» مقالات » 3 نكته برای بهبود تشخيص تهدید و واکنش به آن

سؤال اصلی این نیست که چگونه از حملات جلوگیری كنيم. نكته‌ی مهم اين است كه چگونه می‌شود زمانی كه يك حادثه رخ می‌دهد، مؤثر و چابک بود؟

3 نكته برای بهبود تشخيص تهدید و واکنش به آن

ارتفاع و ضخامت هر دیواری که شاید در فكر ساخت آن هستید اصلاً مهم نیست، واقعيت تأسف‌انگيز اين است كه شايد، فردی به احتمال زیاد، قادر به شکستن آن خواهد بود. و اين واقعاً مهم است كه بدانيم اين اتفاق كی و چگونه خواهد افتاد.

همان طور كه هنگام ترک منزل، تمامی درها و پنجره‌ها را می‌بندید، برای حفاظت از سیستم‌های خود نيز، نیاز به اقدامات پیشگیرانه‌ی امنیتی دارید. هر چند، این اقدامات به تنهایی کافی نیستند. اگر فرض کنید افراد بدذات، راهی برای شکستن دیوارهای حفاظتی‌تان پیدا خواهند کرد، عاقلانه است که روی تشخيص تهدید و واکنش به آن، به عنوان روشی برای كاهش خسارات و صدمات وارده در زمان وقوع نقض و شکست ديوارهای حافظتی، متمرکز شوید.

 

سه روش کنترل امنیتی زیر، روش‌های مطمئن برای تقویت و استحکام قابلیت‌های تشخيص سیستم شما هستند:

 

 1. دارایی‌هایتان را شناسایی كنيد.

اگر فردی از شما بخواهد تا تجهيزات متصل به اینترنت در خانه‌تان را برای او ليست كنيد و ظرفیت ذخیره‌ی داده‌ی این لوازم را تخمین بزنید، آیا می‌توانيد پاسخ دقيقی بدهيد؟ به احتمال بسیار زیاد، قادر به ارائه‌ی گزارشی در مورد تمامی آنها نباشید. يك خانه، محیطی نسبتاً کوچک و كنترل‌شده است. تصور کنید که شناسایی کامل سرمایه‌های سازمان‌ها و آگاهی از مکان تمامی داده‌هایشان چقدر برای آن‌ها چالش برانگیز است. اگر تمامی دستگاه‌های اضافی، که کارکنان از طریق آن‌ها به شبکه‌ی سازمان متصل می‌شوند، را جدا کنید، در این صورت، آگاهی از سرمایه‌ها و دارایی‌هایتان در یک محیط سازمانی، تبدیل به چیزی بیش از یک چالش می‌شود.

کسب و کارها باید پیش از توسعه و پياده‌سازی یک طرح امنیتی، از اين اطلاعات آگاه باشند: چه سرمایه‌هایی دارند، اين سرمايه‌ها در كجا قرار گرفته‌اند و کدام یک نیازمند بیشترین حفاظت می‌باشند. زمانی كه فهميديد این سرمایه‌های با اولویت بالا کدام هستند، می‌توانید کنترل‌های امنیتی مناسبی را برای حفاظت و نظارت آن‌ها اجرا نمايید. چنین اقدامی، تضمین می‌کند اگر سرمايه‌ای دچار شكست شود، يا به آن حمله شود و یا به خطر بيفتد، شما قادر خواهيد بود كه آن را تشخيص داده و به سرعت، نسبت به آن، واکنش نشان دهید.

متأسفانه، در اکثر موارد، سازمان‌ها فاقد زیرساخت آشكارسازی و تشخيص تهدید برای فهميدن این که مورد حمله قرار گرفته‌اند، حتی تا چندین ماه پس از گذشت واقعیت، هستند. اکنون اقدامات لازم برای شناسایی، ایمن‌سازی و نظارت بر دارایی‌های ارزشمند شما می‌تواند به شما کمک کند تا در وضعیت مشابهی قرار نگیرید.

 

 2. سيستم نظارت بر رفتار را پياده‌سازی كنيد.

نظارت بر رفتار، مبتنی بر درک درستی از رفتار طبیعی یا قابل قبول است. پرسنل فن‌آوری اطلاعات می‌توانند جنبه‌های خاصی از زیرساختشان را جهت کسب بینش در مورد انواع فعالیت‌هایی که "طبیعی" است، و تعیین یک خط مبنا برای رفتار کارمند، مورد مشاهده و بررسی قرار دهند. اگر یک روال منظم برای نظارت بر فعالیت و تجزیه و تحلیل الگوها ایجاد شود، ناهنجاری‌هایی که از اين قانون منحرف می‌شوند، می‌توانند به عنوان مسائل بالقوه‌، علامت‌گذاری شده و بر اين اساس، مورد بررسی قرار گیرند.

به عنوان مثال، نظارت بر سرویس، نظارتی بر مدت زمان كاركرد يك سرويس، فراهم می‌كند و هر نوع وقفه‌ی غیر منتظره می‌تواند به سرعت شناسایی شود، در صورتی که وقفه، رفتار مورد انتظاری نیست. به طور مشابه، تجزیه و تحلیل جريان شبكه، می‌تواند روند پیشرفته‌ی مربوط به اين موضوع كه كدام پروتکل‌ها استفاده می‌شوند، كدام میزبان‌ها از پروتکل‌ها استفاده می‌كنند و مصرف متوسط پهنای باند، چقدر است را فراهم كند. هر انحراف عمده از این قانون می‌تواند نشان‌دهنده‌ی فعالیت بدی باشد.

ارزش واقعی در نظارت رفتاری این است که اگر یک خط مبنا ایجاد شود، در این صورت دیگر نیاز نیست که فرد، برای شناخت نابهنجاری‌ها، به فن‌آوری آشنایی داشته باشد. به عنوان مثال، اگر ترافیک بین دو سیستم، نسبتاً ثابت باشد و سپس به طور ناگهانی افزايش يابد، این یک پرچم قرمز فوری (اخطار و زنگ خطر فوری) برای بررسی مسأله است، حتی اگر اطلاعات مفصلی در مورد انواع سیستم‌ها یا پروتکل‌های استفاده شده، مشخص نباشد. از این رو، حتی اجرای قابلیت‌های پايه‌ای نظارت رفتاری می‌تواند به شدت برای شناسایی تهدیدهای ناشناخته، رفتارهای مشکوک و حتی نقض سیاست شبكه، بسيار سودمند باشند.

 

3.      اسكن (پويش) آسیب پذیری را اولویت‌بندی كنيد.

پویش آسیب‌پذیری و فن‌آوری‌ها و روش‌های مدیریتی برای پشتيباتی از تقاضای مشتریانی که در جستجوی تطابق و الزامات قانونی هستند، تكامل يافته‌اند. به عبارت ساده‌تر، پویش آسیب‌پذیری، مستلزم جستجوی آسیب‌پذیری‌ها در یک محیط است.

به منظور درک بهتر این مفهوم، تصور کنید که ما در حال اجرای پویش و جستجوی آسیب‌پذیری روی یک خانه هستیم. نتایج برگشتی احتمالاً چیزی شبیه به این خواهد بود: پنجره‌ی باز اتاق خواب، پنجره‌ی قفل نشده‌ی حمام، قفل کم دوام در پاركينگ، در داخلی قفل نشده، پرده های باز و غيره.

اسكن‌های آسیب‌پذیری یک شبکه، شاید هزاران مورد نباشند، اما چند صد مورد بیان می‌شود. برای اکثر سازمان‌ها، پرداختن به هر چیز و هر فرد ممکن نيست. بنابراين، سؤال مهم‌تر این است که کدام یک از آسیب‌پذیری‌های شناسایی شده، درخور توجه و اصلاح هستند.

در نهایت، این بحث به داشتن سابقه حول هر آسیب‌پذیری کاهش پیدا می‌کند. به عنوان مثال، در مقیاس خانه، شما می‌توانید جدی بودن یک پنجره‌ی باز را با توجه به این مسأله، مورد ارزیابی قرار دهید که آیا این پنجره در طبقه‌ی همکف قرار داد، یعنی جايی که بالارفتن از خانه برای یک فرد، کار آسانی است، یا اینکه در طبقه‌ی دهم قرار دارد، یعنی جايی که یک مهاجم، مجبور به پایین آمدن از یک طناب از سقف برای رسیدن به ورودی خواهد بود (احتمال یک حمله بسیار اندک است). اولین مورد، مسلماً بیانگر موقعیتی است که نیازمند توجه فوری شماست، اما از مورد دوم می‌توان چشم پوشی كرد.

عوامل خارجی نیز نقش بزرگی در ارزیابی شدت آسیب‌پذیری‌ها ایفا می‌کنند. به عنوان مثال، قفل بی‌دوام در پاركينگ، شاید تا زمانی مشکل ساز نباشد که شما چیز با ارزشی در آن نگهداری نمی‌کنید و در ناحیه‌ای با میزان جرم و جنایت اندک زندگی می‌کنید. برعکس، شاید قفل، زمانی یک مسأله با اولویت بیشتر شود در حالی كه شما در یک منطقه‌ی پر از جرم و جنایت زندگی می‌کنید و ماشین گران قیمتی را درون گاراژ، پارک می‌کنید.

در نهایت، شناسایی موارد آسیب‌پذیر، بسيار شبيه به مدیریت هر نوع ریسک شناسایی شده‌ی دیگری است. و داشتن دسترسی به اطلاعات اضافی، زمینه‌ی مورد نیاز برای ایجاد تصمیمات مبتنی بر ریسک را می‌افزاید.