تحلیل MORT (Management Oversight and Risk Tree) یکی از روشهای ساختاری و نظاممند برای شناسایی علل ریشهای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل میپردازد: نقص در کنترلها و نارساییهای مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل میکند و نشان میدهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاستها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیهوتحلیل هر گره از درخت، سازمان میتواند علتهای واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیطهای امنیت سایبری کمک میکند تا کنترلها مؤثرتر طراحی شوند، شکافهای مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمانمحور نسبت به مدیریت ریسک و پاسخگویی به رخدادها ارائه میدهد.
مثال MORT در یک حمله APT
یک سازمان دولتی هدف یک APT قرار میگیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب میکند و پس از چهار ماه حرکت جانبی (Lateral Movement)، دادههای حساس را استخراج میکند. حادثه زمانی کشف میشود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده میکند.
تحلیل MORT: ریشههای فنی و مدیریتی
✔ مسیر ۱: نقص در کنترلها (Control Factors)
وصلهها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد
وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint
هشدارهای SIEM بهدلیل misconfiguration به Incident Queue منتقل نمیشد
وMFA روی حسابهای ادمین فعال نبود
مهاجم بهراحتی Privilege Escalation انجام داد
✔ مسیر ۲: نارساییهای مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخگویی و نظارت کاهش یافته
نبود سیاست الزامآور برای مقاوم سازی سیستمها
عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing
رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف
عدم انجام Red Team یا Threat Hunting دورهای
نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعفهای مدیریتی، کنترلهای ناقص، و نظارت ناکافی بود.
تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.
منبع : درس CISSP
اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است
#آکادمی_روزبه
