بسیاری از سازمان‌ها برای حفاظت از سیستم‌ها و اطلاعات خود در مقابل تهدیدهای سایبری معمولاً از سه ابزار امنیتی اساسی و پایه استفاده می‌کنند. به زعم این سازمان‌ها، طراحی و پیاده‌سازی یک معماری شبکه مبتنی بر فایروال‌های محیطی و داخلی و اجرای آزمون‌های ارزیابی آسیب‌پذیری و نفوذپذیری برای حفاظت از اطلاعات سازمانی کافی خواهند بود. علیرغم آنکه این رویکرد به عنوان یک گام مقدماتی برای حفاظت از داده‌ها و اطلاعات سازمانی می‌تواند کارآمد باشد، اما امکانات و گزینه‌های متعدد دیگری غیر از فایروال، آزمون ارزیابی نفوذپذیری و آزمون سنجش آسیب‌پذیری نیز برای حفاظت از اطلاعات و داده‌ها در دسترس هستند.

فایروال و آزمون‌های سنجش نفوذپذیری و آسیب‌پذیری

فایروال به عنوان نخستین سد دفاعی در یک شبکه کامپیوتری شناخته می‌شود و هدف از نصب آن، محدودسازی ترافیک‌های غیرمجاز از لایه‌های مختلف شبکه است. فایروال محیطی در نقش درگاه تردد ترافیک ورودی و خروجی شبکه عمل می‌کند. یک فایروال داخلی نیز از طریق ارسال مجوز یا منع برای تردد ترافیک، از لایه‌های داخلی شبکه حفاظت به عمل می‌آورد. ایجاد امنیت در معماری شبکه نتیجتاً به پیدایش یک نظام افتراق‌ساز منجر می‌شود که صرفاً به ترافیک‌های مورد تأیید و مجاز اجازه تردد در شبکه را می‌دهد و باقی ترافیک‌ها به صورت پیش‌فرض مسدود می‌شوند. به این ترتیب، از پیمایش داده‌های ناشناس میان بخش‌های غیرقابل‌اطمینان شبکه جلوگیری خواهد شد.

آزمون ارزیابی آسیب‌پذیری یک ابزار فنی برای حفاظت از سیستم‌های اطلاعاتی است که با هدف اکتشاف نقاط ضعف و کاستی‌ها در داخل زیرساخت‌های فناوری اطلاعات یک سازمان طراحی و اجرا می‌شود. این فرآیند اسکن کل شبکه را در کانون تمرکز قرار می‌دهد و تمام دستگاه‌ها، سرورها و اِندپوینت‌های وابسته به شبکه را از طریق آدرس‌های آی‌پی آن‌ها شناسایی می‌کند. در این آزمون، تمام برنامه‌های در حال اجرا و سیستم‌های عملیاتی فعال که در دست استفاده هستند نیز شناسایی می‌شوند. طی این فرآیند، داده‌های گردآوری‌شده برمبنای یک پایگاه داده امنیتی مورد سنجش قرار می‌گیرند تا آسیب‌زایی آن‌ها شناسایی گردد. به این ترتیب، کارشناسان می‌توانند آن موارد از دستگاه‌های متصل به شبکه را که آسیب‌پذیر هستند، بشناسند.

هر دستگاه متصل به شبکه که معیارهای امنیتی را نقض کرده باشد، نشان‌گذاری شده و نام و مشخصات آن در گزارش‌های مربوطه درج می‌شود. این گزارش‌ها به عنوان یک معیار برای اجرای آزمون‌ها و ارزیابی‌های بعدی کاربرد خواهند داشت. تمام نقاط ضعف و آسیب‌های شناسایی‌شده در شبکه و محیط سازمان باید حل و رفع شوند. برای مثال، پس از اجرای اسکن آسیب‌پذیری اقداماتی نظیر برنامه‌ریزی برای پچ‌سازی سیستم‌ها، به‌روزرسانی نرم‌افزارها، به‌روزرسانی فایروال‌ها یا مسدودسازی درگاه‌های شبکه احتمالاً ضروری خواهند بود.

بسیاری از سازمان‌ها، آزمون نفوذپذیری را نیز به عنوان یک ابزار امنیتی دیگر برای حفاظت از اطلاعات و داده‌ها انتخاب و اجرا می‌کنند. آزمون نفوذپذیری مبتنی بر یک سناریوی واقعی و بلادرنگ است و طی آن، یک متخصص یا کارشناس در حوزه مهندسی امنیت (معمولاً از خارج سازمان) موظف می‌شود که به شبکه کامپیوتری سازمان شما نفوذ کند. این اقدام در حقیقت یک “حمله” واقعی است؛ اما طی آن یک هکر اخلاق‌مدار و شِناس، درسدد آزمون و ارزیابی سیستم‌های کامپیوتری داخلی سازمان برمی‌آید. آزمون‌های نفوذپذیری معمولاً بر آسیب‌ها و نقاط ضعف احتمالی در سیستم‌های عملیاتی، برنامه‌های نرم‌افزاری، سیستم‌های بدپیکربندی‌شده یا تدابیر امنیتی ضعیف و ناکارآمد (مثل استفاده از گذرواژه‌های ضعیف یا نقص در سیستم احراز هویت صوتی/تصویری) متمرکز هستند.

آزمون نفوذپذیری یک ابزار مهم و حیاتی برای سازمان‌هاست که امکان مدیریت هوشمندانه حوزه‌های آسیب‌پذیر در زیرساخت فناوری اطلاعات را فراهم می‌کند. این ابزار به سازمان‌ها کمک می‌کند تا شبکه و تجهیزات فناوری اطلاعات خود را با استانداردهای مقرر وفق دهند، وفاداری مشتریان را به خود جلب کنند و از ارزش برند خود حراست نمایند. آزمون نفوذپذیری و تکنیک ارزیابی آسیب‌پذیری باید توأمان در استراتژی‌های تأمین امنیت سایبری لحاظ شوند.

حصول اطمینان از امنیت شبکه و اجرای آزمون‌های ارزیابی نفوذپذیری و آسیب‌پذیری، تنها یک بخش کوچک از ملزومات توسعه یک استراتژی ایمن و کارآمد برای حفاظت از اطلاعات و سیستم‌ها به شمار می‌آیند. در حقیقت، برای حفاظت و حراست از داده‌های سازمانی، اقدامات و امکانات دیگری نیز موردنیاز خواهند بود. یکی از این امکانات، چارچوب امنیت سایبری است که از توان شناسایی، تشخیص و اعمال واکنش به تهدیدهای امنیتی برخوردار است و سیستم‌ها را در برابر آن تهدیدها محافظت می‌کند؛ به علاوه، در صورت بروز هرگونه آسیب پس از وقوع حملات امنیتی، این چارچوب می‌تواند سیستم و اطلاعات را بازیابی کند.

شناسایی ساخت‌ها و زیرساخت‌های سازمانی

یکی از مهم‌ترین و نخستین تدابیر برای حفاظت از سیستم‌‌های اطلاعاتی، اجرای فرآیند ارزیابی ریسک است. هدف از اجرای این عملیات، شناسایی تمام دارایی‌های یک سازمان، مثل داده‌ها، دستگاه‌های کاربران و پلت‌فرم‌های نرم‌افزاری و سخت‌افزاری می‌باشد. علاوه بر این، طی این اقدام می‌توان فرآیندهای کسب‌وکارانه (مثل جریان‌های ارتباطات سازمانی، منابع کسب‌وکار و نقش‌ها و مسئولیت‌های کارکنان بخش امنیت سایبری) را نیز شناسایی کرد.

داده‌های حاصل از فرآیند ارزیابی خطرات امنیتی، به منظور شناسایی حوزه‌های آسیب‌پذیر و تهدیدهای متوجهِ دارایی‌های (داخلی و خارجی) سازمانی مورد استفاده قرار خواهند گرفت. این ارزیابی‌ها همچنین، در شناسایی اولویت‌های سازمانی، محدودیت‌های سازمان و حد تحمل آن در برابر خطرات احتمالی نیز کاربرد خواهند داشت.

حفاظت و حراست

در این مرحله، باید یک طرح و نقشه جامع مبتنی بر حفاظت از سیستم‌های اطلاعاتی طراحی شود؛ که یک گام مهم و اساسی به سوی توسعه کنترل‌های امنیتی سخت‌گیرانه‌تر و مطمئن‌تر است. این طرح طریق صحیح حفاظت از زیرساخت‌های فناوری اطلاعات را به سازمان‌ها یاد می‌دهد، بر اولویت‌های امنیتی تأکید می‌کند و رویه‌های لازم جهت دستیابی به این اهداف و اولویت‌ها را معرفی می‌نماید. این تدابیر امنیتی و حفاظتی اساساً بر شناسایی و احراز هویت کاربران متمرکز هستند و درباره صحت و درستی هویت و اعتبار کاربران اطمینان به دست می‌دهند. به این ترتیب، دسترسی کاربران به داده‌های حساس سازمانی تحدید و کنترل خواهد شد.

این طرح، علاوه بر موارد فوق‌الذکر، ضعف‌های امنیتی را نیز شناسایی می‌کند و توصیه‌هایی درباره نحوه صحیح حفاظت از داده‌های ایستا و پویا در اختیار سازمان قرار می‌دهد. سیاست‌های امنیتی اساساً با هدف طرح توصیه‌ها و پیشنهاداتی پیرامون طریق ایمن‌سازی فرآیندها و رویه‌های سازمانی تنظیم می‌شوند و بر مقولاتی نظیر اعمال اصلاحات در فرآیندهای مدیریتی، تهیه نسخه‌های پشتیبان از سیستم‌ها و اطلاعات، بازیابی رویه‌های امنیتی و پیشگیری از تخریب داده‌ها متمرکز می‌باشند. توصیه‌ها و پیشنهادات کلیدی پیرامون تأمین امنیت اطلاعاتی، در قالب یک “بیانیه مشاوره تهدیدزدایی از سیستم‌های اطلاعاتی” تنظیم می‌شوند. به‌علاوه، سازمان‌ها به توصیه‌هایی درباره ارتقای پیوستگی و تداوم کسب‌وکار و همچنین، رویه‌های مقابله با فجایع سایبری نیز دسترسی خواهند داشت. بر همین اساس، تمام دپارتمان‌ها و واحدهای فعال در یک سازمان باید در برنامه‌های آموزشی “آگاهی پیرامون امنیت اطلاعاتی” شرکت کنند و اسناد و مدارک آموزش آن‌ها نیز باید ثبت و بایگانی شوند.

تشخیص خطر

مرحله تشخیص خطر باید با استناد به تکنیک‌هایی نظیر اسکن آسیب‌پذیری و آزمون‌های نفوذپذیری به اجرا برسد. این ابزارها و آزمون‌ها به سازمان کمک می‌کنند تا نقاط ضعف موجود در زیرساخت‌های رایانشی و شبکه را شناسایی کنند. در این راستا اقداماتی نظیر شناسایی تمام انواع خطرات فنی و فیزیکی برای امنیت سایبری و ارزیابی عملکرد تأمین‌کنندگان خارجی مثل تأمین‌کنندگان خدمات شبکه یا خدمات امنیتی به اجرا می‌رسند.

 واکنش و بازیابی

برنامه‌های “اعمال واکنش” و فرآیندهای “بازیابی” با هدف تنظیم یک طرح عملیاتی کامل برای مواقع اضطراری یا زمان وقوع حملات سایبری توسعه پیدا می‌کنند. این طرح عملیاتی دقیقاً برای بازیابی شرایط در زمان وقوع فجایع سایبری کاربرد دارد و در نقش یک استراتژی برای حفظ تداوم کسب‌وکار عمل می‌کند. برمبنای این طرح، سازمان در برابر حمله‌ها و خطرات سایبری واکنش‌های ویژه‌ای را طراحی می‌کند و در زمان وقوع حمله، همان واکنش‌های ازپیش‌تعریف‌شده را اعمال می‌نماید. علاوه بر این، این طرح عملیاتی نقش‌ها و مسئولیت‌های تمام اعضای تیم‌ها را نیز تعریف می‌کند.

در این طرح همچنین توصیه‌هایی درباره نحوه مدیریت ارتباطات در زمان وقوع حملات سایبری، مسئولیت‌های کارکنان و مدیران بخش روابط عمومی و نقش مسئولان بخش روابط داخلی در سازمان نیز درج شده‌اند. فرآیندهای فنی‌ای که مهندسان باید در زمان وقوع شرایط اضطراری به اجرا برسانند هم در همان طرح پیش‌نویس و تشریح گردیده‌اند.

تمام فرآیندهای واکنش‌محور و عملیاتی مندرج در این طرح باید به‌طور منظم به آزمون گذاشته شوند و نتایج حاصل مورد بررسی و تحلیل قرار بگیرند؛ به‌علاوه، درصورت نیاز مندرجات این طرح باید بازبینی و اصلاح شوند. به‌ازای هر شکست احتمالی در طول زمان آزمایش طرح، باید یک راه‌حل در نظر گرفته شده باشد و بخش‌هایی که دچار ضعف و ناکارآمدی هستند، باید اصلاح و به‌روزرسانی شوند.

نتیجه‌گیری

در حال حاضر شواهد و قراین نشان می‌دهند که فایروال‌ها و آزمون‌های نفوذپذیری و آسیب‌پذیری به تنهایی برای حفاظت و حراست از سیستم‌های اطلاعاتی سازمان‌ها کافی نیستند و باید در نقش رکن‌هایی ضروری، در یک استراتژی جامع‌تر و کامل‌تر برای برقراری امنیت سایبری لحاظ شوند. آزمون نفوذپذیری و تکنیک‌های ارزیابی امنیت شبکه، بر یک هدف مشترک متمرکز هستند؛ اما هر کدام صرفاً جزئی از یک چارچوب امنیتی بسیط‌تر و کامل‌تر می‌باشند.

ما در این نوشتار صرفاً به اطلاعاتی سطحی و غیرحرفه‌ای درباره مقوله “امنیت اطلاعات” اشاره کردیم؛ اما مؤسسه اینفوسِک به تازگی وارد یک برنامه نوین در حوزه “تأمین و ارتقای امنیت اطلاعاتی” شده‌است که به‌طور مداوم آزمون و به‌روزرسانی می‌شود. بسیاری از سازمان‌ها بر آن شده‌اند که مسئولیت تأمین امنیت شبکه‌ها و سیستم‌های اطلاعاتی خود را به یک تأمین‌کننده خدمات امنیتی برون‌سپاری کنند. و شرکت اینفوسِک نیز گزینه‌ای مناسب برای این منظور خواهد بود.

خدماتی که در اختیار شما قرار می‌گیرند، بسیار متنوع خواهند بود؛ اما در غالب اوقات، در کنار این خدمات به امتیازهای ویژه‌ای مثل “مشاور مؤتمن” نیز دسترسی خواهید داشت که امنیت سایبری را در شبکه و سیستم اطلاعاتی سازمانتان ارزیابی می‌کند و از صحت و درستی آن به شما اطمینان می‌دهد. دیگر امتیازهای کلیدی‌ای که در کنار خدمات امنیتی دریافت می‌کنید، شامل حسابرسی داخلی سالانه و ارزیابی طرح عملیاتی، اجرای آزمون توانایی ریکاوِری و بازیابی شرایط پس از وقوع فجایع سایبری، اجرای آزمون واکنش سازمان به فجایع سایبری، اجرای آزمون مهندسی اجتماعی و فیشینگ، برگزاری دوره‌های آموزشی و اجرای آزمون نفوذپذیری (به‌صورت غیرجانبدارانه و بدون سوگیری) می‌باشند.