اهمیت بکارگیری شاخصهای مناسب جهت ارزشگذاری برنامههای امنیت سایبری
با وجود افزایش راهکارهای مدیریت تهدیدات سایبری، تعداد شاخصهای موجود برای ارزیابی عملکرد این ابزارها در زمینه ایمنسازی داراییهای سازمانها چندان زیاد نیست. مؤسسه ملی استاندارد و فناوری (NIST[1]) آمریکا که در طراحی مدلهای ارزیابی عملکرد امنیت اطلاعات پیشگام است میتوانند چنین شاخصهایی را ایجاد کنند.
مدلهای توصیه شده توسط NIST برای ارتقای سطح عملکرد فناوری اطلاعات داخلی سازمانها مفید هستند. NIST چهار عامل زیر را برای طراحی و پیادهسازی یک طرح ارزیابی امنیت اطلاعات توصیه میکند:
- شاخصهای قابل ارزیابی؛
- دادههای در دسترس که از این شاخصها پشتیبانی کنند؛
- فرایندهای امنیت اطلاعات قابل تکرار؛
- ابزارهایی برای ارزیابی عملکرد و تخصیص منابع.
شاخصهای عملکرد امنیت اطلاعات NIST مشابه سایر تلاشهای این سازمان در حوزه امنیت سایبری فاقد راهنمای پیادهسازی برای دنیای واقعی بوده و کمک چندان زیادی به ارزیابی عملکرد امنیتی سازمانها نمیکند. در نتیجه همچنان در این صنعت جای خالی چنین معیارهایی حس میشود. Robert Weiss رئیس OpenVPN نیز در کنفرانس اخیر خود تلاش کرده تا ایدههای علمی جهت کمک به کارشناسان امنیت سایبری Shmoocon سخنرانی داشته سعی کرد تا با ارایه ایدههای عملی به کارشناسان امنیت سایبری برای اجرای طرحهای ارزیابی عملکرد بخش امنیت اطلاعات کمک کند.
ریسک امنیت سایبری، مهمترین شاخص برای ارزیابی
Weiss با لحن طنزآمیزی میگوید: «هیچ ارایهای در زمینه شاخصها و معیارها بامزه و جذاب نیست. این ارایه هم فرقی ندارد». البته او تأکید کرد که برخلاف عملکرد سازمانها، استفاده از شاخصهای درست و دقیق در هر طرح امنیت سایبری کارآمد ضروری است. او میگوید: «کاهش مخاطرات امنیتی در کلام ساده است ولی اگر در عمل نتوانیم نشان دهیم که به اهدافمان رسیدهایم، فقط منابع را اتلاف کردهایم».
«ریسک» مهمترین شاخصی است که باید ارزیابی شود. بنا به گفته Weiss: «هدف اصلی از ایجاد طرحهایمان در وهله اول کاهش ریسک است». رابطه هزینه طرح با میزان کاهش ریسک، نشاندهنده ارزش تجاری آن است. البته ایجاد آگاهی وضعیتی و نحوه عملکرد طرح نیز از جمله شاخصهای ارزیابی امنیت هستند.
Weiss میگوید: «در یک دنیای ایدهآل، سیستمها و فرایندهای خاصی برای ارزیابی عملکرد، آگاهی وضعیتی و ریسک در اختیار دارید. شاخصهایی را ارزیابی میکنید که چندان مهم نیستند. متکی بر نظرسنجیها نیستید. دادههای تجربی را از سیستمهای خودتان استخراج نموده و دلیل عدم قطعیت و بروز خطاها را مشخص میکنید».
«در حالت ایدهآل، میتوانید ریسک را بر اساس محدوده ضرر سالیانه مورد انتظار ناشی از ریسکها مشخص کنید. خودتان را در زبان احتمالات غرق میکنید. سازمانهای بسیار کمی قادر به انجام این کار هستند. این یک فرصت گسترده برای فعالان این حوزه و کسبوکارها محسوب میشود».
دو روش پایه برای شاخصهای امنیت
بنا بر گفته Weiss: «کارشناسان امنیت با استفاده از روشهای زیر میتوانند طرحهای ارزیابی شاخص را ایجاد کنند. روش اول بر مبنای ارزیابی کلیه موارد است». Weiss میگوید: «جمعآوری همه چیز، این پیام را القا میکند که شما قصد ایجاد فرهنگ ارزیابی و تصمیمگیری بر اساس حقایق و تحلیلها را دارید».
در نقطهای از این روش احتمال کاهش بازده وجود دارد. Weiss میگوید: «اگر هیچ دادهای نداشته باشید، هر داده جدیدی دانش شما را به میزان چشمگیری افزایش داده و عدم قطعیت را کاهش میدهد اما اگر دادههای بسیار زیادی داشته باشید، افزودن داده جدید ارزش چندان چشمگیری ایجاد نخواهد کرد». بنا به گفته Weiss: «شما باید فقط تا حدی بودجهتان را صرف جمعآموری دادهها کنید که در نهایت منجر به یک تصمیمگیری بهتر شود».
اگر دادهای وجود نداشته باشد، میتوانید آنها را با استفاده از منابع ثانویه تخمین بزنید. Weiss میگوید: «معمولاً جهت انجام تصمیمگیریهای مدیریتی نیازی به دادههای چندان زیادی نیست. میتوانید یکسری سرور نمونه را آزمایش کنید یا از منابع جانبی مثل گزارش رخنههای Verizon یا سایر منابع برای کسب اطلاعات درباره انواع حوادث و زیانها استفاده نمایید».
روش دوم، جمعآوری دادهها و سپس اعمال تکنیکهای تحلیلی است که به تشریح ماهیت اطلاعات کمک میکند. Weiss از سیستمهای طبقهبندی روانشناسی تحت عنوان استنلی اسمیت استیونز که مقیاسهای ارزیابی کلاسیک اسمی، ترتیبی، بازهای و مقیاسی را ایجاد نموده استفاده میکند.
بنا به گفته Weiss: «در حوزه امنیت اطلاعات بسیار رایج است که یک سیستم یا تأثیر یک احتمال در قالب یک نوع ماتریس ترسیم شود چون «احتمال ضربدر تأثیر برابر با میزان ریسک» است. در حالی که برای مثال وقتی دو مقیاس ترتیبی [مثل کوچک، بزرگتر، بزرگترین] را مقیاسه میکنید، مخاطرات روش تحلیلی نمود مییابند. امکان ارتباط یک حد خاص از احتمال به یک حد خاص از تأثیر وجود ندارد. بدون در اختیار داشتن اطلاعات جانبی نباید این دو مورد را به یکدیگر ارتباط داد. چنین کاری مثل ضرب کردن رنگها است.
فقط متکی بر حوادث خصمانه نباشید
Lesley Carhart مدیر واکنش به حوادث آمریکای شمالی در شرکت Dragos میگوید: «طرحهای ارزیابی باید از اهداف استراتژیک پیروی نموده و از گیر افتادن در تلههایی که باعث تضعیف امنیت سازمان میشوند پیشگیری کنند. یکی از این تلهها مربوط به زمانی است که شاخصهای امنیت مبتنی بر فعالیت متخاصم هستند».
بنا به گفته Carhart: «در دنیای امنیت سایبری امکان پیشبینی دقیق زمانی که در آن حمله رخ میدهد یا اینکه هر چند وقت یکبار مورد هدف حملات سایبری قرار میگیرید وجود ندارد. در صورت ارزیابی میزان موفقیت بر اساس تعداد واکنش به حادثه یا تعداد رسیدگی به تیکتهای مربوط به فعالیتهای خصمانه، اگر متخاصم طی یک ماه حملهای انجام ندهد یا اگر در یک ماه نسبت به ماههای دیگر حملات بیشتری را اجرا کند چه اتفاقی میافتد»؟
«نباید موفقیت خود را براساس اینکه یک مجرم چه زمانی یک اقدام کاملاً غیرقابل پیشبینی را انجام میدهد ارزیابی کنید. باید آنچه را که ارزیابی میکنید کاملاً درک نمایید. همچنین نباید این کار را بدون هدف و صرفاً برای اینکه انجام داده باشید، انجام دهید. چنین نگرشی فوقالعاده مشکل آفرین است. به همین دلیل است که شاهد اقدامات ناسالمی مثل طرحهای آزمایش سناریوی فیشینگ هستیم. برای مثال به جای ارزیابی نرخ طعمههای کلیکی بهتر است ارزیابی کنید که افراد تا چه میزان رویدادها را گزارش میدهند. چون گزارش یک کارزار هم میتواند کمک زیادی به حفاظت از امنیت سایبری کند».
Carhart میگوید: «مثال فیشینگ نشان میدهد که چرا نباید شاخصهای خودتان را بر اساس اینکه یک مهاجم حملهای را انجام میدهد یا نه تنظیم کنید. مطمئن شوید که هیچ یک از شاخصهای ارزیابی شما مبتنی بر چنین رویدادهایی نباشند؛ کاملاً درباره قصد خودتان و اهداف سازمان فکر کرده و شاخصها را بر اساس آنها تنظیم نمایید».
Weiss هم با این دیدگاه موافق است اما او میگوید که مایل است به همه اعداد و آمار دسترسی داشته تا به عنوان یک مدیر ارشد امنیت اطلاعات تصمیم بگیرد که کدامیک مهمتر هستند. Weiss میگوید: «نکته مهم، متعهد شدن به تحلیل دادهها است و نیاز نیست که همه کارها را بینقص انجام دهید».
[1] National Institute of Standards and Technology
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: csoonline