Search
Menu

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی – بخش سوم

کنترل‌های امنیتی حیاتی توسط بهترین متخصصان امنیت سایبری و  با توجه به رایج‌ترین الگوهای حمله ارائه شده در گزارشات سایبری ایجاد شده‌اند و حملات جدید به‌صورت پیوسته توسط همین متخصصان، بررسی شده و کنترل‌ها به‌روزرسانی می‌گردند. در قسمت اول و دوم این مقاله به معرفی برخی ازاین کنترل‌های امنیتی حیاتی پرداختیم و در قسمت سوم نیز، سایر این کنترل‌ها معرفی خواهد شد.

کنترل و نظارت بر حساب‌های کاربری [۲]

مهاجمان به طور مکرر به جستجوی حساب‌های کاربری قانونی اما غیرفعال گشته و از آن‌ها برای جعل هویت کاربران قانونی استفاده می‌کنند که این اقدام کشف رفتار مهاجم را برای ناظران شبکه سخت می‌کند. اغلب از حساب‌های پیمانکاران و کارمندانی که قرارداد آن‌ها خاتمه یافته است بدین ترتیب سوء‌استفاده می‌شود. مهاجمان به خوبی از راه‌های نفوذ به شبکه آگاه بوده و می‌دانند که بهترین راه دسترسی به شبکه استفاده از حساب‌های قانونی است. با استفاده از این رویکرد شانس هشدار در مورد رفتار متخاصمانه کاهش یافته و مهاجمین قادر هستند به جمع آوری و افزایش امتیازات بپردازند.

از این کنترل در کسب‌وکارها با هدف جلوگیری از دسترسی غیرمجاز به مجموعه داده‌ها با مدیریت صحیح حساب‌های کاربری استفاده می‌شود.

ارزیابی مهارت‌های امنیتی و ارائه آموزش‌های مناسب برای برطرف کردن نواقص[۳]

هر سازمانی که امیدوار است بتواند حملات را شناسایی کرده و به طور موثر به آن‌ها پاسخ دهد، باید خلا دانش خود را یافته و برای پر کردن آن، آموزش مناسب را ارائه دهد. یک برنامه ارزیابی مهارت‌های امنیتی جامع می‌تواند به ذی‌نفعان اطلاع دهد که کجا آگاهی امنیتی نیازمند بهبود بوده و در تخصیص مناسب منابع محدود برای بهبود اقدامات امنیتی به آن‌ها کمک کند.

هدف از این کنترل تجاری محدود کردن تاثیر سیستم‌های در معرض خطر با آموزش اعضای سازمان در مورد مباحث امنیت اطلاعات است.

امنیت نرم‌افزارهای کاربردی [۴]

یکی از اولویت‌های اصلی سازمان‌های هکری در سال‌های اخیر حمله به آسیب‌پذیری‌های نرم‌افزارهای مبتنی بر وب و دیگر برنامه‌های کاربردی بوده است. این آسیب‌پذیری‌ها به دلایل متعددی ممکن است وجود داشته باشند از جمله اشتباهات برنامه‌نویسی، خطاهای منطقی، و ناتوانی در بررسی شرایط ناخواسته و غیرمعمول. ناتوانی در بررسی اندازه ورودی کاربر، ناتوانی در فیلتر دنباله کاراکترهای غیرضروری بالقوه مخرب از جریان‌های ورودی و ناتوانی در مقداردهی صحیح و پاک کردن متغیرها، نمونه‌هایی مشخص از این گونه خطاها هستند.

هدف این کنترل تجاری برطرف کردن اشکالات امنیتی در برنامه‌ها با هدف محافظت از مجموعه‌ها و سیستم‌های داده حساس است.

مدیریت و پاسخ به رویدادها[۵]

بدون یک برنامه پاسخ‌گویی به وقایع، ممکن است یک سازمان قادر به تشخیص یک حمله در مراحل آغازین نباشد؛ و حتی در صورت تشخیص حمله ممکن است از رویه‌های مناسبی برای کنترل آسیب‌ها و خارج نمودن مهاجم و بازیابی امن بهره نبرد. بنابراین، در مقایسه با زمان وجود یک برنامه پاسخ‌گویی به وقایع موثر، مهاجم می‌تواند اثرات مخرب بسیار بیشتری داشته، آسیب‌های بیشتری وارد آورده، سیستم‌های بیشتری را آلوده کرده و احتمالا داده‌های حساس بیشتری را به سرقت ببرد. در این صورت، آسیب زیادی به شهرت سازمان وارد شده و ممکن است اطلاعات زیادی از بین برود.

هدف تجاری این کنترل این است که افشا و ریسک داده‌ها با پاسخ‌گویی صحیح به وقایع، هنگام شناسایی آن‌ها به حداقل برسد.

تست نفوذ و تمرینات تیم قرمز[۶]

مهاجمان از طریق مهندسی اجتماعی و با بهره‌برداری از نرم‌افزارها و سخت‌افزارهای آسیب‌پذیر، به شبکه‌ها و سیستم‌ها نفوذ می‌کنند. به محض دسترسی و ورود به شبکه، آن‌ها غالبا در سیستم‌های هدف به شکل عمیقی نفوذ کرده و تعداد دستگاه‌های تحت کنترل خود را افزایش می‌دهند. اکثر سازمان‌ها دفاع از خود را به درستی تمرین نمی‌کنند، بنابراین در مورد توانایی‌های خود اطمینان نداشته و آماده شناسایی و پاسخ‌گویی به حملات نیستند.

هدف تجاری این کنترل این است که آسیب‌پذیری‌های احتمالی در سیستم‌های تجاری شناسایی شوند.

سخن پایانی

همانطور که بیان شد کنترل‌های امنیتی حیاتی مجموعه‌ای از اقدامات توصیه شده برای دفاع سایبری هستند که راهکارهایی مشخص و قابل اجرا برای متوقف نمودن حملات گسترده و خطرناک ارائه می‌کنند. با این حال، پیاده‌سازی این کنترل‌ها در یک سازمان با چالش‌های زیادی از جمله موارد زیر همراه است:

آیا پیاده‌سازی تمام کنترل‌ها برای همه کسب‌وکارها ضروری است؟

در صورت عدم امکان پیاده‌سازی تمام این کنترل‌ها، یک کسب‌وکار باید بر روی چه مواردی تمرکز کند؟

برای پیاده‌سازی هر یک از این کنترل‌ها چه اقداماتی باید صورت بگیرد؟

معیارهای پیاده‌سازی هر یک از این کنترل‌ها چیست؟

شرکت امن‌پردازان کویر، از شرکت‌های پیشگام کشور در حوزه امنیت سایبری کشور است که با در اختیار داشتن نیروهای متخصص به ارائه خدمات امنیتی به شرکت‌ها و سازمان‌ها می‌پردازد. پیاده‌سازی کنترل‌های امنیتی حیاتی از اصلی‌ترین زمینه‌های فعالیت امن‌پردازان کویر است که شرکت‌ها و سازمان‌های علاقمند می‌توانند برای درخواست همکاری یا کسب مشاوره از طریق شماره ۰۲۱۴۲۲۷۳ با کارشناسان این شرکت در ارتباط باشند.

[۱] Critical Security Controls

[۲] Account Monitoring and Control

[۳] Security Skills Assessment and Training to Fill Gaps

[۴] Application Software Security

[۵] Incident Response and Management

[۶] Penetration Tests and Red Team Exercises

 

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.