10 نکتهای که کمک میکند هزینه نفوذهای امنیتی را کم کنید
روند روبه گسترش نفوذهای امنیتی باعث شده تا سازمانها مجبور شوند بخش قابل توجهی از سرمایههای انسانی و مالی را صرف مقابله با تهدیدات امنیتی کنند. گزارشی که مؤسسه تحقیقاتی Cybersecurity Ventures منتشر کرده نشان میدهد تا پایان سال 2021 میلادی جرایم سایبری در سطح جهان 6 تریلیون دلار به صنایع و کسبوکارها خسارت وارد خواهد کرد. علاوه بر این، پیشبینی شده تا 5 سال آینده، این هزینهها روند روبهرشدی پیدا کنند و به طور میانگین سالانه 15 درصد افزایش پیدا میکنند، بهطوری که تا سال 2025 جرایم سایبری در سطح جهان خسارتی نزدیک به 10.5 تریلیون دلار به کسبوکارها وارد کنند.
درست است که هزینه مذکور میان قربانیان مختلف در سراسر جهان پراکنده میشود، اما هر زمان هدف حمله قرار میگیرد با تبعات سنگین تجاری و حقوقی روبرو میشوید. پژوهشی که شرکت امنیتی Infosys در ارتباط با هزینههای سنگین نفوذهای امنیتی انجام داده نشان میدهد، حدود 65 درصد مشتریان پس از وقوع یک نفوذ امنیتی اعتماد خود به یک کسبوکار را برای همیشه از دست میدهند. 85 درصد اعلام کردهاند در آینده هیچگونه همکاری تجاری با چنین شرکتهایی نخواهند داشت. سهلانگاری در این زمینه میتواند تبعات جدی برای کسبوکارها داشته باشد. چرا سازمانها به راحتی قربانی نفوذهای امنیتی میشوند؟
پژوهشگران سایبری بر این باور هستند که اگر مدیران ارشد امنیت اطلاعات اقدامات لازم برای مقابله با اتفاقات سایبری را انجام دهند، نهتنها توانایی مقابله و پاسخگویی به حملهها را خواهند داشت، بلکه میتوانند هزینههای ناشی از این حملهها را کم کنند. بااینحال، تنها 32 درصد سازمانها این خطر را احساس کردهاند و برای مقابله با حملههای سایبری اقدامات دفاعی لازم را انجام دادهاند.
به طور معمول، مدیر امنیت اطلاعات یک سمت سطح ارشد است که مسئولیت نظارت بر اجرای تمام اقدامات امنیتی فناوری اطلاعات یک سازمان را برعهده دارد. به این شکل وظیفه طراحی، مدیریت و تخصیص منابع به برنامههای مختلف امنیتی در واحد امنیت یک سازمان، آگاهیرسانی به کاربر و نظارت بر حسن انجام برنامههای آموزشی، تعامل با کارکنان غیر مدیریتی و ارائه کمک کلیدی به اجرای قانون در صورت وقوع حوادث امنیتی و تحقیقات بعدی در این زمینه برعهده مدیر ارشد امنیت اطلاعات است. در این مطلب با اقدامات اساسی که مدیران ارشد امنیت اطلاعات میتوانند برای کاهش هزینه نفوذهای امنیتی در آینده بردارند آشنا میشویم.
1– پیچیدگیهای محیط سازمانی را درک کنید تا درک نحوه درآمدزایی سازمان آسان شود
هرچه پیچیدگیهای سامانههای فناوری اطلاعات یک سازمان بیشتر میشود به همان نسبت حوزه فعالیت کسبوکار نیز گستردهتر میشود، زیرا زیرساختها و تجهیزات پیشرفته اجازه میدهند به شکل دقیقتری به مدیریت حجم گستردهتری از کارها بپردازید. بااینحال، پیچیدهتر شدن سامانههای فناوری اطلاعات، شرایط مقابله با حملهها و بازیابی اوضاع را سختتر میکنند. آندریاس ووشنر (ndreas Wuchner) مدیر ارشد امنیت شرکت خدمات مشاورهای Cybovate میگوید: برای موفقیت در انجام کارها باید همواره یک گام جلوتر از مهاجمان حرکت کنید. هر چقدر شرایط فعلی و چشماندازهای آینده را بهتر درک کنید و با منابع درآمدزای سازمان بیشتر آشنا شوید، در بازه زمانی کوتاهتری میتوانید شرایط را به حالت ایدئال بازگردانید و پیامدهای مخرب نفوذهای امنیتی را به حداقل برسانید. به طور مثال، در حادثهای که برای شرکت خط لوله Colonial اتفاق افتاد، تیم امنیتی این شرکت ابتدا تصور کردند سیستمهای فناوری عملیاتی هک شدهاند، اما تحقیقات بیشتر نشان داد که سامانه صدور قبض این شرکت با یک حمله باجافزاری روبرو شده است؛ بنابراین باید درباره کانالهای کسب درآمد سازمان اطلاعات لازم را کسب کنید تا بدانید هکرها ممکن است از چه بخشهایی به سازمان آسیب وارد کنند.
2- افراد کارمد را شناسایی و استخدام کنید
در دنیای امروز، یک متخصص بهتنهایی نمیتواند مانع نفوذهای امنیتی شود. در چنین شرایطی به تیمی کارآمد از متخصصان نیاز است که توانایی کار با بخشهای مختلف سازمان را داشته باشند. مدیران ارشد امنیت اطلاعات باید بدانند در چنین مواقعی باید به چه فردی مراجعه کنند. یکی از نکات مهمی که در پیشبرد این مهم کمک فراوانی میکند امضا یک توافقنامه با افراد متخصص است. این توافقنامه نهتنها شرح وظایف افراد و دستمزدی که دریافت میکنند را مشخص میکند، بلکه به آنها اعلام میدارد در صورت نیاز باید در محل کار حاضر شوند. بر مبنای این نگرش است که میتوانید اطمینان کسب کنید سازمانتان برای مقابله با آسیبها و هزینههای ناشی از نفوذهای امنیتی، سریعترین واکنش را خواهد داشت. بر مبنای یک برنامه راهبردی دقیق اطمینان حاصل خواهید کرد در شرایط بحرانی کارشناسان امنیتی با هزینه از پیش تعیین شده در دسترس هستند از شما درخواست هزینه اضافهای نخواهند داشت. علاوه بر این، در شرایط حساس افراد متخصص برای واکنش به رخدادهای سایبری را خواهید داشت. الکس هولدن (Alex Holden) مدیر ارشد امنیت اطلاعات شرکت Hold Security LLC میگوید: «وقتی قربانیان، نیروی متخصص برای مقابله با تهدیدات سایبری نداشته باشند مجبور هستند باج درخواست شده را پرداخت کنند. این عدم آمادگی میلیونها دلار خسارت به سازمانها وارد میکند.» پرسش مهم این است که وجود چه متخصصانی نیاز است؟ در حالت پایه باید به فکر جذب این افراد باشید:
متخصص امنیت: یک متخصص امنیت کسی است که مسئولیت تکمیل وظایف مختلف طراحی شده را برای تقویت امنیت یک سازمان برعهده دارد.
متخصص کشف جرائم کامپیوتری: یک فرد متخصص کشف جرایم کامپیوتری مسئول تجزیه و تحلیل شواهد جمعآوری شده از کامپیوترها، شبکهها و دیگر دستگاههای ذخیرهسازی داده به منظور بررسی حوادث جرایم کامپیوتری است.
مشاور امنیتی: یک مشاور امنیتی یک متخصص خارج از سازمان است که به سازمان کمک میکند تا بهترین راهحلها را با توجه به نیازهای امنیتی خود به کار گیرد.
تحلیلگر بدافزار: وظیفه یک تحلیلگر بدافزار کمک به سازمان در جهت شناسایی ویروسها، کرمها، باتها، تروجانها و دیگر نرمافزارهای مخربی است که روزانه شبکه آنها را تهدید میکند.
مهندس امنیت: مهندس امنیت یک کارمند سطح متوسط است که وظیفه ساخت و نگهداری راهکارهای امنیتی فناوری اطلاعات یک سازمان را برعهده دارد.
پاسخگوی حادثه: پاسخگوی حادثه کسی است که مسئولیت رسیدگی به حوادث امنیتی، تهدیدات و آسیب پذیریهایی را که در یک سازمان به وجود میآیند، برعهده دارد. افرادی که مایلاند سمت پاسخگوی حادثه را برعهده بگیرند باید آماده باشند تا به طور فعال شبکههای سازمان را برای انجام ممیزیهای امنیتی و آزمایش نفوذ، تجزیه و تحلیل نرمافزارهای مخرب و مهندسی معکوس نظارت کرده و اقداماتی انجام دهند که نه تنها آسیب یک حادثه مشخص را کاهش میدهد، بلکه مانع ورود مجدد عوامل مخرب و به وقوع پیوستن دوباره صدمات شود.
3– شرح وظایف باید شفاف باشد
همانگونه که مشاهده کردید، برای به حداقل رساندن هزینه نفوذهای امنیتی به وجود افرادی با تخصصهای مختلف نیاز دارید؛ بنابراین باید شرح وظایف شفاف و روشن باشد. مدیران ارشد امنیت اطلاعات باید قبل از بروز هرگونه حادثهای مسئولیتهای هر متخصصی را به شکل دقیق و کامل مستندسازی کنند. سیوبان مک درموت (Siobhan MacDermott) از مدیران شرکت خدمات مشاورهای Tata میگوید: «همه متخصصان امنیتی در بخش فناوری اطلاعات یک سازمان باید نقش تعریف شدهای داشته باشند. هنگامی که حملهای انجام میشود، دیگر فرصتی برای بحث درباره اینکه چه شخصی مسئول چه کاری است، وجود ندارد».
4– مانورهای آموزشی واکنش به نفوذهای سایبری را انجام دهید
برای آنکه در زمان بروز حوادث جدی، شتابزده عمل نکنید و برخورد منطقی با شرایط داشته باشید، بهتر است با تمامی اعضا تیم در این خصوص تمرین کنید تا همه بدانند در زمان بروز یک حادثه امنیتی باید چه واکنشی نشان دهند. الکس هولدن میگوید: «همانگونه که آتشنشانان مانورهای آتشنشانی شبیهسازی شدهای را پشت سر میگذارند تا آمادگی لازم برای مقابله با مخاطرات مختلف را داشته باشند، در حوزه امنیت سایبری نیز باید چنین تمرینهایی انجام شود». سازمانهایی که به شکل منظم و مداوم تمرین میکنند، مهارت لازم برای مقابله با حملههای واقعی و واکنش منطقی به حملهها را خواهند داشت، زیرا برنامه راهبردی لازم برای پاسخگویی به حوادث را ایجاد کردهاند. اصل مهمی که باید به آن دقت کنید این است که تأخیر و هرگونه اقدام اشتباهی میتواند دامنه خسارات را گستردهتر و هزینهها را بیشتر کند.
5– به دنبال جذب متخصصانی باشید که تجربه رویایی با نفوذ را دارند
مناسبترین افراد برای احراز موقعیتهای شغلی، افرادی هستند که سابقه کار مرتبط دارند و از نزدیک با کموکیف یک کار آشنایی دارند. پس از وقوع نفوذهای امنیتی بزرگ مثل هکشدن سرورهای Microsoft Exchange یا حمله به خطوط نفتی در ایالات متحده که باعث شد برای چند روز متوالی قیمت بنزین در این کشور روند تصاعدی پیدا کند، بسیاری از افراد تصور کردند، متخصصان امنیت سایبری این شرکتها شغل خود را از دست میدهند، اما در عمل این اتفاق نیفتاد، زیرا این افراد تجربههای ارزشمندی کسب کردند که تنها در یک محیط فیزیکی و شرایطی واقعی به دست میآید. مدیران ارشد امنیت سایبری باید کارشناسانی را استخدام کنند که چنین تجربههایی دارند. سیوبان مکدرموت میگوید: «شما به متخصصانی نیاز دارید که تجربه انجام کارهای خطرناک و پیچیده را داشته باشند».
6– خطمشیهای سازمانی و الزامات قانونی را تعیین کنید و به آنها پایند باشید
به طور معمول ارگانهای دولتی خطمشیهای سختگیرانه و مشخصی را تصویب میکنند که نحوه مقابله با نفوذهای امنیتی را تشریح میکند. این خطمشیها مواردی مثل سرعت در اطلاعرسانی به افراد درباره افشای اطلاعات هویتیشان، خدماتی که باید به افراد آسیبدیده ارائه کنند و اینکه این اقدامها در چه شرایطی باید انجام شوند را مشخص میکنند. شناختهشدهترین نمونه در این زمینه که میتواند الهامبخش شرکتهای خصوصی باشد، مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) است که دستورالعملهای خاصی را برای گزارش به موقع نفوذهای امنیتی مشخص کرده و به طور صریح مشخص کرده، شرکتهایی که این قانون را نقض کنند باید تاوان سنگینی بپردازند که ممکن است نزدیک به 4 درصد درآمد سالیانه این شرکتها را شامل شود. مکدرمورت میگوید: «مدیران ارشد امنیت اطلاعات برای موفقیت در انجام کارها باید با مدیران بخشهای مختلف سازمان در تعامل باشند تا در جریان خطمشیهای حاکمیتی بخشهای مختلف قرار بگیرند و خودشان را برای کار در شرایط و موقعیتهای مختلف آماده کنند. نکته مهم دیگری که باید به آن دقت کنید این است که هر نفوذ را به عنوان رخدادی مستقل در نظر بگیرید. آمارها نشان میدهند نزدیک به 80 درصد استراتژیهایی که برای حل مشکلات امنیتی یک بردار حمله خاص به کار گرفته (به طور مثال، حمله DDoS) میشود را میتوان در ارتباط با سایر بردارهای حمله نیز استفاده کرد و تنها 20 درصد آنها نیاز به اصلاح و بازسازی دارند. متأسفانه بیشتر سازمانها نسبت به این اصل مهم بی توجه هستند و در عمل زمان و منابعشان را بیهوده هدر میدهند.»
7– از زنجیره تامین مراقبت کنید
امروزه هکرها از حملههای پوششی برای آسیب رساندن به شرکتها استفاده میکنند. حمله فوق به این شکل انجام میشود که شرکتها سازمانهایی را هک میکنند و برای حمله به سایر شرکتها از آنها استفاده میکنند. تام کلرمن (Tom Kellermann) مدیر راهبردی امنیت شرکت VMware میگوید «انتظار داریم به زودی شاهد افزایش شکایتهای سازمانها از شرکتهایی باشیم که از آنها برای حمله به سایر سازمانها استفاده شده است. پیشبینی میکنیم در سال جاری پروندههای قانونی و جریمههایی بر ضد چنین شرکتهایی مشاهده کنیم.» مدیران ارشد امنیت اطلاعات برای پیشگیری از بروز چنین دعاوی حقوقی که پر هزینه هستند باید مطمئن شوند هیچگاه کارشان به این مرحله نخواهد رسید. بهترین راهحل در این زمینه نظارت مستمر بر زیرساختها، ایزوله کردن شبکههای خصوصی و کنترل دقیق نقاط پایانی است. هرگونه فعالیت مشکوکی که توسط ابزارهای هوشمند گزارش میشود باید به دقت بررسی شوند تا زیرساختهای سازمان به عنوان سکوی پرتاب بر علیه سایر شرکتها استفاده نشوند.
8– مکانیزمهای تشخیص و مقابله با رخدادهای امنیتی را تقویت کنید
یکی از کارآمدترین راهکارهای مقابله با رخدادهای سایبری پرهزینه، به حداقل رساندن فرصتهایی است که هکرها برای نفوذ به شبکههای سازمانی در اختیار دارند. مدیران ارشد امنیت اطلاعات باید با سرمایهگذاری روی قابلیتهای تشخیص نقاط انتهایی شبکه، تحلیل لحظهای دادهها، قابلیتهای تحلیلی، تشخیص تهدید و سایر روشهای امنیتی پیشرفته زیرساختهای امنیتی را تقویت کنند. شناسایی سریع مهاجمان باعث میشود دامنه فعالیت آنها محدود شود یا حتی قبل از آنکه صدمات جدی به زیرساختها وارد شود، مانع انجام این کار شد. البته در تمامی مراحل این فرایندها باید بهگونهای انجام شود که هکرها متوجه نشوند تا بتوان آنها را شناسایی کرد. کلرمن میگوید: «به طور معمول، کارمندانی که از یک سازمان اخراج میشوند به فکر انتقامگیری هستند. بر همین اساس مهم است تا حد امکان واکنش به رخدادهای سایبری و شکار هکرها مخفیانه انجام شود».
9- دانش خود در ارتباط با قوانین بینالمللی را افزایش دهید
متأسفانه یکی از نقاط ضعف مدیران ارشد امنیت اطلاعات ایرانی که باعث میشود واکنش آنها به نفوذهای امنیتی سریع نباشد، عدم آشنایی با قوانین بینالمللی و جغرافیای سیاسی است. کارشناسان امنیتی به دفعات هشدار دادهاند، بسیاری از مهاجمان سازمانیافته نه تنها به سوءاستفاده از ضعفهای فنی سازمانها میپردازند، بلکه از عدم آگاهی آنها نسبت به آسیبپذیری شرکتشان در برابر قوانین بینالمللی به بهترین شکل استفاده میکنند. به بیان دقیقتر، اگر حوزه فعالیت تجاریتان برونمرزی است و ارتباطات آنلاینی دارید، ضروری است در مورد قوانین بینالمللی و بهویژه اخبار جغرافیای سیاسی اطلاع کافی داشته باشید. مکدرمورت میگوید: یک مدیر ارشد امنیت اطلاعات باید با چشمانداز جغرافیای سیاسی آشنا باشید و بداند این مفهوم چیست و چه معنایی دارد. این فرد نباید نسبت به رویدادهایی که در دنیای اطراف و بین کشورها میگذرد بی تفاوت باشد و باید تأثیرگذاری این اتفاقات بر موقعیت و جایگاه شرکت خود بسنجد. درست است که اینکار وظیفه مدیر ارشد مخاطرات سازمانی (Chief Risk Officer) است، اما مدیران ارشد امنیت اطلاعات هم باید آگاهی نسبی در این زمینه داشته باشند. اگر نسبت به اتفاقات سیاسی بی تفاوت باشید، ممکن است ناخواسته قربانی یک حمله سایبری شوید.
10– مدیران عامل باید برای رویایی با چالشهای امنیتی آگاه باشند
راب تی. لی (Rob T. Lee) مدیر دانشکده و مدیر ارشد برنامههای درسی مؤسسه SANS میگوید: مدیران ارشد امنیت اطلاعات باید مدیران عامل را با تصمیمات سختی آشنا کنند که ممکن است در زمان بروز حملههای سایبری اتخاذ میکنند. به طور مثال، ممکن است فعالیت بخشی از سازمان را تعطیل کرد یا ارتباط بخشهای مختلف با یک بخش را برای کوتاهمدت یا بلندمدت قطع کرد. هنگامی که یک نفوذ امنیتی انجام میشود، هیچ راهی برای دستیابی به پیروزی کامل وجود ندارد. چگونه آسیب ناشی از چنین حملههایی را میتوان کاهش داد تا وقوع یک نفوذ به معنای پایان عمر فعالیت تجاری یک سازمان تبدیل نشود؟ پس از وقوع یک نفوذ امنیتی فرصتی برای دلخوری، اتهامزنی به یکدیگر و حدسزدنهای بی مورد وجود ندارد، در اینگونه شرایط یک دقیقه اهمیت زیادی دارد. زیرا احتمال دارد در روزهای آتی، آسیبهای جبرانناپذیری به سازمان وارد شود.
منبع:Shabakeh-mag