یکی از رایجترین اشتباهات در امنیت سایبری این است که تصور کنیم همه آسیبپذیریها به یک اندازه خطرناک هستند. در عمل، اینطور نیست. ممکن است یک سرور دهها آسیبپذیری داشته باشد، اما فقط چند مورد از آنها واقعاً نیازمند اقدام فوری باشند.
دلیل این موضوع، مفهوم Risk یا ریسک است.
در امنیت اطلاعات، تصمیمگیری بر اساس ریسک انجام میشود، نه صرفاً بر اساس تعداد آسیبپذیریها. مدیران امنیت، مدیران فناوری اطلاعات و کارشناسان DevOps ابتدا ریسک را ارزیابی میکنند و سپس برای کاهش آن برنامهریزی میکنند.
در این مقاله با مفهوم Risk، عوامل مؤثر بر آن، انواع ریسک، مثالهای واقعی و روشهای مدیریت ریسک آشنا خواهیم شد.

Risk یا ریسک، احتمال وقوع یک حادثه امنیتی به همراه میزان خسارتی است که آن حادثه میتواند ایجاد کند.
به بیان ساده:
ریسک یعنی «احتمال اینکه یک تهدید بتواند از یک آسیبپذیری سوءاستفاده کند و چه میزان خسارت به سازمان وارد شود.»
بنابراین ریسک فقط به احتمال وقوع وابسته نیست؛ شدت پیامدها نیز نقش مهمی دارد.
فرض کنید دو سرور در اختیار دارید.
سرور اول
فقط برای آزمایش استفاده میشود.
اطلاعات مهمی روی آن وجود ندارد.
سرور دوم
اطلاعات مالی هزاران مشتری را نگهداری میکند.
وبسایت اصلی شرکت روی آن اجرا میشود.
اگر هر دو دارای یک آسیبپذیری یکسان باشند، ریسک آنها برابر نیست.
زیرا خسارت ناشی از نفوذ به سرور دوم بسیار بیشتر خواهد بود.
ریسک معمولاً از سه عامل اصلی تشکیل میشود:
Threat (تهدید)
Vulnerability (آسیبپذیری)
Impact (میزان خسارت)
هرچه احتمال وقوع حمله بیشتر باشد و خسارت آن نیز بیشتر باشد، ریسک افزایش پیدا میکند.
فرض کنید:
SSH روی اینترنت باز است.
رمز عبور بسیار ضعیفی انتخاب شده است.
سرور میزبان اطلاعات مشتریان است.
در این مثال:
مهاجم = Threat
رمز عبور ضعیف = Vulnerability
اطلاعات مشتریان = Asset
احتمال نفوذ بالا + خسارت زیاد = High Risk
احتمال وقوع کم است یا خسارت چندان مهم نیست.
نمونهها:
آسیبپذیری در یک محیط آزمایشی
وجود سرویس غیرفعال
ضعف امنیتی در سیستم بدون اطلاعات مهم
احتمال وقوع یا میزان خسارت در سطح متوسط قرار دارد.
نمونهها:
نسخه قدیمی یک نرمافزار داخلی
سرویس مدیریتی محدود به شبکه داخلی
هم احتمال وقوع زیاد است و هم پیامدهای آن میتواند جدی باشد.
نمونهها:
آسیبپذیری اجرای کد از راه دور (RCE)
دسترسی بدون احراز هویت
نشت اطلاعات کاربران
حمله به سامانههای مالی
فرض کنید:
Root Login فعال است.
رمز عبور Root بسیار ساده است.
SSH از اینترنت قابل دسترس است.
این ترکیب، یک ریسک بسیار بالا ایجاد میکند؛ زیرا مهاجم میتواند با حمله Brute Force کنترل کامل سرور را در اختیار بگیرد.
فرض کنید:
RDP مستقیماً روی اینترنت منتشر شده است.
هیچ محدودیتی روی IP وجود ندارد.
احراز هویت چندمرحلهای (MFA) فعال نیست.
در این شرایط، احتمال حملات Brute Force و Password Spraying افزایش مییابد و ریسک سیستم بالا خواهد بود.
فرض کنید یک فروشگاه اینترنتی دارای آسیبپذیری SQL Injection است.
اگر این آسیبپذیری امکان دسترسی به اطلاعات کاربران را فراهم کند، ریسک بسیار بالاست، زیرا:
اطلاعات حساس در معرض افشا قرار میگیرد.
اعتماد مشتریان از بین میرود.
خسارت مالی و حقوقی ایجاد میشود.
در ارزیابی ریسک معمولاً به سؤالات زیر پاسخ داده میشود:
چه داراییهایی باید محافظت شوند؟
چه تهدیدهایی وجود دارند؟
چه آسیبپذیریهایی شناسایی شدهاند؟
احتمال سوءاستفاده چقدر است؟
در صورت موفقیت حمله، خسارت چقدر خواهد بود؟
پاسخ به این سؤالات، اولویت اقدامات امنیتی را مشخص میکند.
هدف امنیت سایبری حذف کامل ریسک نیست؛ زیرا این کار تقریباً غیرممکن است.
هدف اصلی، کاهش ریسک تا سطح قابل قبول است.
راهکارهای متداول:
نصب وصلههای امنیتی
حذف سرویسهای غیرضروری
استفاده از فایروال
استفاده از MFA
محدود کردن دسترسی کاربران
تهیه نسخه پشتیبان
مانیتورینگ مداوم
آموزش کاربران
انجام تست نفوذ
اسکن منظم آسیبپذیریها

مدیریت ریسک یک فرایند مداوم است و معمولاً شامل مراحل زیر میشود:
شناسایی داراییها (Assets)
شناسایی تهدیدها (Threats)
شناسایی آسیبپذیریها (Vulnerabilities)
ارزیابی احتمال وقوع
ارزیابی میزان خسارت
تعیین اولویتها
اجرای اقدامات اصلاحی
پایش و بازبینی مستمر
این چرخه در سازمانها بهطور مداوم تکرار میشود.
این دو مفهوم مکمل یکدیگر هستند اما یکسان نیستند.
VulnerabilityRiskیک ضعف امنیتی استاحتمال و پیامد سوءاستفاده از آن ضعفممکن است هرگز مورد سوءاستفاده قرار نگیردبر اساس احتمال و خسارت ارزیابی میشود
ThreatRiskعامل بالقوه آسیبرساناحتمال و اثر موفقیت تهدیدممکن است همیشه وجود داشته باشدبسته به شرایط تغییر میکند
فرض کنید روی سرور شما سرویس Redis بدون احراز هویت فعال است.
سناریو:
Redis روی اینترنت قابل دسترس است. (Attack Surface)
مهاجمان در حال اسکن اینترنت هستند. (Threat)
Redis بدون رمز عبور اجرا میشود. (Vulnerability)
مهاجم از این ضعف استفاده میکند. (Exploit)
اطلاعات حذف یا تغییر میکنند. (Attack)
احتمال وقوع بالا و خسارت زیاد است. (High Risk)
این مثال نشان میدهد که چرا ریسک تنها با مشاهده یک آسیبپذیری مشخص نمیشود؛ بلکه شرایط محیط و ارزش دارایی نیز اهمیت دارد.
در بسیاری از گزارشهای امنیتی، شدت آسیبپذیری با استفاده از CVSS بیان میشود.
اما باید توجه داشت:
CVSS شدت فنی یک آسیبپذیری را نشان میدهد.
Risk میزان خطر واقعی آن برای سازمان شما را مشخص میکند.
ممکن است یک آسیبپذیری با CVSS بالا روی سیستمی غیرفعال باشد و ریسک کمی داشته باشد، در حالی که یک آسیبپذیری با امتیاز پایینتر روی سرور اصلی سازمان، ریسک بسیار بالاتری ایجاد کند.
Risk یا ریسک، احتمال وقوع یک حادثه امنیتی همراه با میزان خسارت ناشی از آن است. در امنیت سایبری، تصمیمگیری بر اساس ریسک انجام میشود و نه صرفاً بر اساس تعداد آسیبپذیریها.
یک سازمان باید ابتدا داراییهای ارزشمند خود را شناسایی کند، سپس تهدیدها و آسیبپذیریها را ارزیابی کرده و منابع خود را برای کاهش مهمترین ریسکها اختصاص دهد. این رویکرد باعث میشود زمان و هزینه صرف مهمترین مشکلات امنیتی شود و سطح امنیت زیرساخت بهصورت مؤثرتری افزایش یابد.
کیان پور