عصر اعتبار- فرایندهای امنیتی برخلاف تجهیزات، نرمافزارها و خدمات در ازای پول خرج کردن به دست نمیآیند. آنها فقط میتوانند توسط سازمان ایجاد شده و سپس به سطح مناسبی از بلوغ رسانده شوند.
به گزارش پایگاه خبری «عصر اعتبار»، روز دوم ششمین همایش سالانه بانکداری الکترونیک و نظامهای پرداخت، با برگزاری کارگاه آموزشی «مدیریت آسیبپذیریها در حوزه امنیت اطلاعات» توسط سید علی هاشمیاقدم، علیرضا اطهریفرد و سجاد طرهانی همراه شد.
بر اساس مطالب ارایه شده در این کارگاه، امروزه مدیریت آسیبپذیریها جزو جذابترین موضوعات مطرح شده در کنفرانسهای دانشگاهی در سطح جهانی است و حدود 38 درصد از مقالات بینالمللی که در مجامع ارایه میگردد به موضوع مدیریت آسیبپذیریها اشاره دارد، به نحوی که بر اساس آمار منتشر شده، در سالهای 2014 و 2015، بیش از یک سوم موضوعات مطرح شده در 4239 سخنرانی در بیش از 80 همایش، مرتبط با آسیبپذیریها و تهدیدات بوده است.
فرایندهای امنیتی بر خلاف تجهیزات، نرم افزارها و خدمات در ازای پول خرج کردن به دست نمیآیند. آنها فقط میتوانند توسط سازمان ایجاد شده و سپس به سطح مناسبی از بلوغ رسانده شوند. «مستعد بودن برای مورد حمله قرار گرفتن» کوتاهترین تعریفی است که برای واژه آسیبپذیری میتوان ارائه کرد. آسیبپذیری به نقصی باز میگردد که امکان سوءاستفاده از طریق آن وجود دارد. این سوءاستفاده میتواند زنجیرهای از رخدادها را رقم بزند که نهایتاً پیامدهای نامطلوبی را برای سازمان به همراه دارد.
در خصوص منابع آسیبپذیری میتوان گفت، آسیبپذیری قادر است در سیستمعامل، ثابتافزار، نرمافزارهای کاربردی، پیکربندی و نیز خارج از حوزۀ فناوری اطلاعات وجود داشته باشد. امنیت فیزیکی، منطقهبندی نامناسب شبکه، اعطای مجوزهای دسترسی غیرضروری و بیقاعده به کاربران و آموزش ناکافی آنها از جمله دیگر منابع آسیبپذیری است.
در خصوص مدیریت آسیبپذیری، باید اذعان داشت این مدیریت یکی از لایههای پیشنگرانه در برنامه دفاع سایبری سازمانهاست و عموما فرآیندی از جنس فرآیندهای اجرایی و عملیاتی به حساب میآید.
اما در مدیریت آسیبپذیری اشتباهات رایجی وجود دارد از جمله پویش آسیبپذیریها بدون پیشبرد اقداماتی در رابطه با ترمیم آنها، غافل شدن از چشمانداز ریسکهای سازمان و اهمیت داراییها، مشخص نبودن نقشها و مسئولیتها در مدیریت آسیبپذیری و گزارشدهی نادرست. همچنین باورهای غلطی نیز در این خصوص وجود دارد از جمله تفکری که معتقد است وصله کردن همان مدیریت آسیبپذیری است، باور اینکه مدیریت آسیبپذیریها، تنها، یک مسئلهی فنی است و تصور ترمیم تمام آسیبپذیریها.
برای شناسایی و رفع آسیبپذیریها، مناسب است آن را به عنوان یک چرخه در نظر بگیریم؛ چرخۀ فرآیندی شامل سه فرآیند اصلی به نامّهای «ارزیابی آسیبپذیری»، «طرحریزی مدیریت آسیبپذیری» و «ترمیم یا کاهش آسیبپذیری» است که برای رسیدن به سطح مطلوب، باید این سه فرآیند هر یک به خوبی عمل کنند، تا چرخ دندههای پیشرفت این چرخه به درستی و با سرعت مناسب حرکت کنند. نام این چرخه فرآیندی «مدیریت آسیبپذیریها» است. این چرخه فرآیند مدیریت چالشها را از «موردی بودن»، «دستی بودن» و «مخاطرهمحور نبودن» به سوی «یکپارچگی با برنامههای ارزیابی و پایش امنیتی مخاطرهمحور» سوق داده و تکامل میبخشند.
اما یکی از مهمترین موضوعات، اولویتبندی آسیبپذیریها مبتنی بر تهدیدها است. در این بین باید بر وصله یا ترمیم آن دسته از آسیبپذیریهایی که در سازمان دیده شدهاند و در دنیا مورد سوءاستفاده قرارگرفته است فارغ از شدتشان تمرکز نمود.
توصیههای مهم در تصمیمگیریهای مدیریت آسیبپذیری بدین شرح است:
فرایندی برای اولویتبندی آسیبپذیریها تدوین کنید.
سامانههایی که دادههای مرتبط با آسیبپذیریهای سازمان را در خود دارند، امن کنید.
از آزمون ایمنی ترمیم قبل از انجام نهایی آن استفاده کنید.
همکاریها و خودکارسازیهای لازم را به منظور عملیاتی کردن فرآیند ترمیم به انجام رسانید.
تعاملات میان تیمهای عملیاتی را تسهیل کنید و تا جایی که امکان دارد آن ها را ساده کنید.
حداقل، سامانههای آسیب پذیری که از اینترنت قابل دسترس هستند و کد سوء استفاده از آسیبپذیری آنها در دسترس عموم قرار دارد را ترمیم کنید.
اگر نمیتوانید با سرعت لازم ترمیم کنید، کاهش مخاطره را در پیش بگیرید.
اما یکی دیگر از بخشهای مهم مدیریت آسیبپذیریها، ترمیم و یا کاهش آسیبپذیری امنیتی است. در این بین تعیین نقشها و مسئولیتها، یکپارچهسازی مدیریت وصله با فرآیندهای مدیریت آسیبپذیری، تغییر، پیکربندی و انتشار، گزینش ابزارها و فروشندگان مناسب و تعیین سنجههای واقعبینانه از اهمیت زیادی برخوردار هستند. همچنین برای هر بخش از فرآیند وصله کردن، افرادی را با نقشهای مدیریت وصله تعیین میشوند. در این خصوص، میزان اهمیت یک وصله از منظر امنیتی باید بررسی شود و در اولویتبندی اعمال وصله باید از تحلیل میزان تأثیر هر آسیبپذیری استفاده کرد.
افزون بر این، برای پاسخدهی به این پرسش که چگونه میتوانیم آسیبپذیری را کاهش دهیم، میتوان گفت که جداسازی منطقی سامانههای قدیمی و غیرقابل وصل، بهرهگیری از کنترلهای امنیتی برای شناسایی و مسدود کردن حملات مرتبط با سامانههای آسیبپذیر، تقویت مدیریت پیکربندی دستگاههای آسیبپذیر و فعالسازی لاگهای دسترسی و احراز هویت از شرطهای مهم کاهشدهی آسیبپذیریها است.