اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

ویژگی های اصلی Cyber Resilience در سال ۲۰۱۹

ویژگی های اصلی Cyber Resilience در سال 2019

به گفته فیلسوف یونان باستان هراکلیتوس:” همه چیز تغییر می‌کند و هیچ چیز ثابت نمی‌ماند.” این نقل قول با اینکه بیش از 2500 سال قدمت دارد، شرایط امروزی امنیت سایبری را توضیح می‌دهد. اکثر متخصصان امنیتی می‌دانند در شرایطی هستند که مدام در حال تغییر است. یک تکنیک یا Threat Intelligence جدید می‌تواند تمامی یک استراتژی دفاعی را تغییر دهد. اگر برنامه‌ریزی Cyber Resilience سازمان‌ها با جدیدترین رویدادهای امنیتی همگام نباشد، تیم امنیتی بعد از حمله، به یاد نقل قول افلاطون افتاد که می‌گوید: ” مردمان خوب نیازی به قانون ندارند که به آن‌ها بگوید درست برخورد کنند، درحالی که افراد خبیث، همیشه برای دور زدن قوانین راهی پیدا می‌کنند.”.

طرح و برنامه مفید است ولی ایجاد یک ساختار امنیتی کامل و به روز برنامه‌ریزی امری ضروری است. ممکن است تصور شود این خبر، جمع‌آوری مطالبی فقط بر پایه منطق و استدلال است که در این صورت باید به یاد جریان‌های متداول امروزی افتاد.  در صورتی که به درس‌های ذکر شده در این نقل قول‌ها، فکر شود مفهوم آن‌ها کاملا واضح است. با تمام دشواری امنیت سایبری، در صورت تامل و برنامه‌ریزی در مورد آن، مدیریت ریسک سایبری بسیار واضح است:

  • مشخص کردن ریسک‌هایی که به سازمان‌ها و شرکت‌ها آسیب می‌رساند.
  • محاسبه میزان ریسکی که سازمان یا شرکت می‌تواند تقبل کند.
  • و در نهایت برنامه‌ای تهیه شود که با ریسک‌های قابل قبول، مقابله کند.

3 مورد کلیدی ذکر شده در بالا برای ایجاد محیط مدیریت ریسک سایبری، الزامی است. برخی از برنامه‌ریزی‌های مناسب Cyber Resilience در سال 2019، برپایه سادگی می‌باشند که از سوی موسسه ملی تکنولوژی‌ و استانداردها (National Institute of Standards and Technology یا به اختصار NIST) با نام چارچوب امنیت سایبری (Cybersecurity Framework یا به اختصار CSF) منشتر شده‌ است. عوامل مشخص شده مانند شناسایی، محافظت، تشخیص دادن، پاسخ‌گویی و بازیابی به تیم‌های امنیتی کمک می‌کند تا با تهدیدها مقابله کنند. صرف نظر از مقیاس سازمان یا شرکت مورد نظر، اطلاعات و چارچوب توضیح داده شده توسط چارچوب CSF از NIST می‌بایست در زیرساخت امنیتی پیاده‌سازی شود زیرا در بدترین حالت، حداقل یک نقطه شروع برای ارزیابی Posture امنیتی آن سازمان یا شرکت است.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

خبر خوب این است که چارچوب CSF موسسه NIST به آرامی ولی به قطع، در حال رساندن خود به سطح تهدید‌های امروزی می‌باشد. در تحقیق سال 2015 از سوی Gartner پیش‌بینی شده بود که 30 درصد از سازمان‌ها در ایالات متحده از این چارچوب استفاده می‌کنند و برآورد کرده بودند که تا سال 2020 این میزان تا 50 درصدر افزایش خواهد یافت. اگر چارچوب CSF در برنامه‌ریزی Cyber Resilience سازمانی پیاده‌سازی نشده باشد، آن سازمان خود را در معرض خطر قرار داده است.

عدم وجود طرح Cyber Resilience در صورت نقص بررسی آن

اسناد و گزارشات یکپارچه سازی  در زمان بازرسی و بررسی‌های امنیتی کاملا کاربردی هستند اما قطعا در مقابله با تهدیدهای مداوم پیشرفته (Advanced Persistant Threat یا به اختصار APT) هیچ کمکی به تیم امنیتی سازمان یا شرکت نخواهد کرد. آزمایش کردن  و ایجاد چالش برای برنامه‌های امنیتی و شبکه‌های سازمانی به صورت کلی امری دشوار، پر هزینه  و زمان بر است ولی با وجود شرکت‌های بیشتر در فضای امنیت سایبری که محیط را رقابتی می‌کند و همچنین نوآوری‌ها و علوم اقتصادی توسعه تکنولوژیکی، ارزیابی آسیب‌پذیری و آزمایشات نفوذ پذیری، این گونه آزمایشات دیگر مختص سازمان‌ها بزرگ نمی‌باشد. امروزه محصولاتی در این حوزه در حال توسعه هستند که ارائه‌کنندگان خدمات، این سرویس‌ها را با نرخ یکسان ارائه می‌دهند. برای سازمان‌هایی که از انجام این ارزیابی و آزمایشات به دلایل مالی دوری می‌کردند، این محصولات جدید اخبار بسیار خوبی است.

تنها مشکل باقی مانده تکرار آزمایشات به صورت مکرر و هر از چند وقت می باشد. تصمیم سازمان یا شرکت قطعا بر اساس میزان تحمل ریسک است، درست مانند چکاپ سالانه دکتر برای آگاهی از سلامتی مریض، انجام این ارزیابی‌ها به صورت سالیانه می‌تواند امری متداول شود. چکیده گفته‌های بالا را می‌توان اینطور بیان کرد که اگر سازمان یا شرکتی دست کم سالیانه سیستم‌های خود را مورد ارزیابی قرار ندهد، قابلیت‌های امنیتی Cyber Resilience خود را کاهش خواهد داد.

مسئولان امنیتی باید گفته هراکلیتوس درباره اینکه چطور همه چیز تغییر می‌کند و هیچ چیز ثابت نمی ماند را به یاد بیاورند. ممکن است تکنیک امنیتی که در سال 2018 تصور می‌شد مناسب باشد، در سال 2019 برای امنیت سازمان مناسب نباشد. همچنین باید مدیریت ریسک سازمان را پویا نگه داشت و تنها راه برای پویا ماندن، بروز بودن نسبت به تهدیدات سایبری است تا بتوان متناسب با آن برخورد کرد. در غیر این صورت تیم امنیتی و سازمانی که در این کار درنگ می‌کند باعث افزایش ریسک و ایجاد خسارت در سرور‌ها میگردد و سازمان را در شرایط بدی قرار خواهد داد.

آگاهی مداوم و دوری از حملات Phishing

افراد تیم امنیتی یا حتی دیگر افراد سازمان باید به صورت مداوم در مورد موارد امنیتی آموزش ببینند تا سازمان مورد نظر خود را طعمه حملات افراد سودجو قرار ندهند. تکنولوژی‌های امنیتی مانند راه‌کارهای محافظتی Endpoint یا ابزار SIEM همگی بسیار عالی و ضروری می‌باشند اما باید به خاطر داشت که حتی آن‌ها نیز فقط بخشی از پازل امنیت هستند.

قسمت دیگر مسئله همیشه عامل انسانی است، حال چه فرد مورد نظر یک کاربر کاملا بدون اطلاع از تکنولوژی‌ باشد یا یک متخصص IT هوشمند، تفاوتی ایجاد نمی‌کند. همیشه اخباری در مورد لینک‌های مخرب که Ransomware بارگذاری می‌نمایند یا موارد موفقیت آمیز Business Email Compromise به گوش می‌رسد ولی باید به خاطر داشت که حتی ماهرترین کارمند سازمان نیز باید تحت آموزش مستمر در مورد تهدیدها و تکنیک‌های جدید قرار گیرد.

در غیر این صورت اگر افراد سازمان آموزش‌های متداول و مداوم نداشته باشند و به صورت دوره‌ای مورد آزمایش و ارزیابی قرار نگیرند، استراتژی Cyber Resilience آن سازمان همیشه یک حفره امنیتی بزرگ خواهد داشت. باید توجه داشت که این مورد ریسکی نیست که قابل ترمیم باشد ولی با آگاهی و آماده‌سازی پیش از وقوع نفوذ، کاملا قابل جلوگیری است.

کارکرد هوشمندانه Cyber Resilience

به کارگیری هوش مصنوعی مختص هر سازمان برای کمک به کاهش بار کاری کارمندان یکی از دلایل استفاده از این تکنولوژی‌ است و دلیل دیگر استفاده مهاجمان از هوش مصنوعی عملیاتی شده، برای پیاده‌سازی حملات سایبری جدید می‌باشد. هزینه بالا برای استفاده از هوش مصنوعی و (Machine Learning (ML که بر خلاف ارزیابی آسیب‌پذیری و تست‌های نفوذپذیری هنوز به مرحله استفاده عمومی نرسیده است، برخی از سازمان‌ها و شرکت‌ها را از خود می‌راند و از سوی دیگر سازمان‌هایی وجود دارند که به AI و ML به دلیل اینکه نمی‌دانند دقیقا برروی شبکه آن‌ها چه فعالیتی انجام می‌دهند، اعتماد نمی‌کنند.

علی رغم اینکه همه این موارد صحیح می‌باشند ولی استفاده عمومی AL و ML در آینده فراگیرتر خواهد شد و تیم‌های امنیتی باید برای استفاده از آن‌ها در استراتژی Cyber Resilience خود آماده باشند.

برخی اوقات پاسخ به اینگونه سوالات واقعا دشوار است ولی قبل از اینکه در مورد این سوال به جوابی برسیم به مرور مسائل مورد بحث قرار گرفته در این مقاله پرداخته می‌شود:

  • مدیریت ریسک
  • چارچوب‌های صنعتی
  • برنامه‌ریزی و آزمایش کردن برنامه
  • ارزیابی آسیب‌پذیری
  • تست نفوذپذیری
  • Security awareness training
  • هوش مصنوعی و Machine Learning

همه این موارد کاملا آشکار هستند اما سوال این است که اگر این موارد اینقدر آشکار هستند پس چرا هنوز نفوذ در سازمان‌ها و شرکت‌ها رخ می‌دهد؟ امکان آن وجود دارد که تیم‌امنیتی هنوز همه جوانب پایه‌ای را پیاده سازی نکرده باشد. برای استراتژی Cyber Resilience در سال 2019 همه موارد ذکر شده باید مورد استفاده قرار گیرند. این موارد، پایه‌های مدیریت ریسک امنیتی امروزی می‌باشند.

اگر سازمان یا شرکتی هنوز همه تدابیر بالا را برای امنیت خود به کار نگرفته باشند، آن‌ها قطعا در خطر می‌باشند. همچنین تیم‌های امنیتی باید در طی این مسیر میزان موفقیتی که از پیاده‌سازی این موارد به دست می‌آورند را بسنجند. تیم‌های امنیتی باید آسیب‌پذیری‌ها را پیدا کرده، در مسیر برطرف کردن آن‌ها اطلاعات جمع‌آوری کنند که به وسیله آن بتوانند وضعیت امنیت اطلاعات خود را بهبود دهند. علی‌رغم اینکه همه موارد ذکر شده قابل انجام، مدیریت و اندازه گیری می‌باشند اما نفوذ در سیستم امری بسیار مهم و غیرقابل اجتناب است که هزینه ایجاد شده‌ی آن برخی اوقات قابل اندازه گیری نیست.