آیا بهداشت امنیت سایبری موجب ارتقای امنیت سازمان می شود؟

مدیریت سیستم ها از جمله اصول اولیه و مهم برای تأمین امنیت یک سازمان است. در تمام مباحث مربوط به راهکارهای امنیتی توصیه اکید بر روی مدیریت شبکه‌های سازمانی می شود. علاوه بر این در همه چارچوب ها، استانداردها و بهروش‌های امنیتی نیز راهکارهای امنیت سایبری، با اصول مدیریتی که اجرای آنها امکان سوءاستفاده از دارایی های سازمانی را برای مجرمان سخت یا حتی غیرممکن می‌سازد، شروع می‌شوند.

تعدادی از این اصول مدیریتی عبارتند از:

• تهیه فهرست جامعی از تمام دارایی‌های شبکه
• امن‌سازی پیکربندی‌ها
• ایجاد حساب‌های کاربری با حداقل سطح دسترسی
• طبقه‌بندی اطلاعات سازمانی
• شناسایی و برطرف سازی سریع آسیب‌پذیری‌ها
• پایش و نظارت مداوم بر سیستم‌ها

امروزه کارشناسان امنیت سایبری از میزان اهمیت نحوه صحیح مدیریت سیستم‌های سازمان و تلاش برای حفظ امنیت آنها به خوبی آگاه هستند. بنا بر گفته محققان، بهداشت و مدیریت امنیت سایبری از بروز حوادث امنیتی پیشگیری نموده و از اطلاعات حساس سازمان‌ها به بهترین شکل ممکن محافظت می‌کند. در واقع مدیریت سیستم‌های سازمانی را می‌توان مصداق بارز ضرب‌المثل «پیشگیری بهتر از درمان است» دانست.

از طرف دیگر عوامل زیادی وجود دارد که مدیریت شبکه‌های سازمانی را در راستای حفظ امنیت آنها سخت یا غیرممکن می سازند. بعضی از آنها به شرح زیر هستند:

• بنا بر نظرسنجی‌های اخیر، مخاطرات سایبری همواره رو به افزایش بوده و حدود 85 درصد از مدیران بخش‌های امنیتی و فناوری اطلاعات سازمان‌ها اعلام کرده‌اند که در حال حاضر با توجه به افزایش میزان وابستگی به فناوری ابر و همچنین گسترش سطح حملات سایبری، چشم‌انداز تهدیدات سایبری گسترده‌تر شده است.
• حدود 70 درصد از کارشناسان امنیت و فناوری اطلاعات درباره افزایش حجم آسیب‌پذیری‌های نرم‌افزاری هشدار داده‌اند. آنها معتقدند که جستجوی تمام این آسیب‌پذیری‌ها، اولویت دادن به نصب وصله‌های امنیتی و مدیریت آنها امری زمان‌بر بوده و تا حدودی نیز غیرممکن است. بنابراین همواره شاهد وجود هزاران آسیب‌پذیری امنیتی هستیم که امکان سوءاستفاده و بهره‌برداری از آنها به آسانی وجود دارد.
• حدود نیمی از تصمیم‌گیرندگان حوزه امنیت سایبری اعلام کرده‌اند که نظارت بر وضعیت و بهداشت سایبری از جمله چالش‌های مطرح در حوزه مدیریت مخاطرات امنیتی است. مثلاً تصور کنید که تعدادی از افراد نابینا باید یک شی را لمس کرده و آن را توصیف کنند. بدیهی است که هر فرد نابینا پس از لمس شی مورد نظر، ظاهر آن را بر اساس احساسات خویش توصیف می‌کند. واضح است که توصیف افراد مختلف با یکدیگر کاملاً متفاوت می باشد. متأسفانه ابزارهای مورد استفاده برای مدیریت وضعیت و بهداشت امنیتی شبیه به همین مثال افراد نابینا است چون هر یک از آنها دارایی ها، پیکربندی‌ها، دسترسی‌های کاربران، آسیب‌پذیری‌های نرم‌افزاری یا اثربخشی کنترل‌های امنیتی را از دیدگاه خودشان در نظر می‌گیرند. از سوی دیگر مدیران ارشد امنیت اطلاعات برای دستیابی به تصویری کامل از مدیریت وضعیت و بهداشت امنیت سایبری، به تیمی از تحلیلگران و اطلاعاتی جامع نیاز دارند. این کار، هم نیاز به مصرف منابع داشته و هم احتمال بروز خطا در آن وجود دارد. از این رو تنها روش برای رسیدن به یک تصویر جامع‌، به اشتراک گذاری تمامی داده‌ها است.
• یکی دیگر از دلایلی که منجر به افزایش پیچیدگی‌های امنیت سایبری شده، حادثه مربوط به Solarwinds است. قبل از وقوع این حادثه حدود نیمی از مسئولان متخصص در حوزه تصمیم‌گیری‌های مربوط به امنیت سایبری اعلام کرده بودند مهمترین چالشی که در حوزه مدیریت شبکه‌های سازمانی و سیستم‌های آنها وجود دارد، نظارت بر مخاطرات مربوط به فروشندگان راهکارهای فناوری اطلاعات است. این در حالی است که حادثه هک شرکت سولارویندز باعث شد بسیاری از مدیران ارشد امنیت اطلاعات، درباره شرکت‌های ارایه دهنده راهکارهای فناوری اطلاعات و مخاطرات ناشی از کار با سایر سازمان‌ها تجدیدنظر کرده و برای پیاده‌سازی کنترل‌های دقیق‌تر برنامه‌ریزی کنند. به همین خاطر نیاز به نظارت بیشتر در کل مراحل بررسی و آزمایش، استقرار و در نهایت اجرای عملیات یک امر ضروری برای کلیه سازمان ها است.

اگرچه کارشناسان و محققان ارشد امنیت اطلاعات معتقدند که امنیت سایبری به وجود بهداشت امنیتی و مدیریت وضعیت وابسته می‌باشد اما متأسفانه افزایش پیچیدگی و تهدیدات سایبری این کار را غیرممکن ساخته است. در چنین شرایطی مدیران ارشد امنیت اطلاعات برای مقابله با این چالش‌ها گام‌های زیر را در نظر گرفته‌اند:

• مدیریت سطح حمله

یکی از توصیه‌های مدیران ارشد امنیت این است که تیم‌های امنیتی بهتر است به جای اتکا بر پایگاه‌های داده مدیریت پیکربندی و سایر سیستم‌های مدیریت دارایی، از ابزارهای خودشان برای تشخیص و مدیریت سطح حمله استفاده کنند؛ زیرا عموماً این ابزارها بر دارایی‌های داخلی متمرکز بوده و در پی شناسایی مخاطرات مربوط به سرورها، فایل‌ها و شناسه های کاربری (نام کاربری و کلمه عبور) در اینترنت هستند.

علاوه بر این بسیاری از ابزارهای مدیریت سطح حمله نیز فراتر از یک جستجوی ساده عمل کرده، آسیب‌پذیری‌ها را پیدا نموده و راهکارهای لازم را برای مقابله با آنها به کار می‌گیرند. افزایش توجه نسبت به مدیریت سطح حمله موجب شده که شرکت Palo Alto Networks برای خرید شرکت Expanse اقدام کرده و برای بهبود عملیات های امنیتی، آن را در Cortex ادغام کند.

• تمرکز بر موضوعات مهم

با توجه به اینکه سازمان‌های بزرگ از بخش‌های مختلفی تشکیل شده و دارایی‌های زیادی دارند بنابراین نمی‌توانند به همه امور رسیدگی کرده و بر تمام بخش‌ها نظارت کافی داشته باشند؛ از این رو باید متمرکز بر دارایی‌هایی شوند که برای کسب‌وکارشان دارای اهمیت بیشتری هستند.

اجرای این اقدام مستلزم شناسایی و طبقه‌بندی دارایی‌ها است. تیم‌های امنیتی به تنهایی قادر به انجام این کار نبوده و به راهنمایی‌ها و دستور‌العمل‌های مالکان کسب‌وکارها و دارایی ها نیاز دارند. عموماً آنها تخصص کافی برای شناسایی دارایی‌ها و داده‌هایی را دارند که دارای نقش مهمی در فرایند‌های کاری هستند.

بنابراین مدیران ارشد امنیت اطلاعات باید با مالکان کسب‌وکارها ارتباط برقرار کرده و از آنها بخواهند ضمن ارزیابی شرایط، وضعیت دارایی‌ها را مشخص نمایند. از این رو مسئولان بخش‌های امنیتی سازمان لازم است بهداشت امنیت و مدیریت وضعیت را برای دارایی‌های مهم انجام دهند. در واقع آنها این کار را می بایست با کنترل دارایی‌ها، بخش بندی شبکه، پیاده سازی کنترل‌های امنیتی و نظارت مداوم بر تغییرات اجرا کنند.

• سرمایه گذاری در حوزه امنیت ابر

رایانش ابری با چنان سرعت و پیچیدگی رو به رشد است که با شکل‌گیری ابزارهای جدید، توسعه سریع و همچنین جریان‌های کاری موقتی تأثیر شگرفی بر مدیریت وضعیت و بهداشت امنیتی گذاشته است. بر اساس مطالعات اخیر، سازمان‌ها تلاش می‌کنند با سرمایه‌گذاری در حوزه‌هایی همچون مدیریت امنیت ابر بتوانند امنیت رایانش ابری را تأمین کنند. به عبارت دیگر سازمان‌ها با صرف سرمایه‌گذاری‌های قابل توجه به دنبال پر کردن این خلأ هستند.

• افزایش آزمون ها

با وجود تلاش‌های صورت گرفته برای مدیریت وضعیت و بهداشت امنیت سایبری، عموماً کارشناسان امنیتی از امنیت کامل سازمان خود مطمئن نیستند. بسیاری از سازمان‌ها برای کاهش این نگرانی‌ها تلاش می کنند ضمن افزایش محدوده و تعداد دفعات اجرای تست نفوذ، بر ایجاد تیم های قرمز متمرکز شوند. این کار منجر به ظهور ابزارهای خودکار برای تست نفوذ و آزمون حمله از سمت شرکت‌هایی همچون AttackIQ، CyCognito، Cymulate، Randori، SafeBreach، XM Cyber و سایر شرکت ها شده است. این موضوع برای FireEye[1] به قدری اهمیت داشته که Verodin را خریده و آن را عضوی از راهکارهای عملیات امنیتی خودش کرده است.

در حال حاضر با توجه به اینکه هیچ راهکار کامل و بی نقصی وجود ندارد بنابراین مدیران ارشد امنیت اطلاعات باید تلاش بیشتری کرده، پیشگیرانه اقدام نموده و خلاق باشند تا بتوانند وضعیت و بهداشت امنیت سایبری سازمان شان را با به کارگیری روش‌های کارآمد مدیریت کنند.

[1] یک شرکت معروف آمریکایی که در زمینه امنیت سایبری فعالیت دارد.

منبع: csoonline