مدیریت موثر آسیب‌پذیری‌ها در 10 گام

اطلاعات، سرمایه‌ای با ارزش برای هر سازمانی است. با این حال، اطلاعات به چالشی برای امنیت تبدیل شده‌است.

وقتی که مقدار اطلاعات به‌طور قابل توجهی افزایش می‌یابد به همان اندازه نیز انگیزه تبهکاران و هکرها برای دستیابی به آن بیشتر و بیشتر می‌شود. داده‌‌ها در سرتاسر سیستم‌ها، شبکه‌ها و دستگاه‌ها گسترده شده‌اند که آن را در معرض خطر قرار می‌دهد.

برای تضمین و اطمینان ازاینکه ابزاری وجودداشته باشد که بتواند به‌طور پیش‌گستر این آسیب‌ها را شناسایی کند و به تهدیدهای امنیتی واکنش مناسب نشان دهد، یک سازمان نیاز به پیاده‌سازی یک برنامه جامع مدیریت آسیب‌پذیری دارد که با سایر انضباطات یکپارچه شود. این امر باعث می‌شود که آسیب‌پذیری‌ها خیلی زود تشخیص داده شوند تا فرایندهای دیگری همچون مدیریت پچ، سازمان را از یک نفوذ و نقض امنیت بالقوه محافظت کند. گام‌هایی که باید برای ایجاد یک برنامه مؤثر مدیریت آسیب‌پذیری برداشته شود، شامل موارد زیر است:

گام اول_ مدیریت و شناسایی اطلاعات

برای محافظت از هر چیز، اولین چیزی که مهم است آگاهی از وجود، ماهیت و محل آن است. اولین گام مهم در محافظت از امنیت شبکه این است که تمام اطلاعات باارزش موجود روی شبکه شناسایی شود. این اطلاعات با ارزش باید شامل هر عنصری باشد که محیط محاسبه را تشکیل می‌دهد مثل فایروال‌ها، روترها، سوئیچ‌ها، سرورها، ‌سیستم‌های عامل پرینترها، نرم‌افزار سیستمی و نرمافزار کاربردی.

باید ارتباط و وابستگی‌های بین اطلاعات مختلف نیز شناسایی و ثبت شوند. ثبت رابطه و وابستگی بین اطلاعات، این امکان فراهم می‌کند تا مسیری را تعیین کند که مهاجم اطلاعات را با استفاده از آن در معرض خسارت قرار می‌دهد. این امر به تعیین سطح هر آسیب‌پذیری که در مقابل اطلاعات وجو دارد کمک می‌کند. ممکن است داده‌هایی که احتمال آسیب‌پذیری آنها وجود دارد از ارزش بالایی برای سازمان برخوردار نباشد؛ از سویی ممکن است یک داده با ارزش بالا به داده‌های آسیب‌پذیری متصل باشد که آن داده‌ها بر روی اینکه چگونه آن آسیب‌پذیری مدیریت شود، تاثیرگذار باشد.

شناسایی و ثبت اطلاعات مادامی که این اطلاعات به شبکه وصل یا از آن قطع می‌شوند، اطمینان از دید سازگاری از تمام آسیب‌پذیری‌ها است. اگر شبکه ساکن باشد و دستگاه‌ها دائم به آن وصل یا از آن قطع نشوند در این صورت امکان ثبت دستی این دستگاه‌ها وجود دارد. با این حال اکثر شبکه‌ها پایدار نیستند و دستگاه‌هایی مثل لپ‌تاپ‌ها به‌طور دائم قطع و وصل می‌شوند. در این وضعیت، لازم است از روش‌هایی برای شناسایی خودکار دستگاه‌ها مادامی که به شبکه متصل می‌شوند، استفاده شود.

گام دوم - شناسایی آسیب‌پذیری

با آگاهی از اینکه چه آسیب‌پذیری‌هایی برای هر داده و اهمیت آن وجود دارد، می‌توان به بهترین نحو از آن داده

محافظت کرد. ممکن است روی هر دستگاه و اطلاعاتی به خاطر فقدان پچ‌ها، نرم‌افزار قدیمی، کلمات عبور یا

پیکربندی‌های ضعیف آسیب‌پذیری وجود داشته‌باشد.

اینکه بهره‌برداری از این آسیب‌پذیری چقدر می‌تواند آسان باشد درجه و سطح آسیب‌پذیری را تعیین می‌کند. فهم درجه و سطح آسیب‌پذیری شناسایی‌شده، سازما‌ن‌ها را قادر می‌سازد تا منابع مورد نیاز را برای حفاظت از داده‌ها بر اساس اولویت دسته‌بندی کند.

گام سوم- آسیب‌پذیری سازگار

در بازه زمانی کوتاه، رصد آسیبپذیری فقط دید محدودی از موقعیت امنیتی بالقوه را فراهم می‌آورد. هر زمان که

آسیب‌پذیری جدید که نتیجه باگ‌های نرم‌افزاری است معرفی می‌شود، دستگاه‌های جدیدی به شبکه اضافه می‌شوند یا تغییراتی که به سیستم‌ها اعمال می‌شود، تشخیص داده نخواهندشد و تا زمان انجام اسکن بعدی این سیستم‌ها همچنان در معرض خطر قرار دارند و آسیب‌پذیری‌ها شناسایی نمی‌شوند. چنان‌چه اسکن‌ها به اندازه کافی انجام نگیرد، همچنان تعداد زیادی از آسیب‌پذیری‌ها وجود خواهد داشت که بعد از هر اسکن شناسایی می‌شوند. در برخی از موارد، حجم کاملی از آسیب‌پذیری‌های کشف شده، می‌تواند هر اقدام و عمل جبرانی را از عمل بازدارد.

گام چهارم- ارزیابی ریسک

تمام دستگاه‌ها و اطلاعات به سطح یکسانی از امنیت نیاز ندارند. بسته به ارزش اطلاعات یک سازمان و اینکه چقدر این اطلاعات در معرض ریسک قرار دارد، گام‌هایی برای محافظت از آنها نیاز خواهدبود. ریسک اغلب به عنوان اثر یک حمله موجود، توصیف می‌شود که با احتمال رخداد و

پیچیدگی موفقیت موازنه می‌شود. آسیب‌پذیری در حقیقت چیزی است که به حمله‌کننده اجازه می‌دهد تا یک ورودی را در یک محیط محافظت‌شده دیگری پیدا کند. یک کلمه عبور ضعیف احتمال ریسک را افزایش می‌دهد و اجازه دسترسی غیرمجاز به سیستم را می‌دهد. یک پچ گم‌شده بر روی یک سرور وب ریسک یک حمله‌کننده را که از آن آسیب‌پذیری استفاده می‌کند، افزایش می‌دهد تا دسترسی به سرور را به‌دست آورد. تصمیمات اتخاذ شده مدیریت ریسک بر سطوحی از ریسک که در مقابل اطلاعات قرار دارد به جزییات دقیق و به‌موقعی در مورد آسیب‌پذیری‌های موجود نیاز دارد. استفادها ز یک روش مدیریت آسیب‌پذیری سازگار، داده‌هایی را فراهم می‌کند تا از یک فرایند مدیریت موثر ریسک حمایت کند.

گام پنجم- مدیریت تغییر

تغییرات دائما روی بسیاری از شبکه‌ها و سیستم‌ها رخ می‌دهد. نرم‌افزار به‌روزرسانی می‌شود، سخت‌افزار اضافه

یا حذف می‌شود و برنامه‌های کاربردی دائما به‌روزرسانی می‌شوند. هر تغییری، این پتانسیل را دارد که مشکلات یا آسیب‌پذیری‌های جدیدی را معرفی کند. این آسیب‌پذیر‌ی‌ها می‌تواند امنیت سازمان را به مخاطره بیندازد. یکپارچه‌سازی مدیریت تغییر با یک فرایند مدیریت آسیب‌پذیری سازگار از مشکلات امنیتی بالقوه‌ای جلوگیری می‌کند که این مشکلات قبلا شناسایی و به آنها رسیدگی شده‌است.

گام ششم- مدیریت وصله

یک برنامه مدیریت آسیب‌پذیری مؤثر باید به آرامی با وصله، یکپارچه‌سازی شده و فرایندهای مدیریت را پیاده‌سازی کند.

به‌روزرسانی نرم‌افزارها، مطابق با معیارهای سازمانی آنها برای سیستم‌ها و دارایی‌ها انجام می‌شود. بازخوردهای

برنامه مدیریت وصله باید برای برنامه مدیریت آسیب‌پذیری به کار گرفته شود تا به‌واسطه این برنامه به آسیب‌پذیری‌ها پرداخته شود. فرایند مدیریت وصله باید با فرایند مدیریت تغییر، یکپارچه‌سازی شود تا انجام به‌روزرسانی‌های نرم‌افزاری و نسخه‌ها را در یک حالت کنترل‌شده‌ای تضمین کند. همچنین مهم است که تضمین کند هرگونه به‌روزرسانی را در یک حالت صحیح و مشخصی انجام دهد.

گام هفتم- مدیریت دستگاه تلفن همراه

دستگاه‌های تلفن همراه، در حال حاضر بخش فراگیری از چشم‌انداز فناوری اطلاعات است که مدیریت ریسک و

امنیت منحصربه‌فردی را تضمین می‌کند. دستگاه‌های تلفن همراه از روش‌های مدیریت انطباق و آسیب‌پذیری سنتی و مالکیت مخلوط و مدل‌های کنترل که در سیاست اختلاف ایجاد می‌کند، دوری می‌کنند.

یکپارچه‌سازی با سیستم‌های مدیریت دستگاه تلفن همراه یا فناوری درحال توسعه مثل عوامل این امکان را به سازما‌ن‌ها می‌دهد که دستگاه‌های تلفن همراه را به دارایی‌های معلوم خود اضافه کرده و به‌عنوان بخشی از برنامه مدیریت آسیب‌پذیری مدیریت کنند.

گام هشتم- مدیریت کاهش خطرات

یکی از عناصری که به‌عنوان بخشی از یک برنامه مدیریت آسیب‌پذیری مؤثر نادیده گرفته می‌شود، چگونگی

مدیریت آسیب‌پذیری اتفاقاتی است که در به‌روزرسانی نرم افزار یا رسیدگی به آسیب‌پذیری‌های موجود است.

همیشه از زمان کشف یک آسیب‌پذیری تا رفع دائمی آن، یک دوره زمانی وجود دارد؛ درنتیجه در مورد دارایی‌های یک سازمان، توافق می‌شود تا این آسیب‌پذیری رفع شود.

یک برنامه مؤثر مدیریت آسیب‌پذیری، تا زمان رفع مشکل توسط تأمین‌کننده، راه‌های جایگزین را برای مدیریت

مواجهه از قبیل تغییر قواعد دیوار آتش، افزایش نظارت‌های ورودی یا به‌روزرسانی امضاهای دیجیتال در نظر می‌گیرد.

گام نهم- پاسخگویی به حادثه

امنیت سیستم‌های سازمانی فقط روی نحوه پاسخگویی به نقض امنیتی تأثیر دارد. پاسخگویی سریع به یک حادثه امنیتی، اثر این حادثه را روی سازمان تا حدود زیادی کاهش می‌دهد. هرچند که بسیاری از سازمان‌ها به پاسخگویی به حادثه به چشم یک عملکرد که فقط درصورت نقض امنیت مورداستفاده قرار می‌گیرد، نگاه می‌کنند. چشم‌انداز تهدید مدرن نیاز به یک رویکرد پیشگیرانه‌تر برای پاسخگویی به حوادث بالقوه و شناخته‌شده دارد.

کشف آسیب‌پذیری بحرانی به خودی خود به این معنا نیست که نقض امنیتی اتفاق افتاده است، بلکه نشان می‌دهد که فرایند پاسخگویی به حادثه هشدار می‌دهد که پاسخگویی به حادثه می‌تواند مزایایی نیز داشته‌باشد و همچنین این اجازه را به گروه پاسخگویی به حادثه می‌دهد که ابزارهای مناسب را در اختیار داشته باشند و نظارت بر امنیت را به منظور پاسخ مناسب به کار ببرند. وقتی یک حادثه رخ می‌دهد، لازم است که فرایند مدیریت آسیب‌پذیری، یکپارچه‌سازی شود تا سیستم‌ها بتوانند آسیب‌پذیری بالقوه را به‌عنوان نقطه بالقوه توافق، بپذیرند یا حذف کنند. به‌علاوه فرایند مدیریت آسیب‌پذیری می‌تواند به گروه پاسخگویی به حادثه در شناخت آسیب‌پذیری‌های بالقوه‌ای یاری برساند که هکرها می‌توانند به عنوان اهرمی برای ورود به سیستم از آن استفاده

کنند.

گام دهم- اتوماسیون

کلید نهایی برای برنامه مدیریت آسیب‌پذیری موفق، اتوماسیون است. را ه‌حل‌های امنیتی به‌عنوان وسیله‌ای برای توقف یا پیشگیری از نقض امنیتی مورداستفاده قرار می‌گیرد. هرچند درواقع این مسئله به‌عنوان یک مورد بالقوه به شمار نمی‌رود. بسته به کسی یا چیزی که سیستم را هک می‌کند، را ه‌حل‌های امنیتی مختلف ممکن است، فرایند هک کردن را تسریع کند یا اینکه آن را صرفاً به تأخیر بیندازد. بنابراین این راه‌حل ها، اهمیت بسیار زیادی دارند. یکی دیگر از انگیزه‌های استفاده از اتوماسیون، این است که حجم اطلاعات موردنیاز به‌خوبی بررسی و پردازش می‌شود. این مسئله هم به اندازه و پیچیدگی محیطی بستگی دارد که آن را مدیریت می‌کنیم، اما بسیاری از شبکه‌های بزرگ به صورت همواره دستگاه‌هایی را اضافه می‌کنند، تغییر می‌دهند و حذف می‌کنند.

پردازش دستی مقادیر زیادی از اطلاعات، بسیار وقت‌گیراست. همچنین در چنین پردازشی، احتمال خطا نیز بالا می‌رود. دلیل نهایی و اصلی استفاده از اتوماسیون، کاهش نقش عنصر انسانی در فرایندهاست تا بدین‌وسیله ریسک حاصل از خطای انسانی را کاهش دهیم.