Network Security

Cyber Resilience یا انعطاف پذیری امنیت سایبری چیست؟

Cyber Resilience یا انعطاف پذیری امنیت سایبری چیست؟

هدف از جلوگیری نمودن حملات سایبری، کمتر کردن احتمال نفوذ به سازمان است، در حالی که Cyber Resilience (انعطاف‌پذیری امنیت سایبری) سعی می‌کند آسیبی که این حملات وارد می‌کنند را از طریق سیستم مدیریت ریسک سایبری کاهش دهد.

یک برنامه Cyber Resilience (انعطاف‌پذیری امنیت سایبری) با اینکه از تکنیک‌های شناسایی و جلوگیری استفاده می‌کند، اما احتمال می دهد که نفوذ رخ بدهد. این موضوع بر احتمال حمله، سرعت عمل و انعطاف پذیری متکی است. تمامی حملات قابل جلوگیری نمی‌باشند، اما با یک برنامه Cyber Resilience (انعطاف‌پذیری امنیت سایبری)، می‌توان آسیب را کاهش داد یا به کلی از بین برد.

موضوع 98% از تهدیدهایی که جلوی آنها را می‌گیرید نیست. موضوع در مورد آن 2% است که شناسایی نمی‌شوند.
موضوع 98% از تهدیدهایی که جلوی آنها را می‌گیرید نیست. موضوع در مورد آن 2% است که شناسایی نمی‌شوند.

در تحقیقات لابراتوار NSS مشخص گردیده که اکثر محصولات امنیتی پیشرو، در کل تاثیر گذار هستند. برای مثال، در طول بررسی تعدادی از تجهیزات در جلوگیری از نفوذ به شبکه یا IPS در سال 2013، میانگین اثربخشی 10 محصول تست شده 94% بوده است. این بررسی‌ها میزان جلوگیری از تهدیدات، قابلیت‌های ضد Evasion، پایداری و قابل اطمینان بودن را در نظر می‌گرفت. در بررسی تعدادی از فایروال‌های نسل جدید یا NGFW در سال 2013، 8 محصول از 9 تجهیز، امتیاز بالاتر از 90% در میزان اثربخشی به خود اختصاص دادند. بالاترین امتیاز اثربخشی در این تست 98.5% بوده است.

 

با این حال، مشکل، 98.5% حملاتی که جلوگیری می‌شوند نیست، بلکه آن 1.5%ی است که شناسایی نشده است. اگر حتی کسری از 1.5% از تهدیدهای کنونی توسط NGFW، IPS و سیستم Endpoint Protection یا EPP شناسایی نشوند، شروعی برای نفوذ محسوب می‌شود.

فعالیت‌های مخرب سایبری امروزی شامل فعالیت‌های مخفیانه، مداوم و پیچیده‌ای است که می تواند در سیستم‌های سازمانی رخنه کنند، یک Backdoor ایجاد نمایند و منابعی که از سازمان تحت کنترل دارند، افزایش دهند و سپس اطلاعات حساس را استخراج کرده یا در فعالیت سازمان اختلال ایجاد کنند. مهندسی سیستم‌ها و معماری سازمانی باید بر پایه مدیریت ریسک‌های سایبری باشد تا از عملکرد صحیح تجهیزات سازمان در هنگام نفوذ اطمینان حاصل گردد.

یافته‌های لابراتوار NSS

مشکل سازمان‌ها 98.5% از تهدیداتی که جلوگیری می‌شود نیست بلکه آن دو درصدی است که شناسایی نمی‌شوند.
Cyber Resilience (انعطاف‌پذیری امنیت سایبری) سیستم‌ها و شبکه‌ها لازمه اطمینان حاصل کردن از سلامت عملکرد در یک محیط نفوذ شده سایبری است.

کنترل‌های امنیتی نباید به عنوان یک سیستم کاملا ایمن در برابر تهدیدات دیده شوند بلکه باید عملکردی برای کم کردن صدمات ناشی از حملات سایبری محسوب شود. اسکن‌های آسیب‌پذیری برای یافتن رسیک‌های احتمالی به تنهایی کافی نیست. در واقع برای مشخص شدن ضعف امنیتی، تست نفوذپذیری بر روی وسایل امنیتی نیاز است تا میزان امنیت تجهیزات مشخص شوند.

پیشنهادات ارائه شده توسط لابراتوار NSS جهت کاهش نفوذ به ساختار سازمان ها یافتن پاسخ سوالات اساسی زیر است:

  • حملاتی که مهاجمان امروزی از آنها برای نفوذ استفاده می‌کنند کدامند؟
  • کدام یک از حملات در برابر برنامه‌های کاربردی کسب‌و‌کار که بر روی شبکه پیاده شده‌اند تاثیر گذار است؟
  • کدام یک از آن حملات قابلیت رد شدن از سیستم‌های دفاعی پیاده شده را دارد؟
  • بر روی عواملی مانند زمان تا شناسایی و زمان تا پاسخ‌گویی تمرکز کنید.

آموختن اینکه انتظار حملات را داشته باشد. فرض کنید که نفوذ رخ داده است و تمرکز را برروی کاهش تاثیر احتمالی بگذارید. آماده باشید تا با ظرفیت 60% کار کنید تا در مقابل نفوذ ایستادگی کنید. این امر باعت کاهش یافتن سطح سرویس‌های کلیدی می‌شود ولی آنها را از کار نمی‌اندازد. در برنامه Cyber Resilience (معماری شبکه انعطاف‌پذیر)، برنامه‌ریزی کنید که اجازه طراحی مجدد منابع کلیدی برای مجزا کردن و جابه‌جا کردن قسمتی از شبکه که آلوده شده است را امکان پذیر سازد. شبکه‌ها را قسمت بندی کنید تا یک میزبان، با اولویت پایین آلوده شده نتواند باقی سازمان را آلوده کند و باعث از دست رفتن کل سیستم شود.

انتظار آن را نداشته باشید که نفوذ به ساختار شبکه را بلافاصله رفع کنید. قسمت آلوده از شبکه را مجزا کنید و در حالی که حمله همچنان در حال اجرا است بررسی کنید که چرا، حمله موفقیت آمیز بوده، سپس معماری شبکه را طوری باز طراحی کنید که در مقابل حملات مشابه بتواند ایستادگی کند. هزینه حمله را برای مهاجم افزایش دهید تا برای تحقیق و تصحیح از طریق تکنولوژی‌های فریب‌دهنده زمان بیشتری بخرید.

تجزیه و تحلیل داده ها

بهترین روش های پیاده سازی چندین سال است که در انواع مختلف محصولات امنیتی چه در سطح شبکه و برروی Endpoint در یک استراتژی Defense in Depth پیاده سازی می‌شوند. این استراتژی بر پایه 2 فرض مهم بنا شده است. مهمترین آن‌ها این است که تفاوت مشخصی میان شبکه “داخلی” و “خارجی” وجود دارد. ساختن دیوارهایی بلند و کندن خندق پشت آن فقط زمانی منطقی است که با ارزشترین جواهر در اعماق قلعه نگه‌داری می‌شود.

فرض دیگر این است که لایه بندی امنیتی به طرز چشمگیری امنیت ساختار را افزایش می‌دهد. از نظر ریاضی این امر توسط محاسبه کردن میزان کلی شکست ترکیبی از محصولات امنیتی مشخص می‌شود که از طریق ضرب کردن میزان شکست همه محصولات در هم به دست می‌آید. برای مثال اگر IPS یک سازمان اجازه یک حمله از 100 حمله و NGFW آنها نیز اجازه یک حمله از 100 حمله را بدهند، بنابراین مجموع این محصولات باید اجازه فقط یک حمله در 10000 حمله را بدهد.(0.01 ضرب در 0.01)

با این حال تحقیقات NSS مشخص کرده که این محاسبه به طور چشم‌گیری سطح امنیت به دست آمده از Defense in Depth را دسته بالا می‌گیرد. چراکه ارتباط عمیقی میان تهدیدهایی که از محصولات امنیتی فعلی می‌گذرد وجود دارد. به علاوه با آمدن سرویس‌های ابری و استفاده همگانی دستگاه‌های همراه، استفاده از معماری‌های قدیمی Defense in Depth را بسیار کمتر مورد پسند کرده است زیرا در حال حاضر اطلاعات به صورت مداوم به خارج از شبکه‌ی سازمان‌ها انتقال پیدا می‌کند.

تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری
تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری

ناکارآمدیِ برخی راهکارهای امنیتی

علی رغم اینکه امروزه بهترین راهکارهای Defense in Depth همراه با کنترل‌های امنیتی بازدارنده ایجاد گردیده، همچنان ممکن است نفوذ به سیستم‌های سازمان اتفاق بیافتد. متخصصان گاهی Policyهای امنیتی را که شامل مدیریت اقدامات مناسب در قبل، بعد و همچنین حین یک نفوذ است را بررسی می‌نمایند. این روند شامل طراحی، مانیتورینگ و مدیریت کنترل‌‌های امنیتی مناسب است که توسط نظارت مستمر بر ترافیک شبکه داخلی انجام می‌گردد تا در سریع‌ترین زمان ممکن نفوذ به شبکه را شناسایی نماید و موارد اصلاح شده‌ی ساختار و تنظیم کنترل‌‌های امنیتی بر اساس اطلاعات جدید را برای جلوگیری از آسیب های بیشتر اعمال نمایند.

طبق تحلیل‌های انجام شده از این پس تمرکز امنیت سایبری نباید بر روی 98.5 درصد از حملاتی باشد که کنترل‌‌های امنیتی فعلی در حال شناسایی و جلوگیری از آنها هستند، بلکه باید برروی 1.5 درصد از حملاتی تمرکز نمود که بصورت پنهان، از سیستم‌های دفاعی فعلی عبور می‌کنند و شناسایی آنها در اولویت قرار می‌گیرد. توجه داشته باشید که تمامی راهکارهای امنیتی، حتی تکنولوژی‌های شناسایی نفوذ، در شناسایی تعداد قابل توجهی از حملات شکست می‌خورند. اینکه کدام یک از حملات شناسایی نمی‌شوند برای مثال Mac OSX  یا Windows 64Bit، برای مدیریت ریسک، کلیدی می‌باشد.

اکوسیستم گسترده از کنترل‌‌های امنیتی پیاده شده امروزی را، نباید به عنوان یک سیستم دفاعی کامل در مقابل حملات تصور کرد. بلکه آنها را باید مانوری بر علیه حملات بدافزارها به منابع سازمان‌ها دانست و در مرحله بعد به صورت پیشگیرانه آسیب ناشی از حمله را مدیریت و همچنین باعث کاهش نفوذ واقعی در شبکه، به سطحی که قابل مدیریت توسط تیم‌های پاسخگویی و ترمیم باشد قلمداد کرد. سازمان‌ها باید به طور پیوسته در حال آزمودن و انتخاب کاربردی‌ترین راهکار برای افزایش بهره‌وری و کاهش هزینه مرتبط با استفاده از شبکه‌های عمومی و همچنین نگرانی‌های امنیتی ناشی از انتخاب راهکارهای امنیتی‌شان باشند.

امن‌سازی زیرساخت‌های حیاتی یک کشور، نیازمند اقداماتی بسیار جدی‌تر نسبت به موارد ذکر شده می‌باشد، به عنوان مثال ایجاد نمودن یک Air-Gap یا ترکیبی از Gatewayهای امنیتی یک طرفه و تجهیزات ایمن Bypass میان زیرساخت حساس و شبکه‌های عمومی برای کاهش خطرات ناشی از حملات نمونه‌ای از این  اقدامات امنیتی سختگیرانه است. همچنین سازمان‌ها باید استفاده از تکنولوژی‌هایی مانند Honeypot را بررسی کنند تا هزینه حمله را برای مهاجم افزایش دهند، هرچند با این تکنولوژی‌ها می‌توان مانع فعالیت مهاجمان کم خطر شد یا حملات آنها را خنثی نمود ولی سازمان‌ها باید زمان بیشتری صرف تحقیق و ترمیم ساختار شبکه نمایند.

اسکن آسیب پذیری به کمک Threat Intelligence

با اینکه Threat Intelligence، اسکن‌های نقاط آسیب‌پذیری و Threat Feedهای مرسوم همچنان ابزاری کارآمد در جدال با جرایم سایبری به شمار می‌آیند، باید در نظر داشت که آنها مشکلات چشمگیری دارند که مانع استفاده مفید از این ابزارها برای تیم‌های امنیتی سازمانی می‌شوند. Threat Feedها هنگامی که یک آسیب‌پذیری جدید شناسایی می‌شود و یا یک Exploit جدید در معرض عموم قرار می‌گیرد، اطلاع رسانی می‌کنند. به بیان دیگر، می‌توانند تیم‌های امنیتی را از یک تهدید احتمالی با خبر سازند ولی توانایی مشخص کردن هدف را ندارند. دلیل اینکه یک سازمان مجبور می‌شود نرم‌افزارهای خود را به آخرین آپدیت بروزرسانی نماید، Exploitهای گزارش شده‌ای است که باعث می‌گردد، متوجه شوند آسیب‌پذیرتر از گذشته هستند.

برای مثال آزمایش گروهی EPP NSS نشان می‌داد با وجود اینکه محافظت برای Java 6 Update 23 تقریبا 100 درصد است، برای Java 7 Update 2 این میزان کمتر از 5 درصد می‌باشد. یک سیاست مدیریتی بروزرسانی که به بروزرسانی در یک بازه زمانی کوتاه بدون در نظر گرفتن قابلیت‌های محصول امنیتی اجبار می‌کند، می‌تواند سیستم‌ها را بیشتر از زمانی که بروزرسانی انجام نشده بود در معرض خطر قرار دهد. مدیریت بروزرسانی به صورت هوشمندانه‌تر که قابلیت‌های محصول امنیتی را در نظر می‌گیرد، بسیار با اهمیت است.

از طرف دیگر اسکن‌های آسیب‌پذیری، مانند یک Snapshot در زمان مشخص است که تمامی آسیب‌پذیری ممکنه را در برنامه‌های کاربردی پیاده‌سازی شده در سرتاسر سازمان مشخص می‌سازد. موضوع غیر قابل تشخیص توسط تیم امنیتی، تعداد آسیب‌پذیری‌هایی احتمالی است که به طور موثر توسط سیستم‌های امنیتی پیاده شده کنونی امن می‌گردند. این امر می‌تواند برای تیم امنیتی لیست بزرگی از مشکلات را بوجود آورد که بیشتر آنها اگر به صورت کامل شناسایی می‌شدند، اولویت خیلی پایین‌تری داشتند.

تمرکز برروی ورودی Logها و اطلاعات Security Information And Event Management یا SIEM می‌تواند باعث یک نگرش اشتباه شود که به دفاع در مقابل تهدیدهای پیچیده کمکی نمی‌کند. سوال کلیدی این نیست که چه چیزی توسط سیستم دفاعی جلوگیری شده بلکه سوال این است که چه چیزی از سیستم دفاعی عبور کرده است. مشکل این است که محصولات امنیتی گزارشات و Logهای حملاتی که متوجه آن نمی‌شوند را ارائه نمی‌دهن،. بنابراین سعی برای شناسایی جایی که نفوذ از آنجا اتفاق افتاده و آسیبی که ممکن است وارد کرده باشد، مشابه یافتن سوزن در انبار کاه است، با این تفاوت که در این مورد حتی سوزنی در انبار کاه نیست.

معمولا در یک سازمان با کنترل‌‌های امنیتی، مهاجمان به دنبال آسیب‌پذیری در محصول امنیتی مورد استفاده سازمان می‌گردند، از این رو می‌توان گفت که محصولات امنیتی در حال دور کردن مهاجمان از اهدافی هستند که امنیت بهتری دارند و آنها را به سمت اهدافی با امنیت پایین‌تر، هدایت می‌کنند. نفوذها زمانی رخ می‌دهند که مهاجمان یک برنامه کاربردی مورد استفاده یک شرکت یا سازمان را مورد هدف قرار می‌دهند و کنترل‌‌های امنیتی، موفق به متوقف سازی حمله نمی‌شوند. بطور کلی هنگامی که مهاجمان سایبری، حملات موفقی را به سرانجام می‌رسانند، حیاتی‌ترین موضوع برای سازمان‌ها یافتن مواردی است که توسط محصولات امنیتی پیاده سازی شده در سازمان مربوطه متوقف نمی‌شوند، تا بتوانند احتمال نفوذ و ریسک کاری را کاهش دهند.

کشف Exploitهای احتمالی

متخصصان امنیتی باید برای حدس زدن اینکه مهاجم قبل از نفوذ به یک سازمان، ممکن است تمرکز خود را برای کدام حمله قرار داده باشد، مواردی را بررسی نمایند که به قرار ذیل است:

باید جزئیات دقیقی از روش‌ها و رفتار حملات مورد استفاده مجرمان سایبری در دسترس باشد، این موارد می‌تواند شامل انواع تجهیزات شرکت یا سازمان مانند سرور یا Endpointها، به خصوص Applicationهای سازمان و دیگر دارایی‌های مورد هدف باشد تا بتوان لایه‌های آسیب‌پذیر شرکت یا سازمان را مشخص نمود. جزئیات تجهیزات فناوری اطلاعات و ارزش آنها برای سازمان را می‌توان برای مقابله در برابر روش‌های حمله مورد استفاده مهاجمان سنجید تا بتوان تشخیص داد که آیا دارایی‌های IT در معرض خطر هستند یا خیر، برای مثال یک Endpoint بدون نصب بودن Adobe Air در معرض خطر Exploitهای Adobe Air نمی‌باشد.

میزان اثربخشی کنترل‌‌های امنیتی در Cyber Resilience

اگر سازمانی به خاطر یک Java Expliot خاص در معرض خطر باشد ولی IPS پیاده‌سازی شده قادر به شناسایی و متوقف کردن آن Exploit باشد، آن سازمان بلافاصله دچار ریسک و خطرات ناشی از آن Exploit نمی‌شود.

ریسک مورد حمله قرار گرفتن سازمان توسط مهاجمان

موسسات مالی، سازمان‌های دفاعی و تاسیسات زیرساخت حیاتی، نسبت به شرکت‌های کوچک در معرض ریسک بالاتری برای مورد حمله قرار گرفتن توسط مهاجمان قرار دارند. بلافاصله پس از هر نفوذی در سیستم، مهمترین معیار سنجش مدت زمانی است که میگذرد تا سازمان از نفوذ مطلع گردد. با این حال صرفا اطلاع پیدا کردن از مورد حمله قرار گرفتن یک سرور توسط بدافزار کافی نیست، چراکه این موضوع اغلب اوقات به راحتی قابل ترمیم است و اگر نفوذ در سطح گسترده‌تری باشد این امن‌سازی می‌تواند حس امنیت کاذب برای تیم امنیتی ایجاد نماید. موضوع مهمتر این است که از زمان خروج Intellectual Property یا داده‌های حساس، به خارج از شبکه شرکت یا سازمان، یا زمانی که یک سرویس حیاتی سازمان دچار اختلال میگردد  اطلاع داشته باشید. تیم‌های امنیتی که تمرکز خود را به طور کامل بر روی متوقف کردن ترافیک خطرناک می‌گذارند، متوجه مشکل اصلی نمی‌شوند. حملات اولیه یا آلوده شدن ساختار پس از آن نیست که اهمیت دارد، بلکه مشکل اصلی اختلال در سرویس یا از دست دادن  داده‌های حیاتی است.

سازمان‌ها یا شرکت‌ها باید فرض کنند که نفوذ در شبکه آن‌ها اجتناب ناپذیر است و به صورت پیشگیرانه به دنبال کاهش تاثیر نفوذ احتمالی باشند. این موضوع کلید اصلی Cyber Resilience می‌باشد. Cyber Resilience به سازمان‌ها و دولت‌ها اجازه می‌دهد با وجود حملات پی‌درپی و مداوم مهاجمان، همچنان به ارائه سرویس به مشتریان یا شهروندان خود ادامه دهند. به جای سعی بر متوقف‌سازی حملات در فضای سایبری یا حتی محدوده داخلی شبکه سازمان، باید امن‌سازی‌های لازم انجام شوند تا عملکرد آن‌ها حتی در زمان حمله با اختلال مواجه نگردد.

سیاست‌های پیشگیرانه به جای پاسخگویی واکنشی

الزامات یکپارچه‌سازی فعلی ،معمولا توسط متخصصان امنیتی به عنوان امری ثابت، شکننده و مانعی برای دیگر اولویت‌های امنیتی معرفی می‌شوند و استاندارد (Payment Card Industry Data Security (PCI DSS مثال مناسبی برای نشان دادن این موضوع است. PCI DSS الزامات پایه برای سازمان‌هایی که اقدام به جمع‌آوری، پردازش یا مدیریت کارت‌های اعتباری می‌کنند را مشخص می‌نماید. ممیزی‌های PCI DSS ارزیابی‌هایی به موقع از وضعیت امنیتی یک فروشنده ارائه می‌دهد، اما آنچه مورد نیاز است نظارت مستمر و ارزیابی ریسک است.

به صورت ایده‌آل، بررسی دقیق اسکن آسیب‌پذیری بر روی کنترل‌های امنیتی، از ارزیابی لحظه‌ای به مستمر تغییر می‌کند و باعث ایجاد یک مدل Real-time می‌گردد؛ با این‌حال در حال حاضر هیچ شرکت یا سازمانی از این راهکار استفاده نمی‌کند. علاوه بر این، اشتباهات اولیه در بسیاری از روش‌های فعلی وجود دارد از جمله در نظر نگرفتن احتمال نفوذ در هر زمان، یکی از این مشکلات است. به عنوان مثال آیا Exploitهایی که برای حمله به لایه‌های دفاعی استفاده می‌گردد، در داخل سازمان پیاده‌سازی شده‌اند و قابلیت‌های تجهیزات امنیتی که در حال حاضر فعال می‌باشند را در نظر نمی‌گیرند.

فقط با بررسی دقیق Exploitهایی که در حال حاضر، برای فرستادن بدافزار، به یک Endpoint استفاده می‌شوند، می‌توان میزان پایداری در برابر حملات را نسبت به هر مدل خاص از پیاده‌سازی Endpoint سنجید و با ترکیب این اطلاعات، اثربخشی امنیتی محصولات حفاظتی مثل IPS یا EPP یا هر دو آن‌ها، می‌توان میزان خطری که Endpoint را تهدید می‌کند، ارزیابی نمود.

از این اطلاعات می‌توان برای محاسبه سطح ریسک، برپایه مشخصات سازمان، که شامل ریسک نفوذ، سرویس‌ها، وابستگی‌ها، حساسیت دارایی و نیاز‌های عملیاتی می‌شود، استفاده نمود. برای مثال ممکن است یک Exploit پس از نصب شدن در Windows 7 Service Pack 2 بر روی Internet Explorer 9 تاثیر گذار باشد ولی بعد از نصب در Windows 7 SP1 بر روی مرورگر IE9 اثری نداشته باشد. اگر سازمانی از لایه‌های دفاعی خود برای حفاظت از برنامه‌های کاربردی پیاده‌سازی شده بر روی سرورها و Endpointهای سازمان خود آگاه باشد، سطح ریسک احتمالی به سرعت و با دقت بیشتری قابل ارزیابی است. علاوه بر این اگر همان سازمان از Exploitهایی که توانایی عبور از محصولات IPS و EPP را دارد، آگاهی داشته باشد، می‌تواند میزان ریسک‌پذیری خود را با دقت بالاتری محاسبه نماید.

اگر ترکیب محصولات IPS و EPP جلوی فعالیت مخرب Exploitها را بگیرد، تعداد لایه‌های دفاعی اهمیتی ندارد. در حالی که همچنان احتمال نفوذ وجود دارد، سازمان‌ها می‌توانند با فرصت بوجود آمده مکانیزم‌های دفاعی خود را اصلاح نمایند. اگر ترکیب محصولات IPS و EPP آن سازمان نتواند Exploitها را متوقف کند و از برنامه‌های کاربردی آسیب‌پذیر استفاده نکنند، احتمال نفوذ و خطر آسیب‌پذیری آن سازمان در حالت بحرانی قرار نمی‌گیرد. با این وجود آن‌ها میدانند که قبل از بروزرسانی ویندوز به SP2 باید محصولات امنیتی خود را بروزرسانی نمایند.

از طرف دیگر اگر ترکیب محصولات IPS و EPP آن سازمان توانایی متوقف کردن Exploitها را نداشته باشد و همچنین از ویندوز هفت SP2 استفاده نمایند، ریسک عملیاتی بسیار بالا بوده و نمودار سطح ریسک این موضوع را نشان خواهد دارد. هر مهاجمی که از آن Exploitهای به خصوص برای حمله به پیکربندی آن کاربر مشخص استفاده کند، موفق خواهند بود و نفوذ به احتمال بالا رخ می‌دهد. با داشتن این اطلاعات تیم‌های امنیتی می‌توانند به صورت پیشگیرانه با مشکلات مقابله کرده، به سرعت برای بروزرسانی یا تعویض محصولات آسیب‌پذیر اقدام کنند و همچنین اطمینان حاصل کنند که سیستم آسیبی ندیده یا به عبارتی دیگر، نفوذی صورت نگرفته است.

در این صورت فایل‌های Log ارزش زیادی ندارند، چراکه یک محصول امنیتی آسیب‌پذیر به یک Exploit خاص توانایی ذخیره Log آن آسیب‌پذیری را نخواهد داشت. در این شرایط اطلاع از یک مشکل امنیتی می‌تواند به تیم‌های امنیتی این توانایی را بدهد که پیش از وقوع یک نفوذ، در مقابله با آن اقدامات پیشگیرانه انجام دهند. به عنوان مثال شرایطی را تصور کنید که یک آسیب‌پذیری به صورت عمومی قابل دسترس باشد و مهاجمین در حال سوءاستفاده از آن هستند در چنین شرایطی‌ می‌توان این آسیب‌پذیری را در مقابل پیکربندی‌های Endpoint سازمان‌ها استفاده نمود که قابلیت عبور از همه سیستم‌ها و تدابیری محافظتی راه‌اندازی شده را دارد.

اطلاع داشتن از وجود یک حفره امنیتی و Exploit حتی برای مدتی کوتاه، به تیم‌های امنیتی برای انجام اقدامات اولیه و بررسی نقاط مرتبط کمک میکند تا از احتمال عدم نفوذ به ساختار شبکه و ایجاد امنیت لازم اطمینان حاصل نمایند.

انعطاف‌پذیر شدن شبکه‌های ایمن

Cyber Resilience یا انعطاف پذیری امنیت سایبری چیست؟
Cyber Resilience یا انعطاف پذیری امنیت سایبری چیست؟

مجازی‌سازی، cloud computing، Mobility، بهینه‌سازی تکنولوژی‌، Internet of Things و پیاده‌سازی سیستم‌های حیاتی بخش تولید، در رفتار سازمان‌ها برای استفاده، ذخیره نمودن و دسترسی اطلاعات تغییر ایجاد می‌نماید. سازمان‌ها برای اینکه بتوانند در مقابل تهدیدات ایمن بمانند، باید خود را با تغییرات امنیتی، همسان‌سازی کنند. استفاده از تکنولوژی‌های جدید مانند (Software as Service (SaaS همچنین  (Platform as Service (PaaS و (Infrastructure as Service (IaaS، با خود ریسک‌های جدیدی به همراه دارند. دپارتمان‌های امنیت اطلاعات برای محافظت از سیستم‌های قدیمی و On-premises خود در مقابل این ریسک‌های جدید، باید زیرساخت امنیت سازمان‌شان را توسعه دهند.

تحقیقات موسسات امنیتی، نشان می‌دهد معماری امنیت که برای اطلاعات سازمانی به صورت مرسوم، از مدل‌های امنیتی برپایه تجهیزات (Asset-Based) و محدوده شبکه استفاده می‌کنند، دیگر صلاحیت کافی برای شناسایی ریسک‌ها و آسیب‌پذیری‌های سازمان را ندارند. مدل‌های پردازشی قابل اطمینان، برای کاهش ریسک‌پذیری انتشار اطلاعات سازمانی و محافظت از زیرساخت حیاتی باید مجددا طراحی شوند. طراحی‌های امنیتی باید با فرض مورد نفوذ قرار گرفتن سیستم‌ها و ادامه فعالیت در صورت نفوذ پیاده‌سازی شوند.

Cyber Resilience ارائه دهنده چارچوبی مطمئن برای معماری جدید و مناسب ساختارهای امنیتی می‌باشد. هدف از پیشگیری خطرات سایبری، کاهش احتمال نفوذ به سازمان‌ها می‌باشد، در صورتی که Cyber Resilience برای کاهش تاثیرات این حملات و ارائه قدرت ادامه به کار در صورت مورد حمله قرار گرفتن می‌باشد. این انعطاف‌پذیری به دولت اجازه می‌دهد که، با وجود مورد حمله قرار گرفتن، سرویس دهی به کاربران را ادامه دهد و به صنایع اجازه سرویس‌دهی به کاربران در زمانی که حملات سایبری در حال رخدادن هستند، را بدهد.

با اینکه  Cyber Resilience از تکنیک‌های شناسایی و جلوگیری استفاده می‌کند، همچنان احتمال نفوذ اجتناب ناپذیر است. این سیاست بر احتمال حمله، سرعت عمل و وقف پذیری در برابر حملات متکی است. با اینکه تمامی حملات قابل جلوگیری نمی‌باشند اما با یک برنامه Cyber Resilience مناسب، آسیب‌های وارد شده در حملات قابل برطرف شدن هستند یا به کلی قابل پیشگیری است.

Cyber Resilience یا راه حل نهایی

امروزه وابستگی به سرویس‌های سازمانی مانند شبکه‌های تلفن همراه، مکانیزم‌های کنترل الکتریکی، ارائه دهندگان رسانه‌ای و فروشگاه‌های بزرگ اینترنتی به صورتی است که انتظار می‌رود به صورت 24 ساعت روز، 7 روز هفته و 365 روز سال در دسترس باشد. با اینکه سنسورهای امنیتی محافظ ساختار، باید به صورت شبانه‌روزی فعال باشند اما در ابتدا بسیاری از آن‌ها بدون تغییر بودند که باعث می‌شد حفره‌های امنیتی برای ماه‌ها یا سال‌ها مورد سوءاستفاده قرار گیرند. امروزه بسیاری از تکنولوژی‌های امنیتی دارای مکانیزم‌های کنترل پویا هستند که قابلیت‌های بروزرسانی نزدیک به Real-Time، Signature و Heuristics، مدیریت IPها در لیست‌سیاه و جداسازی و ترمیم را دارند.

گاهی برای رسیدن به اهداف Cyber Resilience نمیتوان همه ویژگی‌ها را با هم داشت و هر لایه مضاعف امنیتی به تجربه کاربر یا کارایی سازمان، لطمه وارد می‌کند. علاوه بر این برخی از محصولات امنیتی قابلیت بروزرسانی هنگامی که در حال استفاده می‌باشند را ندارند و در نتیجه توانایی ارائه محافظت مداوم را ندارند.

محافظت پویا یکی از رویکردهای اجرایی Cyber Resilience است چراکه سازمان در زمانی که شبکه آلوده شده قابلیت ادامه سرویس‌دهی را دارد. این روش به شبکه‌ای هوشمند نیاز دارد که توانایی اولویت‌بندی و طراحی ترافیک در هنگام فعالیت را دارد تا بتواند قسمت آلوده شده از شبکه را از بقیه قسمت‌ها کاملا جدا سازی کند. همزمان با این فعالیت، می‌توان منابع جدید را مسیردهی مجدد کرد تا ترافیک و مدیریت آن خارج از محیط آلوده قرار گیرد.

این رویکرد با گسترس استفاده از معماری‌های Cloud پویا، امری کاربردی‌تر شده است. هدف استفاده از Cloud کاهش زمان پاسخگویی به کاربران است به این صورت که زمانی که بخش آلوده از شبکه کاملا جدا سازی شده، سرویس‌ها مانند قبل به کار خود ادامه می‌دهند و تیم امنیتی می‌تواند با تجزیه و تحلیل محیط آلوده جدا سازی شده، حفره‌های امنیتی را کشف کند و بهترین روش برای ترمیم آن را بیابد.

هدف‌های کلیدی این رویکرد به شرح ذیل می‌باشد:

احتمال حمله و نفوذ وجود دارد و نفوذ رخ خواهد دارد، پس آمادگی لازم را کسب نمایید و سوالاتی کلیدی، مانند موارد ذیل بپرسید:

چه آسیب‌پذیری‌هایی توسط مهاجم در حمله فعلی مورد استفاده قرار گرفته است؟

کدام یک از حملات بر روی برنامه‌های کاربردی سازمان که در شبکه سازمان پیاده شده‌اند تاثیر گذار است؟

کدام یک از آن حملات قابلیت رد شدن از سیستم‌های دفاعی پیاده شده را دارد؟

حفظ امنیت سازمان: چگونه سازمان می‌تواند به فعالیت خود در محیط آلوده شده بدون خطا به کار خود ادامه دهد؟ و فعالیت خود را بدون از کار افتادن سرویس‌های حیاتی ادامه دهد و مشکل را برطرف نماید؟ با فرض اینکه آسیب دیدن غیر قابل اجتناب است، سازمان باید خود را برای فعالیت با 60% از ظرفیت منابع برای سرویس‌دهی مستمر در صورت نفوذ آماده سازد. این امر باعث می‌شود سرعت سرویس‌دهی کاهش پیدا کند ولی کاملا از بین نرود. شبکه‌ها را به قسمت‌های مختلف تقسیم کنید تا در صورتی که یک Host با اولویت پایین آلوده شد، آلودگی به دیگر بخش‌های سازمان منتقل نگردد و باعث از دست رفتن کل سیستم نشود.

بازیابی از حملات: شبکه را برای ترمیم یا ادامه به فعالیت سرویس‌های حیاتی بازطراحی نمایید و قسمت آلوده شده از شبکه را جدا کرده و منابع جدید به شبکه اختصاص دهید.

تکامل و سازگاری شبکه در برابر حملات: دریابید که چرا حمله در حالی که هنوز در حال اجرا است، موفقیت آمیز بوده و سپس معماری را به صورتی باز طراحی کنید که در مقابل حملات مشابه توان ایستادگی داشته باشد.

Shares:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *