تاب آوری سایبری؛ بررسی دیدگاهی جدید در حوزه امنیت

تاب آوری سایبری؛ دیدگاهی جدید در حوزه ی امنیت

در قسمت اول مقاله تاب آوری سایبری، نگاهی جدید در حوزه امنیت به معرفی کلی تاب آوری سایبری پرداختیم و در این قصمت به تشریح برخی از ارکان آن می‌پردازیم.

رکن اول: آمادگی/شناسایی

برای افزایش تاب آوری سایبری در سازمان و دفع موفقیت‌آمیز یک حمله، باید فهم عمیقی از وضعیت امنیتی سازمان داشت و این درک با شناسایی دقیق اطلاعات حیاتی شرکت آغاز می‌شود. باید یک ارزیابی از زیرساخت و اطلاعات انجام گردد که شامل تمامی موارد آسیب پذیر امنیتی باشد. باید یک مبنای اصلی ایجاد شود و نتایج با دیگر همتایان مقایسه گردد. مشخص کردن و رفع حیاتی‌ترین آسیب‌پذیری‌ها در ابتدای کار، جذابیت سازمان را به عنوان یک هدف برای مهاجمان کاهش خواهد داد.

سازمان‌ها در این مورد به مدیریت سازمانی نیازمند هستند، نه صرفا فقط یک راهنمایی کاری. مشارکت صاحبان کسب‌وکار و داده‌ها در این مرحله نقش اساسی دارد. این افراد با کمک هم، باید دارایی‌های اطلاعاتی را براساس ارزش‌شان طبقه‌بندی کنند و تعیین کنند که چه چیزی در فرایند حفاظت مقدم است. باید پرسش‌هایی از این قبیل مطرح گردند: داده‌ها در کجا قراردارند؟ چه افرادی از آن‌ها استفاده می‌کنند؟ ارزش آنها چقدر است؟ اخیرا چقدر از آنها محافظت شده؟ آیا آسیب‌پذیر هستند؟ اگر چنین هستند، چه چیزی آن‌ها را آسیب‌پذیر می‌کند؟ این پرسش‌ها همچنین آگاهی بیشتری را در این مورد که در مواقع خطر چه اتفاقی ممکن است برای اطلاعات کارمندان بیفتد، به همراه دارند. این امر درحالی که کمک می‌کند سازمان و بخش IT از جنبه مدیریت و بررسی خطرات با هم همسو شوند، تغییر نگرشی را نیز در کارکنان ایجاد می‌نماید.

به موارد زیر باید به‌طور ویژه دقت شود:

بهبود قابلیت دید و درک اطلاعات و سیستم، از طریق Map کردن و اکتشاف منابع و شبکه
درک وضعیت بحرانی سایبری از طریق ارزیابی و شبیه‌سازی
شناسایی و اصلاح موارد آسیب‌پذیر در بخش IT سازمان، از جمله Supply Chain، جایی که اکثر مهاجمان حملاتشان را برنامه‌ریزی می‌کنند
Map کردن تجهیزات با توجه به شرکت سازنده
ایجاد آگاهی از طریق هوش تهدیدات جهانی گسترده، همبستگی و قابلیت‌های تجزیه و تحلیل برای ایجاد چشم‌انداز تهدیدات و درک نحوه‌ی تشخیص اینکه آیا سازمان تحت حمله قرار گرفته است یا خیر
آگاه کردن کاربران در حوزه‌ی سایبری از طریق آموزش پیوسته درباره‌ی بهترین راهکارها و رفتارهای مخاطره‌آمیز
اطمینان از پشتیبان‌گیری مناسب و راهبردهای بازیابی

بیتر بخوانید: شش ابزار و سرویس امنیت سایبری حیاتی برای سازمان‌ها

آموزش منظم امری کلیدی در تاب آوری سایبری محسوب می‌شود. به عنوان بخشی از آمادگی، باید کارکنان را از سیاست‌ها و فرآیندهای امنیت سایبری موجود آگاه کرد و به آنها کمک کرد تا اهمیت این سیاست‌ها و فرآیندها را در سازمان درک کنند. اشخاصی که در حیطه امنیت خبره نیستند یا لزوما ارزش برخی از اطلاعات نمی‌دانند، آسیب‌پذیرند و یا ممکن است دچار اشتباهات زیان‌باری‌ بشوند. تمامی کارمندان باید رسیدگی صحیح به اطلاعات حساس سازمان را درک کنند و همچنین باید بدانند چه چیزی در چارچوب سرقت IP کارمند قرار می‌گیرد.

زمانی که یک شرکت سیاستی را اتخاذ می‌کند، برنامه آگاه‌سازی ایجاد می‌کند و کنترل‌های دسترسی را تثبیت می‌نماید، باید راهبردهای بازرسی و برنامه‌های پاسخگویی را پیاده‌سازی کند. راهکارهای متنوعی برای کمک به توسعه این برنامه‌ها در دسترس‌اند که شامل خدمات هوش تهدیدات و ابزار اکتشاف داده می‌باشند. هوش تهدیدات در آماده‌سازی سازمان‌ها برای تهدیدات در حال ظهور نقشی حیاتی ایفا می‌کند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

هوش امنیتی به سازمان‌ها فهم بیشتری از چشم‌انداز کلی تهدیدات می‌دهد که شامل تهدید کنندگان و روندهای تهدیدات می‌شود. موشکافی زیرساخت درونی سازمان و بررسی تاثیرات بنیادی که برخی از تهدیدات می‌توانند بر سازمان داشته باشند، به مدیران امنیتی این توانایی را می‌دهد که به‌طور فعال و آینده‌نگرانه تهدیدات را پیش‌بینی کنند. درنتیجه، سرویس‌های هوش تهدیدات مدیران امنیتی را قادر می‌سازند تا به طور کارآمدتری محیط را امن نگه‌داشته و خطرات را مدیریت کنند و در نتیجه تاب آوری سایبری بالاتری داشته باشند.

راهکار مبتنی بر SOC کمپانی F5 برای مقابله با حمله DDoS به یک بانک

رکن دوم: محافظت

زمانی که بتوان درک مناسبی از تهدیدات موجود به‌دست آورد، میزان حساسیت و موقعیت آن‌ها را دانست، چگونگی آسیب‌پذیری سازمان را فهمید و میزان تحمل خطر را سنجید، می‌توان قدم‌های لازم را جهت محافظت از سازمان برداشت. رکن دوم تاب آوری سایبری بطور کامل درباره توسعه و پیاده‌سازی سپرامنیتی برای زیرساخت و سرویس‌های حیاتی به منظور کاهش یا محدود کردن تاثیر حملات است.

هدف، محافظت از زیرساخت سازمان و داده‌ها از حملات مخرب در بالاترین حد توانایست. با این وجود که هیچ مقداری از پول، زمان و یا تلاش نمی‌تواند موفقیت را تضمین کند، هدف این است که احتمال بروز یک نقض امنیتی به حداقل رسانده شود و سازمان آماده باشد تا در صورت وقوع آن به‌سرعت واکنش نشان ‌داده و خسارت‌ را کاهش دهد.

ارزیابی زیرساخت و اطلاعات باید نقضی در سیستم دفاعی نشان داده باشد. حال باید از خود پرسید، راهکارهای محافظتی موجود چقدر به‌روز و ماندگار هستند؟ آیا دفاع موجود توانایی مقابله با آخرین و پیشرفته‌ترین تهدیدات و نقض‌های امنیتی نوآورانه را داد؟ آیا وابستگی به محصولات ازهم‌گسیخته وجود دارد؟ آیا رویکردی یکپارچه برای محافظت اتخاذ شده که آگاهی موقعیتی کارآمد و امکان واکنش به خطر سایبری را به همراه دارد؟ آیا سیاست و سیستم اجرایی خودکاری وجود دارد که دخالت انسان یا نقض‌های مربوط به فرآیند را کم کند؟ دریافت بازخورد برای بهبود نتیجه چطور؟

برای افزایش تاب آوری سایبری موارد زیر باید به‌طور ویژه دقت شود:

محافظت از وبسایت و کاربران آنلاین از حملات سایبری
ایمن‌سازی سیستم‌های حیاتی برای کسب‌و‌کار در مقابل تهدیدات سایبری (معمولا دیتاسنترها بهترین‌ مکان برای شروع هستند)
محافظت از Endpointها و Gatewayهای سازمان در مقابل حملات و تهدیدات پیشرفته
محافظت از نیروی کاری و مشتریان متحرک
حفاظت و کنترل منابع اطلاعات در طول چرخه‌ی عمرشان که شامل جلوگیری از فقدان داده‌ها و دسترسی غیرقانونی می‌شود؛ می‌توان از رمزگذاری و یا Data Vault استفاده نمود.

افراد، فرآیندها و تکنولوژی، هر سه در رکن محافظت تاب آوری سایبری مهم هستند. تکنولوژی ضروری مورد نیاز است تا از منابع و زیرساخت حیاتی حفاظت گردد. راهکارهای تکنولوژی مورد استفاده باید برای نیروی کاری موبایل که رو به افزایش هستند نیز محافظت ارائه نماید. ایمن نگه داشتن دسترسی موبایل به شبکه و داده روز به روز مهم‌تر می‌شود چراکه توانایی دسترسی کارمندان به اطلاعات حساس شرکت‌های بزرگ در حال افزایش است. همچنین، تکنولوژی مورد نظر باید به قدر کافی یکپارچه باشد تا هوش لازم را در امر بازرسی سریع حملات فراهم کند.

مدیریت افراد و فرآیندها بسیار کلیدیست. طبق یکی از گزارشات اخیر مؤسسه Ponemon، ریشه 35 درصد مشکلات نقض امنیتی داده‌ها فاکتورهای انسانی بوده است؛ مواردی مانند غفلت کارمندان یا پیمانکاران. همان گزارش 29 درصد از نقض‌های امنیتی را به Glitchهای سیستم‌ نسبت می‌دهد که شامل خرابی فرآیندهای کسب‌و‌کار و IT می‌باشد. نقض‌های مرتبط با فاکتورهای انسانی و یا خرابی فرآیندها معمولا به دلیل عدم درک کارمندان هر دو بخش کسب‌و‌کار و IT سازمان، از امنیت سایبری رخ می‌دهند. استفاده، ذخیره و توزیع نامناسب اطلاعات حساس و مهم سازمان و رویکرد سهل‌انگارانه نسبت به سیاست‌های عملیاتی و کسب‌و‌کار ریشه در خطای انسانی دارند.

علاوه‌بر آموزش و ایجاد آگاهی، سازمان‌ها باید سیاست‌ها را اعمال و تبعیت از آنها را مانیتور کنند. این اقدام نه تنها ریسک خطر را کاهش می‌دهد، بلکه اهمیت اطلاعات محرمانه و دارایی‌های معنوی را به تمامی کارکنان منتقل می‌کند. ضعف در اعمال سیاست‌ها و مانیتور کردن تبعیت از آنها یک نگرش فرهنگی دارای تاثیر مخالف را ایجاد می‌کند: اگر IT ارزش اطلاعات دیجیتال را نمی‌داند و از آنها حفاظت به عمل نمی‌آورد، چرا کارمندان باید این کار را انجام دهند؟

رکن سوم: شناسایی

رکن شناسایی در تاب آوری سایبری، بر توسعه و پیاده‌سازی فعالیت‌های مناسب جهت شناسایی سریع حمله، ارزیابی سیستم‌های آسیب‌دیده‌ی احتمالی و پاسخ به موقع، تمرکز دارد. به علاوه، این مرحله به ادامه‌ی مانیتور شبکه برای سایر علائم حمله و اطمینان حاصل نمودن از کارآمدی امنیت ایجادشده، می‌پردازد. یکی از زیان‌های مهم وارد بر سازمانی که وقت و تلاش زیادی را صرف محافظت از حملات کرده است، زمانی رخ می‌دهد که این نهاد غالبا آماده نیست که در صورت موفقیت حمله اقدامات لازم را انجام دهد.

یکی از مهم‌ترین عواقب این عدم آمادگی این است که به توانایی سازمان در پاسخ موثر به نقض امنیتی، لطمه وارد می‌کند. با افزایش زمان پاسخگویی و Time-to-Resolution ، مجرمین سایبری زمان بیشتری برای سوءاستفاده و آسیب‌رسانی به کسب‌وکار در اختیار دارند. با توجه به اینکه در ایالات متحده میانگین هزینه‌ی کلی به ازای هر حادثه‌ی نقض امنیتی داده، پنج میلیون و چهارصد هزار دلار می‌باشد، این مشکل کوچک به نظر نمی‌رسد. این آسیب‌ها نه تنها شامل هزینه‌ی ترمیم نقض امنیتی می‌شود، بلکه خسارت هایی را نیز برای عدم تطبیق‌پذیری و یا از دست رفتن اعتبار یا مشتری‌ به همراه دارد. البته اگر سازمان فاقد راهکارهای لازم برای شناسایی سریع نقض امنیتی باشد، مجرم سایبری می‌تواند بدون هیچ محدودیت زمانی خرابی به بار آورد. بنابه گزارش بررسی‌های Verizon Data Breach در سال 2014، شناسایی 85% از نفوذهای Point-of-Sale به مدت دو هفته و شناسایی 43% از حملات برنامه‌ی کاربردی مبتنی بر وب ماه‌ها به طول انجامید.

زمانی که یک نقض امنیتی رخ می‌دهد تنها راه برای به حداقل رساندن آسیب آن به صورت فعال و آینده‌نگرانه، داشتن تکنولوژی‌ها، فرآیندها و سیاست‌های لازم برای پاسخگویی و شناسایی می‌باشد. با وجود این که بسیاری از سازمان‌ها ممکن است از راهبرد‌های پاسخگویی و شناسایی برخوردار باشند، باید به طور منظم کارآمد بودن آن‌ها را ارزیابی نموده و توانایی آن‌ها را در مهار و برطرف ساختن سریع‌تر نقض‌های امنیتی مشخص کنند. Big Data و ابزار آنالیز مربوطه که با پدیدار شدن Cloud، تجهیزات سیار و رایانش اجتماعی همراه شده‌ است، فرصت‌هایی را برای پردازش و تحلیل داده‌های ساختارمند و غیرساختارمند مربوط به امنیت سایبری فراهم می‌آورد تا به این فرایند کمک کند.

باید در مورد چگونگی مانیتور کردن رویدادهای امنیتی داخلی و مرتبط ساختن آن‌ها با تهدیدات خارجی و همچنین چگونگی اطمینان حاصل کردن از در دسترس بودن داده‌ها جهت تشخیص زمان و احتمال نقض امنیتی، فکر کرد. مانیتور نمودن صدها Endpoint و Login و تلاش برای دسترسی به داده‌ها در یک شبکه‌ی شلوغ، کار ساده‌ای نیست. وقتی که این امر با تلاش برای حفظ آگاهی از چشم‌انداز تهدیدات جهانی ادغام می‌شود، دیگر غیرممکن به نظر می‌رسد. در اینجاست که یک سرویس امنیتی مدیریت‌شده می‌تواند مفید واقع شود. محصولات امنیتی مدیریت‌شده ممکن است گستره‌ای را از اولویت‌بندی و مانیتورینگ امنیتی تا محافظت پیشرفته‌ی تهدید و مدیریت پاسخ به حوادث در بر بگیرد و همچنین می‌تواند به ایجاد یک راهبرد امنیتی مقاوم (Resilient) که به کاربر امکان آماده‌سازی، محافظت و پاسخ سریع به حملات سایبری پیچیده را می‌دهد، کمک کند.

سازمان‌دهی برمبنای تاب آوری سایبری یک بخش IT فعال و آینده‌نگر را همراه با قابلیت دید در سرتاسر محیط و با یکپارچه‌سازی‌های عمیق در سطح داده ایجاد می‌کند که بینش ارائه نموده و به طور مداوم همراه با پیشرفته‌تر شدن مهاجمین، تکامل می‌یابد و واکنش نشان می‌دهد. IT می‌تواند با همبستگی هوش امنیتی، مشکلات احتمالی را قبل از شیوع و آسیب‌رسانی و ایجاد خسارت، سریعا شناسایی و برطرف نماید و در نتیجه آسیب و هزینه را کاهش دهد.