با وجود افزایش راه حل های مدیریت تهدیدات سایبری، تعداد شاخص های موجود برای ارزیابی اثربخشی این ابزارها در حوزه حفاظت از دارایی سازمان ها چندان زیاد نیست. موسسه ملی استاندارد و فناوری (NIST[۱]ایالات متحده، پیشگام در طراحی مدل هایی برای ارزیابی اثربخشی امنیت اطلاعات، می تواند چنین شاخص هایی را ایجاد کند.
مدل های توصیه شده توسط NIST برای بهبود عملکرد فناوری های اطلاعات داخلی سازمان ها مفید هستند. NIST چهار عامل زیر را در طراحی و اجرای طرح ارزیابی امنیت اطلاعات توصیه می کند:
- شاخص های قابل اندازه گیری؛
- داده های موجود برای پشتیبانی از این شاخص ها؛
- فرآیندهای مکرر امنیت اطلاعات؛
- ابزارهای ارزیابی عملکرد و تخصیص منابع.
شاخصهای عملکرد امنیت اطلاعات NIST مانند سایر تلاشهای امنیت سایبری، سازمان فاقد راهنمای پیادهسازی در دنیای واقعی است و برای ارزیابی اثربخشی امنیت سازمانها کاری انجام نمیدهد. در نتیجه معیارهای مشابهی همچنان در این صنعت احساس می شود. رابرت وایس، رئیس OpenVPN نیز در کنفرانس اخیر درباره ایده های علمی برای کمک به کارشناسان امنیت سایبری Shmoocon صحبت کرد.
ریسک امنیت سایبری مهمترین شاخص برای ارزیابی است
ویسی با لحنی طنز گفت: «هیچ ارائه شاخص ها و معیارها خنده دار یا جذاب نیست. “این ارائه هیچ تفاوتی ندارد.” وی با این حال تاکید کرد که بر خلاف نمایندگی سازمان ها، استفاده از شاخص های دقیق و دقیق در هر طرح موثر امنیت سایبری ضروری است. وی گفت: کاهش خطرات امنیتی فقط در حد حرف است، اما اگر در عمل نتوانیم نشان دهیم که به اهداف خود رسیده ایم، صرفاً منابع را هدر داده ایم.
“ریسک” مهمترین شاخصی است که باید ارزیابی شود. به گفته ویس: هدف اصلی از ایجاد برنامه های ما در وهله اول کاهش ریسک است. رابطه بین هزینه پروژه و کاهش ریسک ارزش تجاری آن را نشان می دهد. البته ایجاد آگاهی موقعیتی و نحوه عملکرد طرح نیز از جمله شاخص های ارزیابی امنیتی است.
ویس می گوید: «در دنیای ایده آل، شما سیستم ها و فرآیندهای خاصی برای ارزیابی بهره وری، آگاهی موقعیتی و ریسک دارید. شما شاخص هایی را ارزیابی می کنید که چندان مهم نیستند. شما به نظرسنجی ها متکی نیستید. “داده های آزمایشی را از سیستم های خود استخراج کنید و علت عدم قطعیت ها و خطاها را تعیین کنید.”
در حالت ایدهآل، میتوانید ریسک را بر اساس محدوده زیان سالانه مورد انتظار تعیین کنید. شما در زبان احتمالات غرق شده اید. تعداد بسیار کمی از سازمان ها قادر به انجام این کار هستند. این یک فرصت عالی برای فعالان و مشاغل است.»
دو روش اصلی برای نشانگرهای امنیتی
به گفته ویس: «کارشناسان امنیتی می توانند از روش های زیر برای ایجاد طرح هایی برای ارزیابی شاخص ها استفاده کنند. ویس میگوید: «روش اول مبتنی بر ارزیابی همه موارد است.» ویس میگوید: جمعآوری همه چیز این پیام را میدهد که میخواهید فرهنگ ارزیابی و تصمیمگیری را بر اساس واقعیتها و تجزیه و تحلیل ایجاد کنید.
در برخی از مراحل این روش فرصتی برای کاهش کارایی وجود دارد. ویس گفت: “اگر هیچ داده ای نداشته باشید، تمام داده های جدید به طور چشمگیری دانش شما را افزایش می دهد و عدم اطمینان را کاهش می دهد، اما اگر داده های زیادی دارید، افزودن داده های جدید ارزش زیادی اضافه نمی کند.” به گفته ویس، “شما فقط باید بخشی از بودجه خود را صرف جمع آوری داده ها کنید تا در نهایت به راه حل بهتری برسید.”
اگر داده ها در دسترس نیستند، می توانید آنها را با استفاده از منابع ثانویه ارزیابی کنید. ویس گفت: معمولاً برای تصمیم گیری مدیریتی به داده های زیادی نیاز ندارید. “می توانید یک سرور نمونه را آزمایش کنید یا از منابع اضافی مانند نشت های Verizon یا منابع دیگر برای اطلاع از انواع خرابی ها و تلفات استفاده کنید.”
روش دوم جمع آوری داده ها و سپس به کارگیری تکنیک های تحلیلی است که به توضیح ماهیت اطلاعات کمک می کند. وایس از سیستمهای طبقهبندی روانشناختی به نام استنلی اسمیت-استیونز استفاده میکند که مقیاسهای کلاسیک اسمی، ترتیبی، فاصلهای و مقیاسی را ایجاد میکنند.
به گفته ویس: «در حوزه امنیت اطلاعات، بسیار متداول است که یک سیستم یا اثر احتمال به صورت ماتریس ترسیم شود، زیرا» احتمال ضرب در اثر برابر با میزان ریسک است. در حالی که برای مثال زمانی که دو سنگ متوالی [مثل کوچک، بزرگتر، بزرگترین] خطرات روش تحلیلی منعکس شده است. نمی توان یک حد احتمال خاص را به یک حد اثر خاص مرتبط کرد. این دو نباید بدون اطلاعات اضافی به هم متصل شوند. مثل ضرب رنگ است.
فقط به رویدادهای خصمانه تکیه نکنید
لزلی کارهارت، مدیر واکنش دراگوس به بلایا در آمریکای شمالی، گفت: «برنامههای ارزیابی باید اهداف استراتژیک را دنبال کنند و از افتادن آنها در تلههایی که امنیت سازمان را تضعیف میکند، جلوگیری کنند. یکی از این مشکلات زمانی است که شاخص های امنیتی مبتنی بر فعالیت های خصمانه است.
به گفته Carhart: «در دنیای امنیت سایبری، نمیتوان دقیقاً پیشبینی کرد که چه زمانی یک حمله رخ میدهد یا هر چند وقت یکبار هدف حملات سایبری قرار میگیرید. “اگر موفقیت بر اساس تعداد واکنش ها به حادثه یا تعداد بلیط های دریافتی برای فعالیت خصمانه قضاوت شود، اگر حریف در یک ماه حمله نکند، یا اگر در یک ماه حملات بیشتری نسبت به ماه های دیگر انجام دهد، چه اتفاقی می افتد؟”
وقتی یک جنایتکار کاری کاملا غیرقابل پیش بینی انجام می دهد، لازم نیست موفقیت خود را بر اساس آن قضاوت کنید. شما باید به طور کامل درک کنید که برای چه چیزی ارزش قائل هستید. همچنین نباید این کار را بدون هدف و فقط به این دلیل انجام دهید که آن را انجام داده اید. چنین نگرشی بسیار مشکل ساز است. به همین دلیل است که ما اقدامات ناسالم را به عنوان طرح هایی برای آزمایش سناریوهای فیشینگ می بینیم. به عنوان مثال، به جای تخمین نرخ کلیک، بهتر است تخمین بزنید که چند نفر رویدادها را گزارش می کنند. زیرا گزارش کمپین میتواند کمک زیادی به حفاظت از امنیت سایبری کند.»
کارهارت گفت: «مثال فیشینگ نشان میدهد که چرا نباید امتیازات خود را بر اساس حمله یا عدم حمله یک مهاجم تنظیم کنید. اطمینان حاصل کنید که هیچ یک از شاخص های ارزیابی شما مبتنی بر چنین رویدادهایی نیست. در مورد نیات و اهداف خود از سازمان به دقت بیندیشید و شاخص ها را بر اساس آنها تنظیم کنید.
ویس موافق است، اما میگوید که میخواهد به عنوان یک مدیر ارشد امنیت اطلاعات به همه اعداد و آمار دسترسی داشته باشد تا تصمیم بگیرد کدام یک مهمتر هستند. ویس میگوید: «نکته مهم این است که در تجزیه و تحلیل دادهها شرکت کنید، و لازم نیست همه چیز را بهطور عالی انجام دهید.
[۱] موسسه ی ملی استانداردها و تکنولوژی
برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.
منبع: csoonline