کمیته رکن چهارم – با توجه به پیشرفت فناوری و توسعه ابزارهای هک و افزایش تهدیدات سایبری توسط مجرمان، بدیهی است که مخاطرات امنیتی در گذر زمان تغییر میکنند. بنابراین باید پیش از هر چیز بین تهدیدات کنونی و مخاطراتی که از گذشته وجود دارند توازن برقرار شود. همچنین باید تدابیر مورد نیاز برای مقابله با تهدیدات جدید و پیامدهای ناشی از آنها و تأمین هزینههای مربوط به راهکارهای دفاعی جدید ایجاد گردند.
از طرفی ممکن است سطح مخاطره تهدیدات امنیتی احتمالی موجود در یک سازمان از حالت عادی بالاتر باشد. در چنین شرایطی سطح هشدار نیز باید تشدید یافته و قابلیتهای زیر را ایجاد کند:
اولویتبندی اقدامات لازم؛
تقویت موقت یا دائم سازوکارهای دفاعی؛
ایجاد شرایطی که منجر به پیشگیری از حملات سایبری در زمانهایی شود که احتمال وقوعشان بسیار بالاست؛
ایجاد تأثیرات مثبت در بازیابی محیط به شرایط پیش از حمله در اسرع وقت.
در این مطلب عواملی که باعث ایجاد تغییر در مخاطرات امنیتی میشوند و اقداماتی که سازمانها در مواجه با حملات سایبری باید انجام دهند را مورد بررسی قرار میدهیم.
عوامل تأثیرگذار بر روی مخاطرات سایبری یک سازمان
ظهور اطلاعات جدید مبنی بر تشدید تهدیدات سایبری توسط تیم امنیتی یک سازمان میتواند منجر به تغییر دیدگاه آن سازمان نسبت به تهدیدات شود.
افزایش مخاطرات امنیتی ممکن است ناشی از تقویت موقت قابلیتهای مهاجمان باشد. برای مثال شناسایی یک آسیبپذیری روز صفر در یک سرویس پرکاربرد میتواند دلالت بر سوءاستفاده پیوسته مهاجمان از این آسیبپذیری داشته باشد. چنین تهدیدی همچنین ممکن است مخصوص یک سازمان، بخش یا حتی کشور خاصی باشد که از تنشهای ژئوپلیتیک یا هکتیویسم ناشی شدهاند.
بنابراین سازمانهای بزرگ و کوچک باید اقدامات لازم برای واکنش سریع و بهموقع به رویدادهای مخاطرهآمیز را انجام دهند. کسبوکارها معمولاً نمیتوانند تأثیر خاصی بر روی سطح حمله داشته باشند. همچنین مهاجمان همواره در حال تلاش برای سوءاستفاده از آسیبپذیریهای شناخته شده، پیکربندیهای اشتباه و حمله از طریق اعتبارنامههای کاربری (مثل اسپری کردن کلمه عبور، سوءاستفاده از رمزهای لو رفته یا استفاده مجدد از توکن احراز هویت) هستند. بنابراین تیمهای امنیتی باید با تمرکز بر روی کاهش آسیبپذیری از میزان پیامدهای منفی حملات سایبری نیز بکاهند. حذف قابلیت این افراد برای استفاده از چنین تکنیکهایی میتواند ریسک مخاطرات سایبری را به صورت قابل توجهی کاهش دهد.
اقدامات قابل انجام
ابتدا کلیه سازمانها و کسبوکارها باید از وجود اصول و پایههای امنیتی و کنترلهای بهداشت سایبری جهت حفاظت از دستگاهها، شبکهها و سیستمها اطمینان یابند. انجام اقدامات زیر به سازمانها برای ارزیابی و سنجش میزان امنیت محیط بهویژه در زمان تشدید تهدیدات سایبری بسیار حیاتی کمک میکند.
البته سازمانها معمولاً نمیتوانند در مدت کوتاه تغییرات گستردهای را در سیستمهایشان ایجاد نمایند ولی در هر صورت باید تلاش کنند تا اقدامات زیر را به ترتیب اولویت انجام دهند.
بررسی وصلههای امنیتی سیستمها
اطمینان یابید که کامپیوترها، لپتاپها، دستگاههای همراه، نرمافزارهای شخص ثالث مثل مرورگرها و سایر ابزارهای کاربردی به روزرسانی شده و در صورت امکان قابلیت به روزرسانیهای خودکار را فعال کنید.
بررسیهای لازم جهت آگاهی از وجود وصلههای امنیتی میانافزارهای دستگاههای سازمان را انجام دهید. ممکن است شیوه نصب این وصلههای امنیتی با روش نصب بهروزرسانی نرمافزار متفاوت باشد.
مطمئن شوید که وصلههای امنیتی برای سرویسهایی که با اینترنت در تماس هستند نصب شده باشند. آسیبپذیریهای موجود در این سرویسها میتوانند منجر به ایجاد مخاطرات غیرقابل مدیریت شوند.
همواره از بهروزرسانی سیستمهای کلیدی کسبوکارتان اطمینان یابید. باید تدابیر امنیتی لازم برای مقابله با آسیبپذیریهای رفع نشده ایجاد شوند.
انگیزههای تجاری که در صورت عدم نصب وصلههای امنیتی و با توجه به تشدید تهدیدات به وجود میآیند را بررسی کنید.
اعتبارسنجی کنترلهای دسترسی
کارمندان باید کلمات عبور منحصربفردی را برای سیستمهای کاریشان تنظیم نموده و از بکارگیری رمزهای مشترک با سیستمها و حسابهای کاربری غیرکاری جداً خودداری کنند. توصیه میشود که افراد بهتر است از کلمات عبور قوی و متمایز برای هر سیستم و حساب کاربری استفاده کنند.
کنترلهای کاربری را بازبینی نموده و حسابهای قدیمی یا بدون استفاده را حذف کنید. احراز هویت دو یا چند مرحلهای را فعال و بررسی کنید که این قابلیت در کلیه سیستمها و حسابهای کاربری و متناسب با سیاستهای کاریتان فعال است. از پیکربندی صحیح آن نیز اطمینان یابید.
حسابهایی که دارای سطح دسترسیهای مدیریتی یا ممتاز هستند را با دقت بازبینی نموده و حسابهای کاربری قدیمی بدون استفاده یا پیکربندی نشده را حذف کنید. مدیریت این حسابها باید به روشی اصولی و صحیح باشد و در صورت امکان، احراز هویت چند مرحلهای را هم فعال کنید. این دسترسیهای ممتاز معمولاً مرتبط با مدیر سیستم و همچنین دسترسی به سایر اطلاعات یا منابع حساس هستند؛ پس این منابع نیز باید حفظ گردند.
جهت درک مخاطرات امنیتی موجود در سیستمها و آگاهی کامل از آنها، معماری کلی مدیریت سیستم را مطالعه کنید.
اطمینان از عملکرد سازوکارهای دفاعی
برای اطمینان از عملکرد دفاعی سیستم؛ موارد زیر را بررسی کنید:
نصب نرمافزار آنتیویروس؛
بررسی پیوسته فعالیت آنتیویروس بر روی همه سیستمها و همچنین به روزبودن آن؛
شیوه عملکرد قوانین فایروال به ویژه قوانین موقتی که ممکن است بیش از طول عمر مورد انتظار در سیستم باقی بمانند.
ثبت گزارش وقایع و نظارت
گزارشهای موجود، محل ذخیره آنها و مدت زمان نگهداریشان را بازبینی کنید. گزارشهای کلیدی را تحت نظارت داشته و گزارشهای آنتیویروس را بررسی نمایید. در صورت امکان ماهیانه اطمینان حاصل کنید که همه گزارشهای لازم ذخیره و حفظ میشوند.
بازبینی نسخههای پشتیبان
بررسی کنید که نسخههای پشتیبان به درستی ایجاد میشوند. این نسخههای پشتیبان را ارزیابی نموده و اطمینان یابید که فرایند بازیابیشان قابل درک و آسان باشد.
بررسی کنید که آیا فایلهای پشتیبان دارای نسخههای آفلاین هستند یا خیر؛ همچنین این نسخهها باید بهروز بوده و در صورت وقوع حملاتی که منجر به از دست رفتن دادهها یا پیکربندی سیستمها میشوند قابل استفاده باشند.
باید از وضعیت سیستمها و اعتبارنامههای کاربری مهم خارجی (مثل کلیدهای خصوصی و توکنهای دسترسی) نیز نسخههای پشتیبان تهیه شود.
برنامهریزیهای لازم برای حادثه را انجام دهید.
طرح واکنش به حادثه شما، اطلاعات تماس و مسیرهای ارتقای سطح دسترسی باید بهروز باشد.
اطلاعات مورد نیاز درباره شخصی که اختیار انجام تصمیمگیریهای کلیدی را در طرح واکنش به حادثه و بهویژه در زمانهایی خارج از ساعات کاری برعهده دارد به دست آورده و بررسیهای لازم را در این زمینه انجام دهید.
از در دسترس بودن طرح واکنش به حادثه و سازوکارهای ارتباطی مورد استفاده آن اطمینان یابید حتی اگر سیستمهای کاری از دسترس خارج شدند.
بررسی ردپای موجود در اینترنت
بررسی کنید که رکوردهای ردپای اینترنتی سازمان (از جمله آیپیهای مورداستفاده سیستمهایتان در اینترنت و دامنههایی که متعلق به سازمان شما هستند) درست و به روز باشند. همچنین اطمینان یابید که دادههای ثبت دامنه به صورت امن نگهداری میشوند (برای مثال کلمه عبور حساب دامنه خود را بررسی کنید) و اعطای نمایندگی و اختیاری نیز بر اساس انتظار انجام میگردد.
یک اسکن آسیبپذیری خارجی از کل ردپای اینترنتیتان انجام داده و بررسی کنید که کلیه وصلههای امنیتی لازم نصب شده باشند.
واکنش به فیشینگ
آموزشهای لازم درباره شیوه گزارشدهی ایمیلهای فیشینگ را به کارمندانتان داده و طرح رسیدگی به این گزارشها را هم ایجاد کنید.
دسترسیهای شخص ثالث
باید درک و آگاهی کامل نسبت به دسترسیهای سازمانهای شخص ثالث به دستگاهها و شبکههای خود داشته و دسترسیهای غیرضروری را حذف کنید. همچنین باید اصول و قوانین امنیتی شرکت شخص ثالث همکار را بدانید.
جلب همکاری سایر تیمهای سازمان
توجه سایر بخشهای سازمان به مخاطرات امنیتی نقش بسزایی در کاهش تهدیدات و به صورت کلی انجام موفقیتآمیز اقدامات بالا دارد. بنابراین سازمانها باید امکاناتی را جهت جلب نظر کلیه کارکنان سازمان بهویژه در شرایطی که تهدیدات تشدید مییابند ایجاد کنند.
اطمینان یابید که همکارانتان در سایر حوزهها، پیامدهای منفی احتمالی تهدیدات بر روی وظایف و کارهای تیم خودشان را درک میکنند. همه باید با شیوه گزارشدهی رویدادهای امنیتی مشکوک و همچنین میزان اهمیت ارسال گزارش آشنا باشند.
اقدامات پیشرفته
کلیه سازمانهای بزرگ و کوچک باید جهت پیادهسازی تدابیر امنیتی مورد نیاز، همه اقدامات ذکر شده در این مطلب را انجام دهند. سازمانها و قانون گذارانی که از فریمورک ارزیابی سایبری (CAF[۱]) برای درک مخاطرات امنیتی استفاده میکنند باید بدانند که CAF شامل راهنماییهایی درباره این اقدامات است. بنابراین شرکتهایی که توجه چندانی به این موارد ندارند باید در صورت تشدید تهدیدات، بلافاصله در تصمیماتشان تجدید نظر نمایند.
بنا بر توصیه کارشناسان امنیتی، کسبوکارهایی که از منابع و اطلاعات حساس بیشتری استفاده میکنند باید اقدامات زیر را هم انجام دهند:
اگر سازمان قصد توسعه تدریجی طرحهای امنیت سایبری خود را دارد باید بررسی کند که آیا نیازی به پیادهسازی سریع تدابیر امنیتی کلیدی برای شرایط حساس ناشی از تشدید تهدیدات سایبری هست یا خیر. ممکن است انجام چنین کاری مستلزم تغییر اولویتهای شما در زمینه تخصیص منابع یا سرمایه باشد.
هیچ سیستم یا سرویسی در دنیای فناوری بدون مخاطرات نبوده و سازمانهای بالغ سعی میکنند تصمیمات مبتنی بر ریسک آگاهانه و متعادلی بگیرند. وقتی تهدیدی شدت مییابد، سازمانها باید تصمیمات مبتنی بر ریسک کلیدیشان را بازبینی نموده و بررسی کنند که آیا مایل به ادامه تحمل چنین مخاطراتی هستند یا باید اقداماتی در راستای کاهش و رفع آنها انجام دهند.
ممکن است بعضی از عملکردهای سیستمی مثل مبادله دادهها با شبکههای غیر قابل اطمینان منجر به افزایش سطح مخاطرات سایبری شود. سازمانهای بزرگ که معمولاً سازوکارهایی جهت ارزیابی، آزمودن و اعمال وصلههای امنیتی در مقیاس عظیم دارند باید بسنجند که آیا پذیرش کاهش موقت سطح یک عملکرد جهت کاهش تهدیدات سایبری قابل قبول است یا خیر. وقتی تهدیدی شدت میگیرد، ممکن است سازمان شما مایل به در پیش گرفتن روشی تهاجمیتر برای رفع آسیبپذیریها باشد (توجه کنید که احتمال دارد انجام این کار بر روی خود سرویس مورد نظر نیز تأثیرگذار باشد).
در چنین زمانهایی سازمانها باید تغییرات سیستمی قابل توجهی که ارتباطی به امنیت ندارند را به تعویق بیندازند.
اگر یک تیم امنیت عملیاتی یا مرکز عملیات امنیتی دارید، بهتر است برای افزایش ساعتهای عملیاتی برنامهریزی کنید یا در صورت وقوع حادثه امنیتی آمادگی لازم جهت افزایش مقیاس سریع عملیات را داشته باشید.
اگر سیستمهایی دارید که قابلیت انجام کارهای خودکار یا ارسال اعلان بر اساس هوش تهدید را دارند، بهتر است فیدهای تهدیدی را تهیه کنید که در زمان تشدید تهدیدات، اطلاعات لازم را در اختیار شما قرار میدهند.
منبع : فراست