تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری – قسمت سوم (پایانی)

در قسمت اول و دوم برخی از دلایل استفاده از Cyber Resilience در امنیت سازمان‌ها و همچنین آنالیز راهکار Cyber Resilience برای کاربردی‌تر شدن آن در ساختار شبکه سازمان‌ها پرداخته شد. در این مقاله که قسمت سوم و پایانی از سری مقالات تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری می باشد به بررسی برخی دیگر از مزایای این مفهوم امنیتی می پردازیم.

سیاست‌های پیشگیرانه به جای پاسخگویی واکنشی

الزامات یکپارچه‌سازی فعلی ،معمولا توسط متخصصان امنیتی به عنوان امری ثابت، شکننده و مانعی برای دیگر اولویت‌های امنیتی معرفی می‌شوند و استاندارد (Payment Card Industry Data Security (PCI DSS مثال مناسبی برای نشان دادن این موضوع است. PCI DSS الزامات پایه برای سازمان‌هایی که اقدام به جمع‌آوری، پردازش یا مدیریت کارت‌های اعتباری می‌کنند را مشخص می‌نماید. ممیزی‌های PCI DSS ارزیابی‌هایی به موقع از وضعیت امنیتی یک فروشنده ارائه می‌دهد، اما آنچه مورد نیاز است نظارت مستمر و ارزیابی ریسک است.

به صورت ایده‌آل، بررسی دقیق اسکن آسیب‌پذیری بر روی کنترل‌های امنیتی، از ارزیابی لحظه‌ای به مستمر تغییر می‌کند و باعث ایجاد یک مدل Real-time می‌گردد؛ با این‌حال در حال حاضر هیچ شرکت یا سازمانی از این راهکار استفاده نمی‌کند. علاوه بر این، اشتباهات اولیه در بسیاری از روش‌های فعلی وجود دارد از جمله در نظر نگرفتن احتمال نفوذ در هر زمان، یکی از این مشکلات است. به عنوان مثال آیا Exploitهایی که برای حمله به لایه‌های دفاعی استفاده می‌گردد، در داخل سازمان پیاده‌سازی شده‌اند و قابلیت‌های تجهیزات امنیتی که در حال حاضر فعال می‌باشند را در نظر نمی‌گیرند.

فقط با بررسی دقیق Exploitهایی که در حال حاضر، برای فرستادن بدافزار، به یک Endpoint استفاده می‌شوند، می‌توان میزان پایداری در برابر حملات را نسبت به هر مدل خاص از پیاده‌سازی Endpoint سنجید و با ترکیب این اطلاعات، اثربخشی امنیتی محصولات حفاظتی مثل IPS یا EPP یا هر دو آن‌ها، می‌توان میزان خطری که Endpoint را تهدید می‌کند، ارزیابی نمود.

از این اطلاعات می‌توان برای محاسبه سطح ریسک، برپایه مشخصات سازمان، که شامل ریسک نفوذ، سرویس‌ها، وابستگی‌ها، حساسیت دارایی و نیاز‌های عملیاتی می‌شود، استفاده نمود. برای مثال ممکن است یک Exploit پس از نصب شدن در Windows 7 Service Pack 2 بر روی Internet Explorer 9 تاثیر گذار باشد ولی بعد از نصب در Windows 7 SP1 بر روی مرورگر IE9 اثری نداشته باشد. اگر سازمانی از لایه‌های دفاعی خود برای حفاظت از برنامه‌های کاربردی پیاده‌سازی شده بر روی سرورها و Endpointهای سازمان خود آگاه باشد، سطح ریسک احتمالی به سرعت و با دقت بیشتری قابل ارزیابی است. علاوه بر این اگر همان سازمان از Exploitهایی که توانایی عبور از محصولات IPS و EPP را دارد، آگاهی داشته باشد، می‌تواند میزان ریسک‌پذیری خود را با دقت بالاتری محاسبه نماید.

اگر ترکیب محصولات IPS و EPP جلوی فعالیت مخرب Exploitها را بگیرد، تعداد لایه‌های دفاعی اهمیتی ندارد. در حالی که همچنان احتمال نفوذ وجود دارد، سازمان‌ها می‌توانند با فرصت بوجود آمده مکانیزم‌های دفاعی خود را اصلاح نمایند. اگر ترکیب محصولات IPS و EPP آن سازمان نتواند Exploitها را متوقف کند و از برنامه‌های کاربردی آسیب‌پذیر استفاده نکنند، احتمال نفوذ و خطر آسیب‌پذیری آن سازمان در حالت بحرانی قرار نمی‌گیرد. با این وجود آن‌ها میدانند که قبل از بروزرسانی ویندوز به SP2 باید محصولات امنیتی خود را بروزرسانی نمایند.

از طرف دیگر اگر ترکیب محصولات IPS و EPP آن سازمان توانایی متوقف کردن Exploitها را نداشته باشد و همچنین از ویندوز هفت SP2 استفاده نمایند، ریسک عملیاتی بسیار بالا بوده و نمودار سطح ریسک این موضوع را نشان خواهد دارد. هر مهاجمی که از آن Exploitهای به خصوص برای حمله به پیکربندی آن کاربر مشخص استفاده کند، موفق خواهند بود و نفوذ به احتمال بالا رخ می‌دهد. با داشتن این اطلاعات تیم‌های امنیتی می‌توانند به صورت پیشگیرانه با مشکلات مقابله کرده، به سرعت برای بروزرسانی یا تعویض محصولات آسیب‌پذیر اقدام کنند و همچنین اطمینان حاصل کنند که سیستم آسیبی ندیده یا به عبارتی دیگر، نفوذی صورت نگرفته است.

در این صورت فایل‌های Log ارزش زیادی ندارند، چراکه یک محصول امنیتی آسیب‌پذیر به یک Exploit خاص توانایی ذخیره Log آن آسیب‌پذیری را نخواهد داشت. در این شرایط اطلاع از یک مشکل امنیتی می‌تواند به تیم‌های امنیتی این توانایی را بدهد که پیش از وقوع یک نفوذ، در مقابله با آن اقدامات پیشگیرانه انجام دهند. به عنوان مثال شرایطی را تصور کنید که یک آسیب‌پذیری به صورت عمومی قابل دسترس باشد و مهاجمین در حال سوءاستفاده از آن هستند در چنین شرایطی‌ می‌توان این آسیب‌پذیری را در مقابل پیکربندی‌های Endpoint سازمان‌ها استفاده نمود که قابلیت عبور از همه سیستم‌ها و تدابیری محافظتی راه‌اندازی شده را دارد.

اطلاع داشتن از وجود یک حفره امنیتی و Exploit حتی برای مدتی کوتاه، به تیم‌های امنیتی برای انجام اقدامات اولیه و بررسی نقاط مرتبط کمک میکند تا از احتمال عدم نفوذ به ساختار شبکه و ایجاد امنیت لازم اطمینان حاصل نمایند.

انعطاف‌پذیر شدن شبکه‌های ایمن

مجازی‌سازی، cloud computing، Mobility، بهینه‌سازی تکنولوژی‌، Internet of Things و پیاده‌سازی سیستم‌های حیاتی بخش تولید، در رفتار سازمان‌ها برای استفاده، ذخیره نمودن و دسترسی اطلاعات تغییر ایجاد می‌نماید. سازمان‌ها برای اینکه بتوانند در مقابل تهدیدات ایمن بمانند، باید خود را با تغییرات امنیتی، همسان‌سازی کنند. استفاده از تکنولوژی‌های جدید مانند (Software as Service (SaaS همچنین  (Platform as Service (PaaS و (Infrastructure as Service (IaaS، با خود ریسک‌های جدیدی به همراه دارند. دپارتمان‌های امنیت اطلاعات برای محافظت از سیستم‌های قدیمی و On-premises خود در مقابل این ریسک‌های جدید، باید زیرساخت امنیت سازمان‌شان را توسعه دهند.

تحقیقات موسسات امنیتی، نشان می‌دهد معماری امنیت که برای اطلاعات سازمانی به صورت مرسوم، از مدل‌های امنیتی برپایه تجهیزات (Asset-Based) و محدوده شبکه استفاده می‌کنند، دیگر صلاحیت کافی برای شناسایی ریسک‌ها و آسیب‌پذیری‌های سازمان را ندارند. مدل‌های پردازشی قابل اطمینان، برای کاهش ریسک‌پذیری انتشار اطلاعات سازمانی و محافظت از زیرساخت حیاتی باید مجددا طراحی شوند. طراحی‌های امنیتی باید با فرض مورد نفوذ قرار گرفتن سیستم‌ها و ادامه فعالیت در صورت نفوذ پیاده‌سازی شوند.

Cyber Resilience ارائه دهنده چارچوبی مطمئن برای معماری جدید و مناسب ساختارهای امنیتی می‌باشد. هدف از پیشگیری خطرات سایبری، کاهش احتمال نفوذ به سازمان‌ها می‌باشد، در صورتی که Cyber Resilience برای کاهش تاثیرات این حملات و ارائه قدرت ادامه به کار در صورت مورد حمله قرار گرفتن می‌باشد. این انعطاف‌پذیری به دولت اجازه می‌دهد که، با وجود مورد حمله قرار گرفتن، سرویس دهی به کاربران را ادامه دهد و به صنایع اجازه سرویس‌دهی به کاربران در زمانی که حملات سایبری در حال رخدادن هستند، را بدهد.

با اینکه  Cyber Resilience از تکنیک‌های شناسایی و جلوگیری استفاده می‌کند، همچنان احتمال نفوذ اجتناب ناپذیر است. این سیاست بر احتمال حمله، سرعت عمل و وقف پذیری در برابر حملات متکی است. با اینکه تمامی حملات قابل جلوگیری نمی‌باشند اما با یک برنامه Cyber Resilience مناسب، آسیب‌های وارد شده در حملات قابل برطرف شدن هستند یا به کلی قابل پیشگیری است.

Cyber Resilience یا راه حل نهایی

امروزه وابستگی به سرویس‌های سازمانی مانند شبکه‌های تلفن همراه، مکانیزم‌های کنترل الکتریکی، ارائه دهندگان رسانه‌ای و فروشگاه‌های بزرگ اینترنتی به صورتی است که انتظار می‌رود به صورت 24 ساعت روز، 7 روز هفته و 365 روز سال در دسترس باشد. با اینکه سنسورهای امنیتی محافظ ساختار، باید به صورت شبانه‌روزی فعال باشند اما در ابتدا بسیاری از آن‌ها بدون تغییر بودند که باعث می‌شد حفره‌های امنیتی برای ماه‌ها یا سال‌ها مورد سوءاستفاده قرار گیرند. امروزه بسیاری از تکنولوژی‌های امنیتی دارای مکانیزم‌های کنترل پویا هستند که قابلیت‌های بروزرسانی نزدیک به Real-Time، Signature و Heuristics، مدیریت IPها در لیست‌سیاه و جداسازی و ترمیم را دارند.

گاهی برای رسیدن به اهداف Cyber Resilience نمیتوان همه ویژگی‌ها را با هم داشت و هر لایه مضاعف امنیتی به تجربه کاربر یا کارایی سازمان، لطمه وارد می‌کند. علاوه بر این برخی از محصولات امنیتی قابلیت بروزرسانی هنگامی که در حال استفاده می‌باشند را ندارند و در نتیجه توانایی ارائه محافظت مداوم را ندارند.

محافظت پویا یکی از رویکردهای اجرایی Cyber Resilience است چراکه سازمان در زمانی که شبکه آلوده شده قابلیت ادامه سرویس‌دهی را دارد. این روش به شبکه‌ای هوشمند نیاز دارد که توانایی اولویت‌بندی و طراحی ترافیک در هنگام فعالیت را دارد تا بتواند قسمت آلوده شده از شبکه را از بقیه قسمت‌ها کاملا جدا سازی کند. همزمان با این فعالیت، می‌توان منابع جدید را مسیردهی مجدد کرد تا ترافیک و مدیریت آن خارج از محیط آلوده قرار گیرد.

این رویکرد با گسترس استفاده از معماری‌های Cloud پویا، امری کاربردی‌تر شده است. هدف استفاده از Cloud کاهش زمان پاسخگویی به کاربران است به این صورت که زمانی که بخش آلوده از شبکه کاملا جدا سازی شده، سرویس‌ها مانند قبل به کار خود ادامه می‌دهند و تیم امنیتی می‌تواند با تجزیه و تحلیل محیط آلوده جدا سازی شده، حفره‌های امنیتی را کشف کند و بهترین روش برای ترمیم آن را بیابد.

هدف‌های کلیدی این رویکرد به شرح ذیل می‌باشد:

احتمال حمله و نفوذ وجود دارد و نفوذ رخ خواهد دارد، پس آمادگی لازم را کسب نمایید و سوالاتی کلیدی، مانند موارد ذیل بپرسید:

چه آسیب‌پذیری‌هایی توسط مهاجم در حمله فعلی مورد استفاده قرار گرفته است؟

کدام یک از حملات بر روی برنامه‌های کاربردی سازمان که در شبکه سازمان پیاده شده‌اند تاثیر گذار است؟

کدام یک از آن حملات قابلیت رد شدن از سیستم‌های دفاعی پیاده شده را دارد؟

حفظ امنیت سازمان: چگونه سازمان می‌تواند به فعالیت خود در محیط آلوده شده بدون خطا به کار خود ادامه دهد؟ و فعالیت خود را بدون از کار افتادن سرویس‌های حیاتی ادامه دهد و مشکل را برطرف نماید؟ با فرض اینکه آسیب دیدن غیر قابل اجتناب است، سازمان باید خود را برای فعالیت با 60% از ظرفیت منابع برای سرویس‌دهی مستمر در صورت نفوذ آماده سازد. این امر باعث می‌شود سرعت سرویس‌دهی کاهش پیدا کند ولی کاملا از بین نرود. شبکه‌ها را به قسمت‌های مختلف تقسیم کنید تا در صورتی که یک Host با اولویت پایین آلوده شد، آلودگی به دیگر بخش‌های سازمان منتقل نگردد و باعث از دست رفتن کل سیستم نشود.

بازیابی از حملات: شبکه را برای ترمیم یا ادامه به فعالیت سرویس‌های حیاتی بازطراحی نمایید و قسمت آلوده شده از شبکه را جدا کرده و منابع جدید به شبکه اختصاص دهید.

تکامل و سازگاری شبکه در برابر حملات: دریابید که چرا حمله در حالی که هنوز در حال اجرا است، موفقیت آمیز بوده و سپس معماری را به صورتی باز طراحی کنید که در مقابل حملات مشابه توان ایستادگی داشته باشد.

مقاله های مرتبط: