مقالات

گزارش وضعیت امنیت سایبری سال ۲۰۱۹

دلایل گزارش وضعیت امنیت سایبری

Infosecurity در سال ۲۰۱۸ میلادی یک پروژه تحقیقاتی انجام داد تا گرایش‌های کلیدی و نوین در صنعت امنیت سایبری را مشخص کند. این گزارش که جدای از تأثیر عوامل تجاری و انگیزه‌های بازاریابی بود، با این هدف تهیه شد که نشان دهد از دید کارشناسان امنیت چه عواملی بر این صنعت تأثیرگذار هستند.

نام این پروژه، گزارش وضعیت امنیت سایبری بود که توجه­ های بسیاری را از سوی خوانندگان به خود جلب کرد. چند ماه بعد تصمیم بر آن شد که این تحقیق، دوباره تکرار شده و یک گزارش مشابه برای سال ۲۰۱۹ تهیه شود.

یکی از هدف ­های مهم و کلیدی این تحقیق، خودداری از مسأله‌ای بود که بر خیلی از گزارش‌های تهیه شده در این حوزه تأثیرگذار است. یعنی این مسأله که بسیاری از تحقیق ­ها با این هدف انجام می‌شوند که خوانندگان را به سمت یک محصول یا سرویس خاص سوق دهند.

امسال برای تهیه این گزارش، با ۶۰ کارشناس صنعتی از سراسر دنیا مصاحبه شد. همچنین با سرمایه‌گذاران، کاربران، مشاوران، تبلیغ کنندگان امنیت و مدیران کسب‌وکارها و از آنها پرسیده شد که به نظرشان چه عوامل کلیدی در حال حاضر و در آینده بر این صنعت تأثیرگذار هستند. سپس این پاسخ‌ها بازبینی و بررسی شده و یافته‌های کلیدی آن در قالب این گزارش ارایه شد.

امیدواریم که این تحقیق برای شما هم جذابیت داشته باشد و نشان دهد این صنعت، بسیار گسترده، وسیع و متنوع است و هر چند عده زیادی تفکرات مشابهی دارند اما در عین حال افرادی هستند که می‌توانند به تعیین ناهنجاری‌ها کمک کنند.

 

پنج گرایش اصلی تحقیق

گرایش ۱: محصولات و سازوکارهای حفاظتی بهتر (۳۵ درصد از پاسخ دهندگان)

گرایشی که بیشتر از همه توسط پاسخ دهندگان به این نظرسنجی گفته شد، نیاز به فناوری‌های بهتر هم از نظر کیفیت تشخیص و شناسایی و هم از نظر همگرایی خود فناوری بود.

بسیاری از افرادی که Infosecurity با آنها صحبت کرده، به مشکل تحکیم و یکپارچه‌سازی فناوری اشاره کرده اند. Simon Church مدیرکل و مدیر اجرایی در Optiv می‌گوید با وسیع‌تر شدن چشم‌انداز مخاطرات، تحکیم و یکپارچه‌سازی دشوار‌تر شده و این موضوع موجب می‌شود کاربران از گفتگو با فروشنده ­های مختلف خودداری کرده یا برای کاهش سطح آشفتگی و شلوغی، به سمت یک فروشنده حرکت کنند.

همکار او Andrzej Kawalec نیز که مدیر ارشد فناوری و مدیر راهبرد و فناوری است توصیه می‌کند که هیچ مدیر ارشد امنیت اطلاعاتی، در ۹۰ روز ابتدایی یک کار جدید نباید هیچ فناوری یا محصول جدیدی را خریداری کند چون معمولاً در روزهای ابتدایی کار خود، این مدیر اطلاع ندارد که به چه چیزی نیاز دارد.

تعدادی از پاسخ دهندگان به این نظرسنجی اعلام کردند که هنگام خریداری یک فناوری جدید، بسیاری از اصول ابتدایی نادیده گرفته می‌شود. Nicola Whiting مدیرعامل Titania می‌گوید به این دلیل مفهوم بازگشت به اصول ابتدایی به وجود آمده که «مردم به تدریج متوجه می‌شوند راهکارهای گران قیمتی که برای حل بسیاری از مشکلات­شان تهیه می‌کنند، بی‌فایده است». Quentyn Taylor از Canon Europe نیز با این موضوع موافق است. Taylor می‌گوید: «خرید یک ابزار گران‌قیمت در صورتی که قرار باشد آن را کنار بگذارید، هیچ سودی ندارد».

عامل دیگری که مشکلات فناورانه را ایجاد می‌کند، مربوط به فناوری‌های قدیمی است. در حالی که موضوع ابر هم مجموعه راهکار‌های ویژه خود را دارد، چالش محصولات قدیمی‌تری که قرار است با فناوری‌های جدید و پیشرفته کار کنند نیز به عنوان یکی از موضوع ­های اصلی گفته شد.

Raef Meeuwisse نویسنده و مدیر رویدادهای ISACA London Chapter می‌گوید در حال حاضر اغلب سازمان‌ها، نرم افزارها و پلتفرم‌هایی را اجرا می‌کنند که قدیمی شده یا پر از آسیب‌پذیری‌های مختلف هستند و Christian Toon مدیر ارشد امنیت اطلاعات در مؤسسه Pinsent Masons نیز می‌گوید: «فناوری‌ها و داده‌های تاریخچه‌ای باعث شده که کار با سیستم‌های قدیمی سخت‌تر شود و کلیشه‌های زیادی درباره کم بودن سرمایه‌گذاری، سفارشی‌سازی و فناوری مقیاس‌پذیر وجود دارد».

Marc Rogers مدیر راهبرد امنیت سایبری در Okta اعتقاد دارد که در حال حاضر، بحث امنیت «روی یک کوه انبوه و بزرگ از فناوری‌های قدیمی قرار گرفته است». Rogers می‌گوید با توجه به برنامه‌های کاربردی که بیشتر از ۱۵سال پیش نوشته شده یا پروتکل‌هایی که ۳۰ سال پیش نوشته شدند، اتکای بیش از حد و زیادی بر پروتکل‌هایی مثل SS7 قرار دارد «که رشد و تکامل پیدا نکرده‌اند زیرا تغییر چیزی به این بزرگی و انبوهی مستلزم آن است که سازمان‌ها نیز هم‌زمان دستخوش تغییراتی شوند».

با وجود مشکلات ایجاد شده، کاربران درباره موضوع پیچیدگی اتفاق‌نظر داشتند. Gil Shwed مدیرعامل Check Point بحث پیچیدگی را یکی از عوامل مهم و کلیدی تلقی می‌کند به خصوص با توجه به این که «فقط برای ۲۶ بخش فناوری، ۱۶ مسیر حمله وجود دارد» که به مرور زمان افزایش خواهد یافت. Shwed می‌گوید: «برای حل این مشکل باید از انیشتین هم پیشرفته‌تر و باهوش‌تر باشید».

Nick Nagle از Condé Nast توضیح داد که به لطف حرکت از فایروال‌ها به سمت ابزارهای مدیریت یکپارچه تهدید و ارایه فناوری‌های «تلفن همراه، ابر و CASB (کارگزار امنیت دسترسی به ابر)» توسط فروشنده­ های مختلف، شاهد همگرایی و یکپارچه‌سازی بیشتر در فضای فناوری هستیم.

یکی از عناصر مهم و کلیدی در رابطه با مشکلات فناوری، مسأله تشخیص بود. Wade Baker بنیان‌گذار مؤسسه Cyentia می‌گوید در حال حاضر میزان داده‌های در دسترس از طریق ابزارها، محصولات، روش‌ها و بازرسی‌های امنیتی نسبت به همیشه بیشتر شده است و Ted Demopolous، مشاور امنیت سایبری نیز خاطرنشان می‌کند که بیشتر فروشنده ­ها ادعا می‌کنند می‌توانند تشخیص ناهنجاری را انجام دهند «اما اگر به گذشته نگاهی داشته باشیم، مثلاً به ۵ تا ۱۰ سال قبل مشخص می‌شود که ما در حال حاضر در عصر تاریک تشخیص ناهنجاری هستیم و ظهور [راهکارها] تازه آغاز شده است».

شاید مطالبی که تا اینجا بیان شد موجب شود شما حس کنید همه چیز فوق‌العاده بد است؛ ولی Javvad Malik از KnowBe4 می‌گوید: «صحبت کردن درباره دستاوردهایی که داشتیم نیز اهمیت به سزایی دارد» زیرا هرچند به نظر می‌رسد شرایط خیلی بدتر شده اما واقعیت این است که بسیاری از امور بهتر هم شده‌اند.

او توضیح داد که در اوایل دهه ۲۰۰۰ میلادی، خرید، نصب و مدیریت یک فایروال کاملاً دشوار بود در حالی که اطلاعات امنیتی و مدیریت رویداد، پروژه‌هایی بودند که استقرار آنها «چند سال زمان می‌برد.» ولی حالا همه چیز استانداردتر شده است. همان‌طور که پیش از این اشاره شد، مشکلات پیرامون فناوری عوامل زیادی را دربر می‌گیرند اما در پاسخ‌های شرکت‌کنندگان در نظرسنجی جنبه‌های مثبت زیادی هم وجود داشت. اگرچه فناوری­ های قدیمی و نداشتن قابلیت همکاری متقابل، نشان‌دهنده وجود خلاءهایی در شبکه یک سازمان هستند اما شاهد فعالیت‌های بیشتر در زمینه ادغام و اکتساب هستیم و فروشندگان جدیدی پدیدار می‌شوند که اغلب وقت­ ها بسیاری از متخصصان صنعت برای حل مشکلات متداول، آنها را همراهی می‌کنند.

 

گرایش ۲: عامل انسانی (۳۱ درصد از پاسخ دهندگان)

به گفته ۳۱ درصد از شرکت‌کنندگان در نظرسنجی، موضوع گسترده عامل انسانی در حوزه امنیت یکی از مهم ترین عوامل تعیین جهت این صنعت بوده است. دلایل چنین موضوعی، بسیار وسیع و گسترده هستند: عامل انسانی، موضوع­ های مختلفی را در برمی‌گیرد از جمله کمبود مهارت‌ها، نیاز به آموزش‌های بهتر و ملاحظات مربوط به ضعیف‌ترین پیوند در زنجیره امنیت و همچنین مفاهیم آگاهی­ بخشی و برنامه‌های شبیه‌سازی.

مسلماً در زمینه مقابله با مشکل «ضعیف‌ترین پیوند» بودن انسان در حوزه امنیت، تاکنون راهبرد‌های مختلفی ارایه شده است. Steven Furnell معاون امور بین‌الملل و کارشناس ارشد و استاد امنیت فناوری در دانشگاه پلیموت می‌گوید: «شرم‌آور است هنوز این صحبت و شعار را می‌شنویم که انسان‌ها ضعیف‌ترین پیوند هستند و با این وجود شاهد تلاش‌های ضعیف و کمی برای پشتیبانی از آنها هستیم».

دیدگاه‌های مختلفی در رابطه با این موضوع وجود دارد که آیا انسان‌ها ضعیف‌ترین پیوند در زنجیره امنیت هستند یا قوی‌ترین و در رابطه با چگونگی اصلاح این شرایط نیز دیدگاه‌های مختلفی وجود دارد. در رابطه با بحث آموزش، Ed Tucker از بنیان‌گذاران Human Firewall استدلال می‌کند که باید این درک وجود داشته باشد که «همه مشتری و مصرف‌کننده امنیت هستند» و کاربر، شخصی است که بر روی لینک‌ها کلیک می‌کند. بنابراین اگر کاربران را به چشم مشتری ببینیم، این یک فرصت برای بهتر شدن شرایط است.

Sekuva می‌گوید شاهد سرمایه‌گذاری‌های بیشتری در حوزه «آگاهی­ بخشی همدلانه» جهت پشتیبانی و حمایت بهتر از افراد به جای سرزنش کردن آنها هستیم که وقتی انسان‌ها مسئول از دست دادن داده‌ها تلقی می‌شدند، این‌گونه با آنها برخورد می‌شد.

یک راهبرد برای بهبود این شرایط، آموزش بهتر است. Jason Steer مدیر پیش‌فروش‌های بخش اروپا، خاورمیانه و آفریقا در Recorded Future می‌گوید که نیاز به تخصیص منابع بیشتر برای افزایش مهارت‌های افراد تازه‌کار وجود دارد تا بتوانند بهتر تصمیم‌گیری کنند، بدون این که نیاز به ۱۰ سال تجربه داشته باشند. Steer افزود هنوز هم در فرایند استخدام، انتظار زیادی وجود دارد که افراد باید آماده کار کردن در سطح تخصصی بالایی باشند و از لحاظ توانایی‌های فنی، پیش‌زمینه قوی داشته باشند.

گزارش وضعیت امنیت سایبری سال 2019

Sam Curry مدیر ارشد امنیت در Cybereason با این ایده موافق است و می‌گوید: «هیچ کمبود استعدادی وجود ندارد و اگر هم وجود داشته باشد خود ما استعدادسازی می‌کنیم. اگر با دیدگاه متفاوتی به این مسأله نگاه کنیم می‌توانیم کارمندان بیشتری را استخدام کنیم زیرا افراد بسیار زیادی هستند که کار در حوزه سایبری را دوست دارند و نباید دستیابی به چنین شغلی را برای آنها سخت‌تر کنیم».

با وجود آمار و ارقام صنعتی که نشان می‌دهند استفاده از‌ ترفندهای جدید برای جذب افراد به کار در حوزه امنیت سایبری منجر به بهبود شرایط می‌شود، احتمالاً همچنان در سال‌های آینده چنین گفتگوها و بحث‌هایی را خواهیم داشت.

یکی دیگر از جنبه‌هایی که بر عامل انسانی در حوزه امنیت تأثیرگذار تلقی می‌شد، نقش فناوری بود. Becky Pinkard مدیر IT و اطلاعات در Digital Shadows می‌گوید در کنفرانس RSA سال جاری شاهد حضور بسیاری از سازمان­ ها با پیام «ما می‌توانیم به شما برای حل کردن مشکل عامل انسانی کمک کنیم» بوده است. بنابراین با وجود این که بسیاری از طرح‌های جدید؛ متمرکز بر آموزش، آگاهی­ بخشی و تجربه دادن به کاربران بوده‌اند اما به وضوح هنوز هم کارهای بیشتری برای انجام دادن داریم.

Ron Gula مدیر و از بنیان‌گذاران Gula Tech Ventures گفته است نیاز به پذیرش فناوری‌های بیشتری جهت کمک کردن به مردم وجود دارد ولی تمرکز کافی برای آموزش وجود ندارد.

اگر فناوری‌های لازم جهت کمک به کاهش این مشکلات وجود دارد، پس چرا این فناوری‌ها درست عمل نمی‌کنند؟ Tim Sadler از Tessian می‌گوید ما فناوری‌های لازم برای توقف ورود هرزنامه به اینباکس کاربران را ایجاد کرده‌ایم و حالا «باید از فناوری، بیشتر از این را درخواست کرده و خطرات انسانی را محدود کنیم». به گفته Sadler مشکل اینجا است که این فناوری‌ها کاربرپسند نیستند و ما تجربه‌ای یکپارچه و بی‌وقفه برای کاربران فراهم نمی‌کنیم.

آیا اینجا همان جایی است که بین عامل انسانی و فناوری کمک کننده به آن یک تلاقی وجود دارد؟ Martin King مدیر ارشد فناوری Football Pools می‌گوید: «مهم نیست که تیم‌های امنیتی چه تعداد کنترل فنی را پیاده سازی کنند، در هر صورت در اغلب وقت­ ها مهندسی اجتماعی ساده‌ترین و سریع‌ترین راه برای نفوذ است. پیچیده‌ترین فناوری‌های جهان را می­ توانیم پیاده‌سازی کنیم اما اگر کاربری یک تماس تلفنی از بخش پشتیبانی فنی دریافت کند که رمز عبورش را از وی بخواهد و او نیز از این خواسته پیروی کند، بازی به پایان رسیده است».

پیشنهاد ما به شما مطالعه مقاله : مهندسی اجتماعی: روش‌هایی که برای شستشوی مغزی و فریب افراد استفاده می‌شود!

به نظر می‌رسد هرچند عامل انسانی در بحث امنیت، موضوع مهمی است اما حل کردن این مسأله کار چندان آسانی هم نیست. Rob Clyde از ISACA خاطرنشان شده است که تا وقتی سازمان‌ها برای مقابله با چشم‌انداز چالش‌برانگیز تهدیدهای سایبری آماده نشده باشند و سرمایه‌گذاری‌های مناسب در زمینه نیروی انسانی و آموزش مستمر را انجام ندهند، حجم و تأثیر حملات سایبری روزبه‌روز تشدید می‌شود.

با این حال، شاید همه چیز به سمت مسیر درست حرکت می‌کند. دکتر Jessica Barker از بنیان‌گذاران Cygenta گفته است که: «در چند سال اخیر، به تنهایی شاهد افزایش چشم­گیر سطح درک، نسبت به اهمیت جنبه انسانی در زمینه امنیت سایبری» بوده­ ایم و به اتخاذ یک رویکرد جامع نیاز داریم.

دکتر Barker افزوده است که میزان تأکید بر آگاهی­ بخشی، رفتار و فرهنگ در حوزه امنیت سایبری بیشتر شده است. به گفته او این یک تغییر خوشایند است زیرا دیگر نیازی نیست که توضیح دهیم امنیت سایبری چیست و سازمان‌ها زمان و وقت بیشتری را صرف ارزیابی و رسیدگی به فرهنگ خودشان می‌کنند.

 

گرایش ۳: سازگاری با قوانین (۲۵ درصد از پاسخ دهندگان)

در گزارش سال ۲۰۱۸، پیروی و انطباق با استانداردهای قانونی یکی از گرایش‌های صنعتی برجسته بود. عمدتاً به این دلیل که در این بازه به اتمام ضرب‌الاجل تعیین شده برای تطبیق با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[۱]) نزدیک شدیم. در سال بعد، موضوع سازگاری با استانداردهای قانونی با معرفی قانون حریم خصوصی مصرف‌کنندگان کالیفرنیایی و دستورالعمل امنیت اطلاعات و شبکه[۲] (CCPA) همچنان به عنوان یکی از موضوع­ های مهم مورد بحث باقی ماند.

Bob Tarzey تحلیل­گر می‌گوید هرچند «میزان هیجان نسبت به مقررات و استانداردهای قانونی کمی کاهش یافته» اما هنوز هم کنترل‌های مقرراتی در اتحادیه اروپا و فراتر از آن، یکی از عوامل مهم هستند و دکتر Barker می‌گوید: «سازمان‌ها در مقابله با تغییرات الزامات قانونی، روزبه‌روز بیشتر و بیشتر شیوه‌های مدیریت داده را تغییر می‌دهند».

وی افزود: «مسلماً این موضوع از برخی جوانب منجر به هدایت امنیت سایبری به مسیرهای خاصی می‌شود ولی همچنان شاهد بوده‌ایم که بعضی سازمان‌ها پروژه‌های امنیت سایبری را کنار گذاشته یا تغییر داده‌اند (برای مثال، کمپین‌های آگاهی ­بخشی) تا متمرکز بر پروژه‌هایی شوند که چشم‌انداز استانداردهای نظارتی، مسیر حرکت آنها را تعیین می‌کنند».

گزارش وضعیت امنیت سایبری سال 2019

بنابراین آیا GDPR به نوعی تبدیل به مانعی برای امنیت سایبری شده و به دلیل ترس از جریمه‌های قانونی، مانع پیشرفت پروژه‌ها شده است یا این که امکان محافظت از داده‌ها را فراهم کرده است؟

Izzy Vixsama از Vix Cyber می‌گوید که «آینده‌نگری و استرس موجود در رابطه با پیاده‌سازی GDPR و حریم خصوصی» در زادگاه او آمریکا یک مشکل جدی برای مشاغل محسوب می‌شود زیرا با وجود مهلت تعیین شده برای ماه می سال ۲۰۱۸ هنوز هم بسیاری از سازمان‌ها به صورت کامل اطلاع ندارند که GDPR چیست و هیچ راهبردی برای رویارویی با آن ندارند.

او می‌گوید: «بعضی سازمان‌ها هیچ تلاشی نمی‌کنند که تأثیر و پیامدهای GDPR را در سازمان خودشان درک کنند و این که قرار است این قانون منجر به تغییر مهمی در نحوه جمع‌آوری داده‌ها شود».

ارزیابی سایر نظرات و بازخوردها نشان می‌دهد که معرفی قانون GDPR پیامدهایی مثبت و همچنین منفی بر صنعت امنیت داشته است. Ted Demopoulos خاطرنشان کرده که هرچند پیروی از قوانین و ایمن بودن، دو موضوع بسیار متفاوت هستند اما پیروی از استانداردهای قانونی، گامی در مسیر درست به شمار می‌شود. همچنین از نظر او هرچند برخی قوانینی که با قصد و نیت خوب طراحی می‌شوند ممکن است در شرایط فعلی چندان مناسب تلقی نشوند اما وی انتظار دارد که این قوانین، به مرور زمان بهبود پیدا کرده و پیامدهای کلی آنها فوق‌العاده مثبت باشد.

از دیدگاهی منفی‌تر، شرکت‌کنندگان در این نظرسنجی نگرانی‌هایی را درباره مجازات‌های پولی بزرگ یا برعکس، ناتوانی در پیاده‌سازی این جریمه‌های قانونی از خود بروز داده‌اند. Martin King می‌گوید پس از ترس و وحشت اولیه ایجاد شده توسط GDPR، این قانون آن‌طور که در سراسر دنیا انتظار می‌رفت منجر به تحمیل جریمه‌های پولی نشد.

وی باور دارد که ممکن است این شرایط باعث شود بیشتر مشاغل، در رابطه با طرح‌های بودجه بلندمدتی که برای پشتیبانی از این تغییر داشته‌اند، تجدیدنظر کنند.

همچنین Chris Hodson مدیر ارشد امنیت اطلاعات در Tanium اعلام کرده که یکی از مشکلات موجود، نبودن نمونه‌ای از برخورد قاطع در این زمینه است. او به جریمه اعمال شده به گوگل در فرانسه اشاره کرده ولی اعلام کرد که این رقم، یک رقم قابل کنترل بود.

GDPR و سایر قوانین مشابه، تلاش زیادی برای ترویج عکس‌العمل کارآمد به حوادث انجام داده‌اند. Neira Jones مشاور امنیتی می‌گوید چارچوب‌های قانونی جدید «منجر به تحمیل استفاده از روش‌های بهتر برای واکنش به حادثه شده و افرادی که در حوزه امنیت سایبری کار می‌کنند از این شرایط رضایت دارند».

به غیر از GDPR یک سری چارچوب‌های قانونی دیگر نیز وجود دارند که منجر به پیشرفت امنیت سایبری می‌شوند، از جمله دستورالعمل سرویس‌های پرداخت ثانویه (PSD2[۳]) که الزاماتی نیز برای واکنش به حادثه تعیین کرده است.

CCPA نیز به عنوان یک نمونه برجسته از قانونی جدید که منجر به تغییر چشم‌انداز مقرراتی در آمریکا شده، ذکر شده است. Rob Clyde رئیس هیأت مدیره ISACA می‌گوید میزان توجه و تأکید بر قوانین مربوط به حریم خصوصی بیشتر شده و این امر منجر به تأکید بیشتر بر ارتباطات بین حریم خصوصی داده‌ها و امنیت سایبری و نیاز به پیروی از یک رویکرد جامع برای مقابله با چنین چالش‌هایی خواهد شد.

Matt Pascucci مدیر امنیت سایبری در CCSA می‌گوید CCPA در تلاش است که موضوع­ های مختلف دیگری را نیز تحت پوشش قرار دهد و این ناشی از الزام GDPR برای این امر است که باید یک ناظر بر حریم خصوصی وجود داشته باشد؛ موضوعی که در آمریکا بسیار جدی گرفته خواهد شد.

ارزیابی کامل میزان انطباق با قوانین و استانداردها موضوعی پیچیده است زیرا همان‌طور که Hodson و King می‌گویند، هرچند این موضوع امری است که باید برای آن اقدام شود ولی جریمه‌های قانونی و نظارت‌هایی که قرار بوده طبق GDPR انجام شوند، به صورت کامل تحقق نیافته‌اند. بنابراین ممکن است این شرایط باعث شود عده‌ای تصور کنند نباید بحث مطابقت با استانداردهای قانونی آن‌طور که ما انتظار داریم، جدی گرفته شود. با این وجود، پاسخ دهندگان این نظرسنجی بارها به GDPR و CCPA اشاره کرده‌اند و این نشان‌دهنده آن است که قوانین و مقررات، یکی از عناصر کلیدی در صنعت امنیت سایبری هستند.

 

گرایش ۴: تعامل سازمان و هیأت مدیره با تیم امنیت (۱۸ درصد از پاسخ دهندگان)

 

به گفته ۱۸ درصد گروهی که از آنها نظرسنجی شده است، یکی دیگر از عوامل تأثیرگذار بر امنیت سایبری، تعامل مشاغل با تیم‌های امنیتی و بالعکس بوده  است. مشکلات در این زمینه کاملاً روشن هستند: اگر تیم امنیت درک کند که کسب‌وکار مربوطه قصد دستیابی به چه هدف­ هایی را دارد در این صورت احتمال موفقیت آن بیشتر خواهد شد. اگر مسئولان کسب‌وکار متوجه باشند که تیم امنیت، چه تیمی است و سیاست‌ها و اهداف آن چیست، در این صورت احتمال ایجاد یک فرهنگ امن‌تر بیشتر خواهد شد.

گزارش وضعیت امنیت سایبری سال 2019

Langford از (TL)2 Security می‌گوید این وظیفه بخش امنیت نیست که سازمان را ایمن‌تر کند بلکه وظیفه آن «کمک به سازمان برای فروش و دستیابی به چشم‌انداز و هدف­ هایی است که سازمان برای خودش ترسیم کرده است». Langford ادعا می‌کند که یکی از مشکلات موجود این است که افراد، گزارش سازمان را مطالعه نمی‌کنند و وقتی چنین کاری را انجام نمی‌دهند چطور باید تشخیص دهند که «سازمان سعی دارد چه کارهایی انجام دهد و چگونه به اهدافش دست پیدا می‌کند؟»

Amit Yoran مدیرعامل Tenable می‌گوید: «ما شاهد ارایه گزارش‌های تیم‌های ارزیابی مخاطره و بازرسی، به هیأت مدیره به صورت منظم هستیم». او هم با Langford در رابطه با این موضوع که دو چیز (درآمدزایی و ترس از آسیب رسیدن به اعتبار برند آنها) جهت حرکت شرکت‌ها را مشخص می‌کند، موافق است و به گفته او تیم امنیت، به کاهش مشکل دوم کمک می‌کند.

Clyde از ISACA می‌گوید که به نظر او هیأت های مدیره در چند سال گذشته، فعالیت و علاقه بیشتری به حوزه امنیت سایبری پیدا کرده‌اند که این امر از نظر او یک پیشرفت مهم محسوب می‌شود زیرا سازمان‌های موفق، دایماً در جلسات هیأت مدیره در رابطه با موضوع امنیت بحث و گفتگو می‌کنند. همچنین دکتر Barker از Cyentia می‌گوید آگاهی تیم‌های هیأت مدیره و مقررات جهانی نیز افزایش یافته است که این «منجر به افزایش مسئولیت‌پذیری نسبت به برنامه‌های امنیت سایبری می‌شود».

Nathan Wenzler مدیر ارشد امنیت اطلاعات در Moss Adams می‌گوید میزان درک و پذیرش این موضوع که «مهارت‌های نرم و فرهنگ و کارمندان، اهمیت فوق‌العاده زیادی دارند» افزایش چشم­گیری یافته زیرا افرادی که در زمینه امنیت سایبری کار می‌کنند صرفاً تکنولوژیست نیستند. تیم‌های امنیتی اطلاع دارند که وقت عمل، فرا رسیده است. وی ادعا می‌کند که مردم، خواستار قدرت و کنترل بیشتری هستند اما امنیت باید به کسب‌وکارها کمک کند تا بهتر بتوانند با یکدیگر ارتباط برقرار کنند.

به گفته او «موضوع فقط پشت میز نشستن» نیست. «ما باید مسئولیت فرهنگی را قبول کرده و بهتر آموزش ببینیم و راه‌هایی برای توضیح دادن یک مسأله پیچیده را به صورت ساده و آسان پیدا کنیم».

به نظر می‌رسد این سطح درک نسبت به این مسأله که امنیت سایبری یک موضوع مشکل‌آفرین است، تقریباً فراگیر است اما آیا غلبه بر این مشکل جهت پیدا کردن راهکار، کار آسانی است؟ Joseph Carson از Thycotic بر این باور است که وظیفه کارشناسان امنیت سایبری پیدا کردن راهکار نیست زیرا اگر ما تمام وقت خودمان را صرف انجام این کار کنیم هرگز موفق به حل مشکلات امنیت سایبری نخواهیم شد.

وی می‌گوید باید این شغل را به عنوان یک خطر کسب­ وکاری دید و کارشناسان باید خودشان را برای موفقیت در کسب‌وکارشان هماهنگ کنند. «کار ما این است که به افراد کمک کنیم موفق شوند و به مدیران جهت انجام کارشان کمک کنیم. اولویت باید انجام فعالیت های کسب­ وکاری باشد و ما باید کارهایی را که در زمینه خطر کسب­ وکار انجام می‌دهیم را تغییر دهیم و افراد و فناوری باید بخشی از این راهکار، فرایند، استانداردها و کلاً همه چیز باشند».

ممکن است این مفهوم که هدایت برنامه کاری و مسیر حرکت را باید به افراد حرفه‌ای محول کرد، برای هر فردی خوشایند نباشد. لازم است که کاربر، جهت دهنده رابطه باشد و اگر با هر گونه مقاومت یا حتی عدم تمایل و علاقه روبرو شود ممکن است تغییرات فرهنگی یا تلاش‌های صورت گرفته برای همگرایی، تأثیر دایمی نداشته باشند.

Meeuwisse می‌گوید در مجموع به نظر نمی‌رسد که کارمندان رده مدیریتی با مشکلات موجود روبرو شوند اما پروفسور Alan Woodward این طور استدلال می‌کند که «هیأت مدیره جایی است که در آن درسی آموخته نمی‌شود» زیرا مسایل زیادی وجود دارند که درک نشده یا از آنها درس گرفته نشده است.

در عین حال، Ed Tucker می‌گوید هنوز هم یک دیدگاه عجیب نسبت به امنیت به عنوان یک «برج عاج[۴]» وجود دارد و Steven Furnell خاطرنشان شده که هرچند بدون شک امروزه سازمان‌ها بحث امنیت سایبری را نسبت به گذشته جدی‌تر در نظر می‌گیرند ولی اگر عواملی مثل GDPR را از این معادله حذف کنیم، متوجه می‌شویم که رفتار و نگرش پیش‌فرض نسبت به امنیت سایبری تغییر چندانی نکرده است.

Furnell این سؤال را مطرح می‌کند که «آیا واقعاً درسی گرفته می‌شود یا ما در حال نقش بازی کردن هستیم؟ اگر سازمان‌ها راهی برای دور زدن [امنیت سایبری] پیدا کنند چنین کاری را انجام می‌دهند؟ به نظر می‌رسد هنوز تا رسیدن به یک فرهنگ امنیت سایبری واقعی فاصله زیادی داشته باشیم».

دستیابی به یک فرهنگ امنیتی واقعی، بدون چالش نیست. همان‌طور که از این نظرات مشخص است، اگر اعضای هیأت مدیره به اندازه تیم امنیتی فعالیت داشته باشند، ممکن است یک ذهنیت پیروز ایجاد شود اما اگر در یکی از دو طرف بی‌علاقگی وجود داشته باشد، دستیابی به فرهنگ امنیت واقعی میسر نخواهد شد. مشارکت بخش کسب ­و­کاری یکی از عوامل مهم در امنیت سایبری است زیرا می‌تواند منجر به بهبود فرهنگ، پذیرش بیشتر و تخصص بودجه مناسب‌تر شود.

 

گرایش ۵: اتوماسیون و یادگیری ماشینی (۱۸ درصد از پاسخ دهندگان)

هرچند در اغلب وقت­ ها یادگیری ماشینی مثل یک اصطلاح بازاریابی تلقی می‌شود که فروشنده­ ها برای تبلیغ فناوری‌های تشخیص سنتی از آن استفاده می‌کنند یا حتی تعمیمی بر فناوری‌های نظارتی در نظر گرفته می‌شود ولی نمی‌توان روند رو به رشد اتوماسیون را که ۱۸ درصد پاسخ دهندگان نیز به آن اشاره کرده ­اند، نادیده گرفت.

پاسخ دهندگان در رابطه با قابلیت اطمینان و بزرگنمایی بیش از حد برای فناوری‌های خودکار اظهار نگرانی کردند اما در مجموع بازخوردهای آنها مثبت بود. Steer از Recorded Future خاطرنشان شد که بسیاری از سازمان‌ها دنبال کننده انتخاب‌های دیگران هستند زیرا فروشنده ­های مختلف در رابطه با اثربخشی هوش مصنوعی یا یادگیری ماشینی صحبت‌های متفاوتی را بیان می‌کنند. در عین حال Tucker می‌گوید هرچند در رابطه با نداشتن درک کافی نسبت به انواع مختلف هوش مصنوعی نگرانی‌هایی وجود دارد اما بالاخره زمانی می‌رسد که ما مجبور می‌شویم به صحت یادگیری ماشینی اعتماد کنیم.

 

گزارش وضعیت امنیت سایبری سال 2019

Ross Brewer مدیرعامل بخش اروپا، خاورمیانه و آفریقای LogRhythm می‌گوید تبلیغ و هیجان زیادی در رابطه با یادگیری ماشینی وجود دارد. اگرچه یادگیری ماشینی و یادگیری بدون نظارت، در زمینه تشخیص ناهنجاری فوق‌العاده عمل می‌کنند اما این اعتقاد افراطی وجود دارد که ناهنجاری‌ها همیشه بد هستند، در حالی که آنها «فقط نشان می‌دهند چه چیزهایی غیرطبیعی یا متفاوت است».

این نظرها نشان می‌دهد که اتوماسیون و یادگیری ماشینی منفی هستند و شاید شما هم تعجب کنید که چرا چیزی که تا این حد نسبت به آن مخالفت وجود دارد باید یکی از محرک‌های امنیت سایبری باشد. با این حال همچون بسیاری از جنبه‌های فناوری، در این زمینه نیز هم طرفداری و هم مخالفت وجود دارد.

به گفته بسیاری از شرکت‌کنندگان در نظرسنجی، هوش مصنوعی و یادگیری ماشینی نقش تعیین کننده‌ای در آینده دارند. به عنوان مثال Ben Tomhave از شرکت مشاوره Falcon’s View Consulting می‌گوید «برای امنیت اطلاعات بسیار مهم و ضروری است که اتوماسیون در اولویت قرار گرفته و بعد از آن انسان‌ها قرار بگیرند» زیرا بسیاری از الگوهای مرکز عملیات امنیتی، قدیمی و دچار مشکل شده‌اند. او می‌گوید: «باید درباره تمام این موضوع ها تجدیدنظر شده و دوباره ساخته شوند و این اتفاق به زودی نخواهد افتاد».

همچنین Tomhave می‌گوید محافظت از نقاط انتهایی را می‌توان با حجم زیادی از اتوماسیون انجام داد زیرا امکان ایجاد یک پشته امنیتی بهینه‌سازی شده بر روی این نقاط وجود دارد که چنین امری قابلیت‌های زیادی را برای ما فراهم می‌کند اما «همه اینها حول هماهنگ‌سازی‌های خودکار و مدیریت پیکربندی انجام می‌شوند».

Rogers از Okta توضیح داد که هوش مصنوعی، ارزش و ترس زیادی را به همراه دارد زیرا هر چند هنوز خیلی پیچیده نیست ولی می‌تواند به انسان‌ها برای انجام کارهایی خاص کمک کند و امکان مقیاس‌پذیری و پتانسیل انجام ۶۰ الی ۷۰ درصد از کارهای تحلیلی روزمره را دارد.

Toon از مؤسسه Pinsent Mason اعتقاد دارد که یادگیری ماشینی و هوش مصنوعی و همچنین تجمیع داده و قابلیت تحقیق و بازجویی جهت کمک به تشخیص و تغییر شبکه‌ها، منجر به تغییر دیدگاه‌های افراد و مسئولین می‌شود و آن را از حالت فایل‌های لاگ ساده درآورده و امکان گردآوری داده‌ها از فیدهای مختلف سیستم‌های مدیریتی را فراهم می‌کند.

همان‌طور که پیش از این اشاره شد، در رابطه با روند اتوماسیون هم دیدگاه‌های مثبت و هم دیدگاه‌های منفی وجود دارد اما نمی‌توان مزایای سیستم‌های خودکار را نادیده گرفت. واقعیت‌های موجود در رابطه با تعداد هشدارها و زمان لازم برای بررسی آنها توسط انسان‌ها موجب پذیرش این فناوری شده و از این جهت، شک و بدبینی نسبت به آن ایجاد شده است. مثبت یا منفی بودن این موضوع بستگی به تجربه­ ها و ادراکات شما دارد اما اتوماسیون و یادگیری ماشینی، جزو ۵ گرایش مهمی بودند که پاسخ دهندگان این تحقیق به آنها اشاره کردند.

 

سایر گرایش‌ها

علاوه بر موارد گفته شده، ۲۶ عامل دیگر هم توسط شرکت‌کنندگان در این نظرسنجی بیان شد. بعضی از این موارد اهمیت خاصی داشته و شایسته آن هستند که در ادامه، بیشتر راجع به آنها صحبت کنیم.

 

چابکی کسب‌وکار و تحول دیجیتال (۱۳ درصد از پاسخ دهندگان)

اخیراً حرکت به سمت یک مدل کسب‌وکار چابک‌تر یکی از خواسته‌های بسیاری از مدیران کسب‌وکارها بوده و در نتیجه بر بحث امنیت نیز تأثیرگذار شده است؛ اما این بحث شامل مفاهیمی مثل DevOps نیز می‌شود که مقوله امنیت نیز اغلب جزیی از آن به حساب می­ آید. Adrian Sanabria محقق امنیت می‌گوید همچنان که کسب‌وکارها وارد یک فضای چابک و اتوماسیون­ سازی شده می‌شوند، ممکن است دستیابی به امنیت در چنین مقیاسی غیرممکن شود و از آنجایی که توجه مناسبی نسبت به سرویس‌ها وجود ندارد ممکن است سازمان‌های دیگر هم درگیر تجربه‌ای مشابه Equifax شوند.

Ed Tucker افزود که در بعضی سازمان‌ها بحث امنیت همین حالا هم تحت‌الشعاع تحول دیجیتال قرار گرفته و برخی دیگر نیز تازه حرکت را آغاز کرده‌اند و امنیت، نیازمند پیدا کردن جایگاهی در چنین سازمان‌هایی است.

گزارش وضعیت امنیت سایبری سال 2019

یکی از سازمان‌هایی که پیشنهاد‌های خود را حول تحول دیجیتال بنا نهاده، Signal Sciences است و Zane Lackey یکی از بنیان‌گذاران این سازمان می‌گوید: «این روند منجر به بهبود و افزایش امنیت و تغییر روش‌هایی شده که ۲۰ سال در حوزه امنیت مورد استفاده قرار می‌گرفت». تا مدت‌ها امنیت مثل یک مسدودکننده و یک نگهبان عمل می‌کرد و حرکت به سمت ابر و DevOps مستلزم تجمیع قابلیت‌های مختلف در کنار هم بود.

این یک موضوع مهم است زیرا به گفته Lackey امنیت با محیطی روبرو می‌شود که در آن برنامه‌های کاربردی که زمانی هر ۱۸ ماه یک­بار تغییر می‌کردند حالا روزی ۱۰۰ بار دستخوش تغییر می‌شوند. «اگر حوزه امنیت به این مسایل بی‌اهمیت باشد، حوزه کسب­ وکار بدون آن به پیشرفت ادامه خواهد داد؛‌ این در حالی است که چنین فرصتی بسیار مهم و قدرتمند است».

 

بهداشت سایبری (۱۵ درصد از پاسخ دهندگان)

مفهوم درک و پایبندی به اصول، سال‌ها است که وجود دارد زیرا بیشتر موارد نشت داده در اثر ناسالم بودن بهداشت سایبری رخ می‌دهند، از جمله حوادثی مثل WannaCry که در سال ۲۰۱۷ رخ داد.

Whiting از Titania خاطرنشان شده که «هنوز هم روش‌های اساسی و پایه ای امنیت، به صورت یکپارچه و در مقیاس بزرگ، اعمال نشده‌اند». Thales مُبلغ امنیت سایبری می‌گوید: «تعداد بسیار زیاد از سازمان‌هایی که اصول اولیه را رعایت نمی‌کنند، شگفت‌آور است». این در حالی است که امروزه نسبت به همیشه هزینه بیشتری صرف شده و در عین حال، رخنه‌های بزرگ‌تری ایجاد می‌شوند.

برخی از نگرانی‌های مشترک و متداول، شامل مشکلات مربوط به امنیت کلمه عبور و استفاده دوباره از آن بود. همچنین مواردی که در بخش قبلی در رابطه با عامل انسانی در حوزه امنیت بررسی شدند. اگر در اصول و مبادی اولیه مشخص نشود که کارمندان شما چه کارهایی انجام می‌دهند و قرار است از چه چیزهایی آگاه شوند، پس در آینده چه فردی برای چنین اموری مقصر شناخته خواهد شد؟

 

ابر (۱۳ درصد از پاسخ دهندگان)

فراگیر شدن ابر، موضوعی است که پیش از این هم چندین­ بار در بخش‌های قبلی این گزارش به عنوان بخشی از جهت گیری کلی حرکت مشاغل، به آن اشاره شد؛ اما آن‌طور که Ben Tomhave توضیح می‌دهد ما به عنوان کارشناسان مخاطره و امنیت «باید چند ابری را به عنوان یک مخاطره هوشمندانه قبول کنیم ولی هم‌زمان باید مطمئن شویم که در محیط مربوط به هر ارایه‌دهنده ابر، تصمیم ­های هوشمندانه‌ای گرفته می‌شود».

Tomhave در ادامه گفت همان‌طور که از زمان آغاز فراگیر شدن فناوری ابر شاهد بودیم، در ادامه نیز تنها در صورتی که پیچیدگی ها را به حداقل رسانده و یکپارچگی را به حداکثر برسانیم، شاهد تأکید بیشتر بر به کار بردن ابزارهای مبتنی بر میزبان خواهیم بود تا ابزارهای مبتنی بر شبکه.

Scott Gordon از Pulse Secure، «ابزارهای اعمال دسترسی درجه‌بندی شده و تفکیک شده به برنامه‌های کاربردی و منابع موجود در مرکز داده و ابرهای چندگانه» را یکی از چهار گرایش اصلی می‌داند که منجر به استفاده از معماری‌هایی با اعتماد صفر می‌شود در حالی که Aurobindo Sundaram مدیر بیمه اطلاعات و محافظت از داده‌ها در RELX می‌گوید پذیرش و استفاده از ابر، منجر به تفکیک خودکار دارایی‌ها می‌شود.

 

تهدیدهای مانای پیشرفته[۵] و حملات دولتی (۱۳ درصد از پاسخ دهندگان)

گزارش وضعیت امنیت سایبری سال 2019

تهدیدهای مانای پیشرفته که گاهی وقت­ ها به علت این که بیشتر یک اصطلاح برای بازاریابی هستند و به نوعی خلاصه‌ای از عوامل «ترس، عدم قطعیت و شک» محسوب می‌شوند، چندان جدی گرفته نمی‌شوند. هنوز هم در بین پاسخ‌دهندگان، چنین حملاتی که پشتیبانی دولتی دارند، رتبه بالایی را به خود اختصاص می‌دهند. Perry Carpenter مسئول راهبرد در KnowBe4 می‌گوید، حملاتی که با پشتوانه‌های سیاسی انجام می‌شوند، نقش چشم­گیری در تعیین مسیر حرکت امنیت دارند به ویژه با توجه به پست‌های شبکه‌های اجتماعی (اغلب خودکار) که پیام‌های خاصی را ترویج می‌دهند و اقدام­ های انجام شده توسط انسان‌ها و ایمیل‌های فیشینگی که به نظر می‌رسد از کشوری ارسال می‌شود که مهاجمان قصد دارند مسئولیت حمله را متوجه آن کشور کنند.

Becky Pinkard از Digital Shadows می‌گوید تهدیدهای مانای پیشرفته، بیشتر از قبل مورد بحث و بررسی قرار می‌گیرند، صرف‌نظر از این که چنین امری درست است یا خیر؛ اما مشکل اینجا این است که بسیاری از قربانیان این حملات، جزییات آن را اعلام نمی‌کنند و «این منجر به درک کمتر درباره این حملات می‌شود».

Graham Cluley مشاور و سخنگو می‌گوید در حال حاضر حملاتی که با پشتوانه دولت‌ها انجام می‌شوند از نظر او مهم ترین گرایش روز هستند زیرا بسیاری از سازمان‌ها حس می‌کنند که این حملات تأثیری بر آنها ندارد اما ممکن است مشتریانی داشته باشند که متمایل به یک کشور خاص هستند.

Cluley نیز با نظرات Pinkard موافق بوده و می‌گوید جرایم سایبری هم مثل صنعت امنیت سایبری رشد چشم­گیری پیدا کرده‌اند اما وجود رفتارهای بسیار کودکانه و همکاری نکردن با یکدیگر به دلیل رقابت، باعث شده که زمان زیادی صرف خاموش کردن آتش شود و ما درباره مشاغل سازمان‌یافته، اطلاعاتی را به اشتراک نگذاریم.

Quentyn Taylor می‌گوید حوزه سایبری به صورتی متحول شده که حالا دولت‌ها به یکدیگر حمله می‌کنند و در حال حاضر آزادانه این کار را انجام می‌دهند. وی انتشار ویروس Stuxnet را یک لحظه تأثیرگذار و مهم تلقی کرد زیرا حالا شاهد حملاتی مثل WannaCry و Destroyer و حملاتی با پشتوانه دولت‌ها هستیم. وی می‌گوید «ممکن است طرح سرمایه‌گذاری شما وابسته به این باشد که چه فردی در حوزه سیاست روی کار است» و ممکن است حالا این مسأله بر شما تأثیرگذار باشد.

 

بدافزار، حملات پیچیده و باج افزار (۱۳ درصد از پاسخ دهندگان)

آخرین گرایش گفته شده نیز مربوط به حملات بود اما این بار به جای حملاتی که با پشتوانه دولتی انجام می‌شوند، این مورد مربوط به بدافزارها و حملات مربوط به آنها بود. Bob Tarzey این مورد را بزرگترین دغدغه بیان شده توسط مدیران امنیت خواند زیرا تلاش برای دسترسی پیدا کردن به شبکه‌ها همچنان یکی از عوامل تعیین کننده در حوزه امنیت است و «دور نگه داشتن این خطرات نیز اهمیت بسیار زیادی دارد».

Laurence Pitt مدیر راهبرد و بازاریابی امنیت سایبری در Juniper Networks می‌گوید اکنون شاهد وقوع حملات پایه‌ای‌تری هستیم. هرچند حملات از به کار بردن بات­ نت به استفاده از روش‌های هوش مصنوعی تغییر می‌کنند اما تعداد پایگاه­ های داده افشا شده که امکان اجرای حملات فیشینگ را فراهم می‌کنند افزایش یافته است.

در گزارش سال گذشته، گسترش چشم‌انداز خطر و تحول حملات، ۳۴ درصد از پاسخ‌ها را به خود اختصاص دادند و حملات باج افزاری مهم سال ۲۰۱۷ یکی از دلایل این امر هستند. به گفته Izzy Vixsama با وجود این که پیش‌بینی می‌شد حملات باج افزاری روندی کاهشی داشته باشند ولی این حملات نقش تعیین کننده‌ای در مشخص کردن مسیر حرکت و جهت‌دهی به امنیت سایبری داشتند. به طور خاص، حملات بیشتری بر ضد شهروندان سالخورده انجام می‌شود زیرا این افراد معمولاً پول بیشتری دارند، همچنین افراد جوان‌تری که تاریخچه اعتباری خوبی دارند یا چنین تاریخچه‌ای را ندارند زیرا می‌توان در حملات کلاهبرداری و جعل، آنها را مورد هدف قرار داد.

Nathan Wenzler نیز بر این باور است که باج افزار هنوز هم یکی از بدافزارهای مهم محسوب می‌شود زیرا هنوز مردم این حملات را گزارش نمی‌دهند و سازمان‌ها هم هنوز راهبردهای کافی برای پشتیبان­ گیری از اطلاعات ندارند. بنابراین آنها وقتی مورد هدف قرار بگیرند، اطلاعی ندارند که باید چه کاری را انجام دهند.

همان‌طور که درباره وضعیت مهاجم این اتفاق‌نظر وجود داشت، در این زمینه هم این توافق نظر وجود دارد که افراد بد نیت همیشه پیشرو هستند و در آینده قابل پیش‌بینی نیز همچنان پیشرو خواهند بود. Martin King با بیان این موضوع اعلام کرد که مهاجمان هم از سرویس‌های خودکار و خدمات ابر استفاده می‌کنند و این شرایط، منابع زیادی را در اختیار آنها قرار می‌دهد که با آن کار کنند.

Martin Lee مدیر بخش اروپا، خاورمیانه و آسیا در Talos Outreach و مدیر بخش آسیا در Cisco می‌گوید هنوز هم افراد بدخواه به دنبال جستجوی سیستم‌هایی هستند که با کمترین تلاش و حداقل خطر، بیشترین فرصت‌ها را در اختیار آنها قرار دهد و آسیب‌پذیری‌های شناخته شده نیاز به وجود zero-day‌ها را کاهش می‌دهند. Lee به افزایش حملات بر ضد مسیریاب­ ها و سرورهای DNS اشاره کرد اما اعلام کرد که بدافزارها در بسیاری از مواقع از یک حرکت تکامل و چرخه پیروی می‌کنند. برای حل این مسأله، نیاز به وصله کردن سیستم‌ها و داشتن دید کافی بر سیستم‌ها و ترافیک شبکه وجود دارد.

 

گرایش‌هایی که یک­ بار از آنها نام برده شد

هرچند تا اینجا به مهم ترین گرایش‌های گفته شده توسط پاسخ دهندگان پرداختیم، جالب است که نگاهی به چند عاملی که فقط توسط یک شخص بیان شدند نیز داشته باشیم. به جای این که چنین مواردی را نادیده بگیریم، آنها را در ادامه لیست خواهیم کرد:

  • ابزارهای تطبیق با استانداردهای قانونی، مخاطره و حاکمیت
  • شفافیت گواهینامه‌ها
  • سرویس‌های مدیریت شده
  • انگیزه‌های مالی مهاجمان
  • رتبه­ بندی‌ها و معیارها
  • تقلب و کلاهبرداری
  • برنامه‌های باگ بانتی
  • عوامل دولتی
  • فازی­ سازی.

شاید با نگاه کردن به این لیست، این طور فکر کنید که برخی از این آیتم‌ها استحقاق لازم را داشتند که عده بیشتری از آنها نام ببرند یا شاید مواردی در این لیست باشند که شما تا به حال درباره آنها چیزی نشنیده باشید.

به خصوص این که برنامه‌های باگ بانتی که یک­ بار نام برده شدند، جالب توجه است و پاسخ دهندگان اعلام کردند که می‌توان از آنها برای آزمایش کردن امنیت یک پلتفرم به صورت کارآمد استفاده کرد و در ترکیب با یک سیاست افشای آسیب‌پذیری می‌توانند کل صنعت را ایمن‌تر کنند.

این موضوع تا حدودی جای تعجب داشت که کلاهبرداری، انگیزه‌های مالی و عوامل دولتی (که سیاست‌ها و استانداردها، تعاریف متداول درباره آنچه قابل قبول است و میزان درک دولت‌ها از مشکلات امنیت سایبری را هم در بر می‌گیرد) بیشتر از یک­بار نام برده نشدند. شاید مثل مفاهیم فنی‌تر فازی سازی و شفافیت گواهینامه‌ای، جای تعجب نباشد که این آیتم‌ها هم فقط یک بار گفته شدند. شاید در یکی از گزارش‌های آینده شاهد محبوبیت بیشتر این گرایش‌ها باشیم.

 

گرایش‌های آینده

علاوه بر سؤال در رابطه با عواملی که در حال حاضر به امنیت سایبری جهت می‌دهند، از بعضی پاسخ دهندگان سؤال شد که از نظر آنها در ۵ سال آینده چه عواملی بر روند حرکت صنعت، تأثیرگذار خواهند بود. مجموعه‌ای از ۳۳ پاسخ دهنده، ۱۶ گرایش مختلف و مجزا را اعلام کردند که یکی از آنها از سایرین بسیار پیشروتر بود.

اتوماسیون پیشرفته

اتوماسیون، یکی از گرایش‌های برجسته برای آینده بود و ۳۶ درصد از پاسخ دهندگان آن را بیان کردند.

Kerry Bailey مدیرعامل eSentire می‌گوید قابلیت‌های یادگیری ماشینی به تحلیل­گران برای انجام تحلیل‌های عمیق و گشتن به دنبال آنچه باید در جستجوی آن باشند کمک می‌کند، از جمله شاخص‌ها و علایم به خطر افتادن که با الگوهای معمول، سازگار نیستند اما باز هم نیاز به تحقیق و بررسی بیشتر دارند.

همچنین Bailey گفت ما به نقطه‌ای رسیده ­ایم که در آن نمی‌توانیم فقط به افراد، متکی باشیم و نیاز به روش‌های تحقیق و بازرسی جدیدی وجود دارد.

Rajan Kapoor مدیر امنیت در Dropbox افزود که یادگیری ماشینی می‌تواند مشکلات تشخیص از دست رفتن یا سرقت داده و مدیریت حقوق را حل کند زیرا مادامی که کارمندان بتوانند در رابطه با حساسیت داده‌هایی که با آن کار می‌کنند، ارتباطی را برقرار کنند حاشیه خطا بسیار زیاد خواهد بود.

همچنین Kapoor می‌گوید: «یادگیری ماشینی این قابلیت را دارد که آشفتگی و هرج مرج در طبقه‌بندی داده‌ها را از کارمندان، مخفی کند و در عین حال به اعمال طبقه‌بندی‌های درست بر داده‌ها، مدیریت حقوق دسترسی و سازوکارهای محافظتی در پشت صحنه کمک خواهد کرد». چنین کاری برای سازمان‌هایی که سعی دارند داده‌های حساس خودشان را ایمن نگه دارند و برای کارمندانی که فقط خواستار انجام شدن کارها هستند، یک موفقیت محسوب می‌شود.

در بین این پاسخ‌ها هوش مصنوعی بسیار برجسته ظاهر شد. Nick Nagle گفت اتوماسیون، بسیار بزرگ است و در حال حاضر ما فقط در حال تعیین قابلیت‌ها و امکانات آن هستیم. همچنین Nicola Whiting گفت یادگیری ماشینی و هوش مصنوعی «به عنوان تنها گزینه‌هایی که برای دفاع در مقیاس بزرگ وجود دارند، به این زودی از صحنه محو نمی‌شوند» اما برای بلوغ و پایدارتر شدن آن نیاز به زمان وجود دارد.

Whiting گفته است «یکی از تغییرات کلیدی مورد نیاز برای ارایه راهکارهای دفاعی و کاهش مخاطره مبتنی بر هوش مصنوعی، دور شدن از فناوری‌های قدیمی که داده‌های احتمالی تولید می‌کنند (مثل اسکنرها) و حرکت به سمت منابعی است که داده‌های قطعی تولید می‌کنند (مثل داده‌های مربوط به رویدادها و تحلیل پیکربندی)». «این یک الزام اساسی خواهد بود زیرا هرگونه هوش مصنوعی که برای گرفتن تصمیم­ های دفاعی توانمندسازی شده باشد، وابستگی بسیار زیادی به دقت داده‌ها خواهد داشت».

اما به گفته Sundaram این مفهوم که باید در رابطه با قابلیت‌های هوش مصنوعی صبر و بردباری بیشتری وجود داشته باشد و نباید به صورت کامل بر آن متکی شد نیز یکی از دیدگاه‌های متداول است. هرچند پیشرفت در هماهنگ‌سازی و اتوماسیون منجر به کاهش فاصله بین رخنه و تشخیص برای حوادثی می‌شود که در آنها تشخیص مبتنی بر قاعده ممکن است ولی به گفته او «نداشتن مجموعه قاعده‌های کامل برای تشخیص و هوشمندتر شدن حملات، منجر به ایجاد چالش‌هایی برای سازمان‌ها می‌شود».

سایر پاسخ‌ها هم با گرایش‌های فعلی مرتبط بودند و موضوع­ هایی مثل تعامل با هیأت مدیره، ذهنیت مهاجم و عامل انسانی همگی محبوبیت زیادی داشتند. به این شش گرایش نیز یک­ بار اشاره شد:

  • رمزنگاری
  • کانتینریزاسیون[۶]
  • قابلیت دید
  • حملاتی در سطح دولتی
  • استگانوگرافی
  • بلاک­ چین.

 

نتیجه‌گیری

استخراج نتیجه از بین این دیدگاه‌های مختلف، نسبتاً چالش‌برانگیز است زیرا شرکت‌کنندگان در این نظرسنجی به گرایش‌های مختلفی اشاره کردند که از نظر آنها در تعیین جهت بحث امنیت سایبری تأثیرگذار هستند. یک نکته کلیدی برجسته این است که تیم‌های امنیتی و مشاغل؛ چه به خاطر ابر، تحول دیجیتال یا حملات، در هر صورت در حال تغییر و تحول هستند. مسلماً در حال حاضر حوزه امنیت سایبری در وضعیت ایستا و ساکن قرار ندارد.

همان‌طور که در این گزارش اشاره شد، وظیفه تیم امنیت این نیست که مانعی برای یک کسب‌وکار ایجاد کند. بلکه وظیفه آن کمک به کسب‌وکار مربوطه برای انجام کارها و دستیابی به هدف ­ها و چشم‌انداز تعیین شده است. اگر مشاغل، خواستار تغییر هستند لازم است امنیت نیز مورد توجه قرار داشته باشد تا این تغییر را میسر کرده و مانع از نوآوری نشود.

بزرگ ترین تغییری که در تحقیق امسال مشهود بود افت رتبه پیروی از استانداردهای قانونی از جایگاه سال ۲۰۱۸ به جایگاه سوم در سال ۲۰۱۹ بود که مشکلات فناورانه و عامل انسانی قبل از آن قرار گرفتند.

افت رتبه این عنصر، نشان‌دهنده بی‌اهمیت بودن آن نیست و شاید دلیل رتبه برتر آن در سال گذشته، نزدیک شدن به ضرب‌الاجل پیروی از GDPR بود. به نظر می‌رسد که امسال کارهای روزمره تیم‌های امنیتی مهمترین عامل تلقی می‌شد و ممکن است با گذشت زمان، اتوماسیون، جایگزین عامل انسانی شود و این گرایش‌ها باز هم تغییر کنند.

 

نکات کلیدی گزارش

مشکلات فناورانه

پاسخ دهندگان، فناوری را مهمترین مسأله امنیت سایبری بیان کرده و به مشکلاتی مثل تلاش برای یکپارچه‌سازی و انسجام، سردرگمی در خرید و اشباع بیش از حد بازار فناوری اشاره کردند.

پیچیدگی انطباق با قوانین

یک­ سال پس از اجرایی شدن GDPR، موضوع پیروی از قوانین همچنان یکی از موضوع ­های مهم در صنعت امنیت سایبری تلقی می‌شود.

اتوماسیون

هرچند اغلب وقت­ ها یادگیری ماشینی و هوش مصنوعی به عنوان موضوع­ هایی که هیجان و اغراق بیش از حدی نسبت به آنها وجود دارد، تلقی می‌شوند اما این تحقیق نشان داد که اتوماسیون، در حال حاضر بین گرایش‌های اصلی قرار دارد و ممکن است در آینده نیز این موضوع تکرار شود.

حملات و مهاجمان پیشرفته

سطح استاندارد حملات، همچنان بالا است و مهاجمان پیشرفته چالشی جدی برای امنیت ایجاد کرده‌اند.

 

 

  • [۱] General Data Protection Regulation
  • [۲] Network and Informative Security Directive and the California Consumer Privacy Act
  • [۳] Second Payment Services Directive
  • [۴]  برج عاج، لفظی است نشأت گرفته از غزل‌های حضرت سلیمان در کتاب مقدس که بعدها به عنوان لقبی برای حضرت مریم مورد استفاده قرار گرفت. از قرن نوزدهم این اصطلاح در اشاره به جهان یا محیطی به کار می‌رود که اندیشمندان در آن مشغول پی‌جویی‌هایی منفک از دغدغه‌های عملی زندگی روزمره می‌شوند.
  • [۵] Advanced Persistent Threat
  • [۶] کانتینریزاسیون (Containerization) یا کانتینردار کردن، فرایند توزیع و انتشار برنامه­ های کاربردی به روشی پرتابل و قابل پیش‌بینی است.
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × یک =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.