راهکار جامع در زمان افزایش تهدیدات سایبری

با توجه به پیشرفت فناوری و توسعه ابزارهای هک و افزایش تهدیدات سایبری توسط مجرمان، بدیهی است که مخاطرات امنیتی در گذر زمان تغییر می‌کنند. بنابراین باید پیش از هر چیز بین تهدیدات کنونی و مخاطراتی که از گذشته وجود دارند توازن برقرار شود. همچنین باید تدابیر مورد نیاز برای مقابله با تهدیدات جدید و پیامدهای ناشی از آنها و تأمین هزینه‌های مربوط به راهکارهای دفاعی جدید ایجاد گردند.

از طرفی ممکن است سطح مخاطره تهدیدات امنیتی احتمالی موجود در یک سازمان از حالت عادی بالاتر باشد. در چنین شرایطی سطح هشدار نیز باید تشدید یافته و قابلیت‌های زیر را ایجاد کند:

• اولویت‌بندی اقدامات لازم؛
• تقویت موقت یا دائم سازوکارهای دفاعی؛
• ایجاد شرایطی که منجر به پیشگیری از حملات سایبری در زمان‌هایی شود که احتمال وقوع‌شان بسیار بالاست؛
• ایجاد تأثیرات مثبت در بازیابی محیط به شرایط پیش از حمله در اسرع وقت.

در این مطلب از فراست عواملی که باعث ایجاد تغییر در مخاطرات امنیتی می‌شوند و اقداماتی که سازمان‌ها در مواجه با حملات سایبری باید انجام دهند را مورد بررسی قرار می‌دهیم.

عوامل تأثیرگذار بر روی مخاطرات سایبری یک سازمان

ظهور اطلاعات جدید مبنی بر تشدید تهدیدات سایبری توسط تیم امنیتی یک سازمان می‌تواند منجر به تغییر دیدگاه آن سازمان نسبت به تهدیدات شود.

افزایش مخاطرات امنیتی ممکن است ناشی از تقویت موقت قابلیت‌های مهاجمان باشد. برای مثال شناسایی یک آسیب‌پذیری روز صفر در یک سرویس پرکاربرد می‌تواند دلالت بر سوءاستفاده پیوسته مهاجمان از این آسیب‌پذیری داشته باشد. چنین تهدیدی همچنین ممکن است مخصوص یک سازمان، بخش یا حتی کشور خاصی باشد که از تنش‌های ژئوپلیتیک یا هکتیویسم ناشی شده‌اند.

بنابراین سازمان‌های بزرگ و کوچک باید اقدامات لازم برای واکنش سریع و به‌موقع به رویدادهای مخاطره‌آمیز را انجام دهند. کسب‌وکارها معمولاً نمی‌توانند تأثیر خاصی بر روی سطح حمله داشته باشند. همچنین مهاجمان همواره در حال تلاش برای سوءاستفاده از آسیب‌پذیری‌های شناخته شده، پیکربندی‌های اشتباه و حمله از طریق اعتبارنامه‌های کاربری (مثل اسپری کردن کلمه عبور، سوءاستفاده از رمزهای لو رفته یا استفاده مجدد از توکن احراز هویت) هستند. بنابراین تیم‌های امنیتی باید با تمرکز بر روی کاهش آسیب‌پذیری از میزان پیامدهای منفی حملات سایبری نیز بکاهند. حذف قابلیت این افراد برای استفاده از چنین تکنیک‌هایی می‌تواند ریسک مخاطرات سایبری را به صورت قابل توجهی کاهش دهد.

اقدامات قابل انجام

ابتدا کلیه سازمان‌ها و کسب‌وکارها باید از وجود اصول و پایه‌های امنیتی و کنترل‌های بهداشت سایبری جهت حفاظت از دستگاه‌ها، شبکه‌ها و سیستم‌ها اطمینان یابند. انجام اقدامات زیر به سازمان‌ها برای ارزیابی و سنجش میزان امنیت محیط به‌ویژه در زمان تشدید تهدیدات سایبری بسیار حیاتی کمک می‌کند.

البته سازمان‌ها معمولاً نمی‌توانند در مدت کوتاه تغییرات گسترده‌ای را در سیستم‌های‌شان ایجاد نمایند ولی در هر صورت باید تلاش کنند تا اقدامات زیر را به ترتیب اولویت انجام دهند.

بررسی وصله‌های امنیتی سیستم‌ها

• اطمینان یابید که کامپیوترها، لپ‌تاپ‌ها، دستگاه‌های همراه، نرم‌افزارهای شخص ثالث مثل مرورگرها و سایر ابزارهای کاربردی به روزرسانی شده و در صورت امکان قابلیت به روزرسانی‌های خودکار را فعال کنید.
• بررسی‌های لازم جهت آگاهی از وجود وصله‌های امنیتی میان‌افزارهای دستگاه‌های سازمان را انجام دهید. ممکن است شیوه نصب این وصله‌های امنیتی با روش نصب به‌روزرسانی نرم‌افزار متفاوت باشد.
• مطمئن شوید که وصله‌های امنیتی برای سرویس‌هایی که با اینترنت در تماس هستند نصب شده باشند. آسیب‌پذیری‌های موجود در این سرویس‌ها می‌توانند منجر به ایجاد مخاطرات غیرقابل مدیریت شوند.
• همواره از به‌روزرسانی سیستم‌های کلیدی کسب‌وکارتان اطمینان یابید. باید تدابیر امنیتی لازم برای مقابله با آسیب‌پذیری‌های رفع نشده ایجاد شوند.
• انگیزه‌های تجاری که در صورت عدم نصب وصله‌های امنیتی و با توجه به تشدید تهدیدات به وجود می‌آیند را بررسی کنید.

اعتبارسنجی کنترل‌های دسترسی

• کارمندان باید کلمات عبور منحصربفردی را برای سیستم‌های کاری‌شان تنظیم نموده و از بکارگیری رمزهای مشترک با سیستم‌ها و حساب‌های کاربری غیرکاری جداً خودداری کنند. توصیه می‌شود که افراد بهتر است از کلمات عبور قوی و متمایز برای هر سیستم و حساب کاربری استفاده کنند.
• کنترل‌های کاربری را بازبینی نموده و حساب‌های قدیمی یا بدون استفاده را حذف کنید. احراز هویت دو یا چند مرحله‌ای را فعال و بررسی کنید که این قابلیت در کلیه سیستم‌ها و حساب‌های کاربری و متناسب با سیاست‌های کاری‌تان فعال است. از پیکربندی صحیح آن نیز اطمینان یابید.
• حساب‌هایی که دارای سطح دسترسی‌های مدیریتی یا ممتاز هستند را با دقت بازبینی نموده و حساب‌های کاربری قدیمی بدون استفاده یا پیکربندی نشده را حذف کنید. مدیریت این حساب‌ها باید به روشی اصولی و صحیح باشد و در صورت امکان، احراز هویت چند مرحله‌ای را هم فعال کنید. این دسترسی‌های ممتاز معمولاً مرتبط با مدیر سیستم و همچنین دسترسی به سایر اطلاعات یا منابع حساس هستند؛ پس این منابع نیز باید حفظ گردند.
• جهت درک مخاطرات امنیتی موجود در سیستم‌ها و آگاهی کامل از آنها، معماری کلی مدیریت سیستم را مطالعه کنید.

 

اطمینان از عملکرد سازوکارهای دفاعی

برای اطمینان از عملکرد دفاعی سیستم؛ موارد زیر را بررسی کنید:

•  نصب نرم‌افزار آنتی‌ویروس؛
• بررسی پیوسته فعالیت آنتی‌ویروس بر روی همه سیستم‌ها و همچنین به روزبودن آن؛
• شیوه عملکرد قوانین فایروال به ویژه قوانین موقتی که ممکن است بیش از طول عمر مورد انتظار در سیستم باقی بمانند.

ثبت گزارش وقایع و نظارت

• گزارش‌های موجود، محل ذخیره آنها و مدت زمان نگهداری‌شان را بازبینی کنید. گزارش‌های کلیدی را تحت نظارت داشته و گزارش‌های آنتی‌ویروس را بررسی نمایید. در صورت امکان ماهیانه اطمینان حاصل کنید که همه گزارش‌های لازم ذخیره و حفظ می‌شوند.

بازبینی نسخه‌های پشتیبان

• بررسی کنید که نسخه‌های پشتیبان به درستی ایجاد می‌شوند. این نسخه‌های پشتیبان را ارزیابی نموده و اطمینان یابید که فرایند بازیابی‌شان قابل درک و آسان باشد.
• بررسی کنید که آیا فایل‌های پشتیبان دارای نسخه‌های آفلاین هستند یا خیر؛ همچنین این نسخه‌ها باید به‌روز بوده و در صورت وقوع حملاتی که منجر به از دست رفتن داده‌ها یا پیکربندی سیستم‌ها می‌شوند قابل استفاده باشند.
• باید از وضعیت سیستم‌ها و اعتبارنامه‌های کاربری مهم خارجی (مثل کلیدهای خصوصی و توکن‌های دسترسی) نیز نسخه‌های پشتیبان تهیه شود.

برنامه‌ریزی‌های لازم برای حادثه را انجام دهید.

• طرح واکنش به حادثه شما، اطلاعات تماس و مسیرهای ارتقای سطح دسترسی باید به‌روز باشد.
• اطلاعات مورد نیاز درباره شخصی که اختیار انجام تصمیم‌گیری‌های کلیدی را در طرح واکنش به حادثه و به‌ویژه در زمان‌هایی خارج از ساعات کاری برعهده دارد به دست آورده و بررسی‌های لازم را در این زمینه انجام دهید.
• از در دسترس بودن طرح واکنش به حادثه و سازوکارهای ارتباطی مورد استفاده آن اطمینان یابید حتی اگر سیستم‌های کاری از دسترس خارج شدند.

بررسی ردپای موجود در اینترنت

• بررسی کنید که رکوردهای ردپای اینترنتی سازمان (از جمله آی‌پی‌های مورداستفاده سیستم‌های‌تان در اینترنت و دامنه‌هایی که متعلق به سازمان شما هستند) درست و به روز باشند. همچنین اطمینان یابید که داده‌های ثبت دامنه به صورت امن نگهداری می‌شوند (برای مثال کلمه عبور حساب دامنه خود را بررسی کنید) و اعطای نمایندگی و اختیاری نیز بر اساس انتظار انجام می‌گردد.
• یک اسکن آسیب‌پذیری خارجی از کل ردپای اینترنتی‌تان انجام داده و بررسی کنید که کلیه وصله‌های امنیتی لازم نصب شده باشند.

واکنش به فیشینگ

• آموزش‌های لازم درباره شیوه گزارش‌دهی ایمیل‌های فیشینگ را به کارمندان‌تان داده و طرح رسیدگی به این گزارش‌ها را هم ایجاد کنید.

دسترسی‌های شخص ثالث

• باید درک و آگاهی کامل نسبت به دسترسی‌های سازمان‌های شخص ثالث به دستگاه‌ها و شبکه‌های خود داشته و دسترسی‌های غیرضروری را حذف کنید. همچنین باید اصول و قوانین امنیتی شرکت شخص ثالث همکار را بدانید.

جلب همکاری سایر تیم‌های سازمان

• توجه سایر بخش‌های سازمان به مخاطرات امنیتی نقش بسزایی در کاهش تهدیدات و به صورت کلی انجام موفقیت‌‌آمیز اقدامات بالا دارد. بنابراین سازمان‌ها باید امکاناتی را جهت جلب نظر کلیه کارکنان سازمان به‌ویژه در شرایطی که تهدیدات تشدید می‌یابند ایجاد کنند.
• اطمینان یابید که همکاران‌تان در سایر حوزه‌ها، پیامدهای منفی احتمالی تهدیدات بر روی وظایف و کارهای تیم خودشان را درک می‌کنند. همه باید با شیوه گزارش‌دهی رویدادهای امنیتی مشکوک و همچنین میزان اهمیت ارسال گزارش آشنا باشند.

اقدامات پیشرفته

کلیه سازمان‌های بزرگ و کوچک باید جهت پیاده‌سازی تدابیر امنیتی مورد نیاز، همه اقدامات ذکر شده در این مطلب را انجام دهند. سازمان‌ها و قانون گذارانی که از فریم‌ورک ارزیابی سایبری (CAF[1]) برای درک مخاطرات امنیتی استفاده می‌کنند باید بدانند که CAF شامل راهنمایی‌هایی درباره این اقدامات است. بنابراین شرکت‌هایی که توجه چندانی به این موارد ندارند باید در صورت تشدید تهدیدات، بلافاصله در تصمیمات‌شان تجدید نظر نمایند.

بنا بر توصیه کارشناسان امنیتی، کسب‌وکارهایی که از منابع و اطلاعات حساس بیشتری استفاده می‌کنند باید اقدامات زیر را هم انجام دهند:

• اگر سازمان قصد توسعه تدریجی طرح‌های امنیت سایبری خود را دارد باید بررسی کند که آیا نیازی به پیاده‌سازی سریع تدابیر امنیتی کلیدی برای شرایط حساس ناشی از تشدید تهدیدات سایبری هست یا خیر. ممکن است انجام چنین کاری مستلزم تغییر اولویت‌های شما در زمینه تخصیص منابع یا سرمایه باشد.
• هیچ سیستم یا سرویسی در دنیای فناوری بدون مخاطرات نبوده و سازمان‌های بالغ سعی می‌کنند تصمیمات مبتنی بر ریسک آگاهانه و متعادلی بگیرند. وقتی تهدیدی شدت می‌یابد، سازمان‌ها باید تصمیمات مبتنی بر ریسک کلیدی‌شان را بازبینی نموده و بررسی کنند که آیا مایل به ادامه تحمل چنین مخاطراتی هستند یا باید اقداماتی در راستای کاهش و رفع آنها انجام دهند.
• ممکن است بعضی از عملکردهای سیستمی مثل مبادله داده‌ها با شبکه‌های غیر قابل اطمینان منجر به افزایش سطح مخاطرات سایبری شود. سازمان‌های بزرگ که معمولاً سازوکارهایی جهت ارزیابی، آزمودن و اعمال وصله‌های امنیتی در مقیاس عظیم دارند باید بسنجند که آیا پذیرش کاهش موقت سطح یک عملکرد جهت کاهش تهدیدات سایبری قابل قبول است یا خیر. وقتی تهدیدی شدت می‌گیرد، ممکن است سازمان شما مایل به در پیش گرفتن روشی تهاجمی‌تر برای رفع آسیب‌پذیری‌ها باشد (توجه کنید که احتمال دارد انجام این کار بر روی خود سرویس مورد نظر نیز تأثیرگذار باشد).
• در چنین زمان‌هایی سازمان‌ها باید تغییرات سیستمی قابل توجهی که ارتباطی به امنیت ندارند را به تعویق بیندازند.
• اگر یک تیم امنیت عملیاتی یا مرکز عملیات امنیتی دارید، بهتر است برای افزایش ساعت‌های عملیاتی برنامه‌ریزی کنید یا در صورت وقوع حادثه امنیتی آمادگی لازم جهت افزایش مقیاس سریع عملیات را داشته باشید.
• اگر سیستم‌هایی دارید که قابلیت انجام کارهای خودکار یا ارسال اعلان بر اساس هوش تهدید را دارند، بهتر است فیدهای تهدیدی را تهیه کنید که در زمان تشدید تهدیدات، اطلاعات لازم را در اختیار شما قرار می‌دهند.

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید

 

[1] Cyber Assessment Framework

 

منبع: ncsc.gov.uk