اهمیت بکارگیری شاخص‌های مناسب جهت ارزش‌گذاری برنامه‌های امنیت سایبری

با وجود افزایش راهکارهای مدیریت تهدیدات سایبری، تعداد شاخص‌های موجود برای ارزیابی عملکرد این ابزارها در زمینه ایمن‌سازی دارایی‌های سازمان‌ها چندان زیاد نیست. مؤسسه ملی استاندارد و فناوری (NIST[1]) آمریکا که در طراحی مدل‌های ارزیابی عملکرد امنیت اطلاعات پیشگام است می‌توانند چنین شاخص‌هایی را ایجاد کنند.

مدل‌های توصیه شده توسط NIST برای ارتقای سطح عملکرد فناوری اطلاعات داخلی سازمان‌ها مفید هستند. NIST چهار عامل زیر را برای طراحی و پیاده‌سازی یک طرح ارزیابی امنیت اطلاعات توصیه می‌کند:

شاخص‌های عملکرد امنیت اطلاعات NIST مشابه سایر تلاش‌های این سازمان در حوزه امنیت سایبری فاقد راهنمای پیاده‌سازی برای دنیای واقعی بوده و کمک چندان زیادی به ارزیابی عملکرد امنیتی سازمان‌ها نمی‌کند. در نتیجه همچنان در این صنعت جای خالی چنین معیارهایی حس می‌شود. Robert Weiss رئیس OpenVPN نیز در کنفرانس اخیر خود تلاش کرده تا ایده‌های علمی جهت کمک به کارشناسان امنیت سایبری  Shmoocon سخنرانی داشته سعی کرد تا با ارایه ایده‌های عملی به کارشناسان امنیت سایبری برای اجرای طرح‌های ارزیابی عملکرد بخش امنیت اطلاعات کمک کند.

ریسک امنیت سایبری، مهم‌ترین شاخص برای ارزیابی

Weiss با لحن طنزآمیزی می‌گوید: «هیچ ارایه‌ای در زمینه شاخص‌ها و معیارها بامزه و جذاب نیست. این ارایه هم فرقی ندارد». البته او تأکید کرد که برخلاف عملکرد سازمان‌ها، استفاده از شاخص‌های درست و دقیق در هر طرح امنیت سایبری کارآمد ضروری است. او می‌گوید: «کاهش مخاطرات امنیتی در کلام ساده است ولی اگر در عمل نتوانیم نشان دهیم که به اهدافمان رسیده‌ایم، فقط منابع را اتلاف کرده‌ایم».

«ریسک» مهم‌ترین شاخصی است که باید ارزیابی شود. بنا به گفته Weiss: «هدف اصلی از ایجاد طرح‌های‌مان در وهله اول کاهش ریسک است». رابطه هزینه طرح با میزان کاهش ریسک، نشان‌دهنده ارزش تجاری آن است. البته ایجاد آگاهی وضعیتی و نحوه عملکرد طرح نیز از جمله شاخص‌های ارزیابی امنیت هستند.

ریسک امنیت سایبری، مهم‌ترین شاخص برای ارزیابی

Weiss می‌گوید: «در یک دنیای ایده‌آل، سیستم‌ها و فرایندهای خاصی برای ارزیابی عملکرد، آگاهی وضعیتی و ریسک در اختیار دارید. شاخص‌هایی را ارزیابی می‌کنید که چندان مهم نیستند. متکی بر نظرسنجی‌ها نیستید. داده‌های تجربی را از سیستم‌های خودتان استخراج نموده و دلیل عدم قطعیت و بروز خطاها را مشخص می‌کنید».

«در حالت ایده‌آل، می‌توانید ریسک را بر اساس محدوده ضرر سالیانه مورد انتظار ناشی از ریسک‌ها مشخص کنید. خودتان را در زبان احتمالات غرق می‌کنید. سازمان‌های بسیار کمی قادر به انجام این کار هستند. این یک فرصت گسترده برای فعالان این حوزه و کسب‌وکارها محسوب می‌شود».

دو روش پایه برای شاخص‌های امنیت

بنا بر گفته Weiss: «کارشناسان امنیت با استفاده از روش‌های زیر می‌توانند طرح‌های ارزیابی شاخص را ایجاد کنند. روش اول بر مبنای ارزیابی کلیه موارد است». Weiss می‌گوید: «جمع‌آوری همه چیز، این پیام را القا می‌کند که شما قصد ایجاد فرهنگ ارزیابی و تصمیم‌گیری بر اساس حقایق و تحلیل‌ها را دارید».

در نقطه‌ای از این روش احتمال کاهش بازده وجود دارد. Weiss می‌گوید: «اگر هیچ داده‌ای نداشته باشید، هر داده جدیدی دانش شما را به میزان چشمگیری افزایش داده و عدم قطعیت را کاهش می‌دهد اما اگر داده‌های بسیار زیادی داشته باشید، افزودن داده جدید ارزش چندان چشمگیری ایجاد نخواهد کرد». بنا به گفته Weiss: «شما باید فقط تا حدی بودجه‌تان را صرف جمع‌آموری داده‌ها کنید که در نهایت منجر به یک تصمیم‌گیری بهتر شود».

اگر داده‌ای وجود نداشته باشد، می‌توانید آنها را با استفاده از منابع ثانویه تخمین بزنید. Weiss می‌گوید: «معمولاً جهت انجام تصمیم‌گیری‌های مدیریتی نیازی به داده‌های چندان زیادی نیست. می‌توانید یکسری سرور نمونه را آزمایش کنید یا از منابع جانبی مثل گزارش رخنه‌های Verizon یا سایر منابع برای کسب اطلاعات درباره انواع حوادث و زیان‌ها استفاده نمایید».

روش دوم، جمع‌آوری داده‌ها و سپس اعمال تکنیک‌های تحلیلی است که به تشریح ماهیت اطلاعات کمک می‌کند. Weiss از سیستم‌های طبقه‌بندی روانشناسی تحت عنوان استنلی اسمیت استیونز که مقیاس‌های ارزیابی کلاسیک اسمی، ترتیبی، بازه‌ای و مقیاسی را ایجاد نموده استفاده می‌کند.

بنا به گفته Weiss: «در حوزه امنیت اطلاعات بسیار رایج است که یک سیستم یا تأثیر یک احتمال در قالب یک نوع ماتریس ترسیم شود چون «احتمال ضربدر تأثیر برابر با میزان ریسک» است. در حالی که برای مثال وقتی دو مقیاس ترتیبی [مثل کوچک، بزرگتر، بزرگترین] را مقیاسه می‌کنید، مخاطرات روش تحلیلی نمود می‌یابند. امکان ارتباط یک حد خاص از احتمال به یک حد خاص از تأثیر وجود ندارد. بدون در اختیار داشتن اطلاعات جانبی نباید این دو مورد را به یکدیگر ارتباط داد. چنین کاری مثل ضرب کردن رنگ‌ها است.

فقط متکی بر حوادث خصمانه نباشید

Lesley Carhart مدیر واکنش به حوادث آمریکای شمالی در شرکت Dragos می‌گوید: «طرح‌های ارزیابی باید از اهداف استراتژیک پیروی نموده و از گیر افتادن در تله‌هایی که باعث تضعیف امنیت سازمان می‌شوند پیشگیری کنند. یکی از این تله‌ها مربوط به زمانی است که شاخص‌های امنیت مبتنی بر فعالیت متخاصم هستند».

بنا به گفته Carhart: «در دنیای امنیت سایبری امکان پیش‌بینی دقیق زمانی که در آن حمله رخ می‌دهد یا اینکه هر چند وقت یکبار مورد هدف حملات سایبری قرار می‌گیرید وجود ندارد. در صورت ارزیابی میزان موفقیت بر اساس تعداد واکنش به حادثه یا تعداد رسیدگی به تیکت‌های مربوط به فعالیت‌های خصمانه، اگر متخاصم طی یک ماه حمله‌ای انجام ندهد یا اگر در یک ماه نسبت به ماه‌های دیگر حملات بیشتری را اجرا کند چه اتفاقی می‌افتد»؟

«نباید موفقیت خود را براساس اینکه یک مجرم چه زمانی یک اقدام کاملاً غیرقابل پیش‌بینی را انجام می‌دهد ارزیابی کنید. باید آنچه را که ارزیابی می‌کنید کاملاً درک نمایید. همچنین نباید این کار را بدون هدف و صرفاً برای اینکه انجام داده باشید، انجام دهید. چنین نگرشی فوق‌العاده مشکل آفرین است. به همین دلیل است که شاهد اقدامات ناسالمی مثل طرح‌های آزمایش سناریوی فیشینگ هستیم. برای مثال به جای ارزیابی نرخ طعمه‌های کلیکی بهتر است ارزیابی کنید که افراد تا چه میزان رویدادها را گزارش می‌دهند. چون گزارش یک کارزار هم می‌تواند کمک زیادی به حفاظت از امنیت سایبری کند».

Carhart می‌گوید: «مثال فیشینگ نشان می‌دهد که چرا نباید شاخص‌های خودتان را بر اساس اینکه یک مهاجم حمله‌ای را انجام می‌دهد یا نه تنظیم کنید. مطمئن شوید که هیچ یک از شاخص‌های ارزیابی شما مبتنی بر چنین رویدادهایی نباشند؛ کاملاً درباره قصد خودتان و اهداف سازمان فکر کرده و شاخص‌ها را بر اساس آنها تنظیم نمایید».

Weiss هم با این دیدگاه موافق است اما او می‌گوید که مایل است به همه اعداد و آمار دسترسی داشته تا به عنوان یک مدیر ارشد امنیت اطلاعات تصمیم بگیرد که کدامیک مهم‌تر هستند. Weiss می‌گوید: «نکته مهم، متعهد شدن به تحلیل داده‌ها است و نیاز نیست که همه کارها را بی‌نقص انجام دهید».

[1] National Institute of Standards and Technology

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.

منبع: csoonline

خروج از نسخه موبایل