روند روبه گسترش نفوذهای امنیتی باعث شده تا سازمان‌ها مجبور شوند بخش قابل توجهی از سرمایه‌های انسانی و مالی را صرف مقابله با تهدیدات امنیتی کنند…

10 نکته‌ای که کمک می‌کند هزینه نفوذهای امنیتی را کم کنید

روند روبه گسترش نفوذهای امنیتی باعث شده تا سازمان‌ها مجبور شوند بخش قابل توجهی از سرمایه‌های انسانی و مالی را صرف مقابله با تهدیدات امنیتی کنند. گزارشی که مؤسسه تحقیقاتی Cybersecurity Ventures منتشر کرده نشان می‌دهد تا پایان سال 2021 میلادی جرایم سایبری در سطح جهان 6 تریلیون دلار به صنایع و کسب‌وکارها خسارت وارد خواهد کرد. علاوه بر این، پیش‌بینی شده تا 5 سال آینده، این هزینه‌ها روند روبه‌رشدی پیدا کنند و به طور میانگین سالانه 15 درصد افزایش پیدا می‌کنند، به‌طوری که تا سال 2025 جرایم سایبری در سطح جهان خسارتی نزدیک به 10.5 تریلیون دلار به کسب‌وکارها وارد کنند.

درست است که هزینه مذکور میان قربانیان مختلف در سراسر جهان پراکنده می‌شود، اما هر زمان هدف حمله قرار می‌گیرد با تبعات سنگین تجاری و حقوقی روبرو می‌شوید. پژوهشی که شرکت امنیتی Infosys در ارتباط با هزینه‌های سنگین نفوذهای امنیتی انجام داده نشان می‌دهد، حدود 65 درصد مشتریان پس از وقوع یک نفوذ امنیتی اعتماد خود به یک کسب‌وکار را برای همیشه از دست می‌دهند. 85 درصد اعلام کرده‌اند در آینده هیچ‌گونه همکاری تجاری با چنین شرکت‌هایی نخواهند داشت. سهل‌انگاری در این زمینه می‌تواند تبعات جدی برای کسب‌وکارها داشته باشد. چرا سازمان‌ها به راحتی قربانی نفوذهای امنیتی می‌شوند؟

پژوهشگران سایبری بر این باور هستند که اگر مدیران ارشد امنیت اطلاعات اقدامات لازم برای مقابله با اتفاقات سایبری را انجام دهند، نه‌تنها توانایی مقابله و پاسخ‌گویی به حمله‌ها را خواهند داشت، بلکه می‌توانند هزینه‌های ناشی از این حمله‌ها را کم کنند. بااین‌حال، تنها 32 درصد سازمان‌ها این خطر را احساس کرده‌اند و برای مقابله با حمله‌های سایبری اقدامات دفاعی لازم را انجام داده‌اند.

به طور معمول، مدیر امنیت اطلاعات یک سمت سطح ارشد است که مسئولیت نظارت بر اجرای تمام اقدامات امنیتی فناوری اطلاعات یک سازمان را برعهده دارد. به این شکل وظیفه طراحی، مدیریت و تخصیص منابع به برنامه‎های مختلف امنیتی در واحد امنیت یک سازمان، آگاهی‌رسانی به کاربر و نظارت بر حسن انجام برنامه‎های آموزشی، تعامل با کارکنان غیر مدیریتی و ارائه کمک کلیدی به اجرای قانون در صورت وقوع حوادث امنیتی و تحقیقات بعدی در این زمینه برعهده مدیر ارشد امنیت اطلاعات است. در این مطلب با اقدامات اساسی که مدیران ارشد امنیت اطلاعات می‌توانند برای کاهش هزینه نفوذهای امنیتی در آینده بردارند آشنا می‌شویم.

1– پیچیدگی‌های محیط سازمانی را درک کنید تا درک نحوه درآمدزایی سازمان آسان شود

هرچه پیچیدگی‌های سامانه‌های فناوری اطلاعات یک سازمان بیشتر می‌شود به همان نسبت حوزه فعالیت کسب‌وکار نیز گسترده‌تر می‌شود، زیرا زیرساخت‌ها و تجهیزات پیشرفته اجازه می‌دهند به شکل دقیق‌تری به مدیریت حجم گسترده‌تری از کارها بپردازید. بااین‌حال، پیچیده‌تر شدن سامانه‌های فناوری اطلاعات، شرایط مقابله با حمله‌ها و بازیابی اوضاع را سخت‌تر می‌کنند. آندریاس ووشنر (ndreas Wuchner) مدیر ارشد امنیت شرکت خدمات مشاوره‌ای Cybovate می‌گوید: برای موفقیت در انجام کارها باید همواره یک گام جلوتر از مهاجمان حرکت کنید. هر چقدر شرایط فعلی و چشم‌انداز‌های آینده را بهتر درک کنید و با منابع درآمدزای سازمان‌ بیشتر آشنا شوید، در بازه زمانی کوتاه‌تری می‌توانید شرایط را به حالت ایدئال بازگردانید و پیامدهای مخرب نفوذهای امنیتی را به حداقل برسانید. به طور مثال، در حادثه‌ای که برای شرکت خط لوله Colonial اتفاق افتاد، تیم امنیتی این شرکت ابتدا تصور کردند سیستم‌های فناوری عملیاتی هک شده‌اند، اما تحقیقات بیشتر نشان داد که سامانه صدور قبض این شرکت با یک حمله باج‌افزاری روبرو شده است؛ بنابراین باید درباره کانال‌های کسب درآمد سازمان اطلاعات لازم را کسب کنید تا بدانید هکرها ممکن است از چه بخش‌هایی به سازمان آسیب وارد کنند.

2- افراد کارمد را شناسایی و استخدام کنید

در دنیای امروز، یک متخصص به‌تنهایی نمی‌تواند مانع نفوذهای امنیتی شود. در چنین شرایطی به تیمی کارآمد از متخصصان نیاز است که توانایی کار با بخش‌های مختلف سازمان را داشته باشند. مدیران ارشد امنیت اطلاعات باید بدانند در چنین مواقعی باید به چه فردی مراجعه کنند. یکی از نکات مهمی که در پیشبرد این مهم کمک فراوانی می‌کند امضا یک توافق‌نامه با افراد ‌متخصص است. این توافقنامه نه‌تنها شرح وظایف افراد و دستمزدی که دریافت می‌کنند را مشخص می‌کند، بلکه به آن‌ها اعلام می‌دارد در صورت نیاز باید در محل کار حاضر شوند. بر مبنای این نگرش است که می‌توانید اطمینان کسب کنید سازمانتان برای مقابله با آسیب‌ها و هزینه‌های ناشی از نفوذهای امنیتی، سریع‌ترین واکنش را خواهد داشت. بر مبنای یک برنامه راهبردی دقیق اطمینان حاصل خواهید کرد در شرایط بحرانی کارشناسان امنیتی با هزینه از پیش تعیین شده در دسترس هستند از شما درخواست هزینه اضافه‌ای نخواهند داشت. علاوه بر این، در شرایط حساس افراد متخصص برای واکنش به رخدادهای سایبری را خواهید داشت. الکس هولدن (Alex Holden) مدیر ارشد امنیت اطلاعات شرکت Hold Security LLC می‌گوید: «وقتی قربانیان، نیروی متخصص برای مقابله با تهدیدات سایبری نداشته باشند مجبور هستند باج درخواست شده را پرداخت کنند. این عدم آمادگی میلیون‌ها دلار خسارت به سازمان‌ها وارد می‌کند.» پرسش مهم این است که وجود چه متخصصانی نیاز است؟ در حالت پایه باید به فکر جذب این افراد باشید:

متخصص امنیت: یک متخصص امنیت کسی است که مسئولیت تکمیل وظایف مختلف طراحی شده را برای تقویت امنیت یک سازمان برعهده دارد.

متخصص کشف جرائم کامپیوتری: یک فرد متخصص کشف جرایم کامپیوتری مسئول تجزیه و تحلیل شواهد جمع‌آوری شده از کامپیوترها، شبکه‎ها و دیگر دستگاه‎های ذخیره‌سازی داده به منظور بررسی حوادث جرایم کامپیوتری است.

مشاور امنیتی: یک مشاور امنیتی یک متخصص خارج از سازمان است که به سازمان کمک می‎کند تا بهترین راه‌حل‎ها را با توجه به نیازهای امنیتی خود به کار گیرد.

تحلیل‌گر بدافزار: وظیفه یک تحلیلگر بدافزار کمک به سازمان در جهت شناسایی ویروس‎ها، کرم‎ها، بات‎ها، تروجان‎ها و دیگر نرم‌افزارهای مخربی است که روزانه شبکه آن‎ها را تهدید می‎کند.

مهندس امنیت: مهندس امنیت یک کارمند سطح متوسط است که وظیفه ساخت و نگهداری راهکارهای امنیتی فناوری اطلاعات یک سازمان را برعهده دارد.

پاسخگوی حادثه: پاسخگوی حادثه کسی است که مسئولیت رسیدگی به حوادث امنیتی، تهدیدات و آسیب پذیری‎هایی را که در یک سازمان به وجود می‎آیند، برعهده دارد. افرادی که مایل‌اند سمت پاسخگوی حادثه را برعهده بگیرند باید آماده باشند تا به طور فعال شبکه‎های سازمان را برای انجام ممیزی‎های امنیتی و آزمایش نفوذ، تجزیه و تحلیل نرم‌افزارهای مخرب و مهندسی معکوس نظارت کرده و اقداماتی انجام دهند که نه تنها آسیب یک حادثه مشخص را کاهش می‎دهد، بلکه مانع ورود مجدد عوامل مخرب و به وقوع پیوستن دوباره صدمات شود.

3– شرح وظایف باید شفاف باشد

همان‌گونه که مشاهده کردید، برای به حداقل رساندن هزینه نفوذهای امنیتی به وجود افرادی با تخصص‌های مختلف نیاز دارید؛ بنابراین باید شرح وظایف شفاف و روشن باشد. مدیران ارشد امنیت اطلاعات باید قبل از بروز هرگونه حادثه‌ای مسئولیت‌های هر متخصصی را به شکل دقیق و کامل مستندسازی کنند. سیوبان مک درموت (Siobhan MacDermott) از مدیران شرکت خدمات مشاوره‌ای Tata می‌گوید: «همه متخصصان امنیتی در بخش فناوری اطلاعات یک سازمان باید نقش تعریف شده‌ای داشته باشند. هنگامی که حمله‌ای انجام می‌شود، دیگر فرصتی برای بحث درباره این‌که چه شخصی مسئول چه کاری است، وجود ندارد».

4– مانورهای آموزشی واکنش به نفوذهای سایبری را انجام دهید

برای آنکه در زمان بروز حوادث جدی، شتاب‌زده عمل نکنید و برخورد منطقی با شرایط داشته باشید، بهتر است با تمامی اعضا تیم در این خصوص تمرین کنید تا همه بدانند در زمان بروز یک حادثه امنیتی باید چه واکنشی نشان دهند. الکس هولدن می‌گوید: «همان‌گونه که آتش‌نشانان مانورهای آتش‌نشانی شبیه‌سازی شده‌ای را پشت سر می‌گذارند تا آمادگی لازم برای مقابله با مخاطرات مختلف را داشته باشند، در حوزه امنیت سایبری نیز باید چنین تمرین‌هایی انجام شود». سازمان‌هایی که به شکل منظم و مداوم تمرین می‌کنند، مهارت لازم برای مقابله با حمله‌های واقعی و واکنش منطقی به حمله‌ها را خواهند داشت، زیرا برنامه راهبردی لازم برای پاسخ‌گویی به حوادث را ایجاد کرده‌اند. اصل مهمی که باید به آن دقت کنید این است که تأخیر و هرگونه اقدام اشتباهی می‌تواند دامنه خسارات را گسترده‌تر و هزینه‌ها را بیشتر کند.

5– به دنبال جذب متخصصانی باشید که تجربه رویایی با نفوذ را دارند

مناسب‌ترین افراد برای احراز موقعیت‌های شغلی، افرادی هستند که سابقه کار مرتبط دارند و از نزدیک با کم‌وکیف یک کار آشنایی دارند. پس از وقوع نفوذهای امنیتی بزرگ مثل هک‌شدن سرورهای Microsoft Exchange یا حمله به خطوط نفتی در ایالات متحده که باعث شد برای چند روز متوالی قیمت بنزین در این کشور روند تصاعدی پیدا کند، بسیاری از افراد تصور کردند، متخصصان امنیت سایبری این شرکت‌ها شغل خود را از دست می‌دهند، اما در عمل این اتفاق نیفتاد، زیرا این افراد تجربه‌های ارزشمندی کسب کردند که تنها در یک محیط فیزیکی و شرایطی واقعی به دست می‌آید. مدیران ارشد امنیت سایبری باید کارشناسانی را استخدام کنند که چنین تجربه‌هایی دارند. سیوبان مک‌درموت می‌گوید: «شما به متخصصانی نیاز دارید که تجربه انجام کارهای خطرناک و پیچیده را داشته باشند».

6– خط‌مشی‌های سازمانی و الزامات قانونی را تعیین کنید و به آن‌ها پایند باشید

به طور معمول ارگان‌های دولتی خط‌مشی‌های سخت‌گیرانه و مشخصی را تصویب می‌کنند که نحوه مقابله با نفوذ‌های امنیتی را تشریح می‌کند. این خط‌مشی‌ها مواردی مثل سرعت در اطلاع‌رسانی به افراد درباره افشای اطلاعات هویتی‌شان، خدماتی که باید به افراد آسیب‌دیده ارائه کنند و این‌که این اقدام‌ها در چه شرایطی باید انجام شوند را مشخص می‌کنند. شناخته‌شده‌ترین نمونه در این زمینه که می‌تواند الهام‌بخش شرکت‌های خصوصی باشد، مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) است که دستورالعمل‌های خاصی را برای گزارش به موقع نفوذهای امنیتی مشخص کرده و به طور صریح مشخص کرده، شرکت‌هایی که این قانون را نقض کنند باید تاوان سنگینی بپردازند که ممکن است نزدیک به 4 درصد درآمد سالیانه این شرکت‌ها را شامل شود. مک‌درمورت می‌گوید: «مدیران ارشد امنیت اطلاعات برای موفقیت در انجام کارها باید با مدیران بخش‌های مختلف سازمان در تعامل باشند تا در جریان خط‌مشی‌های حاکمیتی بخش‌های مختلف قرار بگیرند و خودشان را برای کار در شرایط و موقعیت‌های مختلف آماده کنند. نکته مهم دیگری که باید به آن دقت کنید این است که هر نفوذ را به عنوان رخدادی مستقل در نظر بگیرید. آمارها نشان می‌دهند نزدیک به 80 درصد استراتژی‌هایی که برای حل مشکلات امنیتی یک بردار حمله خاص به کار گرفته (به طور مثال، حمله DDoS) می‌شود را می‌توان در ارتباط با سایر بردارهای حمله نیز استفاده کرد و تنها 20 درصد آن‌ها نیاز به اصلاح و بازسازی دارند. متأسفانه بیشتر سازمان‌ها نسبت به این اصل مهم بی توجه هستند و در عمل زمان و منابعشان را بیهوده هدر می‌دهند.»

7– از زنجیره تامین مراقبت کنید

امروزه هکرها از حمله‌های پوششی برای آسیب رساندن به شرکت‌ها استفاده می‌کنند. حمله فوق به این شکل انجام می‌شود که شرکت‌ها سازمان‌هایی را هک می‌کنند و برای حمله به سایر شرکت‌ها از آن‌ها استفاده می‌کنند. تام کلرمن (Tom Kellermann) مدیر راهبردی ا‌منیت شرکت VMware می‌گوید «انتظار داریم به زودی شاهد افزایش شکایت‌های سازمان‌ها از شرکت‌هایی باشیم که از آن‌ها برای حمله به سایر سازمان‌ها استفاده شده است. پیش‌بینی می‌کنیم در سال جاری پرونده‌های قانونی و جریمه‌هایی بر ضد چنین شرکت‌هایی مشاهده کنیم.» مدیران ارشد امنیت اطلاعات برای پیشگیری از بروز چنین دعاوی حقوقی که پر هزینه هستند باید مطمئن شوند هیچ‌گاه کارشان به این مرحله نخواهد رسید. بهترین راه‌حل در این زمینه نظارت مستمر بر زیرساخت‌ها، ایزوله کردن شبکه‌های خصوصی و کنترل دقیق نقاط پایانی است. هرگونه فعالیت مشکوکی که توسط ابزارهای هوشمند گزارش می‌شود باید به دقت بررسی شوند تا زیرساخت‌های سازمان به عنوان سکوی پرتاب بر علیه سایر شرکت‌ها استفاده نشوند.

8– مکانیزم‌های تشخیص و مقابله با رخدادهای امنیتی را تقویت کنید

یکی از کارآمدترین راهکارهای مقابله با رخدادهای سایبری پرهزینه، به حداقل رساندن فرصت‌هایی است که هکرها برای نفوذ به شبکه‌های سازمانی در اختیار دارند. مدیران ارشد امنیت اطلاعات باید با سرمایه‌گذاری روی قابلیت‌های تشخیص نقاط انتهایی شبکه، تحلیل لحظه‌ای داده‌ها، قابلیت‌های تحلیلی، تشخیص تهدید و سایر روش‌های امنیتی پیشرفته زیرساخت‌های امنیتی را تقویت کنند. شناسایی سریع مهاجمان باعث می‌شود دامنه فعالیت آن‌ها محدود شود یا حتی قبل از آنکه صدمات جدی به زیرساخت‌ها وارد شود، مانع انجام این کار شد. البته در تمامی مراحل این فرایندها باید به‌گونه‌ای انجام شود که هکرها متوجه نشوند تا بتوان آن‌ها را شناسایی کرد. کلرمن می‌گوید: «به طور معمول، کارمندانی که از یک سازمان اخراج می‌شوند به فکر انتقام‌گیری هستند. بر همین اساس مهم است تا حد امکان واکنش به رخدادهای سایبری و شکار هکرها مخفیانه انجام شود».

9- دانش خود در ارتباط با قوانین بین‌المللی را افزایش دهید

متأسفانه یکی از نقاط ضعف مدیران ارشد امنیت اطلاعات ایرانی که باعث می‌شود واکنش آن‌ها به نفوذهای امنیتی سریع نباشد، عدم آشنایی با قوانین بین‌المللی و جغرافیای سیاسی است. کارشناسان امنیتی به دفعات هشدار داده‌اند، بسیاری از مهاجمان سازمان‌یافته نه تنها به سوءاستفاده از ضعف‌های فنی سازمان‌ها می‌پردازند، بلکه از عدم آگاهی آن‌ها نسبت به آسیب‌پذیری شرکتشان در برابر قوانین بین‌المللی به بهترین شکل استفاده می‌کنند. به بیان دقیق‌تر، اگر حوزه فعالیت تجاری‌تان برون‌مرزی است و ارتباطات آنلاینی دارید، ضروری است در مورد قوانین بین‌المللی و به‌ویژه اخبار جغرافیای سیاسی اطلاع کافی داشته باشید. مک‌درمورت می‌گوید: یک مدیر ارشد امنیت اطلاعات باید با چشم‌انداز جغرافیای سیاسی آشنا باشید و بداند این مفهوم چیست و چه معنایی دارد. این فرد نباید نسبت به رویدادهایی که در دنیای اطراف‌ و بین کشورها می‌گذرد بی تفاوت باشد و باید تأثیرگذاری این اتفاقات بر موقعیت و جایگاه شرکت خود بسنجد. درست است که این‌کار وظیفه مدیر ارشد مخاطرات سازمانی (Chief Risk Officer) است، اما مدیران ارشد امنیت اطلاعات هم باید آگاهی نسبی در این زمینه داشته باشند. اگر نسبت به اتفاقات سیاسی بی تفاوت باشید، ممکن است ناخواسته قربانی یک حمله سایبری شوید.

10– مدیران عامل باید برای رویایی با چالش‌های امنیتی آگاه باشند

راب تی. لی (Rob T. Lee) مدیر دانشکده و مدیر ارشد برنامه‌های درسی مؤسسه SANS می‌گوید: مدیران ارشد امنیت اطلاعات باید مدیران عامل را با تصمیمات سختی آشنا کنند که ممکن است در زمان بروز حمله‌های سایبری اتخاذ می‌کنند. به طور مثال، ممکن است فعالیت بخشی از سازمان را تعطیل کرد یا ارتباط بخش‌های مختلف با یک بخش را برای کوتاه‌مدت یا بلندمدت قطع کرد. هنگامی که یک نفوذ امنیتی انجام می‌شود، هیچ راهی برای دستیابی به پیروزی کامل وجود ندارد. چگونه آسیب ناشی از چنین حمله‌هایی را می‌توان کاهش داد تا وقوع یک نفوذ به معنای پایان عمر فعالیت تجاری یک سازمان تبدیل نشود؟ پس از وقوع یک نفوذ امنیتی فرصتی برای دلخوری، اتهام‌زنی به یکدیگر و حدس‌زدن‌های بی مورد وجود ندارد، در این‌گونه شرایط یک دقیقه اهمیت زیادی دارد. زیرا احتمال دارد در روزهای آتی، آسیب‌های جبران‌ناپذیری به سازمان وارد شود.

منبع:Shabakeh-mag

آموزش دوره امنیت شبکه