سطح مطلب: نیمهتخصصی //
تحلیل ریسک در حوزه امنیت سایبری، پایه و بنیان هر برنامهِ مرتبط با امنیت اطلاعات است. تحلیلکنندههای امنیت باید درک کاملی از محیطهای علم و فناوری اطراف خود و همچنین تهدیدات خارجی که امنیت اطلاعات آنها را بخطر میاندازند، داشته باشند. یک ارزیابی ریسک، چنانچه خوب گردآوری شده باشد، بایستی اطلاعات مرتبط با فاکتورهای داخلی و خارجی – که به تحلیلگر کمک خواهند کرد تا تهدیداتی را که سازمان با آنها مواجه است را بشناسد و در ادامه مجموعه مناسبی از کنترلها برای مواجهه با این تهدیدات را ایجاد کند- را ترکیب کند.
قبل از آن که به دنیای ارزیابی ریسک وارد شویم، باید با یکسری از واژگان عمومی در این حوزه آشنا شویم. برای آنکه بتوانید به وضوح و راحتی هرچه تمامتر با تحلیلگران امنیتی دیگر ارتباط داشته باشید، باید با سه مفهوم بخوبی آشنا شده باشید: آسیبپذیریها (Vulnerabilities)، تهدیدات (Threats) و ریسکها (Risks).
یک آسیبپذیری وجود نقطه ضعفی در یک دیوایس، سیستم، اپلیکیشن یا فرآیندی است که ممکن است حمله در آن ناحیه رخ دهد. آسیبپذیریها فاکتورهای درونیای هستند که در اکثر موارد توسط افراد متخصص در حوزه امنیت سایبری کنترل و مدیریت میشوند. مثلا وبسروری که بر روی آن نسخه تاریخگذشتهای از سرویس آپاچی (Apache) اجرا می-شود، ممکن است آسیبپذیری در خود داشته باشد که به مهاجم این اجازه را بدهد تا یک حمله منع سرویس ( DoS) را بر علیه وبسایتهایی که توسط آن سرور هاست میشوند، انجام دهد و در نتیجه موجودیت آنها را بخطر بیاندازد. کارشناسان امنیت سایبری در هر سازمانی این توانایی را دارند تا چنین آسیبپذیریهایی را با بروز کردن و ارتقاء دادن سرویس آپاچی به آخرین نسخهای که به حمله DoS آسیبپذیر نیست، برطرف نمایند.
یک تهدید در دنیای امنیت سایبری، نیرویی خارجی است که ممکن است از آسیبپذیری موجود، در جهت منفی، بهرهبرداری (سوء استفاده) کند. به عنوان مثال هکری که قصد اجرای یک حمله DoS بر علیه یک وبسایت را دارد و از آسیبپذیری سرویس آپاچی نیز مطلع است، یک تهدید مسلم در حوزه امنیت سایبری محسوب میشود. با این وجود همه تهدیدات، ناشی از عامل انسانی و به عمد نیستند. برخی از تهدیدات در ذات طبیعت وجود دارند. مثلا عامل زلزله میتواند موجودیت یک وبسایت را با تخریب دیتاسنتری که وبسرورها را در خود نگهد اری میکند، بخطر بیاندازد. مشخصا زلزله عامل تخریبی عمدی نیست و قصد و سوء نیتی در رابطه با آن وجود ندارد. در اکثر موارد متخصصان امنیت سایبری قادر به تخمین چنین تهدیداتی نیستند.
یک ریسک ترکیبی از یک تهدید و آسیبپذیری متناظر با آن است. پیش از آنکه امنیت شبکهای با ریسک مواجهه شود، باید هردوی این عاملها وجود داشته باشند. برای مثال اگر هکری، وبسرور یک شرکت را نقطه هدف خود برای حمله DoS قرار دهد، اما در عین حال آن سرور با بروز شدن سرویسها و برنامههایش، فاقد آسیبپذیری باشد، ریسکی وجود نخواهد داشت؛ چراکه عامل تهدید وجود دارد (هکر)، ولی عامل آسیبپذیری موجود نیست. مشابها در مثال زلزله هم ممکن است دیتاسنتر به علت مقاوم نبودن دیوارههایش، در برابر زلزله آسیبپذیر باشد، اما در طرف دیگر ممکن است دیتاسنتر در موقعیت جغرافیایی از جهان واقع شده باشد که احتمال وقوع زلزله بسیار اندک است. به همین علت میزان ریسک در این مورد نیز ناچیز است.
ارتباط بین ریسکها، تهدیدات و آسیبپذیریها بسیار مهم است و معمولا بصورت زیر بیان میشود:
ریسک= تهدید X آسیبپذیری
رابطه بالا به این معنی نیست که دقیقا باید میزان ریسک را با جایگذاری ارزش¬های متناظر تهدید و آسیبپذیری بدست آورد؛ بلکه به این حقیقت اشاره دارد که ریسکها زمانی وجود خواهند داشت که هردو عامل تهدید و آسیبپذیری متناظر آن از پیش وجود داشته باشند. اگر بهر دلیلی میزان ارزش یکی یا هردو عامل صفر باشد، میزان ریسک نیز صفر خواهد بود. شکل زیر این موضوع را از زاویه دیگر نشان میدهد: ریسکها، حدِ اشتراک تهدیدات و آسیبپذیریها هستند.
همانطور که گفته شد، ریسکها حد اشتراکِ تهدیدات و آسیبپذیریها هستند. اگر هرکدام از عاملهای تهدید و یا آسیبپذیری موجود نباشند و یا رفع گردند، ریسکی وجود نخواهد داشت. شرکتها و سازمانهای بزرگ باید مرتبا ارزیابیهای امنیتی را بجهت تعین چشماندازی از میزان ریسکهای موجود، انجام دهند. موسسه بینالمللی استانداردها و تکنولوژی (NIST)، سندی را در جهت راهنمایی برای انجام ارزیابیهای امنیتی منتشر کرده است که بطور گسترده در حوزه امنیت سایبری به عنوان پایهای برای ارزیابیهای امنیتی، استفاده میشود. این سند پروسه ارزیابی امنیتی را پیشنهاد میدهد که در زیر نشان داده شده است:
در این سند (NIST SP 800-30)، پیشنهاد شده است که یک شرکت باید تهدیدات و آسیبپذیریها را بشناسد و سپس از اطلاعات موجود برای تعیین میزان ریسکی که شبکه با آن روبرو است، استفاده نماید.
مانا باشید
احسان امجدی / کارشناس و مدرس دورههای تحلیل امنیت
“اگر بر این باورید که با نقض قانون کپی رایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نام نویسنده و منبع، مجاز به انتشار مطالب هستید. “