منو سایت

اهمیت استفاده از شاخص های مناسب برای ارزیابی برنامه های امنیت سایبری

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

اهمیت استفاده از شاخص های مناسب برای ارزیابی برنامه های امنیت سایبری

با وجود افزایش راه حل های مدیریت تهدیدات سایبری، تعداد شاخص های موجود برای ارزیابی اثربخشی این ابزارها در حوزه حفاظت از دارایی سازمان ها چندان زیاد نیست. موسسه ملی استاندارد و فناوری (NIST[۱]ایالات متحده، پیشگام در طراحی مدل هایی برای ارزیابی اثربخشی امنیت اطلاعات، می تواند چنین شاخص هایی را ایجاد کند.

مدل های توصیه شده توسط NIST برای بهبود عملکرد فناوری های اطلاعات داخلی سازمان ها مفید هستند. NIST چهار عامل زیر را در طراحی و اجرای طرح ارزیابی امنیت اطلاعات توصیه می کند:

  • شاخص های قابل اندازه گیری؛
  • داده های موجود برای پشتیبانی از این شاخص ها؛
  • فرآیندهای مکرر امنیت اطلاعات؛
  • ابزارهای ارزیابی عملکرد و تخصیص منابع.

شاخص‌های عملکرد امنیت اطلاعات NIST مانند سایر تلاش‌های امنیت سایبری، سازمان فاقد راهنمای پیاده‌سازی در دنیای واقعی است و برای ارزیابی اثربخشی امنیت سازمان‌ها کاری انجام نمی‌دهد. در نتیجه معیارهای مشابهی همچنان در این صنعت احساس می شود. رابرت وایس، رئیس OpenVPN نیز در کنفرانس اخیر درباره ایده های علمی برای کمک به کارشناسان امنیت سایبری Shmoocon صحبت کرد.

ریسک امنیت سایبری مهمترین شاخص برای ارزیابی است

ویسی با لحنی طنز گفت: «هیچ ارائه شاخص ها و معیارها خنده دار یا جذاب نیست. “این ارائه هیچ تفاوتی ندارد.” وی با این حال تاکید کرد که بر خلاف نمایندگی سازمان ها، استفاده از شاخص های دقیق و دقیق در هر طرح موثر امنیت سایبری ضروری است. وی گفت: کاهش خطرات امنیتی فقط در حد حرف است، اما اگر در عمل نتوانیم نشان دهیم که به اهداف خود رسیده ایم، صرفاً منابع را هدر داده ایم.

“ریسک” مهمترین شاخصی است که باید ارزیابی شود. به گفته ویس: هدف اصلی از ایجاد برنامه های ما در وهله اول کاهش ریسک است. رابطه بین هزینه پروژه و کاهش ریسک ارزش تجاری آن را نشان می دهد. البته ایجاد آگاهی موقعیتی و نحوه عملکرد طرح نیز از جمله شاخص های ارزیابی امنیتی است.

ریسک امنیت سایبری مهمترین شاخص برای ارزیابی است

ویس می گوید: «در دنیای ایده آل، شما سیستم ها و فرآیندهای خاصی برای ارزیابی بهره وری، آگاهی موقعیتی و ریسک دارید. شما شاخص هایی را ارزیابی می کنید که چندان مهم نیستند. شما به نظرسنجی ها متکی نیستید. “داده های آزمایشی را از سیستم های خود استخراج کنید و علت عدم قطعیت ها و خطاها را تعیین کنید.”

در حالت ایده‌آل، می‌توانید ریسک را بر اساس محدوده زیان سالانه مورد انتظار تعیین کنید. شما در زبان احتمالات غرق شده اید. تعداد بسیار کمی از سازمان ها قادر به انجام این کار هستند. این یک فرصت عالی برای فعالان و مشاغل است.»

دو روش اصلی برای نشانگرهای امنیتی

به گفته ویس: «کارشناسان امنیتی می توانند از روش های زیر برای ایجاد طرح هایی برای ارزیابی شاخص ها استفاده کنند. ویس می‌گوید: «روش اول مبتنی بر ارزیابی همه موارد است.» ویس می‌گوید: جمع‌آوری همه چیز این پیام را می‌دهد که می‌خواهید فرهنگ ارزیابی و تصمیم‌گیری را بر اساس واقعیت‌ها و تجزیه و تحلیل ایجاد کنید.

در برخی از مراحل این روش فرصتی برای کاهش کارایی وجود دارد. ویس گفت: “اگر هیچ داده ای نداشته باشید، تمام داده های جدید به طور چشمگیری دانش شما را افزایش می دهد و عدم اطمینان را کاهش می دهد، اما اگر داده های زیادی دارید، افزودن داده های جدید ارزش زیادی اضافه نمی کند.” به گفته ویس، “شما فقط باید بخشی از بودجه خود را صرف جمع آوری داده ها کنید تا در نهایت به راه حل بهتری برسید.”

اگر داده ها در دسترس نیستند، می توانید آنها را با استفاده از منابع ثانویه ارزیابی کنید. ویس گفت: معمولاً برای تصمیم گیری مدیریتی به داده های زیادی نیاز ندارید. “می توانید یک سرور نمونه را آزمایش کنید یا از منابع اضافی مانند نشت های Verizon یا منابع دیگر برای اطلاع از انواع خرابی ها و تلفات استفاده کنید.”

روش دوم جمع آوری داده ها و سپس به کارگیری تکنیک های تحلیلی است که به توضیح ماهیت اطلاعات کمک می کند. وایس از سیستم‌های طبقه‌بندی روان‌شناختی به نام استنلی اسمیت-استیونز استفاده می‌کند که مقیاس‌های کلاسیک اسمی، ترتیبی، فاصله‌ای و مقیاسی را ایجاد می‌کنند.

به گفته ویس: «در حوزه امنیت اطلاعات، بسیار متداول است که یک سیستم یا اثر احتمال به صورت ماتریس ترسیم شود، زیرا» احتمال ضرب در اثر برابر با میزان ریسک است. در حالی که برای مثال زمانی که دو سنگ متوالی [مثل کوچک، بزرگتر، بزرگترین] خطرات روش تحلیلی منعکس شده است. نمی توان یک حد احتمال خاص را به یک حد اثر خاص مرتبط کرد. این دو نباید بدون اطلاعات اضافی به هم متصل شوند. مثل ضرب رنگ است.

شاخص های امنیتی

فقط به رویدادهای خصمانه تکیه نکنید

لزلی کارهارت، مدیر واکنش دراگوس به بلایا در آمریکای شمالی، گفت: «برنامه‌های ارزیابی باید اهداف استراتژیک را دنبال کنند و از افتادن آن‌ها در تله‌هایی که امنیت سازمان را تضعیف می‌کند، جلوگیری کنند. یکی از این مشکلات زمانی است که شاخص های امنیتی مبتنی بر فعالیت های خصمانه است.

به گفته Carhart: «در دنیای امنیت سایبری، نمی‌توان دقیقاً پیش‌بینی کرد که چه زمانی یک حمله رخ می‌دهد یا هر چند وقت یک‌بار هدف حملات سایبری قرار می‌گیرید. “اگر موفقیت بر اساس تعداد واکنش ها به حادثه یا تعداد بلیط های دریافتی برای فعالیت خصمانه قضاوت شود، اگر حریف در یک ماه حمله نکند، یا اگر در یک ماه حملات بیشتری نسبت به ماه های دیگر انجام دهد، چه اتفاقی می افتد؟”

وقتی یک جنایتکار کاری کاملا غیرقابل پیش بینی انجام می دهد، لازم نیست موفقیت خود را بر اساس آن قضاوت کنید. شما باید به طور کامل درک کنید که برای چه چیزی ارزش قائل هستید. همچنین نباید این کار را بدون هدف و فقط به این دلیل انجام دهید که آن را انجام داده اید. چنین نگرشی بسیار مشکل ساز است. به همین دلیل است که ما اقدامات ناسالم را به عنوان طرح هایی برای آزمایش سناریوهای فیشینگ می بینیم. به عنوان مثال، به جای تخمین نرخ کلیک، بهتر است تخمین بزنید که چند نفر رویدادها را گزارش می کنند. زیرا گزارش کمپین می‌تواند کمک زیادی به حفاظت از امنیت سایبری کند.»

کارهارت گفت: «مثال فیشینگ نشان می‌دهد که چرا نباید امتیازات خود را بر اساس حمله یا عدم حمله یک مهاجم تنظیم کنید. اطمینان حاصل کنید که هیچ یک از شاخص های ارزیابی شما مبتنی بر چنین رویدادهایی نیست. در مورد نیات و اهداف خود از سازمان به دقت بیندیشید و شاخص ها را بر اساس آنها تنظیم کنید.

ویس موافق است، اما می‌گوید که می‌خواهد به عنوان یک مدیر ارشد امنیت اطلاعات به همه اعداد و آمار دسترسی داشته باشد تا تصمیم بگیرد کدام یک مهم‌تر هستند. ویس می‌گوید: «نکته مهم این است که در تجزیه و تحلیل داده‌ها شرکت کنید، و لازم نیست همه چیز را به‌طور عالی انجام دهید.

[۱] موسسه ی ملی استانداردها و تکنولوژی

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: csoonline