یک دستهبندی به نام ارزیابی ریسک در تابع تشخیص هویت از چارچوب امنیت سایبری NIST وجود دارد. بنا به گفتههای NIST، هدف فرآیند ارزیابی ریسک برای یک سازمان درک “ریسک امنیت سابیری برای عملیاتهای سازمانی (شامل ماموریت، عملکردها، وجه یا شهرت)، داراییهای سازمانی و فردی است.” همانطور که توسط NIST بیان شده، انجام یک ارزیابی ریسک معمولا شامل 6 گام زیر است:
- شناسایی و مستند کردن آسیب پذیری داراییها
- شناسایی و مستند کردن ریسکهای داخلی و خارجی
- جمعآوری اطلاعات ریسک و آسیب پذیری از منابع خارجی
- شناسایی پتانسیل تأثیرات تجارت
- تعیین ریسک شرکت با بررسی خطرات، آسیب پذیریها، احتمالات و تاثیرات
- شناسایی و اولویت بندی رویاروییهای خطر
در حوزه امنیت، ما به این قدمها نگاهی کنشگرایانه داریم. بهترین روش برای انجام یک ارزیابی ریسک آمادهسازی مناسب است. اما این آمادهسازی به چه چیزی نیاز دارد؟ در دنیای ارزیابیهای ریسک، آمادهسازی به معنی تنظیم قوانین پایه شامل درک واضح از هدف و حوزه ارزیابی، فرضیات، محدودیتها و منابع اطلاعات است.
چندین گزینه برای انجام ارزیابی به تنهایی وجود دارد، تمامی آنها که یک ترکیبی از بررسی ریسکها در مقابل داراییها (چه کسی/چه چیزی میتواند به شما آسیب بزند)، شناسایی آسیبپذیریها (آسیب چگونه میتواند اتفاق بیافتد)، و پیامدها (کدام یک از داراییها و تا چه اندازه میتوانند آسیب ببینند) هستند.
بیشتر شرکتها به طور معمول ارزیابی آسیبپذیری انجام میدهند. آنها از تعداد زیادی از ابزار بهره میبرند (که بسیاری از آنها رایگان هستند) تا شبکه خود را به طور اجمالی بررسی کرده و مشخص کنند که چه خدماتی در حال اجرا هستند و همچنین آسیب پذیریهای شناسایی شده را بررسی کنند. دیگر ابزارهای مجانی به مدیران اجازه میدهد تا کدهای مخرب از پیش تعیین شده را در مقابل سیستمهای خود اجرا کنند و حملات غیرهوشمندانه را در مقابل کاربرهاشان انجام دهند.
آزمایش نفوذ مستقل همچنین یک راه با ارزش برای آزمایش تاب آوری و آمادگی سازمان شما است. اگر بر روی درهای خود قفل داشته باشید یک چیز است و اینکه آیا کسی میتواند از آنها گذر کند تقریبا چیز دیگری است. بهترین آزمایشکنندگان نفوذ از TTPs مشخص دشمنان شما آگاهی دارند و از آن استفاده میکنند. در آخر، جلسات مبنی بر بحث با شناسایی شکافها در امنیت سایبری و فرآیندهای رویارویی با پیشامد، ارزیابی ریسک شما را بهتر پیش میبرد.
زمانی که ارزیابی ریسک شما کامل است، بهترین روشها شامل مکاتبه نتایج به طور مناسب با تمامی سهامداران میباشد. همچنین، از آن جایی که امنیت یک فرآیند در حال پیشرفت و تحول است، شرکتها باید ارزیابی را در طول زمان بهبود دهند.