبی که ممکن است وارد کرده باشد، مشابه یافتن سوزن در انبار کاه است، با این تفاوت که در این مورد حتی سوزنی در انبار کاه نیست.

معمولا در یک سازمان با کنترل‌‌های امنیتی، مهاجمان به دنبال آسیب‌پذیری در محصول امنیتی مورد استفاده سازمان می‌گردند، از این رو می‌توان گفت که محصولات امنیتی در حال دور کردن مهاجمان از اهدافی هستند که امنیت بهتری دارند و آنها را به سمت اهدافی با امنیت پایین‌تر، هدایت می‌کنند. نفوذها زمانی رخ می‌دهند که مهاجمان یک برنامه کاربردی مورد استفاده یک شرکت یا سازمان را مورد هدف قرار می‌دهند و کنترل‌‌های امنیتی، موفق به متوقف سازی حمله نمی‌شوند. بطور کلی هنگامی که مهاجمان سایبری، حملات موفقی را به سرانجام می‌رسانند، حیاتی‌ترین موضوع برای سازمان‌ها یافتن مواردی است که توسط محصولات امنیتی پیاده سازی شده در سازمان مربوطه متوقف نمی‌شوند، تا بتوانند احتمال نفوذ و ریسک کاری را کاهش دهند.

کشف Exploitهای احتمالی

متخصصان امنیتی باید برای حدس زدن اینکه مهاجم قبل از نفوذ به یک سازمان، ممکن است تمرکز خود را برای کدام حمله قرار داده باشد، مواردی را بررسی نمایند که به قرار ذیل است:

باید جزئیات دقیقی از روش‌ها و رفتار حملات مورد استفاده مجرمان سایبری در دسترس باشد، این موارد می‌تواند شامل انواع تجهیزات شرکت یا سازمان مانند سرور یا Endpointها، به خصوص Applicationهای سازمان و دیگر دارایی‌های مورد هدف باشد تا بتوان لایه‌های آسیب‌پذیر شرکت یا سازمان را مشخص نمود. جزئیات تجهیزات فناوری اطلاعات و ارزش آنها برای سازمان را می‌توان برای مقابله در برابر روش‌های حمله مورد استفاده مهاجمان سنجید تا بتوان تشخیص داد که آیا دارایی‌های IT در معرض خطر هستند یا خیر، برای مثال یک Endpoint بدون نصب بودن Adobe Air در معرض خطر Exploitهای Adobe Air نمی‌باشد.

میزان اثربخشی کنترل‌‌های امنیتی در Cyber Resilience

اگر سازمانی به خاطر یک Java Expliot خاص در معرض خطر باشد ولی IPS پیاده‌سازی شده قادر به شناسایی و متوقف کردن آن Exploit باشد، آن سازمان بلافاصله دچار ریسک و خطرات ناشی از آن Exploit نمی‌شود.

ریسک مورد حمله قرار گرفتن سازمان توسط مهاجمان

موسسات مالی، سازمان‌های دفاعی و تاسیسات زیرساخت حیاتی، نسبت به شرکت‌های کوچک در معرض ریسک بالاتری برای مورد حمله قرار گرفتن توسط مهاجمان قرار دارند. بلافاصله پس از هر نفوذی در سیستم، مهمترین معیار سنجش مدت زمانی است که میگذرد تا سازمان از نفوذ مطلع گردد. با این حال صرفا اطلاع پیدا کردن از مورد حمله قرار گرفتن یک سرور توسط بدافزار کافی نیست، چراکه این موضوع اغلب اوقات به راحتی قابل ترمیم است و اگر نفوذ در سطح گسترده‌تری باشد این امن‌سازی می‌تواند حس امنیت کاذب برای تیم امنیتی ایجاد نماید. موضوع مهمتر این است که از زمان خروج Intellectual Property یا داده‌های حساس، به خارج از شبکه شرکت یا سازمان، یا زمانی که یک سرویس حیاتی سازمان دچار اختلال میگردد  اطلاع داشته باشید. تیم‌های امنیتی که تمرکز خود را به طور کامل بر روی متوقف کردن ترافیک خطرناک می‌گذارند، متوجه مشکل اصلی نمی‌شوند. حملات اولیه یا آلوده شدن ساختار پس از آن نیست که اهمیت دارد، بلکه مشکل اصلی اختلال در سرویس یا از دست دادن  داده‌های حیاتی است.

سازمان‌ها یا شرکت‌ها باید فرض کنند که نفوذ در شبکه آن‌ها اجتناب ناپذیر است و به صورت پیشگیرانه به دنبال کاهش تاثیر نفوذ احتمالی باشند. این موضوع کلید اصلی Cyber Resilience می‌باشد. Cyber Resilience به سازمان‌ها و دولت‌ها اجازه می‌دهد با وجود حملات پی‌درپی و مداوم مهاجمان، همچنان به ارائه سرویس به مشتریان یا شهروندان خود ادامه دهند. به جای سعی بر متوقف‌سازی حملات در فضای سایبری یا حتی محدوده داخلی شبکه سازمان، باید امن‌سازی‌های لازم انجام شوند تا عملکرد آن‌ها حتی در زمان حمله با اختلال مواجه نگردد.

مقاله های مرتبط: