با تبدیل اینترنت به ابزار اصلی تجارت در سالیان گذشته، اطلاعات به یکی از مهمترین دارایی شرکتها تبدیل شده و باید راهکارهایی برای تامین امنیت این داراییها اندیشیده شود. برای تامین امنیت داراییها میتوان یکی از ۳ رویکرد زیر را در نظر گرفت:
- تامین امنیت به صورت درونسازمانی
- استخدام شرکت یا شرکتهایی بیرونی برای انجام تمام امور امنیتی
- ترکیبی از دو رویکرد قبل
در ادامه به بررسی رویکرد دوم که برونسپاری امنیت نامیده شده و هدف این مطلب میباشد، خواهیم پرداخت.
امنیت اطلاعات
امنیت اطلاعات عبارت است از اطمینان از ۳ اصل اساسی محرمانگی، جامعیت و دسترسیپذیری اطلاعات. بهترین رویکرد برای اطمینان از این موارد به کارگیری دفاع چندلایه (defense in depth) میباشد. در رویکرد دفاع چندلایه، برای امن کردن شبکه باید از چندین لایه دفاعی استفاده کرد. اغلب سازمانها با استفاده از فایروال یک لایه دفاعی ایجاد میکنند. با این وجود خرابکاران داخلی، ویروسها و خرابکاران خبره بیرونی به راحتی قادر به دور زدن این لایه دفاعی هستند. در نتیجه برای تامین امنیت یک شبکه باید اقدامات دیگری نیز انجام داد. استفاده از آنتیویروسها به عنوان لایهای دیگر، خطر ویروسها را کاهش میدهد. یک سیستم تشخیص نفوذ خوب، در شناسایی و جداسازی رفتارهای مخرب مفید واقع میشود. مدیریت پیکرهبندی با یک خط مبنای مشخص به همراه حسابرسی منظم و پشتیبانگیری منجر به تشخیص و کماثر کردن نفوذهای موفق و فعالیتهای نامجاز خواهد شد. در نهایت برای اثرگذاری، این ابزارها و تکنیکها باید دقیقا با توجه به سیاست امنیتی شرکت به کار روند.
با این وجود، موارد فوق بدون هزینه نیستند. برای ارائه یک معماری امنیتی مناسب باید سختافزارها و نرمافزارهایی غالبا گرانقیمتی خریداری شده و متخصصان امنیت و IT برای پیادهسازی، نگهداری، استفاده و نظارت مناسب بر تکنولوژی خریداری شده استخدام شود. علاوه براین نیاز است که همواره با توجه به تغییرات مداوم در تکنولوژی، آنها را ارتقا داده و برای متخصصان استخدام شده دورههای آموزشی مناسب برگزار کرد.
MSSPها :
ارائهدهندگان خدمات امنیت مدیریت شده (MSSPها) شرکتهایی هستند که در یک یا چند جنبه از خدمات امنیتی قابل ارائه به سایر شرکتها تخصص دارند.گستره این شرکتها بسیار وسیع بوده و از شرکتهای بسیار بزرگ که هر سرویسی را ارائه کرده تا شرکتهای کوچکتر که تنها یک سرویس مانند فایروال را ارائه میکنند، میباشد. با توجه به این مساله، شرکتهایی که به دنبال برونسپاری امنیت هستند گزینههای قابل انتخاب زیادی خواهند داشت.
دلایل انتخاب MSSP چیست؟
نکات زیادی وجود دارد که در زمان تصمیمگیری در مورد برونسپاری امنیت یا انجام درونسازمانی آن باید در نظر گرفته شوند. سختیهای موجود در پیادهسازی دفاع چندلایه، استخدام و آموزش نیروهای متخصص، از دست ندادن این نیروها، هزینه، پیشرفتهای مداوم تکنولوژی، خطرهای روزافزون بیرونی، ملاحظات قانونی، کنترل و آرامش خاطر همه ملاحظاتی هستند که باید در نظر گرفته شوند.
استخدام کارکنان واجد شرایط برای شغلهای کلیدی در زمینه امنیت بسیار سخت است. امنیت همچنان حرفهای نوظهور محسوب شده و تعداد متخصصان واجد شرایط آن به اندازه تعداد مورد نیاز نیستند. علاوه بر این، حتی در صورت استخدام نیروهای واجدشرایط، پرداخت حقوق آنها مسالهای مهم است و ممکن است بسیاری از شرکتها قادر به تامین آن نباشند. پیشرفت سریع تکنولوژی و همراه با آن تکنیکها و تکنولوژیهای امنیت نیز باید در نظر گرفته شود. تجهیزات VPN، IDS، فایروال، روتر، سیستم عامل، تست نفوذ و DNS تعداد کمی از تکنولوژیهایی هستند که متخصصان امنیت باید در زمینه آنها بهروز بوده و زیر و بم آنها را بدانند. همه تکنولوژیهای مرتبط با امنیت، به دانش و تخصص گستردهای برای کاربرد صحیح و مناسب نیاز دارند. برای به روز ماندن با این ابزارها کارکنان درونسازمانی نیازمند هزینه قابل توجهی برای آموزش هستند که به آن هزینهی خرید محصولات و ارتقا آنهاست. یافتن ، آموزش نیروهای واجدشرایط و از دست ندادن آنها نیز مهم و هزینهبر است.
تهدیدات مخرب بیرونی نیز در حال افزایش هستند. تعداد زیادی وبسایت وجود دارد که با در اختیار قرار دادن اسکریپتهای موردنیاز، بدون نیاز به داشتن دانش در مورد تکنولوژی پسزمینه، امکان حمله به یک شبکه را برای هکرهای تازهکار فراهم میکند. با این وجود ابزارهای آنلاین قابل دسترس محدود بوده و بنابراین این هکرها حداقل تا زمانی که ابزارهای حرفهایتر در اختیار آنها قرار نگرفته، تهدید مهمی محسوب نمیشوند. هکرهای پیشرفتهتر دلیل نیاز شرکتها به دفاع چندلایه هستند. این هکرها از ابزارهایی استفاده میکنند که عموم از آنها اطلاعی نداشته و اغلب خود آنها را ایجاد کردهاند. کشف رخنههای امنیتی جدید جهت بهرهبرداری و ساخت ویروسهای نسل جدید از جمله این ابزارها هستند.
هزینه نیز فاکتور بسیار مهمی برای تصمیمگیری درباره برونسپاری امنیت است. مزیتی که برخی از MSSPها در این زمینه دارند این است که با توجه به اندازه خود، میتوانند با مزیت مقیاس ، قیمت کمتری را برای خدمات خود پیشنهاد کنند به طوری که شرکتهای با بودجه کم نیز قادر به استفاده از این خدمات باشند. این درحالیست که همانطور که قبلا نیز اشاره شد، هزینه تخصص درونسازمانی به شکل حقوق پرداختی به متخصصان امنیت و هزینه آموزش آنها میتواند بسیار بالا باشد. سخت افزار و نرمافزار های امنیتی نیز میتوانند پر هزینه بوده و هزینه ارتقا آنها نیز باید در نظر گرفته شود. علاوه بر این، این نکته نیز باید در نظر گرفته شود که شرکتهای زیادی از جمله شرکتهای کوچکتر، با توجه به بودجه محدود خود قادر به استخدام متخصصین امنیتی مورد نیاز نیستند. در عوض، آنها یا از کارکنان بخش IT برای انجام کارهای امنیتی استفاده کرده یا بخش امنیتی خود را بدون استخدام تعداد نیروی لازم جهت انجام مناسب وظایف امنیتی راهاندازی میکنند. اما، امنیت یک مسئولیت تمام وقت است و در صورت عدم اجرای صحیح با مشکل مواجه خواهد شد. انجام درونسازمانی امنیت به صورتهای ذکر شده موجب پخش قوای شرکتها شده و مشکلات بیشتری ایجاد میکند. اگر کارکنان بخش IT زمان زیادی از وقت خود را به امنیت اختصاص دهند آنگاه، مسئولیتهای دیگر آنها دچار مشکل خواهد شد. تشکیل بخش امنیت به صورت ناقص نیز ممکن است باعث آسیبپذیری بیشتر شبکه در مقابل حملات شود. با برونسپاری سرویسها، یک شرکت میتواند به فعالیتهای اصلی کسب وکار خود پرداخته و از پخش کردن منابع خود در جنبه های مختلف جلوگیری کند.
برخی از نگرانیها در مورد برونسپاری
با توجه به مطالب فوق و تامین امنیت و مسائل مربوط به آن به مسئولیت MSSP پس از آن، برونسپاری امنیت به رویکردی محبوب تبدیل شده و شرکتهای زیادی از آن استفاده میکنند. اما برخی از مدیران احساس خوبی نسبت به واگذاری کنترل شبکه و در نتیجه دادههای حساس خود به یک ارائهدهنده خدمات امنیت مدیریت شده ندارند. برای افرادی که واگذاری کنترل شرکتشان به دیگران مسالهای اضطرابآور است، این مساله نگرانی مهمی خواهد بود. اینجاست که توافقنامه سطح خدمات service level agreement (SLA) نقش مهمی ایفا میکند. SLA قراردادی است مابین شرکت و MSSP که با جزئیات دقیق جنبههای مشخصی از ارتباط شامل دسترسی به اطلاعات در آن مشخص شده است. پس از مشخص شدن سطح دسترسی، توافقنامه عدم افشا اطلاعات (information disclosure agreement) میتواند ایجاد شود. رایزنی بین شرکت و ارائهدهنده امنیت در مورد توافقنامه عدم افشا اطلاعات میتواند منجر به حصول یک توافقنامه سطح خدمات خوب شده که نگرانیهای شرکت درباره در اختیار گذاشتن اطلاعات حساس را حذف کند.
رویه انتخاب:
پس از تصمیم به برونسپاری امنیت و مشخص شدن سرویسهایی که قرار است برونسپاری شود، باید درباره ارائهدهندگان این سرویسها تحقیق شود. در انجام تحقیقات باید به مواردی مانند وضعیت مالی، اعتبار، اندازه، هزینه، محل و راحتی کار با ارائهدهنده توجه شود.
وضعیت مالی ارائهدهنده از این جهت مهم است مشتریان یک MSSP ورشکسته به حال خود رها خواهند شد و خواه منابع لازم را در اختیار داشته باشند و خواه خیر، باید خود به دفاع از خود بپردازند. در نتیجه، وجود تنها SMSPهای با وضعیت مناسب در بین گزینههای انتخابی بسیار مهم است. علاوهبراین، با توجه به دسترسی MSSP به دادههای حساس، قبل از شروع به رایزنی با یک MSSP، باید با دقت زیاد مشتریان قبلی و فعلی MSSP را یافته و اعتبار آن را بررسی کرد. اندازه MSSP نیز ممکن است تاثیرگذار باشد. MSSPهای کوچک خدمات خود را برای مشتریان شخصیسازی میکنند، اما در کار کردن با ارائهدهندگان بزرگ و معروف اطمینان بیشتری وجود دارد. بررسی هزینه نیز به دلایل واضح باید انجام شود. بهطور معمول، ارائهدهندگان بزرگتر و ارائهدهندگانی که جدیدا وارد بازار شدهاند احتمالا قیمتهای مناسبتری برای خدمات خود پیشنهاد میدهند. محل جغرافیایی ارائهدهنده نیز فاکتور مهمی است. ارائهدهندگان کوچکتر اغلب از محدودیت جغرافیایی نسبت به شرکتهایی که قادرند به آنها خدمترسانی کنند، رنج میبرند. ارائهدهندگان بزرگتر معمولا این محدودیت را نداشته و قادر به فراهمآوری ابزارهای موردنیاز برای اتصال مشتریان به محل اصلی ارائهدهنده (که در آن نظارت بر شبکه مشتریان انجام میشود) هستند.
علیرغم مهم بودن تمام موارد فوق، میزان راحتی کار با ارائهدهنده میتواند مهمترین فاکتور در تصمیمگیری باشد. بنابراین، قبل از انعقاد قرارداد مدیران شرکت باید از ارائهدهنده بازدید کرده و افرادی را که قرار است بر شبکه آنها نظارت کنند، ملاقات کنند. این فرایند سرنخهایی در مورد فرهنگ کسبوکار ارائهدهنده و نحوه اداره این کسبوکار توسط ارائهدهنده در اختیار آنها قرار میدهد.
پس از شناسایی ارائهدهنده مناسب، مذاکره درباره قرارداد و بهطور مشخص درباره توافقنامه سطح خدمات انجام میشود. در این توافقنامه دسترسی به سیستمها، رفتار در زمان وقوع حمله و معیارهای کارایی مشخص میشود. میتوان میزان دسترسی ارائهدهنده به دادههای حساس را در این توافقنامه محدود کرد اما باید در نظر داشت که این محدودیت منجر به ایجاد خلل در انجام وظایف ارائهدهنده نشود. علاوهبراین، در این توافقنامه نقشها و مسئولیتها در زمان وقوع حمله مشخص میشود. برخی از موارد نیازمند به مشخص شدن در این راستا عبارتند از: مسئول رسیدگی به وقایع، بازه زمانی رسیدگی و گزارشدهی درباره وقایع، نحوه پاسخ به وقایع، و کارکنان مورد تماس بین شرکت و ارائهدهنده. معیارهای ارزیابی کارایی نیز بخشی از توافق هستند. هدف این قسمت ارائه معیارهایی کمی در مورد کارایی ارائهدهنده به مشتری است. پس از مشخص شدن موارد فوق، افرادی وارد به کار از شرکت باید مسئول نظارت بر انجام توافقنامه سطح خدمات شوند.
خلاصه:
تبدیل اینترنت به ابزار اصلی کسبوکارها، امنیت مدیریتشده را به کسبوکاری در حال گسترش با بازاری چندین میلیارد دلاری در سال تبدیل کرده است. پس از آنلاین شدن یک شرکت، مهمترین دارایی آن یعنی اطلاعات در معرض خطر قرار گرفته و شرکت باید به مقابله با این تهدید بپردازد. با این وجود، با توجه به پیچیده شدن تکنولوژی، سختی استخدام متخصصان واجد شرایط و به روز نگهداری دانش آنها، و سختیهای موجود در پیادهسازی امنیت چندلایه درون سازمان، انجام مناسب امنیت را به کاری سخت تبدیل کرده است. با توجه به این موارد، استفاده از خدمات ارائهدهندگان امنیت مدیریتشده به گزینهای مناسب برای شرکتها تبدیل شده است. این ارائهدهندگان میتوانند دردسرهای موجود در یافتن، استخدام و آموزش نیروهای متخصص و همچنین خرید سختافزارها و نرمافزارهای موردنیاز و ارتقا آنها را حذف کنند. دلیل این امر این است که MSSP ابزار و نیروهای لازم را در اختیار داشته و دیگر نیازی به نگرانی درباره آنها وجود ندارد. ارائهدهندگان بزرگتر با توجه به مزیت مقیاس قادرند خدمات خود را با قیمت کمتری ارائه کنند که این مهم نگرانیهای مالی مشتریان را کمتر خواهد کرد. نکته مهم دیگر در استفاده از خدمات ارائهدهندگان امنیت مدیریت شده این است که از آنجا که این ارائهدهندگان همزمان به امنیت چندین مشتری رسیدگی میکنند، قادرند دانش به دست آمده از حمله به یک مشتری را در راستای حمایت از سایر مشتریان نیز به کار گیرند.