تاب آوری سایبری؛ دیدگاهی جدید در حوزه امنیت – قسمت سوم (پایانی)

در قسمت اول و دوم مقاله تاب آوری سایبری؛ دیدگاهی جدید در حوزه امنیت به توضیح در این زمینه و معرفی برخی از ارکان آن پرداختیم. در این قسمت در خصوص باقی ارکان تاب آوری سایبری در حوزه امنیت صحبت می‌کنیم.

رکن چهارم: پاسخ‌گویی

این بخش از تاب آوری سایبری به پاسخ‌گویی در مورد تنوع اقداماتی که باعث تسریع در ترمیم خسارت‌های وارد شده پس از شناسایی حمله و خنثی سازی اثر آن می‌پردازد. در حوزه امنیت، فرایند شناسایی در صورتی ارزشمند است که پاسخی مناسب و  به‌موقع داده شود. راهکارها و خدمات زیادی برای کمک‌رسانی وجود دارند، با این حال، آنچه که بیشتر در امر پاسخ‌گویی مورد نیاز است، افراد و اقدامات داخلی سازمان می‌باشد. سازمان‌ها به یک طرح برای پاسخ‌گویی نیاز دارند که به صورت واضح مشخص کند افراد در هنگام وقوع حادثه چه باید بکنند. باید یک تیم امنیتی پاسخ‌گو به حادثه یا همان CSIRT با نقش‌ها و مسئولیت‌های مشخص، تشکیل شود. این نقش‌ها باید بر عهده‌ی اعضای توانای سازمان باشد. یک مدیر یا مسول ارشد باید برای اعلام وضعیت هشدار، هماهنگی فعالیت‌های CSIRT و ارسال گزارش‌های وضعیت به مقام بالاتر منصوب شود.

داشتن یک برنامه‌ی از پیش تعریف شده که برای همه مفهوم باشد، در قیاس با وضعیتی که هیچ برنامه ای وجود ندارد، باعث ایجاد هماهنگی برای فعالیت‌های مختلف در جهت پاسخ‌گویی به صورت کارآمد می‌گردد و کمتر زمان‌بر باشد. CSIRT باید توسط مدیران مربوطه تصویب شود و همچنین به صورت واضح رویدادهای مختلف را الویت‌بندی کند و با توجه به سطح یا میزان خطر رویدادها، اطلاع‌رسانی کند یا پاسخ مناسب دهد.

برنامه پاسخ‌گویی این امکان را می‌دهد که به سرعت میزان ریسک‌پذیری شبکه‌ی سازماندر حوزه امنیت سنجیده شود و راهکاری برای کاهش آن اتخاذ گردد. برای دستیابی به سریع‌ترین زمان پاسخ‌گویی، علاوه بر اقدامات آزمایشی که در آن‌ها کارکنان پیاده‌سازی سیاست‌ها و فرایندها را تمرین می‌کنند، خودکارسازی مراحل ترمیم نیز ایده‌آل است. در سازماندهی این طرح باید به موارد زیر دقت شود:

• مدیریت ریسک، با اندازه‌گیری و ردیابی تاب‌آوری سایبری که شامل ارزیابی حفاظت از سیستم در طی حمله می‌شود (آیا سیستم آلوده شده یا حمله دفع شده؟)
• طرح برنامه ایجاد شود تا نحوه‌ی پاسخ به حادثه سایبری مشخص گردد
• تعیین اینکه دستورالعمل‌ها و فرآیندها چگونه حفظ و امتحان می‌شوند
• هماهنگی اقدامات پاسخ‌دهی ارتباطی و فهم اینکه قرار است فعالیت‌های کاهش‌ خطر و بررسی چگونه اجرا شوند
• تعبیه کردن سیستمی که درآن دروس آموخته‌شده، برای فعالیت‌های پاسخ‌دهی آینده، مورد استفاده قرار گیرد.

در حوزه امنیت، ترمیم صدمات ناشی از حملات سخت می‌باشد، حتی برخی از سازمان‌ها مجبور می‌شوند برای بازپس گرفتن کنترل سیستم خود باج بدهند. در ماه مارس سال 2014، ابزار آنلاین مدیریت پروژه، به نام ‌‌‌Basecamp مورد حمله DDoS قرار گرفت. تا قبل از زمان پرداخت باج، مهاجمان ظرفیت ترافیک وبسایت را با حملات DDOS، پر کردند و دسترسی کاربران اصلی به آن قطع شد. در چنین مواردی، مراکز پاسخ‌گویی به حوادث می‌تواند به سازمان‌ها کمک کنند تا یک برنامه‌ی پاسخ به حوادث که به صورت واضح تعریف شده‌ است را پیاده‌سازی کنند تا برای بازیابی سرویس‌دهی سازمانشان با مشکل مواجه نشوند.

رکن پنجم: بازیابی

رکن نهایی تاب آوری سایبری که لازمه‌ی هر برنامه و طرحی در حوزه امنیت و با رویکرد انعطاف‌پذیری سایبری است، بازیابی می‌باشد. این مرحله شامل توسعه و پیاده‌سازی سیستم‌ها و برنامه‌هایی است که هر داده و سرویس مورد هجوم واقع شده را بازیابی می‌کند. هرچقدر هم که آمادگی وجود داشته باشد و از سازمان حفاظت شود، نمی‌توان از برخی حملات اجتناب کرد. حتی اگر به یک نقض امنیت سایبری سریع پاسخ داده شود، ممکن است حمله عواقب دیگری را درپی داشته‌ باشد. نتیجه مهم نیست، سازمان‌ها باید بتوانند افراد، فرآیندها و سیستم خود را هرچه سریع‌تر بازیابی کنند. یک بازیابی موثر به طرح‌های بازیابی واضح و کامل ایجاد شده وابسته است.

در حوزه امنیت، بسیاری از سازمان‌ها دارای برنامه‌های تداوم سرویس‌دهی سازمان و Disaster Recovery بوده و شامل اجزایی مانند پشتیبان‌گیری و ترمیم، ذخیره‌ی Cloud، آرشیوهای Off-Site، دیتاسنترهای اضافی و جدا از لحاظ جغرافیایی و سایر تدابیر تداوم سرویس‌دهی هستند. با این حال، این برنامه‌ها بیشتر اوقات نمی‌توانند بهترین راهکارها و سناریوهای بازیابی را پوشش دهند. به عنوان مثال، درحالی که بیشتر سازمان‌ها پشتیبان‌گیری‌های منظمی را انجام می‌دهند، تعداد کمی از مدیران آنها از محتوای پشتیبان‌گیری شده اطلاع دارند. درک حساسیت اطلاعات پشتیبان‌گیری شده و گستردگی آنها برای سازمان اهمیت‌ دارند. اگر یک فاجعه رخ دهد، ساختار سرویس‌دهی سازمان به چه سیستم و اطلاعات بازیابی شده‌ی اولیه برای بازگشت به رویه عادی نیاز دارد؟ سازمان‌ها باید اطمینان حاصل کنند که برنامه‌ی بازیابی آنها پاسخ‌گوی این سوالات است.

دیتاسنترهای اضافی برای فرایند بازیابی مهم هستند اما ملاحظات محاسباتی و جغرافیایی که قابلیت Failover را تحت تاثیر قرار می‌دهند را باید در ذهن داشت. به عنوان مثال، دیتاسنترهای نزدیک به هم در شرایطی که یک فاجعه بزرگ یک شهر یا منطقه را دربرگیرد، کارآمد نیستند. درکنار ملاحظات جغرافیایی، اگر یک شرایط اضطراری ارتباط با دیتاسنترها را از بین ببرد، چه باید کرد؟

با اینکه بسیاری از سازمان‌ها در برنامه‌های بازیابی خود، این احتمالات را مد نظر قرار می‌دهند، بیشتر آنها به بازیابی از وضعیت اختلال در سرویس‌دهی حاصل از خرابی سیستم و فجایع طبیعی می‌پردازند. بسیاری از سازمان‌ها نمیتوانند پیش از وقوع فاجعه بازیابی کامل را انجام دهند. اگر یک نقض امنیتی سایبری بزرگ رخ دهد، سازمان‌ها به یک برنامه کاربردی برای بازیابی نیازدارند تا به حالت اولیه بازگردند. مثال‌های زیادی روایتگر سازمان‌هایی است که دارای برنامه‌های تداوم سرویس‌دهی جامع و قدیمی و بازیابی منظم و تمرین‌های آموزشی مربوط به خرابی دیتاسنتر بوده‌اند، اما زمانی که هدف حمله‌ای گسترده قرارگرفتند به هیچ وجه آماده نبوند.

باید به این فکر کرد که در حوزه امنیت، یک شکاف سایبری چگونه سیستم‌ها، افراد و فرآیندها را تحت تاثیر قرار می‌دهد. زمانی که گوشی‌های همراه یا تبلت کارکنان هدف حمله قرارگیرند، چه راهکاری باید انجام شود ؟ اگر یک حمله بدافزاری تعداد زیادی از هارددرایوهای لپتاپ‌های سازمان را غیرقابل استفاده کند، با چه سرعتی می‌توان هارددرایوها را بازیابی کرد؟ آیا فرآیندهایی برای تدارک سیستم‌های جدید برای کاربران حیاتی درمواقع نیاز وجود دارد؟ باید به تمامی راه‌هایی که یک حمله‌ی سایبری از طریق آن‌ها ممکن است سازمان را هدف قرار دهد فکر کرد. چه فرآیند و دستورالعمل‌هایی نیازاست تا بازیابی انجام شود؟ اساسا باید اطمینان حاصل‌کرد که سیستم‌های حیاتی در حین حادثه قابلیت سرویس‌دهی داشته باشند و تصمیم‌گرفت که چگونه باید سیستم‌های دیگر و داده‌ها را بازیابی نمود. برنامه‌های بازیابی نیز همانند برنامه‌های پاسخ‌گویی، نیاز به ارزیابی مجدد و به‌روزرسانی منظم دارند تا برای تمامی جنبه‌های یک فاجعه که سازمان با ان روبه‌رو می‌شود، آماده باشد.

راهکارهای IBM Storage برای انعطاف‌پذیری سایبری

ویدیوهای بیشتر درباره cyber resilience

دستیابی به تاب آوری سایبری

اثرات یک حمله‌ی سایبری بزرگ می‌تواند برای هر سازمانی ویرانگر باشد. متاسفانه، هیچ راه حل دائمی برای پیشگیری از آن وجود ندارند و با وجود اینکه شرکت‌ها بهترین و بیشترین تلاش خود را برای آمادگی و حفاظت انجام می‌دهند، نقض‌های امنیتی رخ می‌دهند. بسیاری از مشتریان تجربه‌ی لازم را برای مقابله با تهدیدهای پیشرفته‌تر را ندارند. برای به حداقل رساندن آسیب‌های ناشی از یک حمله سایبری، نحوه تفکر درحوزه امنیت باید تغییر کند. باید اینگونه اندیشید که نمی‌توان خطر سایبری را از بین برد بلکه فقط می‌توان تاب آوری سایبری ایجاد کرد.

در حوزه امنیت اطلاعات، برای ایجاد تاب‌ آوری سایبری، سازمان‌ها باید طرز تفکرشان را نسبت به خطرات سایبری را تغییر دهند. هم‌راستا کردن IT و سازمان و تشویق به بحث‌های سازنده و منظم برای ارزیابی خطرات و مزایای مرتبط با راهبردهای تاب آوری سایبری، حیاتی است. باید یک زبان مشترک برای حل مشکلات موجود ایجاد نمود و از آن استفاده شود. بخش امنیت IT باید قبول کند که سازمان برای موفقیت نیاز به ریسک کردن دارد و باید به سازمان این توانایی و چالاکی را بدهد که تصمیماتی آگاهانه درخصوص چگونگی مدیریت خطر سایبری بگیرند. مدیریت ارشد سازمان‌ها باید نقش فعال‌تری در کنترل و ایجاد برنامه در حوزه امنیت سایبری ایفا کند. در یک سازمان با تاب‌آوری سایبری، مدیریت ارشد تصمیم گیرنده است و مسئولیت نهایی تطبیق‌پذیری با اوست. در نتیجه، این مدیران باید درباره تصمیم‌گیری‌هایی که شرکت با آنها روبروست آموزش ببینند و مسئولیت مقابله با خطرات را بپذیرند.

در نهایت، بخش IT باید از طرز تفکر اداره‌کننده دور شده و به سمت تفکری حرکت کند که یک رویکرد سایبری جامع و یکپارچه را ترویج نماید که توسط افراد، فرآیندها و تکنولوژی صورت می‌گیرد. با تغییر فرهنگ پیرامون اطلاعات دیجیتال و استقبال از رویکردی که شامل آمادگی، پیش‌گیری، شناسایی، پاسخ‌گویی و بازیابی است، سازمان‌ها تاب آوری سایبری حقیقی و توانایی پاسخ‌گویی و بازیابی سریع پس ازحمله را بدست می‌آورند.

مقاله های مرتبط: