امروزه مدیران ارشد امنیت اطلاعات موظف به تدوین طرحهایی برای واکنش به حادثه توسط تیمهای مسئول در اسرع وقت و بازیابی عملکردهای اصلی کسبوکارشان با حداقل آسیب ممکن و به صورت کلی شرایط پس از حادثه هستند. در حال حاضر مدیران ارشد امنیت سایبری علاوه بر اجرای چنین طرحهایی، خواهان بکارگیری روشهای پیشگیرانهای هم در این زمینه هستند.
Pierre-Martin Tardif، استاد امنیت سایبری میگوید: «باید نوع حملاتی که ممکن است در سازمانتان رخ دهند را پیشبینی کرده و پیش از وقوع آنها، آسیبپذیریهای موجود را پیدا و رفع کنید». بنا به گفته Tardif و سایر کارشناسان امنیتی: «رویکرد پیشگیرانه نسبت به واکنش سریع پس از وقوع حمله یا رخنه، کمک بیشتری به حفظ قدرت تابآوری سازمان میکند».
Sandra Ajimotokin مدیر ارشد طرح امنیت سایبری میگوید: «هدف نهایی همه کارشناسان امنیت سایبری، پیشگیری از سوءاستفاده از ریسکهای سایبری با حفاظت از داراییهای سازمانی است. طرحهای پیشگیرانه نیز نقش مهمی در تحقق این هدف دارند». در ادامه نگاهی میکنیم به اقدامات رایج مدیران ارشد امنیت اطلاعات در یک استراتژی پیشگیرانه:
1. شناسایی داراییها، آنچه نیاز به حفاظت دارد و تهدیدات پیش رو
برای ایجاد یک استراتژی دفاعی پیشگیرانه، مدیران ارشد امنیت اطلاعات ابتدا باید اطلاعات کاملی نسبت به داراییهایی که دارند و میزان اولویتشان و همچنین ریسکهایی که توسط سازمان قابل پذیرش هستند به دست آورند. انجام چنین کاری منجر به شناسایی تهدیدات مهم میشود. بنا به گفته Ajimotokin: «تیم امنیت پیشگیرانه وضعیت خطر سازمان را به خوبی درک کرده و میتواند ریسکهای احتمالی را پیش از وقوع و حمله بر علیه سازمان شناسایی کند. سازمانها نیز با کلیه دادهها و بخشهایی که نیازمند حفاظت بیشتری هستند آشنا شده و در اسرع وقت آسیبپذیریهای موجود را رفع میکنند».
John Deskurakis مدیر ارشد امنیت محصولات نیز ضمن تأیید این دیدگاه میگوید: «مدیران ارشد امنیت اطلاعات باید این کار را به صورت مستمر انجام دهند و از نیاز به شناسایی مستمر غافل نشوند». Deskurakis میگوید: «مواردی که قصد حفاظت از آنها را دارید و همچنین دلایل انجام این کار را مشخص کنید. با سطح حمله و همه ریسکهای موجود آشنا شده و این کار را به صورت پیوسته انجام دهید چون به مرور رشد و تغییر میکنند».
2. استفاده از استراتژیهای احراز هویت قوی و رویکرد اعتماد صفر
تیمهای امنیت پیشگیرانه علاوه بر آشنایی کامل با محیط آیتی و ریسکهای موجود، با استفاده از سیاستهای احراز هویت قوی و حداقل دو مرحلهای میفهمند که چه افرادی به چه بخشهایی از شبکه و سیستمهای آنها دسترسی دارند. در این صورت فقط کاربران مجاز میتوانند به محیط آیتی سازمان دسترسی داشته باشند.
بنا به گفته Tardif: «مدیران ارشد امنیت اطلاعات معمولاً در راستای حرکت به سمت معماری اعتماد صفر الزامات احراز هویت قوی را پیادهسازی میکنند». براساس این استراتژی همه کاربران (شامل افراد و دستگاهها) باید برای دسترسی به سیستمها احراز هویت شوند. Tardif میگوید: «پیادهسازی رویکرد اعتماد صفر منجر به محدودیت دسترسی کاربران فقط به سیستمها و دادههای مورد نیاز میشود». Tardif معتقد است که اصل اعطای کمترین سطح دسترسی از جمله راههای تغییر رویکرد امنیت سایبری از حالت واکنشی به حالت پیشگیرانه است.
3. چابکی و تطبیقپذیری
قابلیت اقدام سریع مدیران ارشد امنیت اطلاعات و تیم آنها از جمله عوامل مهم در سبقت از مهاجمان است. بنا به گفته Deskurakis: «در راستای تحقق این هدف، مدیران ارشد امنیت اطلاعات تفکر حمله محور را در پیش گرفته و در آن از به کارگیری روش ثابت و تجویزی با گامهایی مشخص خودداری میکنند. آنها به صورت منظم تاکتیکهای خود را ارتقا میدهند و مثل یک مهاجم فکر میکنند. روش دفاعی پیشگیرانه، انعطافپذیر است و برای واکنش به تهدیدات رو به رشد به صورت پیوسته تغییر میکند». Andrew Retrum، مدیر امنیت و حریم خصوصی ضمن تأیید این دیدگاه میگوید: «باید از آنچه قرار است سر راهتان قرار بگیرد، سریعتر باشید».
4. آمادگی برای آینده
مدیران ارشد امنیت اطلاعات به ابزارها، تکنیکها و مقررات جدید توجه دارند و پیش از فراگیر شدنشان، از آنها در استراتژیها و طرحهای امنیت خود استفاده میکنند. برای مثال پس از صدور الزامات امنیتی جدید توسط اداره امور مالی نیویورک، مدیران ارشد امنیت اطلاعات بسیاری از سازمانها با هدف آگاهی از تغییرات پیش رو، تیمشان را برای رسیدگی به این موضوع در اسرع وقت آماده کردند».
Retrum میگوید: «بعضی از مدیران ارشد امنیت اطلاعات دائماً تغییرات محیط سازمان یا بازاری که در آن فعالیت دارند را شناسایی میکنند؛ به این ترتیب آنها میتوانند به سرعت به چنین تغییراتی واکنش نشان دهند. برای مثال مدیرانی هستند که تأثیرات رایانش کوانتومی را بر طرحهای امنیتی خود ارزیابی کرده و در حال تلاش برای شناسایی تدابیر امنیتی که پس از پیشرفت این فناوری بیاثر میشوند و همچنین راهکارهای امنیتی کارآمد هستند».
Retrum ضمن تأکید بر ارزشمندی آیندهنگری و تفکر درباره تغییرات آینده، میگوید: «بسیاری از مدیران امنیت پیشگیرانه به چنین تغییراتی فکر میکنند و نقشه راه سه تا پنج سال آینده خود را طراحی کردهاند».
5. دقت به جعل هویت
تیمهای امنیت پیشگیرانه هرگونه سوءاستفاده از نام دامنه، لوگوی سازمان و هویت خود را تحت نظارت دارند. بنا به گفته Carlos Rivera: «این تیمها دائماً هر گونه استفاده غیرمجاز از برند خود را جستجو و شناسایی میکنند». تیمهای امنیت سایبری معمولاً برای نظارت بر دامنه خودشان و شناسایی انواع روشهای جعل برند از ابزارهایی با مدل «خدمات نرمافزاری» یا یک ارائهدهنده خدمات مدیریت شده استفاده میکنند. بنا به گفته Rivera: «تیمهای امنیت سایبری با انجام چنین اقداماتی از تلاشهای هکرها برای استفاده از سایتهای جعل شده، سوءاستفاده از لوگوی سازمان و هر گونه جعل هویتی برای اجرای حملات فیشینگ و سایر حملات مهندسی اجتماعی به سرعت آگاه میشوند. به این ترتیب تیمهای امنیت سایبری میتوانند پیش از اجرای یک حمله موفق یا عظیم، این تلاشها را به صورت کامل خنثی کنند».
6. شکار تهدید
مهاجمان همواره سعی میکنند به صورت مخفیانه به شبکهها و سیستمها نفوذ کنند (برای مثال بر اساس آمار و نتایج تحقیقات صورت گرفته در سال 2022، تشخیص یک رخنه اطلاعاتی به صورت میانگین به 207 روز زمان نیاز دارد). این مشکل از گذشته تا کنون تیمهای امنیت سایبری را در حالت واکنشی قرار داده است. برای مقابله با این چالش، تیمهای امنیت سایبری به شکار تهدید روی آورده و پیش از وقوع حمله یا نفوذ، مهاجمان را در محیطهای خودشان شناسایی میکنند.
Jon France مدیر ارشد امنیت اطلاعات میگوید: «یکی دیگر از اجزای یک رویکرد امنیتی پیشگیرانه، شرکت در فعالیتهای شکار تهدید و تلاش برای تشخیص تهدیدات پیش از سوءاستفاده از آنها است. ممکن است این کار از لحاظ فنی و شناسایی مسیرهای حمله یا عوامل حمله و مهاجمان انجام شود». تلاشهایی که برای شکار تهدید انجام میشوند، به نتیجه میرسند. بیش از 80 درصد از شرکتکنندگان در نظرسنجی شکار تهدید 2022 یک مؤسسه امنیتی، اعلام کردند که این تلاشها منجر به بهبود وضعیت امنیتی سازمانشان شده است. کارشناسان همچنین معتقدند که استفاده از هوش مصنوعی و یادگیری ماشینی باید چنین ارقام و آماری را افزایش دهد چون به تیمهای امنیت سازمانها در جهت شناسایی سریع تهدیدات کمک میکند.
Ajimotokin میگوید: «کارشناسان امنیت میتوانند از قابلیتهای یادگیری ماشینی برای تشخیص الگوها و پیشبینی خروجیها استفاده کنند و به سطح نظارت بیسابقهای دست یابند. به این ترتیب، تیمهای امنیت سایبری تهدیدات را در اسرع وقت شناسایی و با حملات مقابله میکنند».
7. شکار آسیبپذیریها
یک استراتژی امنیتی کارآمد شامل طرح مدیریت آسیبپذیری قوی با قابلیت شناسایی آسیبپذیریهای شناخته شده در سازمان است. چنین راهکاری نصب وصلههای امنیتی مهم را هم در اولویت بیشتری قرار میدهد. البته France معتقد است که تیمهای امنیت باید پیشگیرانه عمل کرده و شکار آسیبپذیری را به طرحهای خود اضافه کنند. او میگوید: «طرحهای مدیریت آسیبپذیری همواره متمرکز بر رسیدگی به مشکلات شناخته شده بودند اما شکار آسیبپذیری به دنبال شناسایی مشکلات ناشناخته است؛ مثل کدهای نرمافزاری ناامن یا پیکربندیهای اشتباهی که در محیط آیتی سازمان وجود دارد».
بنا بر توصیه کارشناسان امنیتی، مدیران ارشد امنیت اطلاعات باید پس از اجرای تست نفوذ، نقاط ضعف موجود را شناسایی کرده و طرحهایی برای شکار تهدید و شناسایی آسیبپذیری داشته باشند. همچنین باید به افرادی که چنین مشکلاتی را شناسایی یا رفع میکنند، پاداش دهند.
8. تمرین واکنش به حادثه
به گفته France: «تیمهای امنیت پیشگیرانه دائماً نحوه واکنش به حملات موفق را امتحان میکنند. این اقدام که معمولاً در قالب مانورهای سایبری انجام میشود از جهات مختلف برای سازمانها مفید است». با توجه به بررسی نحوه اجرای حملات سایبری در عملیات شبیهسازی، پیادهسازی چنین طرحهایی به تیمهای امنیت سایبری برای شناسایی آسیبپذیریهای موجود در راهکارهای امنیتی فعلی کمک میکنند. در نهایت این تیمها میتوانند برای رفع خلأهای موجود و پیشگیری از وقوع سناریوهای طراحی شده اقدام کنند.
این طرحها همچنین به شناسایی خلأهای موجود در روش پاسخ به حادثه و رفع کاستیها به مدیران ارشد امنیت اطلاعات کمک میکنند. بنا به گفته France: «این تمرینها باعث میشوند که در صورت بروز حادثه، اعضای سازمان در اسرع وقت آسیب ناشی از حمله را به حداقل رسانده و شرایط را به حالت عادی برگردانند».
منبع: csoonline