اشتراک مقالات

نحوه بالا بردن سطح مدیریت ریسک امنیت سایبری برای افزایش امنیت سازمان

282 مشاهده 2 1 شهریور, 1400

امنیت سایبری چیست؟

مدیریت ریسک امنیت سایبری چیست؟ با افزایش استفاده از نرم‌افزارها و اینترنت، آسیب‌پذیری‌ها نیز افزایش پیدا می‌کنند و این یعنی افزایش ریسک امنیتی. خوشبختانه صنعت امنیت دائماً در حال نوآوری است. شرکت Bugcrowd تستی امنیتی را به دنیا معرفی کرد که توسط Crowd انجام می‌شود، مجموعه‌ای از محققان امنیتی آماده‌ به انجام فعالیت می باشند که در نقاط مختلف دنیا قرار دارند و از طریق پلتفرم Bugcrowd به هم متصل هستند.

Crowd که امکان هر گونه‌ی جدید از تست امنیتی را فراهم کرده است شامل محققان امنیتی با پیش‌زمینه‌های متفاوت هستند. این گونه‌ی‌ِ جدید از جمع سپاری امنیت یا Crowdsource به سازمان‌ها این توانایی را می‌دهد که در مقیاس بزرگی تست تخصصی انجام دهند، منبع درآمدی را برای محققان نخبه خارج از صنعت رسمی امنیت فراهم می‌کند و تست امنیت را برای دنیایی دیجیتال به سطح استاندارد می‌رساند. افزایش امنیت به سازمان‌ها این توانایی را می‌دهد که مجموعه‌ای از روش‌های تست امنیت پیشرفته را پیاده‌سازی کرده و درهمین‌حال یک حوزه، مدل پرداخت دستمزد و جدول زمانی را فراهم می‌نماید که به‌طور کامل برای شیوه‌ی کاری مستقل آن‌ها طراحی شده‌اند.

Crowdsource امنیت یک ابزار قدرتمند است که توسط شرکت‌هایی پیشرو مثل Google ،Apple و Facebook مورد استفاده قرار گرفته است تا ریسک را کاهش دهد. جمع‌سپاری امنیت نتایج دقیقی را فراهم می‌کند و از کاهش سریع ریسک، کنترل هزینه و کاهش سربار عملیاتی پشتیبانی می‌نماید. این نوع از امنیت حیاتی‌ترین مسیرهای حمله را پوشش می‌دهد، از جمله رابط‌های کاربری وب و APIها روی پلتفرم‌های سرور یا Cloud، موبایل و IoT.

علاوه بر تست نفوذ که در مقاله پنج راهکار برای مدیریت بهتر ریسک های امنیت سایبری – حفظ اعتبار سازمان ها با تست نفوذ در موردش صحبت شد، می‌توان به شکل‌های دیگری از تست امنیت Crowdsource ‌شده نیز نگاه کرد که به مدیریت ریسک امنیت سایبری کمک می‌کنند.

مهمترین تهدیدات سایبری و نحوه کارکرد آنها

ویدیوهای بیشتر درباره امنیت سایبری

برای بسیاری از سازمان‌ها اولین قدم در Crowdsource امنیت ایجاد یک برنامه‌ی افشای امنیت، Vulnerability Disclosure Program یا VDP است. این کانالی است که کاربران و عموم مردم را دعوت می‌کند که آسیب‌پذیری یافت شده در اطلاعات سازمان را ثبت کنند. می‌توان VDP را مثل نگهبانان در نظر گرفت، سازمان با استفاده از این گروه می‌تواند بازخورد امنیتی را از هرکجا دریافت کند تا ریسک نقض امنیتی را کاهش دهد. یک VDP نیازمند این است که حوزه‌ی تست و شرایط تعامل به‌طور شفافی تعریف شود و کانال‌هایی ارتباطی فراهم گردد تا محققان بتوانند آسیب‌پذیری‌ها را شناسایی و گزارش کرده و پاسخ سریعی را نسبت به گزارشات خود دریافت کنند.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.

VDPها ابزار فوق‌العاده‌ای هستند که به کاهش ریسک سازمان‌ها کمک می‌کنند. 87 درصد از سازمان‌هایی که VDP دارند، یک آسیب‌پذیری حیاتی یا با اولویت بالا را از طریق VDP خود کشف کرده‌اند. سازمان‌ها با برقراری ارتباط جهت مطلع شدن از آسیب‌پذیری‌هایی که در استفاده‌ی روزمره یا تست محصولات و خدماتی که با خارج از سازمان ارتباط دارند مشخص می‌شود، می‌توانند با حداقل اختلال در چرخه‌های عمر امنیتی و تولیدی موجود، توانایی کاهش ریسک خود را گسترش دهند. VDPها راه بسیاری خوبی برای شروع به کار با امنیت جمع‌سپاری‌شده، به‌عنوان بخشی از استراتژی امنیت سایبری کلی هستند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

بیشتر بخوانید: هک شدن ابزارهای تست نفوذ شرکت FireEye، بزرگترین شرکت امنیت سایبری

اتصال بیشتر به اینترنت یعنی تهدیدات بیشتری برای شرکت‌ها وجود دارد، زیرا مهاجمان سعی می‌کنند دارایی‌های متصل را کاوش و دچار نقض امنیتی کنند. در سال 2020، نسبت به سال 2016 داده‌های آنلاین پنجاه برابر بیشتر شده بود. علاوه بر این‌، Dark Web پنج‌هزار برابر بزرگ‌تر از وب سطحی است و معمولاً توسط جامعه‌ی رو به رشد مجرمین سایبری برای معاوضه‌ی ابزار و تاکتیک‌ها مورد استفاده قرار می‌گیرد. این اعداد نشان می‌دهد که اکنون ریسک نقض امنیتی از هر زمان دیگری بیشتر است.

این افزایش ریسک، نوآوری را نیز افزایش داده است. در دهه‌ی گذشته شرکت‌ها توانستند از این افزایش اتصال استفاده کنند و با استفاده از امنیت جمع‌سپاری، به شکل یک برنامه‌ی شکار Bug، سیستم دفاعی خود را تقویت نمایند. این شیوه بسیار شبیه به VDP است، اما علاوه در این روش، کسانی که آسیب‌پذیری‌ها را پیدا می‌کنند، علاوه بر اعتبار، دستمزد مالی نیز دریافت می‌کنند. این امر باعث انگیزه‌ی محققان می‌شود و وظیفه‌ی پیدا کردن آسیب‌پذیری‌ها و پیشنهاد راهکار بر دوش هکرهای اخلاقی قرار می‌گیرد که برای مبلغی نقدی یا دستمزدی معادل آن کار می‌کنند.

مدیریت آسیب‌پذیری‌ها در امنیت سایبری چیست؟

بااینکه تست‌های نفوذ برای حوزه‌ی به‌خصوص خود مفید هستند، گاهی اوقات بد نیست که مسیر را تغییر داد و یک رویکرد جامع را به امنیت اتخاذ کرد. در مدیریت آسیب‌پذیری‌ها به محققان امنیتی Crowdsource‌شده مجوزی داده می‌شود که از مهارت‌ها و ابزار شناسایی خود استفاده کنند تا دارایی‌های Remote و فراموش‌شده‌ای را که شرکت گُم کرده است، پیدا کنند.

بیشتر بخوانید: رفع کمبودهای مهارتی در امنیت سایبری با استفاده از هوش مصنوعی

پیدا کردن این دارایی‌های Shadow IT نیازمند تست امنیت Crowdsource ‌شده برای شناسایی ناشناخته‌ها و کاهش ریسک‌هایی است که سازمان در گذشته از آن‌ها بی‌خبر بوده است. مهم است به یاد داشته باشیم که اگر یک دارایی برای سازمانی ناشناس است، بدین معنا نیست که هیچکس از آن مطلع نیست. Gartner می‌گوید یک‌سوم حملات موفقیت‌آمیز در مقابل دیتاهای ناشناس یا بدون اولویت‌بندی انجام می‌گردد. هکرها می‌دانند که آسیب‌پذیری‌های ناشناس شیوه‌ای غنی برای حمله است.

در نتیجه با تکیه‌ی بیشتر دنیا به تکنولوژی‌های دیجیتال، مدیریت ریسک امنیت سایبری به بخش مهم‌تری از عملیات هر سازمان تبدیل شده‌اند. حملات مهاجمان روزبه‌روز پیچیده‌تر می‌شوند و مدیریت ریسک امنیت سایبری را در وظایف سازمان نسبت به کاربران و سهام‌داران حیاتی‌تر از گذشته می‌نمایند.

برچسب ها : انعطاف پذیری امنیت سایبریتیم امنیت سایبری قرمزبررسی انعطاف پذیری امنیت سایبریتفاوت تیم های امنیت سایبریامنیت سایبریارتقاء امنیت سایبریامنیت سایبری چیستارتقای امنیت سایبریبررسی ابزار امنیت سایبریاستفاده از AI در امنیت سایبریآموزش امنیت سایبریراهکارهای امنیت سایبریروشهای برقراری امنیت سایبری

مطلب مفید بود؟

 
بیشتر بخوانید