ناگزیر هر سازمانی دارای ارتباطات اینترنتی و به نوعی درگیر زیرساخت فناوری اطلاعات است، پس تقریبا همه سازمانها در خطر حملات سایبری قرار دارند. برای درک بزرگی ریسک و مدیریت آن، لازم است ارزیابی امنیت سایبری و ریسک و فرایندی مشخص کند کدام دارایی ها در برابر خطرات سایبری تهدید کننده سازمان، آسیب پذیر هستند، ضروری است.
ارزیابی های پیوسته و شناسایی خطرات احتمالی در زمان ارزیابی، از حوادث امنیتی پر هزینه و نقض داده ها پیشگیری می کند و آنها را کاهش میدهد. این فرآیند همچنین همه افراد در یک سازمان را ملزم می کند تا چگونگی تاثیر خطرات امنیت سایبری بر اهداف سازمان را درک کرده و به ایجاد آگاهی جامع تر از ریسک کمک می کند. مراحل ارزیابی امنیت سایبری و خطرات به شرح زیر است:
مرحله اول: مشخص کردن محدوده ارزیابی
ارزیابی ریسک با تصمیم گیری در مورد آنچه در محدوده ارزیابی است، آغاز می شود. این محدوده می تواند کل سازمان یا بخشی از آن را دربرگیرد. داشتن حمایت کامل از همه ذینفعانی که فعالیت هایشان در محدوده ارزیابی است، ضروری بوده چرا که اطلاعات آنها برای درک بهتر اهمیت هر فرآیند و دارایی، شناسایی خطر، ارزیابی اثرات و تعریف سطوح تحمل ریسک، موردنیاز است. استانداردها و قوانین مختلفی وجود دارد که سازمانها را ملزم به تکمیل ارزیابی ریسک می کند و دستورالعملها و توصیه هایی ارائه میدهند. با این حال هنگام ارزیابی استفاده از صرفا یک چک لیست رعایت الزامات انطباق به معنی این نیست که سازمان در معرض هیچ خطری قرار ندارد.
مرحله دوم: شناسایی دارایی ها، تهدیدات آنها
شناسایی دارایی ها:
نمی توان از چیزی که از آن خبر نداریم محافظت کنیم! بنابراین وظیفه بعدی شناسایی و ایجاد فهرستی از تمام دارایی های فیزیکی و منطقی است که در محدوده ارزیابی ریسک قرار دارند، است. تیم مدیریت ریسک سازمان باید تمام دارایی های اطلاعاتی را فهرست بندی کند. این دارایی ها شامل زیرساخت های فناوری اطلاعات شما و همچنین راهکارهای مختلف نرم افزار به عنوان سرویس (SaaS)، پلتفرم به عنوان سرویس (PaaS) و راهکارهای زیرساخت به عنوان سرویس (IaaS) است که در سراسر شرکت یا سازمان استفاده می شود. همچنین شامل داده هایی است که آن سیستم ها پردازش می کنند. برای درک انواع دادههایی که در سازمان جمعآوری، ذخیره و ارسال میکند و همچنین مکانهای مربوطه، سوالاتی را می توان مطرح کرد:
• چه داده هایی در هر دپارتمان جمع آوری می شود؟
• این اطلاعات از کجا جمع آوری و به کجا ارسال می شود؟
• هر بخش از چه وندورهایی استفاده می کند و هر وندور چه دسترسی هایی دارد ؟
• از چه روشهای احراز هویت مثل احراز هویت چندعاملی برای دسترسی استفاده می شود؟
• اطلاعات شرکت به صورت فیزیکی کجا ذخیره می شود؟
• کارمندان از چه دستگاههای استفاده می کنند؟
• کارمندان ریموت به اطلاعات دسترسی دارند؟ از چه راهی؟
• کدام پایگاه داده اطلاعات را ذخیره می کند؟
• کدام سرورها داده ها را جمع آوری و منتقل و ذخیره می کنند؟
شناسایی تهدیدات:
تهدیدات شامل تکنیکها و روشهایی است که توسط مهاجمان استفاده می شود و پتانسیل آسیب به دارایی سازمان را دارد. به منظور کمک به شناسایی تهدیدات بالقوه هر دارایی، از کتابخانه های تهدیدات معتبر استفاده می شود. گزارشات سازندگان محصولات امنیتی و دستورالعمل های مراکز دولتی می تواند منبع خوبی برای اطلاع از اخبار به روز تهدیدات در هر صنعت، منطقه و تکنولوژی ای باشد. توجه داشته باشید که:
• کدام سیستمها، شبکه ها و نرم افزارها برای عملیات سازمان و شرکت حیاتی هستند؟
• چه اطلاعات حساس یا سیستم هایی باید در دسترس، محرمانه و یکپارچه باشند؟
• چه اطلاعاتی ذخیره، جمع آوری و متتقل می شود که لازم است حتی در صورت شکست رمزنگاری، ناشناس باقی بماند؟
• کدام دستگاهها و سیستم ها بیشتر در معرض از دست رفتن اطلاعات هستند؟
• احتمال خرابی داده ها چقدر است؟
• کدام یک از سیستم های IT، شبکه ها و نرم افزارها ممکن است هدف مهاجمان برای سرقت داده ها باشند؟
• چه آسیبی به اعتبار سازمان در صورت وقوع یک حادثه امنیتی می رسد؟
• خطرات مالی سرقت یا نشت اطلاعات احتمالی چیست؟
• در صورت وقوع یک حادثه امنیت سایبری چه خطراتی عملیات و عملکرد سازمان را تهدید می کند؟
فرآیند ارزیابی ریسک، ریسکهای مربوط به دارایی های اطلاعاتی و آسیب هایی را که نقض هر یک از آنها ممکن است برای شرکت ایجاد کند، در نظر میگیرد. این موارد شامل آسیب به اعتبار تجاری،مالی، تداوم و عملیات است.
مشخص کنید چه چیزی ممکن است نادرست باشد:
این وظیفه شامل مشخص کردن پیامدهای تهدید شناسایی ای شده است که از یک آسیب پذیری برای حمله به یک دارایی در محدوده استفاده می کند. به عنوان مثال سناریوی زیر را در نظر بگیرید:
تهدید: یک حمله تزریق SQL توسط مهاجم انجام شده است.
آسیب پذیری/ دارایی: وب سرور وصله نشده
پیامد: داده های خصوصی کاربران و مشتریان به سرقت رفته و منجر به جریمه های قانونی آسیب به اعتبار مجموعه می شود.
خلاصه کردن این اطلاعات در سناریوهای ساده ای مانند سناریوی بالا، درک خطرات مرتبط با اهداف کلیدی سازمان را ساده تر می کند و برای تیم امنیتی راهی به منظور تشخیص اقدام مناسب و بهترین شیوه مقابله با خطر است.
مرحله سوم: آنالیز خطرات و تاثیرات آنها.
اکنون زمان آن رسیده که احتمال وقوع (Probability) سناریوهای ریسک مستند شده در مرحله قبلی و تاثیر آن بر سازمان (Impact) مشخص شود.
احتمال وقوع: احتمال دسترسی یک مهاجم به دارایی ها
در ارزیابی ریسک امنیت سایبری احتمال خطر (احتمال اینکه یک تهدید مشخص بتواند از یک آسیب پذیری خاصی بهره برداری کند) باید براساس قابلیت کشف، بهره برداری و تکرار پذیری تهدیدها و آسیب پذیری ها، به جای رویدادهای گذشته، تعیین شود. چرا که مانند حوادث طبیعی نمی توان گفت خسارت و آسیب تهدیدات امنیت سایبری ارتباطی نزدیکی با حوادث قبلی دارد.
اثر: اثرات مالی، عملیاتی، استراتژی و اعتباری که یک حادثه امنیتی می تواند بر سازمان داشته باشد.
منظور از تاثیر، میزان آسیب سازمان است که ناشی از پیامدهای تهدیدی است که از یک آسیب پذیری بهره برداری می کند. تاثیر بر محرمانگی، یکپارچگی و در دسترس بودن باید در هر سناریو با ضریب بالا و به عنوان امتیاز نهایی ارزیابی شود.
به عنوان مثال، یک پایگاه داده حاوی اطلاعات عمومی ممکن است کنترل های امنیتی کمتری داشته باشد، بنابراین احتمال نقض آن می تواند بیشتر باشد. از سوی دیگر، آسیب وارده کم خواهد بود چرا که مهاجمان فقط اطلاعاتی را که در حال حاضر در دسترس عموم است، به دست خواهند آورد. بنابراین ممکن است مایل باشید ریسک امنیتی آن پایگاه داده خاص را بپذیرید زیرا با وجود احتمال بالای نقض، امتیاز تأثیر پایینی دارد.
برعکس، فرض کنید در حال جمع آوری اطلاعات مالی از مشتریان هستید و کنترل های امنیتی مناسبی برای این مورد در نظر داشته باشید در آن صورت، احتمال نقض ممکن است کم باشد، اما آسیب ناشی از چنین اتفاقی میتواند موجب جریمههای شدید نظارتی و از دست دادن اعتبار سازمان شود. بنابراین ممکن است تصمیم بر آن شود که تضمین های امنیتی بیشتری برای کاهش سطح خطر اتخاذ کرد.
هر سناریویی که بالاتر از سطح تلورانس توافق شده باشد، باید برای رسیدگی در اولویت قرار بگیرد. با این حال هیچ سیستم یا محیطی را نمی توان تا 100% ایمن کرد و همیشه هرچند کم اما احتمال ریسک وجود دارد و باید این ریسک ها را عنوان بخشی از استراتژی امنیت سازمان مدنظر داشت.
مرحله چهارم: تنظیم کنترل های امنیتی
در این مرحله لازم است کنترل های امنیتی مشخص مستقر شوند. کنترل های امنیتی کمک می کند تا خطرات بالقوه مدیریت شوند، آنها را از بین برده یا شانس آنها برای وقوع را تا میزان قابل توجهی کمتر می کند.
کنترل ها برای هر خطر بالقوه ای ضروری هستند و لازم است که کل سازمان آنها را اجرا کرده و مطمئن باشند که کنترل خطر به طور مداوم انجام می شود. کنترل های امنیتی شامل موارد زیر هستند:
• جداسازی شبکه
• رمزنگاری چه در حال سکون، چه حین نقل و انتقال
• نرم افزارهای ضدبدافزار، ضدباج افزار و ضد فیشینگ
• پیکربندی فایروال
• پروتکل های رمزعبور
• احراز هویت چندعاملی
• آموزش پرسنل
• داشتن برنامه های مدیریت خطر
مرحله پنجم: مستند کردن تمامی خطرات و نظارت و بررسی اثربخشی راهکارهای مقابله با آن
ثبت تمامی سناریوهای خطر شناسایی شده مهم بوده و باید به طور منظم بررسی و به روز شود.
• سناریوی ریسک
• تاریخ شناسایی
• کنترل های امنیتی موجود
• سطح ریسک فعلی
• طرح رسیدگی به خطر، به معنای انجام فعالیتهای برنامهریزیشده برای به حداقل رساندن سطح خطر
• وضعیت پیشرفت، مانند وضعیت اجرای طرح رسیدگی به تهدیدات.
• بررسی سطح ریسک پس از اجرای طرح رسیدگی.
سازمان ها برای ایجاد و اطمینان از امنیت فناوری اطلاعات بر تست نفوذ و حسابرسی های دوره ای تکیه کرده اند. اما از آنجایی که عوامل مخرب مدام تاکتیکها را تغییر میدهند، سازمان نیز باید سیاستهای امنیتی خود را تنظیم کرده و یک برنامه مدیریت ریسک داشته باشد که محیط فناوری اطلاعات را برای تهدیدات جدید امنیت سایبری رصد کند. تجزیه و تحلیل ریسک نیز باید انعطاف پذیر باشد.
مزایای انجام ارزیابی امنیت سایبری
انجام ارزیابی ریسک امنیت سایبری و داشتن یک فرآیند مدیریت ریسک مزایای بسیاری دارد، از جمله:
کاهش هزینه های تخصیص داده شده به حوادث امنیتی. می توانید هزینه های طولانی مدت در رابطه با آسیب های نقض و سرقت دارایی حیاتی را کاهش می دهید.
ایجاد الگو برای شناسایی خطرات سازمانی. زمانی که سطح خطر را در طول زمان بررسی می کنید، پایه ای برای ارزیابی های آینده خواهید داشت.
پیشگیری از نقض داده ها. تهدیدات بالقوه را شناسایی کرده، آنها را کاهش داده و از نقض داده ها جلوگیری می کنید.
پیشگیری از مشکلات انطباق. با بررسی منظم از مشکلات انطباقی مربوط به داده های سازمان و ذینفعان جلوگیری می کنید.
پیشگیری از کاهش بهره وری. زمانی که آسیب پذیری ها را شناخته و رفع کنید، می توانید از وقفه در بهره وری و عملیات سازمان پیشگیری نمایید.
پیشگیری از نشت و از دست رفتن داده ها. سرقت دارایی های حیاتی می تواند هزینه های بیش از هزینه های مادی بر سازمان تحمیل کند. در صورت وقوع چنین حوادثی ممکن است اعتبار سازمان و در نهایت توانایی کنترل کسب و کار و عملیات از دست برود.
چه سازمانهایی باید ارزیابی امنیت سایبری را انجام دهند؟
همه سازمانهایی که از زیرساخت فناوری اطلاعات استفاده میکنند باید ارزیابی های ریسک امنیت سایبری را انجام دهند. گفته می شود، برخی از کسب و کارهای کوچک ممکن است به دلیل محدودیت منابع شرایط ارزیابی و کاهش ریسک را به طور کامل نداشته باشند. به همین دلیل، بسیاری از سازمانها به نرمافزار امنیت سایبری روی میآورند تا به آنها کمک کند استراتژی های مدیریت ریسک خود را بهتر ارزیابی کرده، آنها را کاهش داده و بر آنها نظارت کنند.
راه حل های مدرن امنیت سایبری برای هوش تهدید طراحی شده اند تا از سه دسته مهم خطر امنیت سایبری جلوگیری کنند: بدافزار، باج افزار و فیشینگ.
شرکت پانا با بیش از 19 سال تجربه در زمینه مشاوره، ارائه و پیاده سازی راهکارهای امنیتی آماده پاسخگویی به سوالات شماست. جهت دریافت اطلاعات بیشتر و انتخاب محصولات امنیتی مناسب نیازهای سازمان خود با ما تماس بگیرید.