ارزیابی ریسک‌های امنیتی(Evaluating Security Risks)

0 171

سطح مطلب: نیمه‌تخصصی //

Risk management

 

تحلیل ریسک در حوزه امنیت سایبری، پایه و بنیان هر برنامهِ مرتبط با امنیت اطلاعات است. تحلیل‌کننده‌های امنیت باید درک کاملی از محیط‌های علم و فناوری اطراف خود و همچنین تهدیدات خارجی که امنیت اطلاعات آن‌ها را بخطر می‌اندازند، داشته باشند. یک ارزیابی ریسک، چنانچه خوب گردآوری شده باشد، بایستی اطلاعات مرتبط با فاکتورهای داخلی و خارجی – که به تحلیلگر کمک خواهند کرد تا تهدیداتی را که سازمان با آنها مواجه است را بشناسد و در ادامه مجموعه مناسبی از کنترلها برای مواجهه با این تهدیدات را ایجاد کند- را ترکیب کند.

قبل از آن که به دنیای ارزیابی ریسک وارد شویم، باید با یکسری از واژگان عمومی در این حوزه آشنا شویم. برای آنکه بتوانید به وضوح و راحتی هرچه تمامتر با تحلیلگران امنیتی دیگر ارتباط داشته باشید، باید با سه مفهوم بخوبی آشنا شده باشید: آسیبپذیریها (Vulnerabilities)، تهدیدات (Threats) و ریسکها (Risks).

یک آسیبپذیری وجود نقطه ضعفی در یک دیوایس، سیستم، اپلیکیشن یا فرآیندی است که ممکن است حمله در آن ناحیه رخ دهد. آسیبپذیریها فاکتورهای درونیای هستند که در اکثر موارد توسط افراد متخصص در حوزه امنیت سایبری کنترل و مدیریت میشوند.  مثلا وبسروری که بر روی آن نسخه تاریخگذشتهای از سرویس آپاچی  (Apache) اجرا می-شود، ممکن است آسیبپذیری در خود داشته باشد که به مهاجم این اجازه را بدهد تا یک حمله منع سرویس ( DoS) را بر علیه وبسایتهایی که توسط آن سرور هاست میشوند، انجام دهد و در نتیجه موجودیت آنها را بخطر بیاندازد. کارشناسان امنیت سایبری در هر سازمانی این توانایی را دارند تا چنین آسیبپذیریهایی را با بروز کردن و ارتقاء دادن سرویس آپاچی به آخرین نسخهای که به حمله DoS آسیبپذیر نیست، برطرف نمایند.

یک تهدید در دنیای امنیت سایبری، نیرویی خارجی است که ممکن است از آسیبپذیری موجود، در جهت منفی، بهرهبرداری (سوء استفاده) کند. به عنوان مثال هکری که قصد اجرای یک حمله DoS بر علیه یک وبسایت را دارد و از آسیبپذیری سرویس آپاچی نیز مطلع است، یک تهدید مسلم در حوزه امنیت سایبری محسوب میشود. با این وجود همه تهدیدات، ناشی از عامل انسانی و به عمد نیستند. برخی از تهدیدات در ذات طبیعت وجود دارند. مثلا عامل زلزله میتواند موجودیت یک وبسایت را با تخریب دیتاسنتری که وبسرورها را در خود نگهد اری میکند، بخطر بیاندازد. مشخصا زلزله عامل تخریبی عمدی نیست و قصد و سوء نیتی در رابطه با آن وجود ندارد. در اکثر موارد متخصصان امنیت سایبری قادر به تخمین چنین تهدیداتی نیستند.

یک ریسک ترکیبی از یک تهدید و آسیبپذیری متناظر با آن است. پیش از آنکه امنیت شبکهای با ریسک مواجهه شود، باید هردوی این عاملها وجود داشته باشند. برای مثال اگر هکری، وبسرور یک شرکت را نقطه هدف خود برای حمله DoS قرار دهد، اما در عین حال آن سرور با بروز شدن سرویسها و برنامههایش، فاقد آسیبپذیری باشد، ریسکی وجود نخواهد داشت؛ چراکه عامل تهدید وجود دارد (هکر)، ولی عامل آسیبپذیری موجود نیست.  مشابها در مثال زلزله هم ممکن است دیتاسنتر به علت مقاوم نبودن دیوارههایش، در برابر زلزله آسیبپذیر باشد، اما در طرف دیگر ممکن است دیتاسنتر در موقعیت جغرافیایی از جهان واقع شده باشد که احتمال وقوع زلزله بسیار اندک است. به همین علت میزان ریسک در این مورد نیز ناچیز است.

ارتباط بین ریسکها، تهدیدات و آسیبپذیریها بسیار مهم است و معمولا بصورت زیر بیان میشود:

ریسک= تهدید X آسیبپذیری

رابطه بالا به این معنی نیست که دقیقا باید میزان ریسک را با جایگذاری ارزش¬های متناظر تهدید و آسیبپذیری بدست آورد؛ بلکه به این حقیقت اشاره دارد که ریسکها زمانی وجود خواهند داشت که هردو عامل تهدید و آسیبپذیری متناظر آن از پیش وجود داشته باشند. اگر بهر دلیلی میزان ارزش یکی یا هردو عامل صفر باشد، میزان ریسک نیز صفر خواهد بود. شکل زیر این موضوع را از زاویه دیگر نشان می‌دهد: ریسکها، حدِ اشتراک تهدیدات و آسیبپذیریها هستند.

 

Evaluating Security Risks1

 

همانطور که گفته شد، ریسکها حد اشتراکِ تهدیدات و آسیبپذیریها هستند. اگر هرکدام از عاملهای تهدید و یا آسیبپذیری موجود نباشند و یا رفع گردند، ریسکی وجود نخواهد داشت. شرکتها و سازمانهای بزرگ باید مرتبا ارزیابیهای امنیتی را بجهت تعین چشماندازی از میزان ریسکهای موجود، انجام دهند. موسسه بینالمللی استانداردها و تکنولوژی (NIST)، سندی را در جهت راهنمایی برای انجام ارزیابیهای امنیتی منتشر کرده است که بطور گسترده در حوزه امنیت سایبری به عنوان پایهای برای ارزیابیهای امنیتی،  استفاده میشود. این سند پروسه ارزیابی امنیتی را پیشنهاد میدهد که در زیر نشان داده شده است:

 

Evaluating Security Risks
 

در این سند (NIST SP 800-30)، پیشنهاد شده است که یک شرکت باید تهدیدات و آسیبپذیریها را بشناسد و سپس از اطلاعات موجود برای تعیین میزان ریسکی که شبکه با آن روبرو است، استفاده نماید.

 

 

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپی رایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نام نویسنده و منبع، مجاز به انتشار مطالب هستید. “

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.