مقالات

افشای اطلاعات؛ غنیمتی برای هکرها، معضلی برای سازمان‌ها

معرفی برخی از روش‌­های عملیاتی، جهت حفظ و جلوگیری از نشت اطلاعات حساس در سازمان­‌های کوچک و بزرگ

سرقت داده‌های حساس از اطلاعات کارمندان و مشتریان گرفته تا اطلاعات مربوط به مالکیت معنوی همچنان یکی از میادین مبارزه بین مهاجمین و سازمان‌های مسئول محافظت از این داده‌ها است. مشتریان و کسب و کارها امروزه داده‌های بیشتری را در پلتفرم‌های دیجیتال مختلف از جمله بستر ابر، موبایل و اینترنت اشیاء منتشر می‌کنند، که هر روز بر تعداد پلتفرم آنها افزوده می‌شود. یکی از چالش­‌های اساسی امروز در این بسترها، تعادل بین استفاده از داده و تهدید آن­ها است.

حوادث نشت داده که برای شرکت‌های Facebook ،Equifax و Marriott رخ داد، نشان دهنده آن است که هیچ سازمانی در برابر روش‌های امنیتی پرخطر ایمن نیست. اما مسلماً کسب و کارهای کوچک و متوسط توانایی مقابله با چنین رخدادهایی را ندارند. شرکت‌های بزرگ که مجهز به منابع مالی، سیاست‌های بیمه، لابی‌های سیاسی و امکانات مختلف دیگر هستند، زمان، منابع و قدرت بیشتری برای حفظ بقای خودشان در برابر نشت داده‌های حساس دارند.

شرکت‌های کوچک و متوسط برای بقا در دنیای سایبری و حملات سایبری دو گزینه را پیش­ روی دارند: رشد یا نابودی. متاسفانه کسب و کارهای کوچک و متوسط برای حفظ بقای سازمان در محیط رقابتی، باید تمهیداتی در نظر بگیرند که زمینه رشد روزافزون سازمان خود را فراهم نمایند تا از تهدیدهای سایبری کمتر متحمل ضرر شوند. این امر مستلزم ایجاد توازن بین راهکارهای رشد سازمانی و اقدامات پیشگیرانه جهت مقابله با تهدیدهای سایبری است. وجود خطر برای این سازمان­‌ها از قدیم بوده، هست و خواهد بود. اما رعایت نکات اولیه برای جلوگیری از نشت داده­‌های حساس، اقدامات پیشگیرانه مناسبی را فراهم خواهد کرد.

در ادامه این مقاله به معرفی برخی از روش‌­ها برای حفظ و جلوگیری از نشت اطلاعات حساس در سازمان­‌های کوچک و بزرگ می­‌پردازیم.

  • دشمن خودتان را بشناسید: آشنایی با طرز فکر، انگیزه‌ها و تاکتیک‌های یک هکر
  • خطرات را بشناسید: احتمال وقوع یک حادثه و ریسک اقتصادی
  • چه روش‌هایی خوب کار می‌کنند و چه روش‌هایی مناسب نیستند؛ محافظت در برابر حوادث آینده

 دشمن خودتان را بشناسید

“دشمن خودتان را بشناسید” یکی از قدیمی‌ترین مفاهیم در استراتژی‌های نظامی است. شما باید اطلاع داشته باشید که چگونه و چرا تحت حمله قرار می‌گیرید تا بتوانید از داده‌های حساس خودتان محافظت کنید. چراییِ سرقت داده‌های حساس ممکن است ریشه در انگیزه‌های اقتصادی داشته باشد. اما مصاحبه‌ها و مطالعات صنعتی در رابطه با هکرها نشان می‌دهد که انگیزه‌های دیگری هم به غیر از رسیدن به منافع مالی وجود داردف که در شکل زیر به برخی از آن‌ها اشاره خواهیم کرد:


همانطور که می‌بینید، در بین پاسخ دهندگان ۴۶ درصد اعلام کرده‌اند که زندگی بدون خطر برایشان بیش از حد کسل کننده است و ۶۴ درصد از آنها اعلام کردند که از خطرات این کار لذت می‌برند.

به‌علاوه، بسیاری از هکرها اعلام کرده‌اند که هر چه حساسیت داده‌ها بیشتر باشد احتمال ورود آنها به گروه‌های اجتماعی یا ارتقای جایگاهشان در این گروه‌ها بیشتر می‌شود. در واقع آنها به داده‌های حساس به عنوان یک غنیمت یا اثباتی برای موفقیت و مجموعه مهارت‌هایشان نگاه می‌کنند. هر چند خطر تعقیب قانونی برای آنها مسلم است اما ۷۷ درصد از هکرها اعلام کرده‌اند که نقش آنها در حمله به ندرت شناسایی شده است. موضوع نگران کننده‌تر این است که ۹۰ درصد از پاسخ دهندگان نشان داده‌اند که می‌توانند در عرض کمتر از ۳۰ دقیقه پس از یک رخنه، ردپای خودشان در حمله را از بین ببرند و به این ترتیب سطح خطر را کمتر کنند.


هر چند مطالعات رفتاری متعددی در رابطه با نظریه جرم وجود دارند که می‌توانند انگیزه‌های یک هکر را تشریح کنند اما راهکار کلیدی بررسی موضوع از دیدگاه خود هکرها است. نظریه‌ها نشان می‌دهند که اگر منفعت یک حمله بیشتر از خطر آن باشد، افراد چه هکر باشند یا غیر هکر به نوعی وارد فعالیت مجرمانه می‌شوند. در نتیجه، شرکت‌های کوچک و متوسط باید به داده‌هایی که از آن محافظت می‌کنند دقت کنند. مدیران شرکت از دیدگاه یک هکر به پرسش‌های زیر  باید پاسخ دهند:

  • ارزش داده‌ها از دیدگاه اجتماعی چقدر است؟
  • ارزش داده‌ها از دیدگاه اقتصادی چقدر است؟
  • به دست آوردن داده‌ها چقدر راحت یا سخت است؟
  • خطر گیر افتادن چقدر است؟
  • عواقب گیر افتادن چیست؟

درون ذهن یک هکر

آشنایی با طرز فکر دشمن، ارزشمند و دانستن روش حمله آنهاف فوق العاده ارزشمند است. در این مقاله سعی شده با بررسی ذهن یک هکر به کمک تیم قرمز eSentire (گروهی از بهترین هکرهای اخلاقی که از فریبنده‌ترین روش‌ها برای آزمایش کردن مکانیزم‌های دفاعی مشتریان خودشان استفاده می‌کنند) دشمنان خود را بشناسیم. یک هکر به روش‌های مختلفی می‌تواند به داده‌های حساس دسترسی پیدا کند. ما برای اینکه نشان دهیم که یک هکر چگونه می‌تواند بدون استفاده از بدافزار به داده‌های حساس دسترسی پیدا کند و حتی از داده‌های حساس به دست آمده از طریق سایر رخنه‌ها علیه سازمان مورد نظر سوءاستفاده کند یک روش خاص را مورد بررسی قرار خواهیم داد.

جمع آوری اطلاعات

هکرها برای شناسایی دشمنان خودشان از فرایند شناسایی استفاده می‌کنند که در حوزه امنیت بیشتر به آن اطلاعات اپن سورس (OSINT) گفته می‌شود. OSINT یک اصطلاح فنی است که به جمع آوری داده‌های سیستم هدف مورد نظر گفته می‌شود که به صورت عمومی در دسترس هستند. هر چند این کار از نظر فنی ضروری نیست اما برای تعیین متدها و ابزارهای مناسب جهت دستیابی سریع و مخفیانه به اهداف مورد نظر طی کردن این مرحله مهم است.

می‌توان مرحله شناسایی حمله را مثل یک کوه یخ در نظر گرفت. فعالیت‌های نفوذی هکر برای یافتن و استخراج داده‌های حساس فقط نوک این کوه یخ است. اما جمع آوری اطلاعات، مهندسی اجتماعی و برنامه ریزی که قبل از آن صورت می‌گیرد باعث می‌شود که هکرها اطلاعات مورد نیاز درباره سازمان مورد نظرشان را کشف کنند. همچین این امر نشان دهنده یکی از مزایای هکرها نسبت به اهدافشان است، این که حرکت اول توسط هکرها انجام می‌شود. وقتی مرحله شناسایی تکمیل شود، مهاجم در حمله موقعیت بهتری خواهد داشت و در رابطه با زیرساخت دفاعی موجود و نقاط ضعف احتمالی آن اطلاعات کسب کرده است.

مهم‌ترین مرحله‌ای که معمولاً نادیده گرفته می‌شود، جمع آوری اطلاعات است. هر چه زمان بیشتری را صرف مرحله شناسایی کنید، گزینه‌های شما برای اجرای یک حمله موفقیت آمیز بیشتر خواهد بود.

شناختن خطر

شناختن دشمن برای بررسی اینکه چرا داده‌های حساس شما مورد هدف قرار می‌گیرد ضروری است و آشنایی با خطرات مرتبط با از دست رفتن داده‌ها برای اولویت دهی به محافظت از آنها ضروری است.

هر چند به نظر می‌رسد که داده‌های حساس یک تعریف واضح و مشخص دارند اما معمولاً در سازمان‌های کوچک و متوسط تعریف و دسته‌بندی واضحی از این داده‌ها وجود ندارد.

در نظرسنجی اخیری که توسط شرکت eSentire از ۳۰۰ کارشناس امنیت انجام گرفت، مشخص شد که حدود ۶۳ درصد از سازمان‌ها تعریف واضحی از داده‌های حساس در سازمان خودشان ندارند. ۵۵ درصد از آنها فاقد سیاست طبقه‌بندی داده‌ها بودند و فقط ۵۱ درصد حس می‌کردند توانایی شناسایی و واکنش نشان دادن به حمله علیه داده‌های حساس خودشان را دارند.


اولین مرحله در شناسایی، بررسی زیرساخت هدف است. به عنوان مثال هکرها به دنبال سرورها، DNS و هر سرویس دیگری هستند که از طریق اینترنت برای همه قابل دسترسی باشد. در این حمله، ابزار ریست پسورد نیاز به چهار قلم اطلاعات دارد: نام کاربری، تاریخ تولد، چهار رقم آخر شماره ملی و پاسخ یک سوال امنیتی که در اینجا این سوال تاریخ تولد کارمند بود.

در ادامه توضیح می‌دهیم که تیم قرمز eSentire چگونه ابزار ریست پسورد را کرک کرد.

گام اول: شناسایی کاربر و نام کاربری (OSINT)

“اولین مرحله، شناسایی کارمندی بود که می‌توانستیم از این ابزار ریست پسورد علیه او استفاده کنیم و سعی کردیم چهار قطعه اطلاعاتی مورد نظر برای این کارمند را پیدا کنیم. ما کارمندی را انتخاب کردیم که یک نام کاربری بسیار منحصربفرد داشت. مسلماً هر چه یک نام متداول تر باشد، محدود کردن گزینه‌ها برای شناسایی فردی که به دنبال او هستید سخت‌تر می‌شود.”

وقتی نام هدف شناسایی شد، شناسایی نام کاربری او یک فرایند ساده است. اپلیکیشن‌های رایگان خاصی در اینترنت وجود دارند که می‌توانند با درجه قطعیت بالایی نام کاربری و ایمیل افراد را شناسایی کنند. معمولاً این نام‌های کاربری ترکیبی از نام و نام خانوادگی هستند (مثل johnsmith john.smith، john_smith و غیره).

گام دوم: تاریخ تولد (OSINT)

“اطلاعات بعدی تاریخ تولد است. به دست آوردن این اطلاعات از آنچه تصور می‌شود بسیار آسان‌تر است. وبسایت‌های مجاز مختلفی مثل look up this person و http://www.anywho.com و check to see if a person has a criminal record برای انجام این کار وجود دارند. برخی از وبسایت‌ها برای ارائه چنین اطلاعاتی هزینه دریافت می‌کنند و در صورتی که تمایل داشته باشید، این هزینه را پرداخت می‌کنید. اما بسیاری از آنها یک دوره آزمایشی رایگان دارند. اگر این اطلاعات را از چند وب‌سایت جمع آوری کنید می‌توانید به نتایج خاصی برسید. می‌توانید بدون پرداخت کمترین هزینه‌ای یک نمایه کامل از شخص مورد نظرتان ایجاد کنید.”

گام سوم: شماره ملی (دارک وب)

“به دست آوردن چهار رقم آخر شماره ملی کمی سخت‌تر است … البته نسبت به سایر اطلاعاتی که به صورت اپن سورس در دسترس هستند. اما در این مثال نویسنده مقاله  این اطلاعات را از طریق دارک وب به دست آورد.”

هر روزه شاهد نشت داده‌ها هستیم. ایمیل، پسوردها، شماره کارت اعتباری، شماره ملی و اطلاعات مختلف دیگر افشا شده و در دسترس همه قرار دارند. افراد خلافکار سعی می‌کنند از این داده‌ها در بازارهای دارک وب کسب درآمد کنند و یا این اطلاعات را به صورت رایگان منتشر کنند تا برای استخدام شدن قابلیت‌هایشان را به نمایش بگذارند. اگر هکرها نتوانند خودشان این اطلاعات را به دست آورند این احتمال وجود دارد که اطلاعات مورد نظرشان در دارک وب برای فروش موجود باشد.

گام چهارم: محل تولد (شبکه‌های اجتماعی)

“آخرین قطعه اطلاعاتی مورد نظر، محل تولد است که تشخیص دادن آن دشوار است زیرا ممکن است محل تولد فرد با آدرس فعلی او متفاوت باشد. ممکن است شخصی ساکن فیلادلفیا باشد اما در اورگان یا در یک کشور دیگر متولد شده باشد. اینجاست که آنها از شبکه‌های اجتماعی استفاده می‌کنند و پروفایل‌های توییتر و فیسبوک را بررسی کرده و به دنبال الگوهای خاص هستند. آن­ها متوجه طرفداری از تیم ورزشی یک دانشگاه خاص و یا پشتیبانی از رویدادهای یک شهر کوچک شدند. سپس نزدیک‌ترین بیمارستان به این گروه خاص را پیدا کردند و شهری که بیمارستان در آن قرار داشت را پیدا کردند. حالا در این مرحله هکرها فقط یک حدس می‌زنند. حدسی که بر اساس معلومات است، ولی مشخص می شود که این حدس درست بوده است.”

گام پنجم: تنظیم حرکات جانبی

“وقتی به این مرحله رسیدند نهایتاً برای نفوذ به اکانت‌های آنها به اکتیو دایرکتوری دسترسی پیدا می‌کنند. آن­ها یک لیست از نام‌های کاربری متشکل از چندین هزار نام کاربری مختلف به دست آورده‌اند. بهترین نکته درباره هک این است که افراد معمولاً الگوهای رفتاری خاصی دارند. اینجاست که جستجوی فراگیر وارد عمل می‌شود.”

جستجوی فراگیر یک تکنیک کلاسیک است. در این تکنیک از برنامه‌ای استفاده می‌شود که هزاران یا میلیون‌ها بار سعی می‌کند با نام کاربری و پسوردهای مختلف لاگین کند. برای مقابله با جستجوی فراگیر یا بروت فورس سعی می‌شود بعد از چند بار تلاش ناموفق برای لاگین، حساب مربوطه قفل شود که معمولاً این قفل شدن مدت چندانی طول نمی‌کشد. اما یک هکر آگاه و خبره می‌تواند به گونه‌ای حمله جستجوی فراگیر را اجرا کند که این مکانیزم‌های امنیتی فعال نشوند.


معمولاً کاربران از یک پسورد مشابه برای حساب‌های مختلف استفاده می‌کنند چون هیچ کس تمایلی ندارد که ده‌ها پسورد مختلف را به خاطر بسپارد. در نتیجه بیشتر کمپانی‌ها کاربران را موظف می‌کنند که مثلاً پس از ۶۰ یا ۹۰ روز پسوردشان را عوض کنند. این اقدام به عنوان یک راهکار امنیتی معقول به نظر می‌رسد زیرا تغییر مکرر پسوردها باعث می‌شود که کار هکرها سخت تر شود. اما این قانون اجباری باعث افزایش استفاده از پسوردهای متداول و معمولی شده است. هیچ کس تمایلی ندارد که هر چند ماه یکبار مجبور به حفظ کردن یک پسورد کاملاً جدید باشد بنابراین سعی می‌کنند یک الگوی خاص برای پسوردهایشان داشته باشند و همان را به خاطر بپسارند مثل spring2019 ،summer2019 ،winter2019 و غیره. راهکارهای مدیریت پسورد هم برای مدیریت این شرایط طراحی شده‌اند اما هنوز به پذیرش گسترده نرسیده‌اند. در شکل زیر اطلاعاتی از تحقیقی که در این خصوص در سازمان‌ها انجام دادیم را خواهید دید.


هکرهای اخلاقی می‌گویند”ما هم در جولای ۲۰۱۷ همین کار را انجام دادیم و با جستجوی فراگیر، پسوردهایی مثل summer2017 و summer17 را امتحان کردیم. از بین هزاران ایمیل توانستیم به ۳۹ اکانت دسترسی پیدا کنیم.”

تیم قرمز eSentire توانست با به دست گرفتن کنترل مجموعا ۴۰ اکانت مختلف (۳۹ به‌علاوه اکانت اصلی هک شده) در شبکه نفوذ کند و اطلاعات حساسی مثل لیست کاربران، داکیومنت‌های مربوط به برنامه‌ریزی سال مالی و استراتژی سازمان و اطلاعات کارت اعتباری را به دست آورد.

درون ذهن یک هکر

جمع آوری اطلاعات

شناسایی دشمن برای تشخیص اینکه چرا داده‌های حساس شما مورد هدف قرار گرفته‌اند ضروری است و دانستن خطرات مربوط به افشای داده‌ها برای اولویت دادن به مکانیزم‌های محافظتی امری  ضروری و بدون قید و شرط  است.

هر چند به نظر می‌رسد که داده‌های حساس یک تعریف واضح و مشخص دارد اما معمولاً در سازمان‌های کوچک و متوسط تعریف و دسته‌بندی واضحی از این داده‌ها وجود ندارد. در نظرسنجی اخیری که توسط شرکت eSentire از ۳۰۰ کارشناس امنیت انجام گرفته، حدود ۶۳ درصد از سازمان‌ها تعریف واضحی از داده‌های حساس در سازمان خودشان نداشتند. ۵۵ درصد از آنها فاقد سیاست طبقه‌بندی داده‌ها بودند و فقط ۵۱ درصد حس می‌کردند توانایی شناسایی و واکنش نشان دادن به حمله علیه داده‌های حساس خودشان را دارند.

در زیر سوالات مطرح شده و پاخ مخاطبان را باهم خواهیم دید:

۱. آیا داده‌های حساس و یا ارزشمند در سازمان شما به صورت واضح تعریف شده‌اند؟ پاسخ‌های نه و مطمئن نیستم با هم ترکیب شده‌اند.

۲. در یک نظر سنجی از پرسنل سازمان های مختلف پرسش شد که آیا تعریف مشخصی برای داده‌­های ارزشمند دارید، شکل زیر درصد پاسخ‌های دریافتی را نشان می‌دهد:


۳. آیا سازمان شما خط مشی واضحی برای طبقه‌بندی داده‌ها دارد؟


۴. چقدر نسبت به قابلیت سازمان خودتان برای شناسایی و عکس‌العمل نشان دادن نسبت به حمله‌ای هدفمند علیه داده‌های حساس خودتان اطمینان دارید؟


داده‌های حساس می‌توانند شکل و فرم‌های مختلفی داشته باشند. آشنایی با خطرات مالی مرتبط با این داده‌ها می‌تواند به سازمان‌ها جهت شناسایی و طبقه‌بندی داده‌های حساس خودشان کمک کند.

خطر مالی داده‌های حساس

مجرمین سایبری و عدم وجود شفافیت در محاسبه بهای تبادل داده­‌ها و اطلاعات، باعث شده ارزیابی هزینه دقیق سرقت داده‌های حساس برای اقتصاد جهانی دشوار شود. طبق مطالعه “هزینه نشت داده‌ها در سال ۲۰۱۸” که توسط Ponemon صورت گرفت، میانگین هزینه یک نشت داده ۳.۸۶ میلیون دلار است. در سال ۲۰۱۷ کمیسیون IP در رابطه با سرقت مالکیت معنوی در امریکا برآورد کرد که این هزینه هر سال بین ۲۲۵ تا ۶۰۰ میلیارد دلار است که هر دو رقم نسبت به عددی که در سال‌های قبل گزارش داده شده، افزایش یافته است. هر چند این آمار نشان می‌دهند اقتصاد سرقت داده‌های حساس چقدر گسترده و عظیم است، اما این موضوع به شرکت‌های کوچک و متوسط محدود نمی‌شود.

شما هم برای تشخیص ریسک مالی ناشی از سرقت داده‌های حساس باید احتمال حمله و همچنین خسارات بالقوه‌ای که ممکن است برای سازمان شما ایجاد شود را بدانید.

ریسک = احتمال × خسارت بالقوه

احتمال

موضوع این نیست که آیا این اتفاق برای شما هم رخ می‌دهد یا خیر، بلکه موضوع و سوال اصلی این است که چه موقع این اتفاق برای شما رخ می‌دهد. هر مسئول امنیت این شعار را عامل ایجاد ترس، عدم قطعیت و شک می‌داند. اما این موضوع برای سازمان شما چقدر صدق می‌کند؟ احتمال اجتناب از رخنه اطلاعاتی برای هر سازمانی، صرف نظر از اینکه مکانیزم‌ها و منابع دفاعی آن سازمان چقدر قوی باشد، در یک بازه زمانی بسیار طولانی به صفر می‌رسد. سوال این است: خطراتی که با توجه به چشم‌انداز امروزی سازمان شما را تهدید می‌کنند، چه خطراتی هستند و احتمال وقوع یک حادثه در اثر دور زدن کنترل‌های پیشگرانه موجود در سازمان شما چقدر است؟

به گذشته نگاه کنید تا برای پیش بینی آینده کمک بگیرید. eSentire در راستای تلاش برای کمک به سازمان‌ها جهت تعیین سطح خطر، طی یک دوره ۱۲ ماهه از داده‌های مرکز عملیات امنیتی (SOC) خودش، در رابطه با ۶۵۰ سازمان از بیش از ۵۰ کشور مختلف استفاده کرد. از این داده‌ها برای تعیین احتمالات آینده با توجه به تعداد مکان‌های تحت حفاظت و صنعتی که سازمان مربوطه در آن فعالیت دارد، استفاده شد. با استفاده از مدل سازی گرایش، احتمال تجمعی وقوع حداقل یک حادثه با دور زدن مکانیزم‌های کنترلی موجود طی یک سال تولید شد. می‌توانید با استفاده از نمودارهای زیر موقعیت سازمان خودتان درباره احتمال وقوع حملات فیشینگ، کد مخرب، اکسپلویت‌های شناخته و غیره را مشاهده کنید.


هزینه داده‌های حساس

هر چند نمودارهای بالا بخشی از معادله خطر را مشخص می‌کنند اما سازمان‌ها خودشان باید هزینه لو رفتن داده‌های حساس را مشخص کنند. در مطالعه هزینه نشت داده که توسط موسسه Ponemon در سال ۲۰۱۸ انجام شد، هزینه افشای رکوردهای حساس بر اساس موارد زیر محاسبه شد:

  • هزینه‌های تشخیص و تشدید حمله
  • هزینه‌های اطلاع رسانی
  • هزینه‌های واکنش پس از نشت داده
  • هزینه‌های ناشی از آسیب به کسب و کار

به این ترتیب هزینه سرانه افشای یک رکورد در هر صنعت بر حسب دلار آمریکا به صورت زیر تخمین زده شد:

  • مراقبت‌های بهداشتی: ۴۰۸ دلار
  • مالی: ۲۰۶ دلار
  • خدمات: ۱۸۱ دلار
  • داروسازی: ۱۷۴ دلار
  • تکنولوژی: ۱۷۰ دلار
  • انرژی: ۱۶۷ دلار
  • آموزش: ۱۶۶ دلار
  • صنعتی: ۱۵۲ دلار
  • سرگرمی: ۱۴۵ دلار
  • مصرفی: ۱۴۰ دلار
  • رسانه: ۱۳۴ دلار
  • حمل و نقل: ۱۲۸ دلار
  • ارتباطات: ۱۲۸ دلار
  • مهمانداری: ۱۲۰ دلار
  • خرده فروشی: ۱۱۶ دلار
  • تحقیقات: ۹۲ دلار
  • عمومی: ۷۵ دلار

جهت تخمین زدن ریسک اقتصادی برای سازمان خودتان از معادله زیر استفاده کنید:

احتمال (به عنوان مثال برای یک لوکیشن در صنعت مراقبت‌های بهداشتی، ۳۹ درصد) × (هزینه هر رکورد که در این مثال ۴۰۸ دلار است × تعداد رکوردهای حساسی که در اختیار دارید)

در این مثال اگر طبق خط مشی طبقه‌بندی داده‌ها در سازمان خودتان، شما ۱۰ هزار رکورد حساس در اختیار دارید ریسک اقتصادی برای سازمان شما ۱۵۹۱۲۰۰ دلار امریکا خواهد بود.

لطفا توجه داشته باشید که در این برآورد فرض شده که حوادث امنیتی منجر به نشت داده‌های حساس می‌شوند. هر چند بیشتر حوادث شامل داده‌های حساس نمی‌شوند اما سازمان‌ها در هنگام تعیین ریسک باید بدترین حالت را در نظر بگیرند. اگر حادثه‌ای منجر به نشت داده‌های حساس شود، باید کل ریسک مالی را برای تیم امنیتی و مهم‌تر از آن برای مدیران و تصمیم گیرندگان مشخص کنید تا تشخیص دهند آیا سرمایه گذاری‌های لازم برای تهیه راهکارهای امنیتی جهت مقابله با خطرات در سطح قابل قبولی قرار دارد یا خیر.

نتیجه گیری

شناسایی دشمن و شناسایی خطر دو گام مهم برای محافظت از داده‌های حساس سازمان شما محسوب می‌شوند.

اولین گام برای تعیین خطر، شناسایی داده‌هایی است که سرقت یا افشای آنها منجر به بیشترین میزان آسیب می‌شود. وجود یک خط مشی رسمی در استراتژی مدیریت خطر سایبری برای طبقه‌بندی داده‌ها جهت شناسایی داده‌های حساس، ضروری است. اگر سازمان شما فاقد منابع یا تخصص لازم برای پیاده سازی چنین خط مشی باشد، استفاده از سرویس‌های مشاوره یا CISO مجازی، راهکار مفیدی است که می‌تواند جهت برآورد کردن خطرات مالی به شما کمک کند.

همانطور که تلاش‌های تیم قرمز eSentire و مدل آماری SOC نشان داد، احتمال وقوع رخنه اطلاعاتی بسیار زیاد است. هکرهای ماهر می‌توانند تقریباً به راحتی راهکارهای امنیتی داخلی و محیطی را دور بزنند. ابزار اصلی مورد استفاده جهت دستیابی به هدف، بدافزار سفارشی یا یک اکسپلویت روز صفر نیست بلکه مهندسی اجتماعی و داده‌های شخصی است. هر چند این تکنیک‌ها و متدها نسبتاً ساده به نظر می‌رسند اما در حملات هدفمند فوق العاده کارآمد هستند. به‌علاوه مادامی که هکرها انگیزه‌های اجتماعی و اقتصادی داشته باشند، به هدف گرفتن داده‌های حساس شما ادامه خواهد داد. همچنین با افزایش میزان به اشتراک گذاری داده‌های حساس در ابر، اینترنت اشیاء و روی موبایل سازمان‌ها با خطرات امنیتی روزافزونی روبرو می‌شوند.

پیشگیری بی فایده است، مگر اینکه با تشخیص و واکنش همراه باشد.

نقل قولی از تحلیلگر Gartner

با توجه به افزایش تعداد حوادث ناشی از نشت داده‌ها، سازمان‌ها در این چشم‌انداز پرخطر با چالش‌های بزرگی روبرو شده‌اند و بنابراین سعی دارند با استفاده از تشخیص و واکنش مدیریت شده (MDR) راهکارهای پیشگیرانه فعلی خودشان را تکمیل کنند. رخنه‌هایی مثل آنچه در این گزارش بررسی شد، اجتناب ناپذیر هستند. اما مهم‌ترین عامل در کاهش خطر نحوه شناسایی و عکس‌العمل مناسب در مقابل این حملات است. بخصوص قابلیت شناسایی و ممانعت از حرکات عرضی مهاجم و خارج کردن داده‌های حساس و انتشار آنها جهت پیشگیری از ایجاد اختلال در کسب و کار ضروری است.

سازمان‌های کوچک و متوسط سعی دارند با این تغییرات همسو شوند. تحقیق eSentire نشان داد نسبت به قابلیت تیم‌های امنیتی جهت شناسایی، عکس‌العمل و پیشگیری به موقع از خطرات یک عدم اطمینان وجود دارد.

فرض کنید که یک مهاجم از راهکارهای امنیتی شما عبور کرد. شما چقدر نسبت به قابلیت سازمان خودتان جهت شناسایی حرکات عرضی در شبکه سازمان اطمینان دارید؟




هر چند اکثر سازمان‌های کوچک و متوسط اعتمادی به قابلیت خودشان برای شناسایی و عکس‌العمل نشان دادن ندارند، اما داده‌های ۲۰۱۸ Black Report نشان می‌دهد که مهاجمین نسبت به قابلیت خودشان برای پیشگیری از شناسایی شدن و دستیابی به اهدافشان اطمینان دارند.

هکرها که زمان و منابع کافی برای دستیابی به اهدافشان را در اختیار دارند همیشه این مزیت را دارند که حرکت اول را انجام دهند. سازمان‌ها باید خطرات مالی مربوط به داده‌های حساس خودشان و خلاهایی که برای کاهش خطر باید از بین بروند را در نظر بگیرند.

برای بیشتر شرکت‌های کوچک و متوسط، محافظت از داده‌های حساس نیاز به سرمایه گذاری‌های بیشتر جهت تقویت قابلیت‌های شناسایی و واکنش دارد. سرمایه گذاری جهت تهیه تکنولوژی، فرایندها و افراد مورد نیاز برای تهیه یک مرکز عملیات امنیتی تعهد بزرگی است که ممکن است بسیاری از سازمان‌های کوچک و متوسط نتوانند از عهده آن برآیند. برای سازمان‌هایی که تخصص یا بودجه لازم برای ایجاد چنین مرکزی را به صورت داخلی ندارند خدمات شناسایی و عکس‌العمل مدیریت شده‌ای وجود دارند که جایگزین مناسبی محسوب می‌شوند.

 

 

 

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو × پنج =

همچنین ببینید

بستن
دکمه بازگشت به بالا
بستن
بستن