کنترلهای امنیتی حیاتی مجموعهای از اقدامات توصیه شده برای دفاع سایبری هستند که راهکارهایی مشخص و قابل اجرا برای متوقف نمودن حملات گسترده و خطرناک ارائه میکنند. یکی از مزایای کلیدی این کنترلها، الویتبندی اقدامات و تمرکز بر آنها با بیشترین بازدهی است. این کنترلها از این جهت اثرگذار هستند که با توجه به رایجترین الگوهای حمله ارائه شده در گزارشات سایبری و توسط جامعه وسیعی از فعالان و بهترین متخصصان امنیت سایبری در حوزههای صنعتی و دولتی ایجاد شدهاند- متخصصانی که به خوبی از چگونگی حملات صورت گرفته و نحوه توقف آنها آگاهند. متخصصان به طور مداوم به بررسی حملات جدید پرداخته و بر این اساس، کنترلها را بهروزرسانی میکنند.
کنترلهای امنیتی حیاتی با تبدیل بهترین دادههای تهدید موجود به رهنمودهایی قابل اجرا، امنیت فردی و جمعی را در فضای سایبری ارتقا میدهند. اغلب به نظر میرسد که خلافکاران از سازماندهی بهتری نسبت به افراد درستکار برخوردار بوده و ارتباطات نزدیکتری دارند. کنترلهای امنیتی حیاتی راهی برای مقابله با این مشکل هستند. در ادامه این مطلب، به معرفی کنترلهای امنیتی حیاتی پرداخته و لزوم و هدف استفاده از آنها بیان خواهد شد.
فهرستبندی دستگاههای مجاز و نامجاز [۲]
تجهیزات غیرمجاز موجود در شبکه سازمان، یکی از درگاههای حملات جدید به سازمانها هستند. این تجهیزات تحت کنترل مدیر امنیت سازمان نبوده و بنا به دلایل مختلفی ممکن است در سازمان وجود داشته باشند. با توجه به آلودگی احتمالی و عدم نصب آخرین وصلههای امنیتی بر روی آنها، این تجهیزات به شدت مستعد حملات سایبری هستند. به همین دلیل شناسایی این موارد بسیار مهم است.
هدف تجاری این کنترل این است که فقط سیستمهای مجاز در شبکه سازمان وجود داشته باشند.
فهرستبندی نرمافزارهای مجاز و نامجاز[۳]
هنگامی که یک ماشین برای حمله مورد بهرهبرداری قرار میگیرد، مهاجمان اغلب از آن به عنوان نقطه شروع عملیات برای جمعآوری اطلاعات حساس از همان سیستم و یا سایر سیستمهای متصل به آن استفاده میکنند. علاوهبراین، از ماشینهای بهخطرافتاده برای حرکت تدریجی (Lateral Movement) در سراسر شبکه و شبکههای متصل استفاده شده و به این ترتیب، به سرعت تعداد ماشینهای بهخطرافتاده افزایش مییابد. سازمانهایی که فهرست کاملی از نرمافزارها ندارند، قادر به یافتن سیستمهای حاوی نرمافزارهای آسیبپذیر یا بدافزارها، در راستای کاهش اثرات مخرب و حذف مهاجمان نیستند.
هدف تجاری این کنترل این است که فقط نرمافزارهای مجاز بر روی سیستمهای کامپیوتری سازمان نصب باشند.
پیکربندی امن سختافزارها و نرمافزارها [۴]
نفوذگران پس از نفوذ به شبکههای موردنظر، اقدام به قرار دادن بدافزارهایی برای یافتن سیستمهایی قابل بهرهبرداری، که با نرمافزارهای آسیبپذیر پیکربندی شدهاند، در این شبکهها مینمایند. پیکربندیهای پیشفرض معمولاً به منظور سهولت در استقرار و استفاده بوده و امنیت و خدمات اضافهای که در حالت پیشفرض قابل بهرهبرداری هستند را در نظر نمیگیرند.
هدف تجاری این کنترل این است که تغییرات پیکربندی به نحوی انجام شود که مانع شناسایی و بهرهبرداری از سیستمهای آسیبپذیر توسط نفوذگران باشد.
ارزیابی مداوم آسیبپذیریها و رفع آنها[۵]
سیستمهای کامپیوتری، در سازمانهایی که به بررسی وجود آسیبپذیریها نپرداخته و به صورت پیشگیرانه نقایص کشف شده را برطرف نمیکنند، اغلب در معرض خطر قرار دارند. بررسی آسیبپذیریها باید با هوشمندی امنیتی انجام شده و اولویتبندی مناسب در این راستا صورت گیرد.
هدف تجاری این کنترل، محافظت از سیستمها با اصلاح آسیبپذیریهای شناخته شده است.
استفاده کنترل شده از دسترسیهای مدیریتی [۶]
به طور معمول، مهاجمان از دو تکنیک برای بهرهبرداری از دسترسیهای کاربرانی که سطوح دسترسی بالایی در سازمانها دارند، استفاده میکنند:
فریب یک کاربر در حال فعالیت به عنوان کاربری با دسترسی بالا برای باز کردن پیوست ایمیل مخرب یا فریب او به گشتوگذار در یک وبسایت حاوی محتوای مخرب پنهان.
بالا بردن سطح دسترسی با حدس زدن یا شکستن رمز عبور یک کاربر مدیریتی برای دسترسی به سیستمهای موردنظر.
هدف تجاری این کنترل، محافظت از دادههای حساس از طریق کنترل حسابهای کاربری و سیستمهای احراز هویت است.
نگهداری، پایش و تحلیل Logهای حسابرسی[۷]
نقص در ثبت دادههای Log و بررسی امنیتی به مهاجمان اجازه میدهد تا محل خود، نرمافزار مخرب مورد استفاده برای کنترل از راه دور و همچنین فعالیتهای صورت گرفته در ماشینهای قربانی را پنهان کنند. بدون دسترسی به رکوردهای Log محافظت شده و کامل، حتی اگر قربانیان بدانند که سیستمهای آنها به مخاطره افتاده است نیز، دید خاصی نسبت به جزئیات حمله و اقدامات بعدی مهاجمان نخواهند داشت. بدون ممیزی جامع Log، ممکن است یک حمله برای مدتی نامعلوم بدون جلب توجه ادامه یافته و خسارات خاص ایجاد شده غیرقابل برگشت باشد.
هدف تجاری این کنترل ثبت وقایع سیستم است تا در آینده با بررسی آنها بتوان از وضعیت سیستم آگاه شد.
محافظت از ایمیل و مرورگر وب[۸]
مهمترین مرحله در حمله به سیستمهای اطلاعاتی، مرحله ابتدایی یعنی دستیابی به یک نقطه امن ورود به سیستم است. در این مرحله، به طور معمول مهاجمان از طریق حملات Phishing، Data Exfiltration و Web Apps اقدام میکنند. این کنترل برای جلوگیری از به دست آوردن نقطه امن ورود برای مهاجمان، در شبکه یک سازمان ایجاد شده است.
هدف این کنترل جلوگیری از اولین مرحله حملات سایبری یعنی دستیابی به یک نقطه ورود امن توسط مهاجمین است.
[۱] Critical Security Controls
[۲] Inventory of Authorized and Unauthorized Devices
[۳] Inventory of Authorized and Unauthorized Softwares
[۴] Secure Configurations for Hardware and Software
[۵] Continuous Vulnerability Assessment and Remediation
[۶] Controlled Use of Administrative Privileges
[۷] Maintenance, Monitoring and Analysis of Audit Logs
[۸] E-mail and Web Browser Protections