کنترلهای امنیتی حیاتی توسط بهترین متخصصان امنیت سایبری و با توجه به رایجترین الگوهای حمله ارائه شده در گزارشات سایبری ایجاد شدهاند و حملات جدید بهصورت پیوسته توسط همین متخصصان، بررسی شده و کنترلها بهروزرسانی میگردند. در قسمت اول و دوم این مقاله به معرفی برخی ازاین کنترلهای امنیتی حیاتی پرداختیم و در قسمت سوم نیز، سایر این کنترلها معرفی خواهد شد.
کنترل و نظارت بر حسابهای کاربری [۲]
مهاجمان به طور مکرر به جستجوی حسابهای کاربری قانونی اما غیرفعال گشته و از آنها برای جعل هویت کاربران قانونی استفاده میکنند که این اقدام کشف رفتار مهاجم را برای ناظران شبکه سخت میکند. اغلب از حسابهای پیمانکاران و کارمندانی که قرارداد آنها خاتمه یافته است بدین ترتیب سوءاستفاده میشود. مهاجمان به خوبی از راههای نفوذ به شبکه آگاه بوده و میدانند که بهترین راه دسترسی به شبکه استفاده از حسابهای قانونی است. با استفاده از این رویکرد شانس هشدار در مورد رفتار متخاصمانه کاهش یافته و مهاجمین قادر هستند به جمع آوری و افزایش امتیازات بپردازند.
از این کنترل در کسبوکارها با هدف جلوگیری از دسترسی غیرمجاز به مجموعه دادهها با مدیریت صحیح حسابهای کاربری استفاده میشود.
ارزیابی مهارتهای امنیتی و ارائه آموزشهای مناسب برای برطرف کردن نواقص[۳]
هر سازمانی که امیدوار است بتواند حملات را شناسایی کرده و به طور موثر به آنها پاسخ دهد، باید خلا دانش خود را یافته و برای پر کردن آن، آموزش مناسب را ارائه دهد. یک برنامه ارزیابی مهارتهای امنیتی جامع میتواند به ذینفعان اطلاع دهد که کجا آگاهی امنیتی نیازمند بهبود بوده و در تخصیص مناسب منابع محدود برای بهبود اقدامات امنیتی به آنها کمک کند.
هدف از این کنترل تجاری محدود کردن تاثیر سیستمهای در معرض خطر با آموزش اعضای سازمان در مورد مباحث امنیت اطلاعات است.
امنیت نرمافزارهای کاربردی [۴]
یکی از اولویتهای اصلی سازمانهای هکری در سالهای اخیر حمله به آسیبپذیریهای نرمافزارهای مبتنی بر وب و دیگر برنامههای کاربردی بوده است. این آسیبپذیریها به دلایل متعددی ممکن است وجود داشته باشند از جمله اشتباهات برنامهنویسی، خطاهای منطقی، و ناتوانی در بررسی شرایط ناخواسته و غیرمعمول. ناتوانی در بررسی اندازه ورودی کاربر، ناتوانی در فیلتر دنباله کاراکترهای غیرضروری بالقوه مخرب از جریانهای ورودی و ناتوانی در مقداردهی صحیح و پاک کردن متغیرها، نمونههایی مشخص از این گونه خطاها هستند.
هدف این کنترل تجاری برطرف کردن اشکالات امنیتی در برنامهها با هدف محافظت از مجموعهها و سیستمهای داده حساس است.
مدیریت و پاسخ به رویدادها[۵]
بدون یک برنامه پاسخگویی به وقایع، ممکن است یک سازمان قادر به تشخیص یک حمله در مراحل آغازین نباشد؛ و حتی در صورت تشخیص حمله ممکن است از رویههای مناسبی برای کنترل آسیبها و خارج نمودن مهاجم و بازیابی امن بهره نبرد. بنابراین، در مقایسه با زمان وجود یک برنامه پاسخگویی به وقایع موثر، مهاجم میتواند اثرات مخرب بسیار بیشتری داشته، آسیبهای بیشتری وارد آورده، سیستمهای بیشتری را آلوده کرده و احتمالا دادههای حساس بیشتری را به سرقت ببرد. در این صورت، آسیب زیادی به شهرت سازمان وارد شده و ممکن است اطلاعات زیادی از بین برود.
هدف تجاری این کنترل این است که افشا و ریسک دادهها با پاسخگویی صحیح به وقایع، هنگام شناسایی آنها به حداقل برسد.
تست نفوذ و تمرینات تیم قرمز[۶]
مهاجمان از طریق مهندسی اجتماعی و با بهرهبرداری از نرمافزارها و سختافزارهای آسیبپذیر، به شبکهها و سیستمها نفوذ میکنند. به محض دسترسی و ورود به شبکه، آنها غالبا در سیستمهای هدف به شکل عمیقی نفوذ کرده و تعداد دستگاههای تحت کنترل خود را افزایش میدهند. اکثر سازمانها دفاع از خود را به درستی تمرین نمیکنند، بنابراین در مورد تواناییهای خود اطمینان نداشته و آماده شناسایی و پاسخگویی به حملات نیستند.
هدف تجاری این کنترل این است که آسیبپذیریهای احتمالی در سیستمهای تجاری شناسایی شوند.
سخن پایانی
همانطور که بیان شد کنترلهای امنیتی حیاتی مجموعهای از اقدامات توصیه شده برای دفاع سایبری هستند که راهکارهایی مشخص و قابل اجرا برای متوقف نمودن حملات گسترده و خطرناک ارائه میکنند. با این حال، پیادهسازی این کنترلها در یک سازمان با چالشهای زیادی از جمله موارد زیر همراه است:
آیا پیادهسازی تمام کنترلها برای همه کسبوکارها ضروری است؟
در صورت عدم امکان پیادهسازی تمام این کنترلها، یک کسبوکار باید بر روی چه مواردی تمرکز کند؟
برای پیادهسازی هر یک از این کنترلها چه اقداماتی باید صورت بگیرد؟
معیارهای پیادهسازی هر یک از این کنترلها چیست؟
شرکت امنپردازان کویر، از شرکتهای پیشگام کشور در حوزه امنیت سایبری کشور است که با در اختیار داشتن نیروهای متخصص به ارائه خدمات امنیتی به شرکتها و سازمانها میپردازد. پیادهسازی کنترلهای امنیتی حیاتی از اصلیترین زمینههای فعالیت امنپردازان کویر است که شرکتها و سازمانهای علاقمند میتوانند برای درخواست همکاری یا کسب مشاوره از طریق شماره ۰۲۱۴۲۲۷۳ با کارشناسان این شرکت در ارتباط باشند.
[۱] Critical Security Controls
[۲] Account Monitoring and Control
[۳] Security Skills Assessment and Training to Fill Gaps
[۴] Application Software Security
[۵] Incident Response and Management
[۶] Penetration Tests and Red Team Exercises