مدیریت ریسک امنیت سایبری

1. مدیریت ریسک امنیت سایبری یک فرآیند مداوم برای شناسایی، ارزیابی و پاسخ به تهدیدات است

مدیریت ریسک امنیت سایبری به سادگی به معنای بررسی آنچه ممکن است اشتباه پیش برود و سپس یافتن راه‌هایی برای کاهش آن مشکلات است.

چارچوب ارزیابی ریسک. سازمان‌ها باید یک چارچوب ارزیابی ریسک را پیاده‌سازی کنند تا اندازه‌گیری‌های عینی از ریسک را توسعه داده و از دارایی‌های در معرض خطر بهتر محافظت کنند. این چارچوب به عنوان راهنمایی برای تعیین آنچه باید ارزیابی شود، افرادی که باید درگیر شوند و معیارهای توسعه درجات نسبی ریسک عمل می‌کند. برخی از چارچوب‌های پرکاربرد شامل OCTAVE از دانشگاه کارنگی ملون، NIST SP 800-30 و RISK IT از ISACA هستند.

اولویت‌بندی ریسک‌ها. پس از شناسایی آسیب‌پذیری‌ها و تهدیدات، سازمان‌ها باید بر روی آن‌هایی تمرکز کنند که بالاترین ریسک را برای حیاتی‌ترین دارایی‌ها دارند. این شامل:

• تعیین اهمیت دارایی‌ها (مثلاً نقش در تولید درآمد، اهمیت عملیاتی)
• ارزیابی احتمال حملات موفق
• ارزیابی تأثیرات بالقوه (مالی، اعتباری، عملیاتی)
• توسعه برنامه‌های پاسخ برای ریسک‌های با اولویت بالا

فرآیند مداوم. مدیریت ریسک یک فعالیت یک‌باره نیست، بلکه یک چرخه مداوم است که شامل:

1. چارچوب‌بندی ریسک در محدودیت‌ها و اهداف سازمانی
2. ارزیابی آسیب‌پذیری‌ها، تهدیدات و تأثیرات بالقوه
3. پاسخ به ریسک‌های شناسایی شده از طریق کاهش، انتقال، اجتناب یا پذیرش
4. نظارت بر اثربخشی کنترل‌ها و تغییر چشم‌انداز ریسک

2. مدیریت جامع دارایی پایه‌ای برای امنیت سایبری مؤثر است

شما نمی‌توانید از چیزی که نمی‌دانید وجود دارد دفاع کنید.

فهرست دارایی. سازمان‌ها باید یک فهرست جامع و به‌روز از تمام دارایی‌های سخت‌افزاری و نرم‌افزاری داشته باشند. این فهرست باید شامل موارد زیر باشد:

• دارایی‌های سنتی فناوری اطلاعات: دسکتاپ‌ها، لپ‌تاپ‌ها، سرورها، دستگاه‌های موبایل، چاپگرها، تجهیزات شبکه
• دستگاه‌های IoT: دستیارهای صوتی، سیستم‌های صنعتی متصل، لوازم هوشمند
• نرم‌افزار: سیستم‌عامل‌ها، برنامه‌ها، پایگاه‌های داده، خدمات ابری

اولویت‌بندی. همه دارایی‌ها به یک اندازه حیاتی نیستند. سازمان‌ها باید معیارهایی برای رتبه‌بندی دارایی‌ها بر اساس:

• اهمیت برای عملیات تجاری و تولید درآمد
• حساسیت داده‌های پردازش شده یا ذخیره شده
• میزان در معرض تهدیدات خارجی بودن
• هزینه و دشواری جایگزینی
• الزامات قانونی

به‌روزرسانی‌های مداوم. مدیریت دارایی یک فرآیند مداوم است. سازمان‌ها باید:

• از ابزارهای کشف خودکار برای شناسایی دستگاه‌های جدید در شبکه استفاده کنند
• فرآیندهای مدیریت تغییر برای نصب و به‌روزرسانی نرم‌افزار را پیاده‌سازی کنند
• به‌طور منظم فهرست دارایی را برای دقت بررسی کنند
• دارایی‌های غیرمجاز را به سرعت حذف یا قرنطینه کنند

3. کنترل دسترسی و مدیریت هویت برای حفاظت از سیستم‌ها و داده‌ها حیاتی است

کنترل دسترسی به سادگی فرآیندی است که از طریق آن سازمان شما اطمینان حاصل می‌کند که یک کاربر احراز هویت شده فقط به آنچه مجاز به دسترسی است دسترسی پیدا می‌کند و نه چیز دیگری.

احراز هویت در مقابل مجوز. احراز هویت هویت کاربر را تأیید می‌کند، در حالی که مجوز تعیین می‌کند که به چه منابعی می‌توانند دسترسی داشته باشند. احراز هویت چندعاملی (ترکیب رمزهای عبور با عوامل اضافی مانند بیومتریک یا توکن‌های امنیتی) امنیت قوی‌تری نسبت به رمزهای عبور به تنهایی فراهم می‌کند.

اصل حداقل امتیاز. کاربران باید فقط به حداقل سطح دسترسی لازم برای انجام وظایف شغلی خود دسترسی داشته باشند. این امر آسیب احتمالی از حساب‌های به خطر افتاده را به حداقل می‌رساند. مراحل کلیدی پیاده‌سازی شامل:

• تعریف نقش‌ها و مسئولیت‌های واضح
• بررسی‌های منظم دسترسی و لغو سریع زمانی که دیگر نیازی نیست
• جداسازی وظایف برای عملکردهای حیاتی

مکانیزم‌های کنترل دسترسی:

• تقسیم‌بندی شبکه برای جداسازی سیستم‌های حساس
• کنترل دسترسی مبتنی بر نقش (RBAC) برای تخصیص مجوزهای سازگار
• مدیریت دسترسی ممتاز برای حساب‌های مدیریتی
• ورود یک‌باره (SSO) برای ساده‌سازی احراز هویت در سیستم‌های متعدد
• بررسی منظم گزارش‌های دسترسی برای شناسایی ناهنجاری‌ها

4. نظارت مداوم و تشخیص نفوذ برای پاسخ به تهدیدات به موقع ضروری است

ارزیابی‌های دوره‌ای به اندازه نظارت مداوم بر سیستم‌ها و دارایی‌ها کارآمد نیستند.

ایجاد مبناها. قبل از اینکه ناهنجاری‌ها شناسایی شوند، سازمان‌ها باید تعیین کنند که چه چیزی رفتار "عادی" برای سیستم‌ها و شبکه‌هایشان محسوب می‌شود. این شامل ردیابی ویژگی‌هایی مانند:

• الگوهای ترافیک شبکه معمولی
• رفتار و الگوهای دسترسی کاربر مورد انتظار
• معیارهای عملکرد استاندارد برنامه
• استفاده معمول از منابع سیستم

سیستم‌های تشخیص نفوذ (IDS). این ابزارها ترافیک شبکه و گزارش‌های سیستم را برای شناسایی حوادث امنیتی بالقوه تحلیل می‌کنند. اجزای کلیدی شامل:

• IDS مبتنی بر شبکه برای نظارت بر ترافیک در سراسر شبکه
• IDS مبتنی بر میزبان برای شناسایی ناهنجاری‌ها در سیستم‌های فردی
• سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای جمع‌آوری و همبستگی داده‌ها از منابع متعدد

استراتژی‌های نظارت مداوم:

• استقرار ابزارهای خودکار برای تحلیل بلادرنگ گزارش‌ها و ترافیک شبکه
• پیاده‌سازی اسکنرهای آسیب‌پذیری برای شناسایی ضعف‌های جدید
• استفاده از فیدهای اطلاعات تهدید برای آگاهی از تهدیدات نوظهور
• تعیین آستانه‌ها و هشدارهای واضح برای فعالیت‌های غیرعادی
• انجام آزمایش‌های نفوذ منظم برای اعتبارسنجی کنترل‌های امنیتی

5. برنامه‌ریزی پاسخ به حوادث برای به حداقل رساندن آسیب‌های ناشی از حملات سایبری حیاتی است

هدف نهایی پاسخ به حوادث محدود کردن آسیب و کاهش زمان و هزینه‌های بازیابی زمانی است که یک حادثه سایبری نامطلوب سازمان شما را تحت تأثیر قرار می‌دهد.

تیم پاسخ به حوادث. سازمان‌ها باید یک تیم پاسخ به حوادث امنیتی رایانه‌ای (CSIRT) متشکل از متخصصان فناوری اطلاعات، حقوقی، منابع انسانی و روابط عمومی تشکیل دهند. این تیم مسئول هماهنگی پاسخ به حوادث امنیتی است.

اجزای برنامه پاسخ به حوادث:

1. آمادگی: توسعه سیاست‌ها، رویه‌ها و برنامه‌های ارتباطی
2. شناسایی و تحلیل: شناسایی و ارزیابی دامنه حوادث
3. مهار: محدود کردن گسترش و تأثیر حمله
4. ریشه‌کنی: حذف تهدید از سیستم‌های تحت تأثیر
5. بازیابی: بازگرداندن عملیات عادی و رفع آسیب‌پذیری‌ها
6. درس‌های آموخته شده: تحلیل حادثه و بهبود پاسخ‌های آینده

ارتباطات کلیدی است. برنامه پاسخ به حوادث باید به وضوح تعریف کند:

• نقش‌ها و مسئولیت‌های همه اعضای تیم
• پروتکل‌های ارتباطی داخلی و خارجی
• معیارهای ارتقاء حوادث به مدیریت ارشد
• رویه‌ها برای درگیر کردن مجریان قانون یا تنظیم‌کنندگان در صورت لزوم

تمرین‌های میزگرد و شبیه‌سازی‌های منظم به اطمینان از آمادگی تیم برای اجرای مؤثر برنامه در صورت وقوع یک حادثه واقعی کمک می‌کند.

6. امنیت زنجیره تأمین نیازمند مدیریت هوشیارانه ریسک‌های شخص ثالث است

این اجزا به افزایش پیچیدگی، تنوع و مقیاس تهدیداتی که در هر نقطه از اکوسیستم زنجیره تأمین به عملیات سازمان وارد می‌شود، کمک می‌کنند.

شناسایی و ارزیابی تأمین‌کنندگان. سازمان‌ها باید فهرستی از همه تأمین‌کنندگان و شرکای شخص ثالث داشته باشند و آن‌ها را بر اساس:

• اهمیت برای عملیات تجاری
• سطح دسترسی به داده‌ها یا سیستم‌های حساس
• عوامل جغرافیایی و ژئوپلیتیکی
• ثبات مالی و بلوغ امنیت سایبری

ضمانت‌های قراردادی. الزامات امنیتی واضحی در قراردادهای فروشنده تعیین کنید، از جمله:

• رعایت استانداردها و مقررات صنعتی مربوطه
• ارزیابی‌ها و ممیزی‌های امنیتی منظم
• رویه‌های گزارش‌دهی و پاسخ به حوادث
• الزامات مدیریت و حفاظت از داده‌ها
• بندهای حق ممیزی

نظارت مداوم. امنیت زنجیره تأمین یک تلاش یک‌باره نیست. سازمان‌ها باید:

• ارزیابی‌های ریسک منظم از تأمین‌کنندگان کلیدی انجام دهند
• نظارت مداوم بر دسترسی و فعالیت‌های شخص ثالث را پیاده‌سازی کنند
• نیاز به اطلاع‌رسانی سریع از حوادث امنیتی یا تغییرات مهم در محیط تأمین‌کننده
• برنامه‌های پاسخ و بازیابی حوادث را به‌طور مشترک با فروشندگان حیاتی آزمایش کنند

7. برنامه‌ریزی بازیابی تداوم کسب‌وکار را در پی یک حادثه امنیتی تضمین می‌کند

بازیابی از یک حادثه امنیت سایبری معمولاً به سه مرحله تقسیم می‌شود: فعال‌سازی، مرحله اجرا و مرحله بازسازی.

تحلیل تأثیر کسب‌وکار. شناسایی عملکردهای حیاتی کسب‌وکار و سیستم‌های فناوری اطلاعات پشتیبان، تعیین:

• اهداف زمان بازیابی (RTO): حداکثر زمان توقف قابل قبول
• اهداف نقطه بازیابی (RPO): حداکثر از دست دادن داده قابل قبول

استراتژی‌های بازیابی:

• پشتیبان‌گیری از داده‌ها: منظم، آزمایش شده و به‌طور امن خارج از سایت ذخیره شده
• سیستم‌های افزونه: سایت‌های داغ یا گزینه‌های پشتیبان‌گیری مبتنی بر ابر
• کانال‌های ارتباطی جایگزین
• راه‌حل‌های دستی برای فرآیندهای حیاتی

آزمایش و نگهداری. برنامه‌های بازیابی باید:

• به‌طور منظم از طریق تمرین‌های میزگرد و شبیه‌سازی‌های کامل آزمایش شوند
• به‌روزرسانی شوند تا تغییرات در فناوری، فرآیندهای کسب‌وکار و چشم‌انداز تهدید را منعکس کنند
• با برنامه‌ریزی کلی تداوم کسب‌وکار یکپارچه شوند

تحلیل پس از حادثه برای بهبود تلاش‌های بازیابی آینده و رسیدگی به علل ریشه‌ای حوادث امنیتی حیاتی است.

8. سیستم‌های کنترل صنعتی و تولیدی با چالش‌های منحصر به فرد امنیت سایبری مواجه هستند

برخلاف چارچوب اصلی، پروفایل تولید به شدت بر فناوری عملیاتی مورد استفاده برای راه‌اندازی ماشین‌ها و تجهیزات و فرآیندهای تولید تمرکز دارد.

فناوری عملیاتی (OT) در مقابل فناوری اطلاعات (IT). سیستم‌های کنترل صنعتی اولویت‌ها و محدودیت‌های متفاوتی نسبت به سیستم‌های سنتی فناوری اطلاعات دارند:

• ایمنی و قابلیت اطمینان اولویت دارند
• بسیاری از سیستم‌ها دارای چرخه عمر طولانی هستند و نمی‌توان به راحتی آن‌ها را به‌روزرسانی کرد
• توقف برای به‌روزرسانی‌های امنیتی می‌تواند بسیار پرهزینه باشد

ملاحظات کلیدی برای امنیت ICS:

• تقسیم‌بندی شبکه برای جداسازی سیستم‌های کنترل حیاتی
• فرآیندهای مدیریت تغییر سخت‌گیرانه
• امنیت فیزیکی تقویت شده برای سیستم‌های کنترل و دستگاه‌های میدانی
• تشخیص نفوذ تخصصی برای پروتکل‌های صنعتی
• رویه‌های پشتیبان‌گیری و بازیابی قوی برای پیکربندی‌های سیستم کنترل

رویکرد مبتنی بر ریسک. پروفایل تولید NIST راهنمایی‌هایی برای اولویت‌بندی اقدامات امنیت سایبری بر اساس تأثیرات بالقوه بر:

• ایمنی انسانی
• ایمنی محیطی
• کیفیت محصول
• اهداف تولید
• حفاظت از اسرار تجاری

سازمان‌ها باید امنیت سایبری را با الزامات عملیاتی متعادل کنند و بر اقداماتی تمرکز کنند که به شدیدترین پیامدهای بالقوه رسیدگی می‌کنند.