معمولاً شرکت ها برای آن که در برابر تهدیدهای سایبری از امنیت کافی برخوردار باشند، هزینه زیادی را صرف پیاده سازی راهکارها و خرید تجهیزات امنیتی می کنند. متأسفانه واقعیت این است که احتمال نفوذ به بیشتر شرکتها یا حتی احتمال این که همین حالا هم نفوذی به شبکه آنها صورت گرفته و از آن مطلع نباشند، بسیار زیاد است.
بر اساس نتایج آزمایش های صورت گرفته در پلتفرم Security Instrumentation که توسط شرکت امنیتی Mandiant، به منظور بررسی میزان اثربخشی راهکارهای امنیتی تهیه شده است بیش از نیمی از شرکتهایی که مورد آزمایش قرار گرفته اند متوجه اجرای حمله در محیط سازمانی شان نشده اند و در نقطه مقابل نیز در مواجهه با بیش از دو سوم حملات صورت گرفته، متأسفانه هیچ اقدام مناسبی صورت نگرفته است. دلیل آن هم این است که شرکت ها نسبت به وضع امنیتی خودشان احساس کاذبی دارند. در فضای امنیتی سازمان ها اغلب یکی از شرایط زیر برقرار است:
- سامانه ها، سرویس ها و تجهیزات آنها به خوبی و چنان که باید امن سازی نشده اند.
- محیط فناوری اطلاعات آنها بیش از حد پیچیده بوده و همواره نیز در حال تغییر است.
- اثربخشی راهکارهای امنیتی به منظور تشخیص و ارزیابی میزان کارایی آنها به روش صحیح و مناسبی بررسی نمیشود.
در محیط پرمخاطره امروزی که در آن تعداد حملات فیشینگ و باجافزاری، حجم دورکاری و میزان آسیب پذیری در پروتکل های امنیتی به شدت رو به افزایش است، شرکت ها باید اطمینان حاصل کنند که حداکثر میزان بازدهی را در سرمایه گذاری های شان دارند. در کل جهان، اعتبارسنجی امنیت سازمانی تبدیل به یکی از نیازهای مهم و اساسی شرکتها شده و برای مقابله با موج افزایشی حملات سایبری، برطرف سازی نگرانی های ناشی از نشت اطلاعات سازمانی و سایر تهدیدهای امنیتی به آنها کمک میکند تا کارایی عملیاتی خود را حفظ کرده و به صورت مداوم نیز آن را بهبود بخشند.
در گزارش اثربخشی راهکارهای امنیتی سال 2020 میلادی، یافتههای به دست آمده از ارزیابی محیط امنیتی تعدادی از شرکت های مهم منتشر شده است. همان طور که پیش از این هم اشاره شد، با وجود افزایش تعداد حملات و تهدیدهای سایبری، بسیاری از شرکتها هنوز تصور اشتباهی دارند که داراییها و شبکههای آنها همواره در حالت حفاظت شده قرار دارد.
در این گزارش، حوزههای زیر به عنوان مهمترین چالشهای امنیت سایبری شرکتها بیان شده اند:
- شناسایی: معمولاً مدیران ارشد امنیت اطلاعات، متوجه نفوذ بدافزار در محیط شرکت شان نشده اند.
- نفوذ و باجافزار: در بسیاری از مواقع، مدیران ارشد امنیت اطلاعات نمی دانند که امکان نصب موفق باجافزار در محیط شرکت آنها وجود دارد.
- سرپیچی از خط مشیها: همچنین آنها در جریان نبودند که مهاجمان، قادر به دور زدن سازوکارهای امنیتی شان هستند.
- انتقال فایلهای مخرب: این مدیران از انتقال فایلهای مخرب در شبکه شرکت شان بی خبر بودند.
- فرماندهی و کنترل: تقریباً تمام هشدارهای مربوط به فرماندهی و کنترل، به سامانه های امنیت اطلاعات و مدیریت رویدادها (SIEM) ارسال نمی شوند.
- نشت دادهها: در بسیاری از مواقع نیز مدیران ارشد امنیت اطلاعات متوجه نشت اطلاعات و خروج غیرمجاز داده ها از محیط شرکت شان نشده اند.
بررسی اثربخشی راهکارهای امنیتی
با توجه به نتایج بیان شده، مدیران ارشد امنیت اطلاعات باید بتوانند اثربخشی سرمایهگذاریهای امنیتی شان را ارزیابی کنند. هدف از این ارزیابی نیز تنظیم برنامه امنیت سایبری برای دستیابی به نتایج تجاری مطلوب همچون کاهش هزینهها، مدیریت مخاطرات و محافظت از اعتبار و شهرت شرکت است که احتمال هدف قرار گرفتن آنها توسط مهاجمان سایبری وجود دارد. همچنین لازم است کارایی طرح های امنیتی بر اساس فناوریها، افراد و فرایندهای مختلف ارزیابی شده تا مشخص شود که آیا شرکت، در قبال هزینه صرف شده می تواند به نتایج مورد انتظار دست یابد یا خیر.
نتیجه مطلوب از اعتبارسنجی امنیت با انجام بررسی های موقت سطح کارایی طرحها یا کنترلهای امنیتی شرکت ها حاصل نمیشود بلکه از طریق نظارت و ارزیابی خودکار و مستمر به دست می آید. باید توجه داشت که تغییر در محیط های فناوری اطلاعات نباید تأثیر نامطلوبی بر کارایی و اثربخشی کنترلهای امنیتی مورد استفاده بگذارد.
اجرای چنین طرحی مستلزم اجرای یک فرایند پنج مرحلهای است که عبارت از اولویت بندی، ارزیابی، بهینه سازی، تنظیم اطلاعات و نظارت بر آنها بوده که توسط مدیران فناوری اطلاعات لازم است به صورت مداوم انجام شود. به این ترتیب، رهبران سازمان ها و مدیران ارشد امنیت اطلاعات خواهند توانست تصویری واقع گرایانه از میزان تحمل مخاطره شرکت شان را به دست آورده و آسیبپذیریهای امنیتی را شناسایی کنند. همچنین آمادگی بهتری را برای مقابله با تهدیدها و حملات خواهند داشت.
اجرای فرایند اعتبارسنجی امنیت، با بررسی اطلاعات به دست آمده از تهدیدهای سایبری، عملکرد یک شرکت در زمینه دفاع از خود در مقابل مهاجمان، به ویژه تهدیدهایی که احتمال وقوع آنها برای شرکت ها بیشتر است را مشخص می کند.
ارزیابی میزان اثربخشی راهکارهای امنیتی، یک فرایند پیوسته است و برای تشخیص خلأهای موجود، مقابله با آنها و اصلاح فرایندها، افراد و فناوری ها نیاز به شواهد تجربی دارد. برای انجام موفق این کار، وجود فناوری های مناسبی همچون پلتفرم “Mandiant Security Instrumentation” که با اجرای حملات واقعی و تولید نتایج قابل ارزیابی فرضیات را حذف میکند، ضروری است. شرکتها میتوانند از این نتایج برای بهینه سازی و اعتبارسنجی طرح های امنیتی خودشان استفاده کنند.
منبع: bankinfosecurity