بسیاری از سازمان‌ها برای محافظت از سازمان خود در برابر تهدیدات غیرمنتظره در فضای مجازی (امنیت رایانه‌ای)، فقط سه محافظت اساسی را انتخاب می‌کنند. اجرای یک محیط امن و معماری شبکه فایروال (دیوار آتش) داخلی و انجام ارزیابی‌های آسیب‌پذیری و آزمایشات نفوذپذیری (VAPT) اغلب به اندازه کافی برای محافظت از اطلاعات حساس در کسب و کار مشاهده می‌شود. با این حال، همانطور که خواهیم فهمید و با وجود این که این رویکرد یک شروع خوب است، به منظور امنیت اطلاعات، به طور قابل توجهی نیاز به ابزارهایی بیش از فایروال و VAPT وجود دارد.

دیوار آتش و VAPT

فایروال اولین خط دفاع یک شبکه رایانه‌ای است. هدف آن محدود کردن ترافیک غیرمجاز از لایه‌های مختلف شبکه است. فایروال محیطی، محل ورود (دخول) و خروج ترافیک شبکه‌ است. فایروال داخلی با اجازه یا عدم اجازه ورود ترافیک از لایه‌های شبکه داخلی، از آن محافظت می‌کند. ایمن‌سازی معماری شبکه، تفکیکی ایجاد می‌کند که فقط امکان تأیید ترافیک از طریق شبکه را فراهم می‌سازد؛ تمامی ترافیک‌های دیگر به طور پیش‌فرض مسدود هستند، این امر مانع از این می‌شود که داده‌های غیرمنتظره بخش‌های نادرست شبکه را طی نمایند.

ارزیابی آسیب‌پذیری یک محافظت فنی است که هدف آن کشف نقاط ضعف در زیرساخت فناوری اطلاعات سازمان است. اسکن (پایش) کل شبکه را در نظر می‌گیرد و تمامی دستگاه‌ها، سرورها و نقاط انتهایی را با آدرس IP شناسایی می‌کند. اسکن، برنامه‌ها و سیستم‌عامل‌های مورد استفاده را شناسایی می‌کند. داده‌های جمع‌آوری شده به دلیل سوءاستفاده‌ها و آسیب‌پذیری‌های شناخته شده در برابر یک پایگاه داده امنیتی ارجاع می‌شوند. این امر به شناسایی اینکه آیا یک دستگاه آسیب‌پذیر است یا خیر، کمک می‌کند.

هر وسیله غیرسازگار پرچم‌گذاری شده و به گزارش آسیب‌پذیری اضافه می‌شود. از این گزارش به عنوان مبنایی برای فعالیت‌های پس از ارزیابی استفاده می‌شود. ضعف مشخص شده در محیط سازمان باید برطرف شود. رفع مشکلات به عنوان مثال، از طریق برنامه‌ریزی سر هم‌بندی، به روزرسانی نرم‌افزار، به روزرسانی سیستم‌عامل یا مسدود کردن درگاه‌های شبکه باید از اسکن آسیب‌پذیری پیروی کند.

سازمان‌ها همچنین آزمایش نفوذ را انجام می‌دهند. این آزمایش، یک سناریو در دنیای واقعی است که یک مهندس امنیتی متخصص (اغلب خارج از سازمان) سعی در نقض شبکه رایانه سازمان شما خواهد کرد. این سناریو، ممکن است یک حمله فیزیکی به محل سازمان باشد، اما اغلب یک حمله‌کننده اخلاقی است که سعی در به خطر انداختن سیستم‌های رایانه‌ای داخلی دارد. تست نفوذ، آسیب‌پذیری‌های شناخته شده و سوءاستفاده در سیستم‌عامل‌ها، برنامه‌های نرم‌افزاری، سیستم‌های بد پیکربندی شده یا محافظت ضعیف از کاربر انتهایی – مانند گذرواژه ها یا AV را مورد هدف قرار می‌دهد.

تست نفوذ ابزاری حیاتی است که به مدیریت هوشمندانه آسیب‌پذیری‌های IT کمک می‌کند. این تست، ممکن است به دستیابی به انطباق نظارتی یا به حفظ وفاداری مشتری و همچنین حفظ ارزش برند شما کمک کند. هر دو VAPT باید بخشی از یک استراتژی به طور مداوم در حال تحول در امنیت سایبری باشند.

تضمین امنیت شبکه شما و انجام ارزیابی‌های VAPT تنها بخش کوچکی از چیزی است که برای ایجاد یک استراتژی پیشرفته و قوی ایمن InfoSec مورد نیاز است. بسیاری جنبه‌های دیگر مورد نیاز برای معرفی اقدامات محافظتی اساسی وجود دارد. یک چارچوب امنیت سایبری لازم است که بتواند تهدیدات امنیتی را شناسایی، محافظت و کشف کرده، به آن پاسخ داده و بازیابی نماید.

شناسایی خطرات امنیتی

اولین کار برای تکمیل، ارزیابی دقیق ریسک است. هدف، در اینجا شناسایی تمام دارایی‌های شرکت مانند داده‌ها، دستگاه‌ها و پلتفرم‌های سخت‌افزاری و نرم‌افزاری است. همچنین فرآیندهای تجاری (مدیریتی) مانند جریان‌های ارتباطی سازمانی، منابع تجاری و نقش‌ها و مسئولیت‌های موجود در فضای مجازی را شناسایی می‌کند.

از داده‌های ارزیابی ریسک برای شناسایی آسیب‌پذیری‌ها و تهدیدات دارایی، داخلی و خارجی استفاده می‌شود. ارزیابی اثرات احتمالی تجارت، اولویت‌ها، محدودیت‌ها و میزان تحمل سازمان در برابر ریسک را مشخص می‌کند.

محافظت

مرحله بعدی ایجاد ره نگاشت بازسازی است. یک قدم اساسی در جهت کنترل‌های امنیتی محکم‌تر. ره نگاشت، چگونگی محافظت از زیرساخت‌های سازمان را مشخص می‌کند، اولویت‌ها را برجسته کرده و دنباله‌ای را برای انجام وظایف، پیشنهاد می‌دهد. بخش اعظم محافظت در ابتدا به شناسایی و احراز هویت مربوط می‌شود و اطمینان حاصل می‌شود که هویت و اعتبار همه کاربران معتبر بوده و تأیید شده است تا از دسترسی فیزیکی و همچنین از راه دور به داده‌های حساس محافظت کند.

راه نگاشت همچنین نقاط ضعف امنیت داده‌ها را شناسایی کرده و توصیه‌هایی در مورد چگونگی محافظت از داده‌ها در حالت استراحت و انتقال ارائه می‌دهد. سیاست‌های امنیتی برای مشاوره در مورد چگونگی سخت شدن فرآیندها و رویه‌های داخلی سازمان، از جمله فرآیند مدیریت تغییر، پشتیبان‌گیری و بازیابی رویه‌ها و سیاست تخریب داده‌ها ایجاد خواهد شد. توصیه‌های کلیدی در یک اطلاعیه مشورتی تهدید، و همچنین توصیه‌هایی در مورد بهبود استمرار تجارت و رویه‌های بازیابی فاجعه ارائه می‌شود. در این قسمت، الزامات آموزش آگاهی از امنیت اطلاعات برای هر بخش در داخل شرکت ترسیم می‌شود.

مرحله شناسایی با استفاده از اسکن‌های آسیب‌پذیری و تست‌های نفوذ انجام می‌شود. این امر نقاط ضعف در زیرساخت‌های محاسباتی و شبکه‌ای را مد نظر قرار می‌دهد. این مراحل، شامل شناسایی هرگونه خطرات اضافی فنی و فیزیکی در امنیت سایبری است؛ همچنین ممکن است شامل ارزیابی ارائه‌دهندگان شخص ثالث خارجی مانند ارائه‌دهندگان خدمات مدیریت شده یا خدمات امنیتی باشد.

پاسخ و بازیابی

برنامه‌ریزی پاسخ و فرایندهای بازیابی برای تدوین برنامه عملی ایجاد می‌شود که در صورت بروز شرایط اضطراری یا حمله جدی امنیت سایبری به کار گرفته می‌شود. این کار مشابه روند بازیابی فاجعه یا استراتژی تداوم تجارت است که در آن پاسخی از پیش تعریف شده دنبال می‌شود و هر یک از اعضای تیم، نقش‌ها و مسئولیت‌های خود را می‌داند.

طرحی تهیه شده است که شامل موارد زیر است: چگونگی اداره ارتباطات در حین یک حادثه بزرگ، درک اینکه چه کسی روابط عمومی را مدیریت می‌کند، چه کسی ارتباطات داخلی را مدیریت می‌کند و فرآیندهای فنی که مهندسین باید پیگیری کنند، چه مواردی است.

فرایندها باید به طور منظم آزمایش شوند و در صورت لزوم نتایج بررسی، تجزیه و تحلیل و تجدید نظر شوند. هرگونه فعالیت‌های کاهشی باید برای خرابی‌های کشف شده در طول آزمایشات ترسیم شود و برنامه پاسخ و راه‌نگاشت بر این اساس به روز شود.

نتیجه‌گیری

شواهد زیادی وجود دارد که نشان می‌دهد اجرای فایروال و آزمایش برنامه‌ریزی باید بخشی از برنامه‌های گسترده‌تر باشد، همه این‌ها بخشی از استراتژی امنیت سایبری هستند. امنیت شبکه و عناصر تست نفوذ، به طور کلی در خدمت یک هدف اصلی هستند، در واقع آنها فقط بخش کوچکی از یک چارچوب امنیتی بسیار بزرگتر را تشکیل می‌دهند.

ما فقط به صورت سطحی این موضوع را مورد بررسی قرار داده‌ایم که امنیت اطلاعات چیست، اما همواره این موضوع وجود دارد که InfoSec بخشی از یک ابتکار بهبود مستمر است که دائماً مورد آزمایش و بهبود قرار می‌گیرد. بسیاری از سازمان‌ها تصمیم می‌گیرند که این مسئولیت را به یک فروشنده امنیتی واگذار کنند که InfoSec را برای یک مشتری بزرگ مدیریت نماید.

خدماتی که شما دریافت می‌کنید متفاوت است؛ اما اغلب با مزایای اضافی مانند خدمات مشاور معتمد برای اطمینان از کسب و کار شما همگام با پیشرفت سایبری شما همراه است. از دیگر مزایای کلیدی آن می‌توان به ممیزی داخلی سالانه و بررسی راه نگاشت، آزمایش بازیابی فاجعه، آزمایش پاسخ حادثه، تست فیشینگ (طعمه‌گذاری) و مهندسی اجتماعی، آموزش و آزمایش نفوذ بیرونی بی‌پیشقدر اشاره کرد.