با توجه به اهمیت ایمن‌سازی و طراحی امن سامانه‌های نرم‌افزاری در توسعه کسب و کار، مجموعه باگ بانتی باگدشت برای دومین مرحله دوره سیاست گذاری امنیت سایبری را مختص کسب و کارهای حوزه فینتک برگزار نمود.

این دوره با همکاری مجموعه خدمات انفورماتیک (iFinc) در محل کارخانه نوآوری هم‌آوا توسط مهندس علیرضا قهرود برگزار گردید. در این پست به سرفصل این دوره و دلایل نیازمندی مدیران کسب و کارها و استارتاپ‌ها در این دوره پرداخته شده است.

یکی از مشکلات در پیاده سازی امنیت، عدم اطلاع و آشنایی کاربران داخل سازمان‌ها می‌باشد و آمار قابل توجهی از وقوع حملات هکری و نفوذ به سازمان‌ها از این طریق اجرا می‌شوند. برای مثال کمپانی Sony Picture در اثر اهمیت ندادن به حوزه امنیت باعث شد مهاجمین با دسترسی به سرورهای سونی تمام فیلم‌های سرورهای سونی را به صورت رایگان در اختیار همه قرار دهند و منجربه سقوط شدید سهام این شرکت شد. برای بررسی این موضوع آمار حملات سایبری را بررسی می‌کنیم.

  1. رفتار مخرب بیرون سازمانی: ۶۹.۱۶ درصد این حملات را بر عهده دارد.
  2. از دست دادن اطلاعات به شکل تصادفی: ۱۸.۲۶ این حملات را بر عهده دارد.
  3. رفتار مخرب داخل سازمانی: ۷.۷۱ درصد این حملات را بر عهده دارد.
  4. فعالیت هکرها: ۳.۳۲ درصد این حملات را بر عهده دارد.
  5. حملات سازمان یافته: ۱.۵۴ درصد این حملات را بر عهده دارد.

در اکثر حملات سایبری هدف از کار انداختن و یا جایگزینی اطلاعات داخل سامانه نیست و در  اکثر مواقع برای سرقت اطلاعات شرکت، مهاجمین دست به اقدام می‌زنند. در یک بررسی انطباقی انجام شده در یکی از کسب و کارهای کشور با هماهنگی مدیران آن کسب و کار، اولین مشکل استفاده کارمندان شرکت از ایمیل سازمانی خود برای ثبت نام در شبکه‌های اجتماعی بود. اگر احیانا اطلاعات شبکه‌های اجتماعی نشت پیدا کنند ایمیل‌های سازمانی هم نشت پیدا می‌کنند. در بررسی دقیق‌تر متوجه شدیم که رمزهای عبور استفاده شده در شبکه‌های اجتماعی همان رمزهای عبور ایمیل‌های سازمانی است و جالب‌تر اینکه از طریق جستجو در شبکه‌های اجتماعی رمز این افراد به راحتی پیدا شدند. در سناریو واقعی اگر این اتفاق توسط مهاجمین می‌افتاد، از این روش می‌توانستند رمزعبور ایمیل کارمندان را در اختیار بگیرند.

نکته با اهمیت در مثال بالا، رعایت کردن تمام پرتکل‌ها توسط سازمان است. ولی بدلیل دانش ناکافی افراد سازمان در مورد اطلاعات سایبری، اجرای پرتکل‌های امنیتی سازمان را بی‌اثر می‌کند. در نتیجه رعایت کردن تمام پرتکل‌های امنیتی همراه با آموزش کارمندان اثر بخش است و سطح امنیت سایبری سازمان را افزایش می‌دهد.

چرخه ایمن‌سازی سازمان:

Identify:

سازمان با نادیده گرفتن شناسایی دارای خود نمی‌تواند خطرات و تهدیدات را شناسایی کند و درنتیجه برنامه‌ای برای محافظ در برابر خطرات و تهدیدات وجود ندارد. دارایی‌های یک شرکت که باید شناسایی شوند می‌توان از تعداد کارمندها، کامپیوترها و سرورها نام برد. برای هر دارای می‌تواند وزن تعیین کرد که بعد از تعیین خطرات و ضرب کردن در وزن هر دارایی اهمیت هر دارای مشخص می‌شود.

Protect:

مدیریت ریسک با بررسی لیست تجهیزات، آسیب‌پذیری‌ها و تهدیدات، تجهیزات را از پرخطر به بی‌خطر مرتب می‌کند. برای مثال، برای پوشش  دادن آسیب‌پذیری‌ها، مدیریت به‌روز رسانی ایجاد شود. به عنوان مثال دیگر، سروری که سیستم رمزنگاری ندارد، PKI پیاده‌سازی و برای سرور تحت SSL یا TLS راه‌اندازی شود.

Detect:

بررسی log سیستم و شناسایی رخدادهای برای پیدا کردن محل حملات و اتخاذ سیاست درست برای جلوگیری از حملات مخرب. برای پیاده سازی ‌Detect می‌توانیم از ‌SOC و ارزیابی امنیتی برای پیدا کردن باگ و ضعف سیستم  استفاده کنیم.

Respond:

پاسخ مناسب به حملات سایبری. برای مثال، با بررسی log فایروال، IP حمله کننده پیدا می‌شود. نشانه IP حمله کننده معمولا وارد کردن پسورد اشتباه با دفعات بالا است. سپس IP حمله کننده را مسدود می‌کنیم و جلوی حملات از این IP را می‌گیریم.

Recover:

بازیابی تمام اطلاعات از دست رفته بعد از حملات سایبری موفق.

نکته: سه مرحله Detect، Response و Recover زمانی که کسب و کار به بلوغ کافی رسید، اجرایی می‌شوند.

کنترل‌های CIS چیست؟

کنترل‌های CIS شامل ۲۰ عامل اجرایی است تمام متخصصان امنیت روی این موضوع توافق دارند که اجرای CIS می‌تواند حملات وسیع که امروزه رخ می‌دهد را کاهش دهد. دلیل اعتماد به این استاندارد بازخورد نتایج مثبت بعد از پیاده سازی CIS است. ماموریت CIS شناسایی، توسعه، سنجش اعتبار، ترویج و پایداری  بهترین تمرین برای امنیت سایبری و ساختن و راهنمای جامعه و ایجاد محیطی برای اطمینان به فضای امنیت سایبری است. ۲۰ کنترل امنیتی در عکس زیر آورده شده است.

دسته بندی بیست کنترل امنیتی:

  • Basic (CIS Controls 1-6):

این شش کنترل امنیتی باید در همه سازمان‌ها پیاده سازی شوند.

  • Foundational (CIS Controls 7-16):

این مرحله منفعت‌های CIS را واضح می‌کند و قابل پیاده سازی در هر سازمانی است.

  • Organizational (CIS Controls 17-20):

این بخش تکنیکال است و روی افراد و فرایند تمرکز دارد.

چک لیست‌های امنیتی نسخه تجاری یا نسخه رایگان دارند که تفاوتی باهم ندارند. نکته مهم دانش مورد نیاز در شخصی سازی اقدامات بر اساس نیاز سازمان است که بر روی عملکرد کسب و کار تاثیرگذار نباشد و در عین حال امنیت رعایت شود.

سازمان می‌بایست توسعه امن و ارزیابی مستمر بر اساس استانداردهای امنیتی و دانش به روز امنیتی را در اهداف خود قرار دهد. مهم‌ترین موضوع در امنیت این است که امنیت محصول نیست بلکه یه چرخش مداوم است که همان ۲۰ مورد CIS در یک سازمان مدام باید در حال به روزرسانی باشد.

بعد از اینکه آسیب‌پذیری‌ها توسط متخصصین امنیت و وندورها شناسایی و گزارش شدند، مسلما هکرهای کلاه سیاه نیز برای اکسپلویت آسیب‌پذیری شروع به کار و کدهای خود برای اهداف آسیب‌پذیری اجرا می‌کنند. هرگونه تاخیر زیاد در پیدا و یا رسیدگی کردن به آسیب‌پذیری‌های بحرانی، به هکرهای کلاه سیاه و مجرمان سایبری فرصت حمله با تاثیر مدوام می‌دهد و کنترل کامل سیستم‌های سازمان در اختیار و در نتیجه اطلاعات حساس سازمان را در اختیار حمله کننده قرار می‌گیرند.

 بر طبق CIS Control 20 با نام Penetration Tests and Red Team Exercises باگ بانتی یکی از روش‌های ارزیابی مستمر با استفاده از طیفی گسترده از دانش متخصصین امنیت است که به سازمان کمک می‌نماید تا به سریع‌ترین روش مشکلات امنیتی سامانه‌های خود را شناسایی و در جهت رفع و ایمن سازی آن گام بردارند.