امروزه مدیران ارشد امنیت اطلاعات موظفند برنامه های واکنش به حادثه را از تیم های مسئول در سریع ترین زمان ممکن تدوین کنند و عملکردهای اصلی کسب و کار خود را با کمترین آسیب ممکن و در شرایط عمومی پس از حادثه بازگردانند. در حال حاضر مدیران ارشد امنیت سایبری علاوه بر اجرای چنین طرح هایی می خواهند از روش های پیشگیرانه در این زمینه استفاده کنند.
پیر مارتین تاردف، استاد امنیت سایبری، میگوید: “شما باید نوع حملاتی را که میتواند در سازمان شما رخ دهد را پیشبینی کنید و آسیبپذیریهای موجود را قبل از وقوع پیدا کنید و آنها را برطرف کنید.” به گفته تاردف و دیگر کارشناسان امنیتی، “یک رویکرد پیشگیرانه میتواند انجام شود. برای حفظ انعطاف پذیری سازمانی بیشتر از واکنش سریع پس از وقوع حمله یا نقض، انجام دهید.”
ساندرا آجیموتوکین، مدیر ارشد ابتکار امنیت سایبری، گفت: “هدف نهایی همه متخصصان امنیت سایبری جلوگیری از بهره برداری از خطرات سایبری و در عین حال محافظت از دارایی های سازمان است. طرح های پیشگیرانه نیز نقش مهمی در دستیابی به این هدف دارند. در ادامه، به اقدامات رایج مدیران ارشد امنیت اطلاعات در یک استراتژی پیشگیرانه نگاه خواهیم کرد:
1. شناسایی دارایی ها، آنچه نیاز به حفاظت دارد و تهدیدات آتی
برای ایجاد یک استراتژی دفاعی پیشگیرانه، CIOها باید ابتدا درک کاملی از دارایی های در اختیار و سطح اولویت آنها و همچنین خطراتی که برای سازمان قابل قبول است به دست آورند. این امر منجر به شناسایی تهدیدهای مهم می شود. به گفته آجیموتوکین: «تیم امنیت پیشگیرانه درک خوبی از وضعیت ریسک سازمان دارد و می تواند خطرات احتمالی را قبل از وقوع شناسایی کرده و به سازمان حمله کند. سازمانها همچنین از هرگونه داده و بخشهایی که نیاز به حفاظت بیشتری دارند آگاه میشوند و آسیبپذیریهای موجود را در اسرع وقت برطرف میکنند.»
جان دسکوراکیس، مدیر ارشد امنیت محصول، این دیدگاه را تکرار میکند و میگوید: «مدیران ارشد امنیت اطلاعات باید این کار را بهطور مداوم انجام دهند و از انجام این کار اجتناب کنند. شناسایی مستمر آن را نادیده نگیرید.» دسکوراکیس می گوید: «تعیین کنید از چه چیزی می خواهید محافظت کنید و چرا می خواهید از آن محافظت کنید.» سطح حمله و خطرات موجود را بشناسید و این کار را به طور مداوم انجام دهید زیرا در طول زمان رشد می کنند و تغییر می کنند.
2. استفاده از استراتژی های احراز هویت قوی و رویکرد اعتماد صفر
تیمهای امنیتی فعال علاوه بر آگاهی کامل از محیط فناوری اطلاعات و خطرات موجود، با استفاده از سیاستهای احراز هویت قوی در حداقل دو مرحله، درک میکنند که چه کسی به کدام بخش از شبکه و سیستمهای آنها دسترسی دارد. در این حالت فقط کاربران مجاز به محیط IT سازمان دسترسی دارند.
به گفته تردیف، “CIO ها معمولاً الزامات احراز هویت دقیق را در راستای حرکت به سمت معماری بدون اعتماد پیاده می کنند.” بر اساس این استراتژی، همه کاربران (از جمله افراد و دستگاه ها) باید برای دسترسی به سیستم ها احراز هویت شوند. تاردیف میگوید: «بهکارگیری رویکرد اعتماد صفر، دسترسی کاربران را فقط به سیستمها و دادههای مورد نیازشان محدود میکند». طرفف معتقد است که اصل ارائه کمترین سطح دسترسی یکی از راه های تغییر رویکرد امنیت سایبری از واکنشی به فعالانه است.
3. چابکی و سازگاری
توانایی مدیران ارشد امنیت اطلاعات و تیم های آنها در اقدام سریع یکی از عوامل مهم در جلوتر از مهاجمان است. به گفته دسکوراکیس: «برای رسیدن به این هدف، مدیران ارشد امنیت اطلاعات تفکر حمله محور و از استفاده از روش ثابت و تجویز شده با مراحل مشخص خودداری کنید. آنها به طور مرتب تاکتیک های خود را ارتقا می دهند و مانند یک مهاجم فکر می کنند. «رویکرد دفاعی فعال، منعطف و دائماً در حال تغییر برای مقابله با تهدیدات در حال تحول است.» اندرو رتروم، مدیر امنیت و حریم خصوصی، میگوید: «شما باید سریعتر از آنچه قرار است برایتان بیفتد، باشید.
4. آماده شدن برای آینده
CIOها به ابزارها، تکنیک ها و مقررات جدید توجه می کنند و قبل از فراگیر شدن از آنها در استراتژی ها و برنامه های امنیتی خود استفاده می کنند. به عنوان مثال، پس از صدور الزامات امنیتی جدید توسط وزارت خزانه داری نیویورک، مدیران ارشد اطلاعات بسیاری از سازمان ها تیم های خود را برای مقابله با این مشکل در اسرع وقت آماده کردند تا از تغییرات آتی آگاه شوند.
Retrum میگوید: «برخی از CIOها دائماً تغییرات را در محیط سازمان یا بازاری که در آن فعالیت میکنند شناسایی میکنند. به این ترتیب آنها می توانند به سرعت به چنین تغییراتی واکنش نشان دهند. به عنوان مثال، مدیرانی هستند که اثرات محاسبات کوانتومی را بر برنامههای امنیتی خود ارزیابی کردهاند و در تلاش هستند تا اقدامات امنیتی را که با پیشرفت این فناوری بیاثر میشوند و همچنین راهحلهای امنیتی مؤثر را شناسایی کنند.»
رتروم ضمن تأکید بر ارزش پیشبینی و تفکر در مورد تغییرات آینده، میگوید: «بسیاری از مدیران امنیتی فعالانه به چنین تغییراتی فکر میکنند و نقشه راه خود را برای سه تا پنج سال آینده طراحی کردهاند.
5. مراقب جعل هویت باشید
تیم های امنیتی پیشگیرانه هرگونه سوء استفاده از نام دامنه، آرم و هویت سازمانی شما را نظارت می کنند. به گفته کارلوس ریورا، “این تیم ها دائما به دنبال و شناسایی هرگونه استفاده غیرمجاز از برند خود هستند.” تیم های امنیت سایبری معمولاً از نرم افزار به عنوان سرویس یا ابزارهای ارائه دهنده خدمات مدیریت شده برای نظارت بر دامنه خود و شناسایی روش های مختلف جعل استفاده می کنند. به گفته ریورا: «تیمهای امنیت سایبری به سرعت تلاشهای هکرها برای استفاده از سایتهای جعلی، سوء استفاده از آرم یک سازمان و هرگونه تظاهر به انجام فیشینگ و سایر حملات مهندسی اجتماعی را تشخیص میدهند. به این ترتیب، تیمهای امنیت سایبری میتوانند این تلاشها را قبل از انجام یک حمله موفقیتآمیز یا گسترده خنثی کنند.”
6. شکار تهدید
مهاجمان همیشه در تلاش هستند تا به طور مخفیانه به شبکه ها و سیستم ها نفوذ کنند (برای مثال، طبق آمار و نتایج تحقیقات، در سال 2022، به طور متوسط 207 روز طول می کشد تا یک رخنه اطلاعاتی کشف شود). این موضوع از گذشته تیم های امنیت سایبری را در حالت واکنشی قرار داده است. برای مقابله با این چالش، تیمهای امنیت سایبری به دنبال تهدید و شناسایی مهاجمان در محیط خود قبل از وقوع حمله یا نفوذ هستند.
جان فرانس، مدیر ارشد امنیت اطلاعات گفت: «یکی دیگر از مؤلفههای یک رویکرد پیشگیرانه برای امنیت، درگیر شدن در فعالیتهای شکار تهدید و تلاش برای شناسایی تهدیدها قبل از بهرهبرداری از آنها است». این کار را می توان به صورت فنی انجام داد و مسیرهای حمله یا عوامل حمله و مهاجمان را شناسایی کرد. تلاش ها برای پیگیری تهدید نتیجه می دهد. بیش از 80 درصد از شرکت کنندگان در نظرسنجی Threat Hunter 2022 مؤسسه امنیتی گفتند که این تلاش ها وضعیت امنیتی سازمان آنها را بهبود بخشیده است. کارشناسان همچنین معتقدند که استفاده از هوش مصنوعی و یادگیری ماشینی باید این اعداد و آمار را افزایش دهد زیرا به تیم های امنیتی سازمان ها کمک می کند تا به سرعت تهدیدات را شناسایی کنند.
آجیموتوکین میگوید: کارشناسان امنیتی میتوانند از قابلیتهای یادگیری ماشین برای تشخیص الگوها و پیشبینی نتایج استفاده کنند و به سطح بیسابقهای از نظارت دست یابند. به این ترتیب تیم های امنیت سایبری در اسرع وقت تهدیدات را شناسایی کرده و با حملات مقابله می کنند.
7. شکار آسیب پذیری
یک استراتژی امنیتی موثر شامل یک برنامه مدیریت آسیب پذیری قوی با توانایی شناسایی آسیب پذیری های شناخته شده در سازمان است. چنین راه حلی نصب وصله های امنیتی مهم را نیز در اولویت قرار می دهد. البته فرانسه معتقد است که تیمهای امنیتی باید فعال باشند و اسکن آسیبپذیری را به برنامههای خود اضافه کنند. او میگوید: «برنامههای مدیریت آسیبپذیری همیشه بر رسیدگی به مسائل متمرکز است همه شناخته شده اند اما جستجو برای آسیبپذیریها به دنبال شناسایی مشکلات بود ناشناس خوب؛ مانند کدهای نرم افزاری ناامن یا پیکربندی نادرست در محیط IT سازمان.
با توجه به توصیه کارشناسان امنیتی، مدیران ارشد امنیت اطلاعات باید نقاط ضعف موجود را شناسایی کرده و پس از انجام تست نفوذ، برنامه هایی برای پیگیری تهدیدات و شناسایی نقاط آسیب پذیر داشته باشند. آنها همچنین باید به افرادی که چنین مشکلاتی را شناسایی یا رفع می کنند پاداش دهند.
8. واکنش به حادثه را تمرین کنید
به گفته فرانسه: «تیم های امنیتی پیشگیرانه به طور مداوم در حال آزمایش چگونگی پاسخ به حملات موفق هستند. این اقدام که معمولاً در قالب مانورهای سایبری صورت می گیرد، از طرق مختلف به نفع سازمان هاست. با بررسی نحوه اجرای حملات سایبری در عملیات های شبیه سازی، به کارگیری چنین طرح هایی به تیم های امنیت سایبری کمک می کند تا آسیب پذیری ها را در راه حل های امنیتی فعلی شناسایی کنند. در نهایت این تیم ها می توانند برای رفع شکاف های موجود و جلوگیری از وقوع سناریوهای مهندسی شده اقدام کنند.
این طرحها همچنین به مدیران ارشد امنیت اطلاعات کمک میکنند تا شکافهای موجود در روش واکنش به حادثه را شناسایی کرده و نواقص را برطرف کنند. به گفته فرانسه: این تمرینات تضمین می کند که در صورت بروز حادثه، اعضای سازمان در اسرع وقت آسیب های ناشی از حمله را به حداقل برسانند و وضعیت را به حالت عادی برگردانند.
منبع: csoonline