بخش IT شرکت برای تعیین عوامل خطر نیازمند ارزشیابی آسیب‌پذیری‌ها در سیستم‌های پیچیده سازمانی هستند. بخشی از داده‌های سایبری، اطلاعات حساسی هستند که با وجود عدم نیاز، اجازه دسترسی (permission) به آنها وجود دارد.

برای اینکه در درک ارزیابی‌های خطر به شما کمک کنیم، یک سری مقاله نوشته‌ایم که کنترل‌کننده‌های خطر مرتبط از استاندارهای رایج را در چهار حوزه وسیع‌ سامان‌دهی کرده است: شناسایی، حفاظت، یافتن و پاسخ دادن. و سپس، به آسانی توضیح داده‌ایم که چگونه یک شرکت ارائه دهنده خدمات امنیت در هر یک از این بخش‌ها کمک می‌کند.

رابطه بین ارزیابی خطر و تحلیل خطر

بخش تحلیل خطر حقیقی و یا مدل خطر بخشی از فرآیند ارزیابی است که به آن توجه کافی نمی‌شود.

چه تفاوتی بین ارزیابی خطر و تحلیل خطر وجود دارد؟

تحلیل خطر، عوامل خطر کشف شده طی فاز شناسایی را به عنوان داده‌های مدلی در نظر می‌‌‌گیرد که اندازه‌گیری‌های قابل سنجش خطر سایبری را ایجاد می‌‌کنند. با نتایج عددی حاصل از مدل خطر، می‌توانید مقایسه‌هایی انجام دهید: برای مثال، امسال سیستم پرسنلی ذخیره انبوه خطر من نسبت به سال گذشته بهتر یا بدتر است؟

پیش از اینکه به سراغ این مطلب برویم که مدل خطر ممکن است چگونه کار کند، باید روی ناحیه دیگری از ارزیابی خطر تمرکز کنم که مورد غفلت قرار گرفته است: تحلیل تهدید!

برای انجام یک ارزیابی تمام و کمال، باید برای دیدن خطر بیرونی مربوط به صنعت یا موقعیت شما، به بیرون سازمان نگاه کنیم. روش‌های حمله، انواع بدافزارهای بکار گرفته شده و اجرا کننده‌های احتمالی. از نظر تکنیکی، این هم بخشی از فاز شناسایی ارزیابی  است: علاوه بر سیستم‌ها و داده‌های داخلی ثبت ‌کننده، همچنین خطری که با آن مواجه هستید را مرور می‌کنید.

به هر حال، مدل‌های تهدید، روشی بسیار مفید برای سازماندهی و نمایش دورنمای تهدید هستند.

اکنون همه مؤلفه‌های اجرای تحلیل خطر را داریم. یک تحلیل خطر به طور غیر رسمی به شما می‌گوید فرصت‌هایی که یک شرکت به دست می‌آورد از طریق یک باج افزار یا اختلال در سرویس دهی(DoS)، از دست می‌رود و سپس تأثیر مالی آن بر کار را محاسبه می‌کند.

محققان امنیت در مؤسسه ملی استاندارد و تکنولوژی یا NIST ایده‌های فوق‌العاده‌ای راجع به ارزیابی‌های خطر و مدل‌های خطر دارند. یک نمودار ترسیمی خطر همیشه بسیار ارزشمند است. لطفاً با دقت به نمودار ترسیمی برگرفته از سند NIST زیر نگاه کنید – آنچه در مطالب فوق به دنبال توضیح دادنش بودیم را نشان می‌دهد.

NIST’s view of risk analysis: it feeds on threat events, vulnerabilities, likelihoods, and cost impacts

مدل سازی خطر: احتمال رخ دادن واقعه و سطح تاثیر

وقتی از فاصله نزدیک‌تری به تحلیل خطر می‌نگریم، عبارات «احتمال رخ دادن» و «سطح اثر» به طرز غیر قابل اجتنابی شروع به ورود به بحث می‌کنند. چنانکه اعضای NIST اظهار می‌کنند: “خطر، تابعی از احتمال رخ دادن یک واقعه تهدید آمیز و تأثیر معکوس بالقوه‌ است.”

نمودار ترسیمی فوق همه آن چیزی که مدل سازی خطر کیفی با آن سر و کار دارد را خلاصه می‌کند. اما یک مدل تحلیل خطر باید حداقل در ازای چند دوره زمانی یک بهای ضمنی متوسط را تولید کند. نکته این مقاله این است که تلاش کند شما را متقاعد نماید که برای تعیین معنادار ارزش‌های عددی احتمال وقوع و سطح تأثیر اطلاعات بیشتری در دست دارید! و اینکه شما باید از ماتریس خطر قرمز-زرد-سبز که اغلب نشان می‌دهد که چه زمانی بخش‌های IT به سوی مدل سازی خطر می‌روند، دور شويد.

نمودار ترسيمي ماتریس-خطر فوق را از يك وب‌سايت دولتي آمريكا گرفته‌ام كه در بر دارنده خطر انتقال است. با این وجود، مفاهیم خطر، جهانی و شبیه به ماتریس‌های مورد استفاده –در واقع مورد سوء استفاده- بخش‌های IT است.

یک محور نشان دهنده احتمال یک واقعه روی یک مقیاس 5-1 تا 1 بسیار غیر ممکن و 5 تا تقریبا قطعی است. دومین محور –که در نمودار بالا افقی است- نشان دهنده مقیاسی از 5-1 برای سطح تاثیر است. متوجه خواهید شد که برای خطر کلی، بر اساس ضرب مقادیر عدد صحیح کوچک برای احتمال واقعه در تاثیر، به سلول‌های درون ماتریس ارزش‌های عددی داده شده است.

در گوشه بالا، سمت راست، برای واقعه‌ای که بسیار ممکن و بسیار تأثیرگذار است، “خطر” 25 وجود دارد. و در سلول پایینی سمت چپ، ارزش خطر 1 برای واقعه‌ای با احتمال کم و تاثیر کم وجود دارد. با مراجعه به محور ماتریس، اساس طراحی رنگ را می‌بینید: خطر بالا با رنگ قرمز، سپس زرد نشان داده شده و در نهایت سبز برای مقادیر زیر 5 بکار رفته است.

بهتراست بی‌پرده سخن بگوییم: این جدول‌های ماتریس خطر قرمز-زرد-سبز ایده‌های بعدی هستند. به شما حس کاذب خطر ((quantified risk را منتقل می‌کند –شما حتی از احتمالات استفاده نمی‌کنید!- و اصلا برای سطوح ‌C ای که به اعدادی که به هزینه‌های واقعی مربوط نیستند علاقه‌ای ندارند، متقاعد کننده نیستند.

شرکت شما هم می‌تواند خطر را محدود کند: با ادمین‌های سیستم خود صحبت کنید.

در کتاب هوبارد و ریچارد سیریان، چگونه هر چیزی در خطر امنیت سایبری را اندازه بگیریم، مروری عالی بر این موضوع و دربردارنده نکته‌های عملی در مورد اجرای عملی مدل سازی خطر است.

نکته مهم کتاب هوبارد و سیرسان این است که حتی اگر اطلاعات بسیار اندکی داشته باشید، می‌توانید احتمالات واقعی و تاثیر هزینه بر وقایع را مشخص کنید! این کتاب زمینه‌ای نظری برای این رویکرد ارائه می‌دهد.

چگونه احتمال یک حمله و هزینه تاثیر را محدود می‌کنید؟

جواب‌ها از طریق گفتگو با کارکنان IT و سایر متخصصان داخلی به دست می‌آیند.

هوبارد معتقد است که داده‌های حداقلی به دست آمده از گفتگوها و موارد ثبت شدۀ در دسترس می‌توانند برای اهداف مدل سازی که بسیار از ماتریس قرمز-زرد-سبز قدرتمندتر است، مورد استفاده قرار گیرند.

هوبارد به بکارگیری IT شرکت برای تعیین یک “بازه اطمینان 90%” برای جواب‌هایشان معتقد است. پرسیدن این سؤال از ادمین‌های سیستم کاملا درست است: “می‌توانید دامنه‌ای برای اینکه قطعی سیستم طی 5 سال گذشته چه مدت بوده است تعیین کنید؟” آن‌ها می‌توانند داده‌ها و یادداشت‌های خود را مرور کنند و شاید تصمیم بگیرند که بیشتر قطعی بین 1 تا 10 ساعت بوده است. اگر درباره یک خرده فروش آنلاین صحبت کنیم، قطعی‌ها به معنی قطع فروش هستند و اکنون سلسه‌ای از تأثیرات هزینه را داریم!

همه این‌ها کجا می‌روند؟

در پست من که در ادامه خواهد آمد، این ایده‌ها در مورد بازه اطمینان، هزینه‌های واقعه و احتمالات واقعه در مدل را با استفاده از یک صفحه گسترده اکسل، یک باج افزار یا یک حمله DoS برای تولید چند نتیجه مفید که SFOها و CEOها دوست خواهند داشت، تفسیر خواهم کرد. نیاز خواهم داشت برای زمینه محاسبه‌ای جزیی‌ای به کتاب هوبارد سری بزنم اما چیزی برای ترسیدن وجود ندارد.