ویرگول
ورودثبت نام
شایان کیان پور
شایان کیان پورمقالات در حوزه امنیت، DevOps و بازیسازی بصورت مرتب در این صفحه آپلود میشود ، این مقالات یا نوشته من هست یا بهترین اطلاعات جمع آوری شده . knpshayan@gmail.com
شایان کیان پور
شایان کیان پور
خواندن ۴ دقیقه·۱ روز پیش

مفهوم Risk چیست؟ آشنایی با ریسک در امنیت سایبری

مقدمه

یکی از رایج‌ترین اشتباهات در امنیت سایبری این است که تصور کنیم همه آسیب‌پذیری‌ها به یک اندازه خطرناک هستند. در عمل، این‌طور نیست. ممکن است یک سرور ده‌ها آسیب‌پذیری داشته باشد، اما فقط چند مورد از آن‌ها واقعاً نیازمند اقدام فوری باشند.

دلیل این موضوع، مفهوم Risk یا ریسک است.

در امنیت اطلاعات، تصمیم‌گیری بر اساس ریسک انجام می‌شود، نه صرفاً بر اساس تعداد آسیب‌پذیری‌ها. مدیران امنیت، مدیران فناوری اطلاعات و کارشناسان DevOps ابتدا ریسک را ارزیابی می‌کنند و سپس برای کاهش آن برنامه‌ریزی می‌کنند.

در این مقاله با مفهوم Risk، عوامل مؤثر بر آن، انواع ریسک، مثال‌های واقعی و روش‌های مدیریت ریسک آشنا خواهیم شد.


Risk چیست؟

Risk یا ریسک، احتمال وقوع یک حادثه امنیتی به همراه میزان خسارتی است که آن حادثه می‌تواند ایجاد کند.

به بیان ساده:

ریسک یعنی «احتمال اینکه یک تهدید بتواند از یک آسیب‌پذیری سوءاستفاده کند و چه میزان خسارت به سازمان وارد شود.»

بنابراین ریسک فقط به احتمال وقوع وابسته نیست؛ شدت پیامدها نیز نقش مهمی دارد.


یک مثال ساده

فرض کنید دو سرور در اختیار دارید.

سرور اول

  • فقط برای آزمایش استفاده می‌شود.

  • اطلاعات مهمی روی آن وجود ندارد.

سرور دوم

  • اطلاعات مالی هزاران مشتری را نگهداری می‌کند.

  • وب‌سایت اصلی شرکت روی آن اجرا می‌شود.

اگر هر دو دارای یک آسیب‌پذیری یکسان باشند، ریسک آن‌ها برابر نیست.

زیرا خسارت ناشی از نفوذ به سرور دوم بسیار بیشتر خواهد بود.


عوامل تشکیل‌دهنده Risk

ریسک معمولاً از سه عامل اصلی تشکیل می‌شود:

  • Threat (تهدید)

  • Vulnerability (آسیب‌پذیری)

  • Impact (میزان خسارت)

هرچه احتمال وقوع حمله بیشتر باشد و خسارت آن نیز بیشتر باشد، ریسک افزایش پیدا می‌کند.


یک مثال واقعی

فرض کنید:

  • SSH روی اینترنت باز است.

  • رمز عبور بسیار ضعیفی انتخاب شده است.

  • سرور میزبان اطلاعات مشتریان است.

در این مثال:

  • مهاجم = Threat

  • رمز عبور ضعیف = Vulnerability

  • اطلاعات مشتریان = Asset

  • احتمال نفوذ بالا + خسارت زیاد = High Risk


انواع ریسک


۱. Low Risk (ریسک پایین)

احتمال وقوع کم است یا خسارت چندان مهم نیست.

نمونه‌ها:

  • آسیب‌پذیری در یک محیط آزمایشی

  • وجود سرویس غیرفعال

  • ضعف امنیتی در سیستم بدون اطلاعات مهم


۲. Medium Risk (ریسک متوسط)

احتمال وقوع یا میزان خسارت در سطح متوسط قرار دارد.

نمونه‌ها:

  • نسخه قدیمی یک نرم‌افزار داخلی

  • سرویس مدیریتی محدود به شبکه داخلی


۳. High Risk (ریسک بالا)

هم احتمال وقوع زیاد است و هم پیامدهای آن می‌تواند جدی باشد.

نمونه‌ها:

  • آسیب‌پذیری اجرای کد از راه دور (RCE)

  • دسترسی بدون احراز هویت

  • نشت اطلاعات کاربران

  • حمله به سامانه‌های مالی


مثال در سرور لینوکسی

فرض کنید:

  • Root Login فعال است.

  • رمز عبور Root بسیار ساده است.

  • SSH از اینترنت قابل دسترس است.

این ترکیب، یک ریسک بسیار بالا ایجاد می‌کند؛ زیرا مهاجم می‌تواند با حمله Brute Force کنترل کامل سرور را در اختیار بگیرد.


مثال در Windows Server

فرض کنید:

  • RDP مستقیماً روی اینترنت منتشر شده است.

  • هیچ محدودیتی روی IP وجود ندارد.

  • احراز هویت چندمرحله‌ای (MFA) فعال نیست.

در این شرایط، احتمال حملات Brute Force و Password Spraying افزایش می‌یابد و ریسک سیستم بالا خواهد بود.


مثال در وب‌سایت

فرض کنید یک فروشگاه اینترنتی دارای آسیب‌پذیری SQL Injection است.

اگر این آسیب‌پذیری امکان دسترسی به اطلاعات کاربران را فراهم کند، ریسک بسیار بالاست، زیرا:

  • اطلاعات حساس در معرض افشا قرار می‌گیرد.

  • اعتماد مشتریان از بین می‌رود.

  • خسارت مالی و حقوقی ایجاد می‌شود.


چگونه ریسک را ارزیابی کنیم؟

در ارزیابی ریسک معمولاً به سؤالات زیر پاسخ داده می‌شود:

  • چه دارایی‌هایی باید محافظت شوند؟

  • چه تهدیدهایی وجود دارند؟

  • چه آسیب‌پذیری‌هایی شناسایی شده‌اند؟

  • احتمال سوءاستفاده چقدر است؟

  • در صورت موفقیت حمله، خسارت چقدر خواهد بود؟

پاسخ به این سؤالات، اولویت اقدامات امنیتی را مشخص می‌کند.


کاهش ریسک

هدف امنیت سایبری حذف کامل ریسک نیست؛ زیرا این کار تقریباً غیرممکن است.

هدف اصلی، کاهش ریسک تا سطح قابل قبول است.

راهکارهای متداول:

  • نصب وصله‌های امنیتی

  • حذف سرویس‌های غیرضروری

  • استفاده از فایروال

  • استفاده از MFA

  • محدود کردن دسترسی کاربران

  • تهیه نسخه پشتیبان

  • مانیتورینگ مداوم

  • آموزش کاربران

  • انجام تست نفوذ

  • اسکن منظم آسیب‌پذیری‌ها


مدیریت ریسک (Risk Management)

مدیریت ریسک یک فرایند مداوم است و معمولاً شامل مراحل زیر می‌شود:

  1. شناسایی دارایی‌ها (Assets)

  2. شناسایی تهدیدها (Threats)

  3. شناسایی آسیب‌پذیری‌ها (Vulnerabilities)

  4. ارزیابی احتمال وقوع

  5. ارزیابی میزان خسارت

  6. تعیین اولویت‌ها

  7. اجرای اقدامات اصلاحی

  8. پایش و بازبینی مستمر

این چرخه در سازمان‌ها به‌طور مداوم تکرار می‌شود.


تفاوت Risk و Vulnerability

این دو مفهوم مکمل یکدیگر هستند اما یکسان نیستند.

VulnerabilityRiskیک ضعف امنیتی استاحتمال و پیامد سوءاستفاده از آن ضعفممکن است هرگز مورد سوءاستفاده قرار نگیردبر اساس احتمال و خسارت ارزیابی می‌شود


تفاوت Risk و Threat

ThreatRiskعامل بالقوه آسیب‌رساناحتمال و اثر موفقیت تهدیدممکن است همیشه وجود داشته باشدبسته به شرایط تغییر می‌کند


یک مثال عملی

فرض کنید روی سرور شما سرویس Redis بدون احراز هویت فعال است.

سناریو:

  • Redis روی اینترنت قابل دسترس است. (Attack Surface)

  • مهاجمان در حال اسکن اینترنت هستند. (Threat)

  • Redis بدون رمز عبور اجرا می‌شود. (Vulnerability)

  • مهاجم از این ضعف استفاده می‌کند. (Exploit)

  • اطلاعات حذف یا تغییر می‌کنند. (Attack)

  • احتمال وقوع بالا و خسارت زیاد است. (High Risk)

این مثال نشان می‌دهد که چرا ریسک تنها با مشاهده یک آسیب‌پذیری مشخص نمی‌شود؛ بلکه شرایط محیط و ارزش دارایی نیز اهمیت دارد.


ارتباط Risk با CVSS

در بسیاری از گزارش‌های امنیتی، شدت آسیب‌پذیری با استفاده از CVSS بیان می‌شود.

اما باید توجه داشت:

  • CVSS شدت فنی یک آسیب‌پذیری را نشان می‌دهد.

  • Risk میزان خطر واقعی آن برای سازمان شما را مشخص می‌کند.

ممکن است یک آسیب‌پذیری با CVSS بالا روی سیستمی غیرفعال باشد و ریسک کمی داشته باشد، در حالی که یک آسیب‌پذیری با امتیاز پایین‌تر روی سرور اصلی سازمان، ریسک بسیار بالاتری ایجاد کند.


جمع‌بندی

Risk یا ریسک، احتمال وقوع یک حادثه امنیتی همراه با میزان خسارت ناشی از آن است. در امنیت سایبری، تصمیم‌گیری بر اساس ریسک انجام می‌شود و نه صرفاً بر اساس تعداد آسیب‌پذیری‌ها.

یک سازمان باید ابتدا دارایی‌های ارزشمند خود را شناسایی کند، سپس تهدیدها و آسیب‌پذیری‌ها را ارزیابی کرده و منابع خود را برای کاهش مهم‌ترین ریسک‌ها اختصاص دهد. این رویکرد باعث می‌شود زمان و هزینه صرف مهم‌ترین مشکلات امنیتی شود و سطح امنیت زیرساخت به‌صورت مؤثرتری افزایش یابد.

کیان پور

امنیت سایبریهکنفوذشبکه
۰
۰
شایان کیان پور
شایان کیان پور
مقالات در حوزه امنیت، DevOps و بازیسازی بصورت مرتب در این صفحه آپلود میشود ، این مقالات یا نوشته من هست یا بهترین اطلاعات جمع آوری شده . knpshayan@gmail.com
شاید از این پست‌ها خوشتان بیاید