لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی- بخش اول

کنترل‌های امنیتی حیاتی مجموعه‌ای از اقدامات توصیه شده برای دفاع سایبری هستند که راهکارهایی مشخص و قابل اجرا برای متوقف نمودن حملات گسترده و خطرناک ارائه می‌کنند. یکی از مزایای کلیدی این کنترل‌ها، الویت‌بندی اقدامات و تمرکز بر آنها با بیشترین بازدهی است. این کنترل‌ها از این جهت اثرگذار هستند که با توجه به رایج‌ترین الگوهای حمله ارائه شده در گزارشات سایبری و توسط جامعه وسیعی از فعالان و بهترین متخصصان امنیت سایبری در حوزه‌های صنعتی و دولتی ایجاد شده‌اند- متخصصانی که به خوبی از چگونگی حملات صورت گرفته و نحوه توقف آن‌ها آگاهند. متخصصان به طور مداوم به بررسی حملات جدید پرداخته و بر این اساس، کنترل‌ها را به‌روزرسانی می‌کنند.

کنترل‌های امنیتی حیاتی با تبدیل بهترین داده‌های تهدید موجود به رهنمودهایی قابل اجرا، امنیت فردی و جمعی را در فضای سایبری ارتقا می‌دهند. اغلب به نظر می‌رسد که خلاف‌کاران از سازمان‌دهی بهتری نسبت به افراد درست‌کار برخوردار بوده و ارتباطات نزدیک‌تری دارند. کنترل‌های امنیتی حیاتی راهی برای مقابله با این مشکل هستند. در ادامه این مطلب، به معرفی کنترل‌های امنیتی حیاتی پرداخته و لزوم و هدف استفاده از آن‌ها بیان خواهد شد.

فهرست‌بندی دستگاه‌های مجاز و نامجاز [۲]

تجهیزات غیرمجاز موجود در شبکه سازمان، یکی از درگاه‌های حملات جدید به سازمان‌ها هستند. این تجهیزات تحت کنترل مدیر امنیت سازمان نبوده و بنا به دلایل مختلفی ممکن است در سازمان وجود داشته باشند. با توجه به آلودگی احتمالی و عدم نصب آخرین وصله‌های امنیتی بر روی آن‌ها، این تجهیزات به شدت مستعد حملات سایبری هستند. به همین دلیل شناسایی این موارد بسیار مهم است.

هدف تجاری این کنترل این است که فقط سیستم‌های مجاز در شبکه سازمان وجود داشته باشند.

فهرست‌بندی نرم‌افزارهای مجاز و نامجاز[۳]

هنگامی که یک ماشین برای حمله مورد بهره‌برداری قرار می‌گیرد، مهاجمان اغلب از آن به عنوان نقطه شروع عملیات برای جمع‌آوری اطلاعات حساس از همان سیستم و یا سایر سیستم‌های متصل به آن استفاده می‌کنند. علاوه‌براین، از ماشین‌های به‌خطر‌افتاده برای حرکت تدریجی (Lateral Movement) در سراسر شبکه و شبکه‌های متصل استفاده شده و به این ترتیب، به سرعت تعداد ماشین‌های به‌خطرافتاده افزایش می‌یابد. سازمان‌هایی که فهرست کاملی از نرم‌افزارها ندارند، قادر به یافتن سیستم‌های حاوی نرم‌افزار‌های آسیب‌پذیر یا بدافزارها، در راستای کاهش اثرات مخرب و حذف مهاجمان نیستند.

هدف تجاری این کنترل این است که فقط نرم‌افزارهای مجاز بر روی سیستم‌های کامپیوتری سازمان نصب باشند.

پیکربندی امن سخت‌افزارها و نرم‌افزارها [۴]

نفوذگران پس از نفوذ به شبکه‌های موردنظر، اقدام به قرار دادن بدافزارهایی برای یافتن سیستم‌هایی قابل بهره‌برداری، که با نرم‌افزار‌های آسیب‌پذیر پیکربندی شده‌اند، در این شبکه‌ها می‌نمایند. پیکربندی‌های پیش‌فرض معمولاً به منظور سهولت در استقرار و استفاده بوده و امنیت و خدمات اضافه‌ای که در حالت پیش‌فرض قابل بهره‌برداری هستند را در نظر نمی‌گیرند.

هدف تجاری این کنترل این است که تغییرات پیکربندی به نحوی انجام شود که مانع شناسایی و بهره‌برداری از سیستم‌های آسیب‌پذیر توسط نفوذگران باشد.

ارزیابی مداوم آسیب‌پذیری‌ها و رفع آن‌ها[۵]

سیستم‌های کامپیوتری، در سازمان‌هایی که به بررسی وجود آسیب‌پذیری‌ها نپرداخته و به صورت پیشگیرانه نقایص کشف شده را برطرف نمی‌کنند، اغلب در معرض خطر قرار دارند. بررسی آسیب‌پذیری‌ها باید با هوشمندی امنیتی انجام شده و اولویت‌بندی مناسب در این راستا صورت گیرد.

هدف تجاری این کنترل، محافظت از سیستم‌ها با اصلاح آسیب‌پذیری‌های شناخته شده است.

استفاده کنترل شده از دسترسی‌های مدیریتی [۶]

به طور معمول، مهاجمان از دو تکنیک برای بهره‌برداری از دسترسی‌های کاربرانی که  سطوح دسترسی بالایی در سازمان‌ها دارند، استفاده می‌کنند:

فریب یک کاربر در حال فعالیت به عنوان کاربری با دسترسی بالا برای باز کردن پیوست ایمیل مخرب یا فریب او به گشت‌و‌گذار در یک وب‌سایت حاوی محتوای مخرب پنهان.

بالا بردن سطح دسترسی با حدس زدن یا شکستن رمز عبور یک کاربر مدیریتی برای دسترسی به سیستم‌های موردنظر.

هدف تجاری این کنترل، محافظت از داده‌های حساس از طریق کنترل حساب‌های کاربری و سیستم‌های احراز هویت است.

نگهداری، پایش و تحلیل Logهای حسابرسی[۷]

نقص در ثبت داده‌های Log و بررسی امنیتی به مهاجمان اجازه می‌دهد تا محل خود، نرم‌افزار مخرب مورد استفاده برای کنترل از راه دور و همچنین فعالیت‌های صورت گرفته در ماشین‌های قربانی را پنهان کنند. بدون دسترسی به رکوردهای Log محافظت شده و کامل، حتی اگر قربانیان بدانند که سیستم‌های آن‌ها به مخاطره افتاده است نیز، دید خاصی نسبت به جزئیات حمله و اقدامات بعدی مهاجمان نخواهند داشت. بدون ممیزی جامع Log، ممکن است یک حمله برای مدتی نامعلوم بدون جلب توجه ادامه یافته و خسارات خاص ایجاد شده غیرقابل برگشت باشد.

هدف تجاری این کنترل ثبت وقایع سیستم است تا در آینده با بررسی آن‌ها بتوان از وضعیت سیستم آگاه شد.

محافظت از ایمیل و مرورگر وب[۸]

مهم‌ترین مرحله در حمله به سیستم‌های اطلاعاتی، مرحله ابتدایی یعنی دستیابی به یک نقطه امن ورود به سیستم است. در این مرحله، به طور معمول مهاجمان از طریق حملات Phishing، Data Exfiltration و Web Apps اقدام می‌کنند. این کنترل برای جلوگیری از به دست آوردن نقطه امن ورود برای مهاجمان، در شبکه یک سازمان ایجاد شده است.

هدف این کنترل جلوگیری از اولین مرحله حملات سایبری یعنی دستیابی به یک نقطه ورود امن توسط مهاجمین است.

[۱] Critical Security Controls

[۲] Inventory of Authorized and Unauthorized Devices

[۳] Inventory of Authorized and Unauthorized Softwares

[۴] Secure Configurations for Hardware and Software

[۵] Continuous Vulnerability Assessment and Remediation

[۶] Controlled Use of Administrative Privileges

[۷] Maintenance, Monitoring and Analysis of Audit Logs

[۸] E-mail and Web Browser Protections