اطلاعات، سرمایهای با ارزش برای هر سازمانی است. با این حال، اطلاعات به چالشی برای امنیت تبدیل شدهاست.
وقتی که مقدار اطلاعات بهطور قابل توجهی افزایش مییابد به همان اندازه نیز انگیزه تبهکاران و هکرها برای دستیابی به آن بیشتر و بیشتر میشود. دادهها در سرتاسر سیستمها، شبکهها و دستگاهها گسترده شدهاند که آن را در معرض خطر قرار میدهد.
برای تضمین و اطمینان ازاینکه ابزاری وجودداشته باشد که بتواند بهطور پیشگستر این آسیبها را شناسایی کند و به تهدیدهای امنیتی واکنش مناسب نشان دهد، یک سازمان نیاز به پیادهسازی یک برنامه جامع مدیریت آسیبپذیری دارد که با سایر انضباطات یکپارچه شود. این امر باعث میشود که آسیبپذیریها خیلی زود تشخیص داده شوند تا فرایندهای دیگری همچون مدیریت پچ، سازمان را از یک نفوذ و نقض امنیت بالقوه محافظت کند. گامهایی که باید برای ایجاد یک برنامه مؤثر مدیریت آسیبپذیری برداشته شود، شامل موارد زیر است:
گام اول_ مدیریت و شناسایی اطلاعات
برای محافظت از هر چیز، اولین چیزی که مهم است آگاهی از وجود، ماهیت و محل آن است. اولین گام مهم در محافظت از امنیت شبکه این است که تمام اطلاعات باارزش موجود روی شبکه شناسایی شود. این اطلاعات با ارزش باید شامل هر عنصری باشد که محیط محاسبه را تشکیل میدهد مثل فایروالها، روترها، سوئیچها، سرورها، سیستمهای عامل پرینترها، نرمافزار سیستمی و نرمافزار کاربردی.
باید ارتباط و وابستگیهای بین اطلاعات مختلف نیز شناسایی و ثبت شوند. ثبت رابطه و وابستگی بین اطلاعات، این امکان فراهم میکند تا مسیری را تعیین کند که مهاجم اطلاعات را با استفاده از آن در معرض خسارت قرار میدهد. این امر به تعیین سطح هر آسیبپذیری که در مقابل اطلاعات وجو دارد کمک میکند. ممکن است دادههایی که احتمال آسیبپذیری آنها وجود دارد از ارزش بالایی برای سازمان برخوردار نباشد؛ از سویی ممکن است یک داده با ارزش بالا به دادههای آسیبپذیری متصل باشد که آن دادهها بر روی اینکه چگونه آن آسیبپذیری مدیریت شود، تاثیرگذار باشد.
شناسایی و ثبت اطلاعات مادامی که این اطلاعات به شبکه وصل یا از آن قطع میشوند، اطمینان از دید سازگاری از تمام آسیبپذیریها است. اگر شبکه ساکن باشد و دستگاهها دائم به آن وصل یا از آن قطع نشوند در این صورت امکان ثبت دستی این دستگاهها وجود دارد. با این حال اکثر شبکهها پایدار نیستند و دستگاههایی مثل لپتاپها بهطور دائم قطع و وصل میشوند. در این وضعیت، لازم است از روشهایی برای شناسایی خودکار دستگاهها مادامی که به شبکه متصل میشوند، استفاده شود.
گام دوم - شناسایی آسیبپذیری
با آگاهی از اینکه چه آسیبپذیریهایی برای هر داده و اهمیت آن وجود دارد، میتوان به بهترین نحو از آن داده
محافظت کرد. ممکن است روی هر دستگاه و اطلاعاتی به خاطر فقدان پچها، نرمافزار قدیمی، کلمات عبور یا
پیکربندیهای ضعیف آسیبپذیری وجود داشتهباشد.
اینکه بهرهبرداری از این آسیبپذیری چقدر میتواند آسان باشد درجه و سطح آسیبپذیری را تعیین میکند. فهم درجه و سطح آسیبپذیری شناساییشده، سازمانها را قادر میسازد تا منابع مورد نیاز را برای حفاظت از دادهها بر اساس اولویت دستهبندی کند.
گام سوم- آسیبپذیری سازگار
در بازه زمانی کوتاه، رصد آسیبپذیری فقط دید محدودی از موقعیت امنیتی بالقوه را فراهم میآورد. هر زمان که
آسیبپذیری جدید که نتیجه باگهای نرمافزاری است معرفی میشود، دستگاههای جدیدی به شبکه اضافه میشوند یا تغییراتی که به سیستمها اعمال میشود، تشخیص داده نخواهندشد و تا زمان انجام اسکن بعدی این سیستمها همچنان در معرض خطر قرار دارند و آسیبپذیریها شناسایی نمیشوند. چنانچه اسکنها به اندازه کافی انجام نگیرد، همچنان تعداد زیادی از آسیبپذیریها وجود خواهد داشت که بعد از هر اسکن شناسایی میشوند. در برخی از موارد، حجم کاملی از آسیبپذیریهای کشف شده، میتواند هر اقدام و عمل جبرانی را از عمل بازدارد.
گام چهارم- ارزیابی ریسک
تمام دستگاهها و اطلاعات به سطح یکسانی از امنیت نیاز ندارند. بسته به ارزش اطلاعات یک سازمان و اینکه چقدر این اطلاعات در معرض ریسک قرار دارد، گامهایی برای محافظت از آنها نیاز خواهدبود. ریسک اغلب به عنوان اثر یک حمله موجود، توصیف میشود که با احتمال رخداد و
پیچیدگی موفقیت موازنه میشود. آسیبپذیری در حقیقت چیزی است که به حملهکننده اجازه میدهد تا یک ورودی را در یک محیط محافظتشده دیگری پیدا کند. یک کلمه عبور ضعیف احتمال ریسک را افزایش میدهد و اجازه دسترسی غیرمجاز به سیستم را میدهد. یک پچ گمشده بر روی یک سرور وب ریسک یک حملهکننده را که از آن آسیبپذیری استفاده میکند، افزایش میدهد تا دسترسی به سرور را بهدست آورد. تصمیمات اتخاذ شده مدیریت ریسک بر سطوحی از ریسک که در مقابل اطلاعات قرار دارد به جزییات دقیق و بهموقعی در مورد آسیبپذیریهای موجود نیاز دارد. استفادها ز یک روش مدیریت آسیبپذیری سازگار، دادههایی را فراهم میکند تا از یک فرایند مدیریت موثر ریسک حمایت کند.
گام پنجم- مدیریت تغییر
تغییرات دائما روی بسیاری از شبکهها و سیستمها رخ میدهد. نرمافزار بهروزرسانی میشود، سختافزار اضافه
یا حذف میشود و برنامههای کاربردی دائما بهروزرسانی میشوند. هر تغییری، این پتانسیل را دارد که مشکلات یا آسیبپذیریهای جدیدی را معرفی کند. این آسیبپذیریها میتواند امنیت سازمان را به مخاطره بیندازد. یکپارچهسازی مدیریت تغییر با یک فرایند مدیریت آسیبپذیری سازگار از مشکلات امنیتی بالقوهای جلوگیری میکند که این مشکلات قبلا شناسایی و به آنها رسیدگی شدهاست.
گام ششم- مدیریت وصله
یک برنامه مدیریت آسیبپذیری مؤثر باید به آرامی با وصله، یکپارچهسازی شده و فرایندهای مدیریت را پیادهسازی کند.
بهروزرسانی نرمافزارها، مطابق با معیارهای سازمانی آنها برای سیستمها و داراییها انجام میشود. بازخوردهای
برنامه مدیریت وصله باید برای برنامه مدیریت آسیبپذیری به کار گرفته شود تا بهواسطه این برنامه به آسیبپذیریها پرداخته شود. فرایند مدیریت وصله باید با فرایند مدیریت تغییر، یکپارچهسازی شود تا انجام بهروزرسانیهای نرمافزاری و نسخهها را در یک حالت کنترلشدهای تضمین کند. همچنین مهم است که تضمین کند هرگونه بهروزرسانی را در یک حالت صحیح و مشخصی انجام دهد.
گام هفتم- مدیریت دستگاه تلفن همراه
دستگاههای تلفن همراه، در حال حاضر بخش فراگیری از چشمانداز فناوری اطلاعات است که مدیریت ریسک و
امنیت منحصربهفردی را تضمین میکند. دستگاههای تلفن همراه از روشهای مدیریت انطباق و آسیبپذیری سنتی و مالکیت مخلوط و مدلهای کنترل که در سیاست اختلاف ایجاد میکند، دوری میکنند.
یکپارچهسازی با سیستمهای مدیریت دستگاه تلفن همراه یا فناوری درحال توسعه مثل عوامل این امکان را به سازمانها میدهد که دستگاههای تلفن همراه را به داراییهای معلوم خود اضافه کرده و بهعنوان بخشی از برنامه مدیریت آسیبپذیری مدیریت کنند.
گام هشتم- مدیریت کاهش خطرات
یکی از عناصری که بهعنوان بخشی از یک برنامه مدیریت آسیبپذیری مؤثر نادیده گرفته میشود، چگونگی
مدیریت آسیبپذیری اتفاقاتی است که در بهروزرسانی نرم افزار یا رسیدگی به آسیبپذیریهای موجود است.
همیشه از زمان کشف یک آسیبپذیری تا رفع دائمی آن، یک دوره زمانی وجود دارد؛ درنتیجه در مورد داراییهای یک سازمان، توافق میشود تا این آسیبپذیری رفع شود.
یک برنامه مؤثر مدیریت آسیبپذیری، تا زمان رفع مشکل توسط تأمینکننده، راههای جایگزین را برای مدیریت
مواجهه از قبیل تغییر قواعد دیوار آتش، افزایش نظارتهای ورودی یا بهروزرسانی امضاهای دیجیتال در نظر میگیرد.
گام نهم- پاسخگویی به حادثه
امنیت سیستمهای سازمانی فقط روی نحوه پاسخگویی به نقض امنیتی تأثیر دارد. پاسخگویی سریع به یک حادثه امنیتی، اثر این حادثه را روی سازمان تا حدود زیادی کاهش میدهد. هرچند که بسیاری از سازمانها به پاسخگویی به حادثه به چشم یک عملکرد که فقط درصورت نقض امنیت مورداستفاده قرار میگیرد، نگاه میکنند. چشمانداز تهدید مدرن نیاز به یک رویکرد پیشگیرانهتر برای پاسخگویی به حوادث بالقوه و شناختهشده دارد.
کشف آسیبپذیری بحرانی به خودی خود به این معنا نیست که نقض امنیتی اتفاق افتاده است، بلکه نشان میدهد که فرایند پاسخگویی به حادثه هشدار میدهد که پاسخگویی به حادثه میتواند مزایایی نیز داشتهباشد و همچنین این اجازه را به گروه پاسخگویی به حادثه میدهد که ابزارهای مناسب را در اختیار داشته باشند و نظارت بر امنیت را به منظور پاسخ مناسب به کار ببرند. وقتی یک حادثه رخ میدهد، لازم است که فرایند مدیریت آسیبپذیری، یکپارچهسازی شود تا سیستمها بتوانند آسیبپذیری بالقوه را بهعنوان نقطه بالقوه توافق، بپذیرند یا حذف کنند. بهعلاوه فرایند مدیریت آسیبپذیری میتواند به گروه پاسخگویی به حادثه در شناخت آسیبپذیریهای بالقوهای یاری برساند که هکرها میتوانند به عنوان اهرمی برای ورود به سیستم از آن استفاده
کنند.
گام دهم- اتوماسیون
کلید نهایی برای برنامه مدیریت آسیبپذیری موفق، اتوماسیون است. را هحلهای امنیتی بهعنوان وسیلهای برای توقف یا پیشگیری از نقض امنیتی مورداستفاده قرار میگیرد. هرچند درواقع این مسئله بهعنوان یک مورد بالقوه به شمار نمیرود. بسته به کسی یا چیزی که سیستم را هک میکند، را هحلهای امنیتی مختلف ممکن است، فرایند هک کردن را تسریع کند یا اینکه آن را صرفاً به تأخیر بیندازد. بنابراین این راهحل ها، اهمیت بسیار زیادی دارند. یکی دیگر از انگیزههای استفاده از اتوماسیون، این است که حجم اطلاعات موردنیاز بهخوبی بررسی و پردازش میشود. این مسئله هم به اندازه و پیچیدگی محیطی بستگی دارد که آن را مدیریت میکنیم، اما بسیاری از شبکههای بزرگ به صورت همواره دستگاههایی را اضافه میکنند، تغییر میدهند و حذف میکنند.
پردازش دستی مقادیر زیادی از اطلاعات، بسیار وقتگیراست. همچنین در چنین پردازشی، احتمال خطا نیز بالا میرود. دلیل نهایی و اصلی استفاده از اتوماسیون، کاهش نقش عنصر انسانی در فرایندهاست تا بدینوسیله ریسک حاصل از خطای انسانی را کاهش دهیم.