به گفته فیلسوف یونان باستان هراکلیتوس:” همه چیز تغییر میکند و هیچ چیز ثابت نمیماند.” این نقل قول با اینکه بیش از 2500 سال قدمت دارد، شرایط امروزی امنیت سایبری را توضیح میدهد. اکثر متخصصان امنیتی میدانند در شرایطی هستند که مدام در حال تغییر است. یک تکنیک یا Threat Intelligence جدید میتواند تمامی یک استراتژی دفاعی را تغییر دهد. اگر برنامهریزی Cyber Resilience سازمانها با جدیدترین رویدادهای امنیتی همگام نباشد، تیم امنیتی بعد از حمله، به یاد نقل قول افلاطون افتاد که میگوید: ” مردمان خوب نیازی به قانون ندارند که به آنها بگوید درست برخورد کنند، درحالی که افراد خبیث، همیشه برای دور زدن قوانین راهی پیدا میکنند.”.
طرح و برنامه مفید است ولی ایجاد یک ساختار امنیتی کامل و به روز برنامهریزی امری ضروری است. ممکن است تصور شود این خبر، جمعآوری مطالبی فقط بر پایه منطق و استدلال است که در این صورت باید به یاد جریانهای متداول امروزی افتاد. در صورتی که به درسهای ذکر شده در این نقل قولها، فکر شود مفهوم آنها کاملا واضح است. با تمام دشواری امنیت سایبری، در صورت تامل و برنامهریزی در مورد آن، مدیریت ریسک سایبری بسیار واضح است:
- مشخص کردن ریسکهایی که به سازمانها و شرکتها آسیب میرساند.
- محاسبه میزان ریسکی که سازمان یا شرکت میتواند تقبل کند.
- و در نهایت برنامهای تهیه شود که با ریسکهای قابل قبول، مقابله کند.
3 مورد کلیدی ذکر شده در بالا برای ایجاد محیط مدیریت ریسک سایبری، الزامی است. برخی از برنامهریزیهای مناسب Cyber Resilience در سال 2019، برپایه سادگی میباشند که از سوی موسسه ملی تکنولوژی و استانداردها (National Institute of Standards and Technology یا به اختصار NIST) با نام چارچوب امنیت سایبری (Cybersecurity Framework یا به اختصار CSF) منشتر شده است. عوامل مشخص شده مانند شناسایی، محافظت، تشخیص دادن، پاسخگویی و بازیابی به تیمهای امنیتی کمک میکند تا با تهدیدها مقابله کنند. صرف نظر از مقیاس سازمان یا شرکت مورد نظر، اطلاعات و چارچوب توضیح داده شده توسط چارچوب CSF از NIST میبایست در زیرساخت امنیتی پیادهسازی شود زیرا در بدترین حالت، حداقل یک نقطه شروع برای ارزیابی Posture امنیتی آن سازمان یا شرکت است.
خبر خوب این است که چارچوب CSF موسسه NIST به آرامی ولی به قطع، در حال رساندن خود به سطح تهدیدهای امروزی میباشد. در تحقیق سال 2015 از سوی Gartner پیشبینی شده بود که 30 درصد از سازمانها در ایالات متحده از این چارچوب استفاده میکنند و برآورد کرده بودند که تا سال 2020 این میزان تا 50 درصدر افزایش خواهد یافت. اگر چارچوب CSF در برنامهریزی Cyber Resilience سازمانی پیادهسازی نشده باشد، آن سازمان خود را در معرض خطر قرار داده است.
عدم وجود طرح Cyber Resilience در صورت نقص بررسی آن
اسناد و گزارشات یکپارچه سازی در زمان بازرسی و بررسیهای امنیتی کاملا کاربردی هستند اما قطعا در مقابله با تهدیدهای مداوم پیشرفته (Advanced Persistant Threat یا به اختصار APT) هیچ کمکی به تیم امنیتی سازمان یا شرکت نخواهد کرد. آزمایش کردن و ایجاد چالش برای برنامههای امنیتی و شبکههای سازمانی به صورت کلی امری دشوار، پر هزینه و زمان بر است ولی با وجود شرکتهای بیشتر در فضای امنیت سایبری که محیط را رقابتی میکند و همچنین نوآوریها و علوم اقتصادی توسعه تکنولوژیکی، ارزیابی آسیبپذیری و آزمایشات نفوذ پذیری، این گونه آزمایشات دیگر مختص سازمانها بزرگ نمیباشد. امروزه محصولاتی در این حوزه در حال توسعه هستند که ارائهکنندگان خدمات، این سرویسها را با نرخ یکسان ارائه میدهند. برای سازمانهایی که از انجام این ارزیابی و آزمایشات به دلایل مالی دوری میکردند، این محصولات جدید اخبار بسیار خوبی است.
تنها مشکل باقی مانده تکرار آزمایشات به صورت مکرر و هر از چند وقت می باشد. تصمیم سازمان یا شرکت قطعا بر اساس میزان تحمل ریسک است، درست مانند چکاپ سالانه دکتر برای آگاهی از سلامتی مریض، انجام این ارزیابیها به صورت سالیانه میتواند امری متداول شود. چکیده گفتههای بالا را میتوان اینطور بیان کرد که اگر سازمان یا شرکتی دست کم سالیانه سیستمهای خود را مورد ارزیابی قرار ندهد، قابلیتهای امنیتی Cyber Resilience خود را کاهش خواهد داد.
مسئولان امنیتی باید گفته هراکلیتوس درباره اینکه چطور همه چیز تغییر میکند و هیچ چیز ثابت نمی ماند را به یاد بیاورند. ممکن است تکنیک امنیتی که در سال 2018 تصور میشد مناسب باشد، در سال 2019 برای امنیت سازمان مناسب نباشد. همچنین باید مدیریت ریسک سازمان را پویا نگه داشت و تنها راه برای پویا ماندن، بروز بودن نسبت به تهدیدات سایبری است تا بتوان متناسب با آن برخورد کرد. در غیر این صورت تیم امنیتی و سازمانی که در این کار درنگ میکند باعث افزایش ریسک و ایجاد خسارت در سرورها میگردد و سازمان را در شرایط بدی قرار خواهد داد.
آگاهی مداوم و دوری از حملات Phishing
افراد تیم امنیتی یا حتی دیگر افراد سازمان باید به صورت مداوم در مورد موارد امنیتی آموزش ببینند تا سازمان مورد نظر خود را طعمه حملات افراد سودجو قرار ندهند. تکنولوژیهای امنیتی مانند راهکارهای محافظتی Endpoint یا ابزار SIEM همگی بسیار عالی و ضروری میباشند اما باید به خاطر داشت که حتی آنها نیز فقط بخشی از پازل امنیت هستند.
قسمت دیگر مسئله همیشه عامل انسانی است، حال چه فرد مورد نظر یک کاربر کاملا بدون اطلاع از تکنولوژی باشد یا یک متخصص IT هوشمند، تفاوتی ایجاد نمیکند. همیشه اخباری در مورد لینکهای مخرب که Ransomware بارگذاری مینمایند یا موارد موفقیت آمیز Business Email Compromise به گوش میرسد ولی باید به خاطر داشت که حتی ماهرترین کارمند سازمان نیز باید تحت آموزش مستمر در مورد تهدیدها و تکنیکهای جدید قرار گیرد.
در غیر این صورت اگر افراد سازمان آموزشهای متداول و مداوم نداشته باشند و به صورت دورهای مورد آزمایش و ارزیابی قرار نگیرند، استراتژی Cyber Resilience آن سازمان همیشه یک حفره امنیتی بزرگ خواهد داشت. باید توجه داشت که این مورد ریسکی نیست که قابل ترمیم باشد ولی با آگاهی و آمادهسازی پیش از وقوع نفوذ، کاملا قابل جلوگیری است.
کارکرد هوشمندانه Cyber Resilience
به کارگیری هوش مصنوعی مختص هر سازمان برای کمک به کاهش بار کاری کارمندان یکی از دلایل استفاده از این تکنولوژی است و دلیل دیگر استفاده مهاجمان از هوش مصنوعی عملیاتی شده، برای پیادهسازی حملات سایبری جدید میباشد. هزینه بالا برای استفاده از هوش مصنوعی و (Machine Learning (ML که بر خلاف ارزیابی آسیبپذیری و تستهای نفوذپذیری هنوز به مرحله استفاده عمومی نرسیده است، برخی از سازمانها و شرکتها را از خود میراند و از سوی دیگر سازمانهایی وجود دارند که به AI و ML به دلیل اینکه نمیدانند دقیقا برروی شبکه آنها چه فعالیتی انجام میدهند، اعتماد نمیکنند.
علی رغم اینکه همه این موارد صحیح میباشند ولی استفاده عمومی AL و ML در آینده فراگیرتر خواهد شد و تیمهای امنیتی باید برای استفاده از آنها در استراتژی Cyber Resilience خود آماده باشند.
برخی اوقات پاسخ به اینگونه سوالات واقعا دشوار است ولی قبل از اینکه در مورد این سوال به جوابی برسیم به مرور مسائل مورد بحث قرار گرفته در این مقاله پرداخته میشود:
- مدیریت ریسک
- چارچوبهای صنعتی
- برنامهریزی و آزمایش کردن برنامه
- ارزیابی آسیبپذیری
- تست نفوذپذیری
- Security awareness training
- هوش مصنوعی و Machine Learning
همه این موارد کاملا آشکار هستند اما سوال این است که اگر این موارد اینقدر آشکار هستند پس چرا هنوز نفوذ در سازمانها و شرکتها رخ میدهد؟ امکان آن وجود دارد که تیمامنیتی هنوز همه جوانب پایهای را پیاده سازی نکرده باشد. برای استراتژی Cyber Resilience در سال 2019 همه موارد ذکر شده باید مورد استفاده قرار گیرند. این موارد، پایههای مدیریت ریسک امنیتی امروزی میباشند.
اگر سازمان یا شرکتی هنوز همه تدابیر بالا را برای امنیت خود به کار نگرفته باشند، آنها قطعا در خطر میباشند. همچنین تیمهای امنیتی باید در طی این مسیر میزان موفقیتی که از پیادهسازی این موارد به دست میآورند را بسنجند. تیمهای امنیتی باید آسیبپذیریها را پیدا کرده، در مسیر برطرف کردن آنها اطلاعات جمعآوری کنند که به وسیله آن بتوانند وضعیت امنیت اطلاعات خود را بهبود دهند. علیرغم اینکه همه موارد ذکر شده قابل انجام، مدیریت و اندازه گیری میباشند اما نفوذ در سیستم امری بسیار مهم و غیرقابل اجتناب است که هزینه ایجاد شدهی آن برخی اوقات قابل اندازه گیری نیست.