امنیت سایبری سازمانی از دیدگاه آماری

هنگامی که قرار است راهبرد امنیت سایبری سازمانی خودتان را تدوین کنید، سخت‌ترین چیزی که باید تعیین کنید نقطه شروع کار است. بیشتر متخصصان امنیتی، کار را با تعبیه یک فایروال در شبکه و نصب یک محصول آنتی‌ویروس بر روی نقاط انتهایی آغاز می‌کنند.

خوب است بدانید چنین کاری، رایانه های سازمان را در برابر تمام انواع حملات محافظت نمی‌کند. بنابراین مدیران ارشد فناوری اطلاعات و امنیت باید علاوه بر این راهکارهای اولیه، ایجاد لایه‌های امنیتی اضافی را هم همواره مدنظر خودشان داشته باشند.

 

موارد مهم در تدوین راهبرد امنیت سایبری

زمانی که به دنبال ایجاد راهبرد امنیت سایبری سازمان­تان هستید، 2 مورد کلیدی را باید در نظر داشته باشید:

1. مسیرهای حمله: تهدیدها یا حملات سایبری که می‌توانند رایانه های سازمان یا شرکت شما را در معرض مخاطره قرار دهند، بررسی کنید:

• حملات مستقیم: مثل حملات جستجوی فراگیر قدیمی‌تر که در پی شناسایی نام های کاربری و کلمه های عبور کاربران هستند. این نوع از مخاطره، تقریباً غیرمحتمل است.
• اکسپلویت‌هایی که نقاط انتهایی را هدف قرار می دهند: این نوع حمله ممکن است منجر به نشت داده‌ها و به خطر افتادن اطلاعات سازمانی، مثل نام کاربری و کلمه عبور شود. انجام چنین حمله ای برای هر سازمانی، صرف‌نظر از ابعاد یا حوزه فعالیت آن به شدت محتمل است.
• هرزنامه های ارسال شده به کاربران: کمپین‌های ارسال هرزنامه، در حال ترکیب با انواع مختلف حملات مبتنی بر اکسپلویت هستند. حملاتی با این نوع تغییر مخرب، یکی از روش های آلودگی سیستم های کاربری هستند که احتمال استفاده از آنها توسط مجرمان سایبری وجود دارد.

2. رویکرد شما: پیشگیرانه یا واکنشی؟

 

کدام رویکرد را باید انتخاب کنید؟

آنچه همیشه در حوزه امنیت سایبری مشاهده می‌شود، این است که بیشتر متخصصان امنیتی اعلام می‌کنند که انتخاب راهکارهای پیشگیرانه را ترجیح می‌دهند اما واقعیت این است که در عمل، بیشتر آنها هنوز هم به محصولات و روش‌های واکنشی متکی هستند.

تمرکز اصلی روش پیشگیرانه این است که اطمینان حاصل شود در وهله اول، سازمان شما مورد حمله بدافزاری قرار نگیرد. انواع لایه‌های امنیتی که می‌توانند چنین دفاعی را ایجاد کنند عبارتند از فایروال‌ها، فیلترینگ ترافیک، وصله کردن نرم‌افزارها و آسیب‌پذیری‌ها، محافظت در برابر اکسپلویت‌ها، نظارت بر رفتار آنلاین کاربران و فیلترینگ هرزنامه ها. تمام این راهکارها می‌توانند قبل از وقوع یک حادثه امنیتی، از بروز آن پیشگیری کنند.

در بین راهکارهای واکنشی نیز ابزارهایی مثل نرم افزارهای محافظت در برابر نشت اطلاعات، آنتی‌ویروس، محافظ پیشرفته بدافزار، پشتیبان گیری، تیم پاسخ به حوادث و سایر ابزارهای تشخیص می‌توانند مفید واقع شوند. این راهکارها می‌توانند مبتنی بر کل شبکه یا فقط نقاط انتهایی آن باشند.

وقتی این ابزارها را به گروه‌های مختلف تقسیم‌بندی کرده و تلاش‌های خودتان را بررسی و ارزیابی می‌کنید، از خودتان بپرسید:

آیا بیشتر در سمت واکنشی کار می‌کنید یا پیشگیرانه؟ مسلماً این سؤال ارزش فکر کردن دارد.

مسلماً ابزارهایی در اختیار مدیران بخش فناوری اطلاعات و امنیت سازمان‌ها است که راهکارهای امنیتی واکنشی و پیشگیرانه (که وجودشان برای امنیت سازمان ضروری است) را رقم می زنند.

اگر رویکرد آماری را نسبت به حوزه امنیت سایبری در نظر بگیریم، چند نکته مهم مشخص می‌شود که در ادامه این مقاله به بررسی آنها می پردازیم.

 

راهکارهای امنیتی پیشگیرانه

اجازه بدهید بحث را با بخش محافظت پیشگیرانه شروع کنیم. این گزینه، لزوماً جذاب‌ترین گزینه نیست چون طبق تاریخچه موجود، معمولاً به ندرت بودجه لازم برای امنیت کامل در اختیار مدیران ارشد امنیت اطلاعات یا مدیران ارشد فناوری اطلاعات قرار می‌گیرد. با این وجود، شرایط در حال تغییر هستند و مادامی که بتوانید به مدیران اجرایی یا مدیران ارشد مالی نشان دهید که در ازای صرف این هزینه چه دستاوردهایی نصیب سازمان خواهد شد، احتمال موفقیت شما هم افزایش پیدا خواهد کرد.

برای این که از وجود سازوکار محافظت پیشگیرانه اطمینان داشته باشید باید موارد کلیدی زیر را در نظر بگیرید:

 

1- وصله کردن

تقریباً تمام تولیدکنندگان و ارایه دهندگان راهکارهای امنیتی، از نقطه نظر آماری توافق نظر دارند که آسیب‌پذیری‌های موجود در نرم افزارها و برنامه‌های کاربردی، دلیل اصلی برای به خطر افتادن و هک شدن سیستم ها است. بنابراین این نقطه باید نقطه شروع اقدام های امنیتی شما باشد.

خوب است بدانید که بین 60 تا 92 درصد از حملات سایبری، متأسفانه از این نقطه آغاز می‌شوند. پس اگر در بیش از نیمی از حملات، از این روش برای آلودگی سیستم ها استفاده می‌شود، پس قطعاً این نقطه برای شروع بسیار مناسب است.

آیا وصله کردن و رفع آسیب‌پذیری‌ها کار خسته‌کننده‌ای است؟ بله، همین‌طور است!

اما آیا می‌تواند تأثیر به سزایی داشته و تعداد بسیار زیادی از آسیب‌پذیری‌ها را برطرف کند؟ بله، می‌تواند.

در حال حاضر با ظهور سیستم عامل ویندوز 10، وصله کردن بزرگ ترین سیستم عامل جهان با سرعت و کارایی بیشتری صورت می‌گیرد. بنابراین به احتمال زیاد سیستم عامل ویندوز در آینده نزدیک، نسبت به گذشته نگرانی‌های کمتری را ایجاد خواهد کرد.

هم اکنون نرم افزارها و برنامه های کاربردی شخص ثالث نسبت به گذشته، نگرانی مهمتری هستند. تحلیل صورت گرفته توسط شرکت GFI نیز چنین روندی را مطرح کرده است. این نرم افزارها مهم ترین منبع آسیب‌پذیری‌ها به شمار رفته و بیش از 80 درصد از آسیب‌پذیری‌های گزارش شده، در آنها وجود داشته است.

چهار برنامه کاربردی شخص ثالث، با بیشترین تعداد آسیب‌پذیری

بر اساس تحلیل انجام شده توسط GFI Software و طبق داده‌های منتشر شده توسط پایگاه داده آسیب‌پذیری ملی[1] (NVD)، روزانه آسیب پذیری های فراوانی در برنامه های کاربردی شخص ثالث گزارش می شود که درصد بالایی از آنها نیز «شدت بالایی» دارند.

بعضی از برنامه های کاربردی که دارای بیشترین آسیب پذیری هستند، عبارتند از:

• Flash: امروزه استفاده از برنامه ها و افزونه‌های Flash به دلیل قابلیت امکان نمایش آنها توسط مرورگرهای مختلف، افزایش چشمگیری داشته است. متأسفانه مشکل این است که تعداد آسیب‌پذیری‌های موجود در Flash، در سال های اخیر همیشه بالا بوده است. به این دلیل، رتبه اول را به Flash داده ایم که همیشه مورد استفاده مجرمان سایبری بوده و همچنان هم است.
• Java: مستعد بودن Java نسبت به حملات، اندکی کمتر است و تعداد آسیب‌پذیری‌های آن، سالانه 10 درصد نیز کمتر می‌شود اما هنوز هم رتبه دوم را از نظر نگرانی‌های امنیتی دارد؛ به این دلیل که Java، مشکلات امنیتی زیادی دارد!
• Adobe Reader: این برنامه کاربردی هم رتبه 3 را به خود اختصاص داده است. میزان نصب آن توسط کاربران، بسیار زیاد است و معمولاً نقایص امنیتی شدیدی در آن دیده می‌شود.
• Apple Quick Time: این برنامه هم، دارای رتبه 4 است؛ اگر چه میزان نصب آن در سال‌های اخیر کمی افزایش پیدا کرده که این موضوع نگرانی‌هایی را در پی داشته است.

معمولاً مدیران ارشد فناوری اطلاعات و امنیت، علاقه چندانی به صرف زمان برای وصله کردن نرم افزارها ندارند. البته تا حدودی هم حق با آنها است. با این وجود می‌توان از راهکارهایی استفاده کرد که این کار پرزحمت را خودکارسازی نمود.

چیزی که بعضی از مدیران به آن توجهی ندارند این است که هزینه وصله کردن به ازای هر رایانه، تقریباً کم است اما تأثیر زیادی بر امنیت سازمان آنها دارد.

نتیجه: هزینه وصله کردن (به صورت خودکار) به ازای هر رایانه بسیار کم است اما پیامدهای مثبت زیادی بر امنیت سازمانی دارد.

 

2. آموزش کاربران

از نقطه نظر آماری همواره این شک وجود دارد که آیا این مورد باید شماره 1 باشد یا شماره 2؟ واقعیت این است که همه چیز بستگی به محیط و زمینه مربوطه دارد.

در یک محیط سازمانی، کاربران می‌توانند یک مخاطره امنیتی بزرگ و جدی باشند؛ و بر اساس آمارهای اخیر، واقعاً هم چنین است. گزارشی با عنوان “Vormetric Insider Threat Report” نشان داده است که:

در سراسر جهان، 89 درصد از پاسخ‌دهندگان به این تحقیق باور دارند که سازمان آنها بیشتر در معرض مخاطره افراد داخلی قرار دارد تا بیرونی و 34 درصد از آنها نیز حس می‌کنند که نسبت به این مخاطره، خیلی یا فوق‌العاده زیاد آسیب‌پذیر هستند.

بنابراین برای کاهش این عامل مخاطره، سازمان‌ها باید اصول امنیت سایبری را به کارمندان خود آموزش بدهند. قاعدتاً چنین برنامه‌ای، کاملاً پیچیده و پیاده‌سازی آن نیز پرهزینه است ولی این نکته را در نظر بگیرید که:

«وقتی بازگشت سرمایه را ارزیابی می‌کنید، آموزش کاربران مستلزم هزینه‌های بالایی است اما با این وجود، تأثیر زیادی بر امنیت سایبری سازمان شما دارد. البته آموزش مستمر، ایده آل است چون کارمندان باید با رشد و تکامل بازار به روز مانده و مهارت‌هایشان را افزایش دهند».

ممکن است هزینه‌های بالا باعث شود که این مورد اولویت خودش را از دست بدهد اما قطعاً سرمایه‌گذاری در این زمینه فواید بلندمدتی خواهد داشت.

نتیجه: آموزش کاربران هزینه بالا و تأثیر مثبت زیادی بر امنیت سایبری سازمان‌ها دارد.

 

3. فایروال

نصب فایروال یکی از اصلاحات سریع، نسبتاً ارزان و ضروری در هر شرکتی است؛ اما به خاطر داشته باشید که در چشم‌انداز امنیتی امروزی، داشتن فایروال تأثیر امنیتی فوق‌العاده زیادی بر مخاطراتی که شما را تهدید می‌کند، ندارد.

قطعاً هر شرکتی نیاز به خرید و نصب یک فایروال در شبکه داخلی خود دارد. داشتن فایروال برای هر شرکت، صرف نظر از ابعاد آن یک ضرورت به شمار می رود. نکته مهم این است که فایروال باید تنظیمات درستی داشته باشد تا بتواند به شما در جهت دستیابی به هدف اصلی آن (بستن مسیرهای حمله، قبل از این که از آنها استفاده شود) کمک کند.

نتیجه: فایروال یکی از اصلاحات سریع و کم هزینه است که تأثیر تقریباً کمی بر کاهش مخاطرات سایبری دارد.

 

4. فیلترینگ وب

فیلتر کردن ترافیک ورودی وب، یکی از پارامترهای کلیدی در امنیت است. بیشتر تولیدکنندگان نرم‌افزارهای امنیتی بر این باورند که این مورد یا فیلترینگ هرزنامه، از نظر داشتن تأثیرات امنیتی در رتبه دوم قرار دارد چون یکی از مهم ترین عوامل ایجاد مخاطره است.

اما چرا معمولاً اولویت فایروال، بیشتر از فیلترینگ وب تلقی می‌شود؟

در اغلب موارد، امکان خرید یک راهکار فیلترینگ وب به عنوان بخشی از لایه های امنیتی شرکت وجود دارد اما برای محافظت از نقاط انتهایی شبکه باید این دو (فایروالینگ و فیلترینگ) را به صورت مجزا خریداری کرد.

از آنجا که امروزه رایانه های قابل حمل نیز به شبکه های سازمانی افزوده شده اند، شما باید سازوکار فیلترینگ ترافیک مخرب وب را هم برای شبکه و هم برای هر یک از نقاط انتهایی آن به صورت مجزا در نظر بگیرید. انجام این کار برای پیشگیری از وقوع آلودگی در هنگامی که کارمند شما با لپ‌تاپش جا به جا می‌شود و به محل‌هایی غیر از محیط کاری می‌رود، ضروری است چون این احتمال وجود دارد که وقتی او به اداره برگشت، آلودگی‌های بدافزاری لپ‌تاپ او به محیط شبکه شرکت یا سازمان وارد کند. شاید فیلتر کردن وب به صورت یکجا برای یک محیط آسان‌تر به نظر برسد اما انجام چنین کاری برای نقاط انتهایی هم چندان سخت نیست.

فیلترینگ وب می‌تواند مخاطراتی را که همچنان بعد از وصله کردن و استفاده از فایروال باقی می‌مانند، برطرف کند. شاید انجام این کار، در ظاهر حرکت بزرگ و سختی به نظر برسد اما اطلاعات ما نشان می‌دهد که این کار تأثیرات مثبت زیادی در امنیت سایبری سازمانی دارد.

نتیجه: فیلترینگ وب، هم به صورت شبکه ای و هم به صورت مجزا برای هر یک از نقاط انتهایی شبکه می‌تواند تا 24 درصد از مخاطرات سایبری که می‌توانند سازمان شما را دچار مشکل کنند، کاهش دهد. این مسئله به ویژه برای محیط‌ هایی که کارمندان می‌توانند دستگاه های رایانه ای خودشان را به محل کار بیاورند، اهمیت بیشتری دارد.

 

5. فیلترینگ هرزنامه

فیلترینگ هرزنامه ها یکی از اقدام های حیاتی و مهم در بخش امنیت پیشگیرانه است و از ورود بدافزارها از طریق ایمیل‌های مخرب جلوگیری می‌کند.

این سازوکار، تکمیل کننده راهکارهای پیشگیرانه بوده و این اطمینان را ایجاد می‌کند که بدافزاری سیستم های کاربران شما را تهدید نمی­ کند. در هر صورت، فیلترینگ هرزنامه یکی از راه‌های بسیار ساده، کم هزینه و مؤثر برای برطرف سازی درصد قابل توجهی از مخاطرات سایبری است.

نتیجه: فیلترینگ هرزنامه یک راهکار ساده و ارزان است که می‌تواند بسیاری از مخاطرات امنیت سایبری را برای سازمان شما از بین ببرد.

مهم ترین راهکارهای واکنشی امنیت

پس از بررسی راهکارهای امنیتی پیشگیرانه باید به این نکته توجه داشته باشیم که این راهکارها حتی به صورت ترکیبی هم نمی‌توانند امنیت مورد نیاز شبکه سازمان شما را فراهم کنند.

بنابراین داشتن یک راهکار امنیتی واکنشی هم ضروری بوده و نمی‌توانید برای برطرف کردن تمام مخاطرات امنیتی، فقط به یک راهکار متکی باشید. بعضی از مهم ترین راهکارهای واکنشی امنیت، شامل موارد زیر هستند.

 

1- آنتی‌ویروس

با توجه به مواردی که در بالا راجع به آنها صحبت شد، نیاز به داشتن راهکارهای واکنشی کاملاً مشخص است. این موضوع به ویژه در مورد فیلترینگ هرزنامه نیز صدق می‌کند چون حتی با وجود داشتن سازوکاری برای فیلتر کردن ایمیل‌های هرزنامه، باز هم همچنان طیف وسیعی از مشکلات امنیتی باقی می‌مانند. همه ما می‌دانیم که سازوکارهای فیلترینگ هرزنامه نمی‌توانند تمامی موارد مخرب را شناسایی کنند.

این موضوع یعنی این که وقتی آلودگی به ایستگاه‌های کاری رسید، نیاز به اولین لایه واکنشی داریم که قطعاً این لایه که باید کار را با آن شروع کرد، آنتی‌ویروس است.

 

2- پشتیبان گیری

پشتیبان گیری یکی از سازوکارهای قدیمی، اما بسیار ضروری است و لازم است به صورت مکرر از اطلاعات مهم، نسخه های پشتیبان تهیه شود. تهیه نسخه های پشتیبان از فایل های مهم و پشتیبان گیری منظم و برنامه ریزی شده از آنها یکی از بایدها برای هر محیط ذخیره اطلاعات، سرور یا هر محیط شبکه ای بلادرنگ است.

این که فکر کنید شما هیچ وقت مورد هدف حملاتی قرار نمی‌گیرید که باعث شوند نیاز به نسخه پشتیبان داشته باشید، شجاعت و خوش‌بینی بیش از حد است. هر لحظه ممکن است هارد دیسکی دچار نقص شده یا بدافزاری (به خصوص باج‌افزارها) شبکه شما را هدف بگیرد. در دنیای فناوری اطلاعات، احتمال رخداد چنین وقایعی بسیار بالا است.

هرگز فراموش نکنید که داشتن نسخه پشتیبان از اطلاعات یک ضرورت است!

 

3- محافظت پیشرفته در برابر بدافزارها و سایر راهکارهای امنیتی

با فرض این که در شبکه آلودگی بدافزاری ایجاد شود، شما نیاز به یک لایه دیگر از ابزارهای واکنشی دارید که بتواند آلودگی را شناسایی کند.

با این وجود، دقت کنید که این راهکار دیرتر وارد عمل می‌شود چون هنگام فعال شدن آن ممکن است آلودگی صورت گرفته باشد و احتمالاً داده‌هایی نشت کرده باشد یا باج‌افزاری اطلاعات شما را رمزنگاری کرده یا اقدام های ناشناخته و بدون علامت دیگری انجام شده باشد که بعدها بر ضد شرکت شما استفاده شود.

لایه‌های دیگری از معیارهای امنیتی واکنشی وجود دارند که می‌توانید آنها را انتخاب کنید اما اگر به این نقطه رسیدید، در واقع شما در نقطه‌ای قرار دارید که احتمالاً نیاز به صرف هزینه‌های هنگفت زیادی خواهید داشت.

 

4. تیم‌های پاسخ به حادثه

بسته به ابعاد و قدرت حمله‌ای که ممکن است روزی با آن مواجه شوید باید اطلاع داشته باشید که در صورت وقوع چنین حمله ای باید با چه فردی تماس بگیرید.

برای این که بتوانید از قبل خودتان را برای مقابله با چنین حوادثی آماده کنید، توافقنامه ای را با یک تیم ارایه دهنده خدمات پاسخ به حوادث امنیتی امضا کنید که نسبت به عملکرد آن اطمینان داشته و بدانید مثلاً در صورتی که مورد هدف یک حمله باج‌افزاری قرار بگیرید، به سرعت واکنش نشان می‌دهد.

داشتن طرح و برنامه‌ای از قبل و داشتن متخصصان قابل اطمینانی که بتوانید برای عبور از موانع امنیتی به آنها تکیه کنید می‌تواند باعث آرامش خاطر شما شده و قدرت تان را برای مقابله با حوادث بزرگ و پیامدهای ناشی از آنها افزایش ‌دهد.

 

نتیجه‌گیری

با توجه به این که همواره مخاطرات امنیتی در حال افزایش هستند، نیاز به اولویت بندی و داشتن سازوکار‌های محافظتی مؤثر و کارآمد، تبدیل به یکی از نگرانی‌های اصلی همه سازمان‌ها شده است. ممکن است برای سازمان‌های کوچک تا متوسط، این کار چالش برانگیزتر باشد به این دلیل که احتمالاً از قبل این سازمان‌ها برای چنین مسایلی برنامه‌ریزی نکرده اند.

دانستن این که باید کار را از کجا شروع کرده، چه راهکارهایی را در نظر داشته و چگونه کار ارزیابی و تست را انجام دهید یکی از اقدامات مهم و کلیدی است که امیدواریم این مطلب بتواند به شما برای انجام آن کمک کند.

 

• [1] National Vulnerability Database

 

منبع: heimdalsecurity