3 نكته برای بهبود تشخيص تهدید و واکنش به آن
ارتفاع و ضخامت هر دیواری که شاید در فكر ساخت آن هستید اصلاً مهم نیست، واقعيت تأسفانگيز اين است كه شايد، فردی به احتمال زیاد، قادر به شکستن آن خواهد بود. و اين واقعاً مهم است كه بدانيم اين اتفاق كی و چگونه خواهد افتاد.
همان طور كه هنگام ترک منزل، تمامی درها و پنجرهها را میبندید، برای حفاظت از سیستمهای خود نيز، نیاز به اقدامات پیشگیرانهی امنیتی دارید. هر چند، این اقدامات به تنهایی کافی نیستند. اگر فرض کنید افراد بدذات، راهی برای شکستن دیوارهای حفاظتیتان پیدا خواهند کرد، عاقلانه است که روی تشخيص تهدید و واکنش به آن، به عنوان روشی برای كاهش خسارات و صدمات وارده در زمان وقوع نقض و شکست ديوارهای حافظتی، متمرکز شوید.
سه روش کنترل امنیتی زیر، روشهای مطمئن برای تقویت و استحکام قابلیتهای تشخيص سیستم شما هستند:
1. داراییهایتان را شناسایی كنيد.
اگر فردی از شما بخواهد تا تجهيزات متصل به اینترنت در خانهتان را برای او ليست كنيد و ظرفیت ذخیرهی دادهی این لوازم را تخمین بزنید، آیا میتوانيد پاسخ دقيقی بدهيد؟ به احتمال بسیار زیاد، قادر به ارائهی گزارشی در مورد تمامی آنها نباشید. يك خانه، محیطی نسبتاً کوچک و كنترلشده است. تصور کنید که شناسایی کامل سرمایههای سازمانها و آگاهی از مکان تمامی دادههایشان چقدر برای آنها چالش برانگیز است. اگر تمامی دستگاههای اضافی، که کارکنان از طریق آنها به شبکهی سازمان متصل میشوند، را جدا کنید، در این صورت، آگاهی از سرمایهها و داراییهایتان در یک محیط سازمانی، تبدیل به چیزی بیش از یک چالش میشود.
کسب و کارها باید پیش از توسعه و پيادهسازی یک طرح امنیتی، از اين اطلاعات آگاه باشند: چه سرمایههایی دارند، اين سرمايهها در كجا قرار گرفتهاند و کدام یک نیازمند بیشترین حفاظت میباشند. زمانی كه فهميديد این سرمایههای با اولویت بالا کدام هستند، میتوانید کنترلهای امنیتی مناسبی را برای حفاظت و نظارت آنها اجرا نمايید. چنین اقدامی، تضمین میکند اگر سرمايهای دچار شكست شود، يا به آن حمله شود و یا به خطر بيفتد، شما قادر خواهيد بود كه آن را تشخيص داده و به سرعت، نسبت به آن، واکنش نشان دهید.
متأسفانه، در اکثر موارد، سازمانها فاقد زیرساخت آشكارسازی و تشخيص تهدید برای فهميدن این که مورد حمله قرار گرفتهاند، حتی تا چندین ماه پس از گذشت واقعیت، هستند. اکنون اقدامات لازم برای شناسایی، ایمنسازی و نظارت بر داراییهای ارزشمند شما میتواند به شما کمک کند تا در وضعیت مشابهی قرار نگیرید.
2. سيستم نظارت بر رفتار را پيادهسازی كنيد.
نظارت بر رفتار، مبتنی بر درک درستی از رفتار طبیعی یا قابل قبول است. پرسنل فنآوری اطلاعات میتوانند جنبههای خاصی از زیرساختشان را جهت کسب بینش در مورد انواع فعالیتهایی که "طبیعی" است، و تعیین یک خط مبنا برای رفتار کارمند، مورد مشاهده و بررسی قرار دهند. اگر یک روال منظم برای نظارت بر فعالیت و تجزیه و تحلیل الگوها ایجاد شود، ناهنجاریهایی که از اين قانون منحرف میشوند، میتوانند به عنوان مسائل بالقوه، علامتگذاری شده و بر اين اساس، مورد بررسی قرار گیرند.
به عنوان مثال، نظارت بر سرویس، نظارتی بر مدت زمان كاركرد يك سرويس، فراهم میكند و هر نوع وقفهی غیر منتظره میتواند به سرعت شناسایی شود، در صورتی که وقفه، رفتار مورد انتظاری نیست. به طور مشابه، تجزیه و تحلیل جريان شبكه، میتواند روند پیشرفتهی مربوط به اين موضوع كه كدام پروتکلها استفاده میشوند، كدام میزبانها از پروتکلها استفاده میكنند و مصرف متوسط پهنای باند، چقدر است را فراهم كند. هر انحراف عمده از این قانون میتواند نشاندهندهی فعالیت بدی باشد.
ارزش واقعی در نظارت رفتاری این است که اگر یک خط مبنا ایجاد شود، در این صورت دیگر نیاز نیست که فرد، برای شناخت نابهنجاریها، به فنآوری آشنایی داشته باشد. به عنوان مثال، اگر ترافیک بین دو سیستم، نسبتاً ثابت باشد و سپس به طور ناگهانی افزايش يابد، این یک پرچم قرمز فوری (اخطار و زنگ خطر فوری) برای بررسی مسأله است، حتی اگر اطلاعات مفصلی در مورد انواع سیستمها یا پروتکلهای استفاده شده، مشخص نباشد. از این رو، حتی اجرای قابلیتهای پايهای نظارت رفتاری میتواند به شدت برای شناسایی تهدیدهای ناشناخته، رفتارهای مشکوک و حتی نقض سیاست شبكه، بسيار سودمند باشند.
3. اسكن (پويش) آسیب پذیری را اولویتبندی كنيد.
پویش آسیبپذیری و فنآوریها و روشهای مدیریتی برای پشتيباتی از تقاضای مشتریانی که در جستجوی تطابق و الزامات قانونی هستند، تكامل يافتهاند. به عبارت سادهتر، پویش آسیبپذیری، مستلزم جستجوی آسیبپذیریها در یک محیط است.
به منظور درک بهتر این مفهوم، تصور کنید که ما در حال اجرای پویش و جستجوی آسیبپذیری روی یک خانه هستیم. نتایج برگشتی احتمالاً چیزی شبیه به این خواهد بود: پنجرهی باز اتاق خواب، پنجرهی قفل نشدهی حمام، قفل کم دوام در پاركينگ، در داخلی قفل نشده، پرده های باز و غيره.
اسكنهای آسیبپذیری یک شبکه، شاید هزاران مورد نباشند، اما چند صد مورد بیان میشود. برای اکثر سازمانها، پرداختن به هر چیز و هر فرد ممکن نيست. بنابراين، سؤال مهمتر این است که کدام یک از آسیبپذیریهای شناسایی شده، درخور توجه و اصلاح هستند.
در نهایت، این بحث به داشتن سابقه حول هر آسیبپذیری کاهش پیدا میکند. به عنوان مثال، در مقیاس خانه، شما میتوانید جدی بودن یک پنجرهی باز را با توجه به این مسأله، مورد ارزیابی قرار دهید که آیا این پنجره در طبقهی همکف قرار داد، یعنی جايی که بالارفتن از خانه برای یک فرد، کار آسانی است، یا اینکه در طبقهی دهم قرار دارد، یعنی جايی که یک مهاجم، مجبور به پایین آمدن از یک طناب از سقف برای رسیدن به ورودی خواهد بود (احتمال یک حمله بسیار اندک است). اولین مورد، مسلماً بیانگر موقعیتی است که نیازمند توجه فوری شماست، اما از مورد دوم میتوان چشم پوشی كرد.
عوامل خارجی نیز نقش بزرگی در ارزیابی شدت آسیبپذیریها ایفا میکنند. به عنوان مثال، قفل بیدوام در پاركينگ، شاید تا زمانی مشکل ساز نباشد که شما چیز با ارزشی در آن نگهداری نمیکنید و در ناحیهای با میزان جرم و جنایت اندک زندگی میکنید. برعکس، شاید قفل، زمانی یک مسأله با اولویت بیشتر شود در حالی كه شما در یک منطقهی پر از جرم و جنایت زندگی میکنید و ماشین گران قیمتی را درون گاراژ، پارک میکنید.
در نهایت، شناسایی موارد آسیبپذیر، بسيار شبيه به مدیریت هر نوع ریسک شناسایی شدهی دیگری است. و داشتن دسترسی به اطلاعات اضافی، زمینهی مورد نیاز برای ایجاد تصمیمات مبتنی بر ریسک را میافزاید.