اگر به مقالات منتشرشده در حوزه امنیت نگاهی داشته باشید، مشاهده میکنید بخش عمدهای از این مقالات پیرامون مباحث فنی و کار با ابزارها هستند، در حالی که برای موفقیت در دنیای امنیت مسائل مهم دیگری مثل حاکمیت، ریسک و انطباق وجود دارد. چگونه این سه اصل مهم را در قالب یک فرآیند عملی پیادهسازی کنیم؟ پاسخ در مفهومی بهنام چارچوب (Framework) خلاصه میشود که زیرساختی منسجم برای مدیریت مخاطره یا کنترلهای امنیتی در اختیارمان قرار میدهد. مزیت بزرگ چارچوب این است که آزادی عمل زیادی ارائه میدهد تا خطمشیها را هماهنگ با نیازهای کاری پیادهسازی کنید. بهطور کلی، چارچوبها به سه گروه مهم چارچوبهای مخاطره، چارچوبهای امنیت اطلاعات و چارچوبهای معماری سازمانی تقسیم میشوند. چارچوب مدیریت مخاطره اهمیت بیشتری نسبت به دو نمونه دیگر دارد، زیرا امکان پیادهسازی موفق هر برنامه امنیت اطلاعاتی را بهوجود میآورد و اجازه میدهد دو چارچوب دیگر را بر مبنای آن بدون مشکل پیادهسازی کنیم.
مروری بر چارچوبها
چارچوب یک ساختار اساسی در بطن معماریهای بزرگ امنیتی است که راهحلها بر مبنای آن پیادهسازی میشوند. بنابراین، چارچوبها در فناوری اطلاعات و امنیت سایبری با هدف ارائه ساختاری مورد استفاده قرار میگیرند تا بتوانیم بر مبنای آن مخاطرات را مدیریت کنیم، معماریهای سازمانی را توسعه دهیم و همه داراییهای خود را ایمن کنیم. چارچوبها نقشه راهی هستند که کارشناسان فناوری اطلاعات و امنیت سایبری یک سازمان بر آن اتفاق نظر دارند و با در نظر گرفتن مسائل مختلف تدوین میشوند. چارچوبها دارای مولفههای مختلفی هستند که از مهمترین آنها به موارد زیر باید اشاره کرد:
مخاطره (Risk)
در زیرمجموعه مخاطره چهار استاندارد مهم زیر وجود دارد:
NIST RMF: چارچوب مدیریت مخاطرهای است که توسط موسسه ملی استانداردها و فناوری ایجاد شده است و خود ماحصل همگرایی سه خطمشی ارائهشده توسط موسسه NIST Special Publications به نامهای 800-39، 800-37 و 800-30 است.
ISO/IEC 27005: چارچوبی است که روی رفع مخاطره متمرکز است و توسط سازمان International Organization for Standardization در زیرمجموعه استاندارد ISO/IEC 27000 انتشار پیدا کرده است.
OCTAVE: چارچوب ارزیابی تهدید، دارایی و آسیبپذیری در عملیات حیاتی است که دانشگاه کارنگی ملون آنرا توسعه داده و بر ارزیابی ریسک متمرکز است.
FAIR : چارچوب تحلیل مخاطره اطلاعات است که توسط موسسه FAIR منتشر شده و بر اندازهگیری دقیقتر احتمال بروز حوادث و تاثیرات آنها بر فعالیتهای تجاری تمرکز دارد.
برنامه امنیتی (Security Program)
سری ISO/IEC 27000: مجموعهای از استانداردهای بینالمللی در مورد نحوه توسعه و نگهداری سیستم مدیریت امنیت اطلاعات (ISMS) است که توسط دو سازمان ISO و IEC ایجاد شده است.
NIST Cybersecurity Framework: چارچوب امنیت سایبری NIST با هدف ایمنسازی سامانههای مورد استفاده در موسسات دولتی تدوین شده است. این چارچوب پرکاربرد و جامع بر روی تامین امنیت اطلاعاتی که مخاطره زیادی دارند، متمرکز است.
کنترلهای امنیتی (Security Controls)
NIST SP 800-53: فهرستی از کنترلها و فرآیندهای انتخابی است که برای محافظت از سیستمهای فوق حساس به آن استناد میشود.
کنترلهای CIS: سازمان غیرانتفاعی Center for Internet Security یکی از سادهترین رویکردها برای محافظت از داراییها و اطلاعات حساس سازمانی را ارائه کرده که قابل پیادهسازی در شرکتهای بزرگ و کوچک هستند.
COBIT 2019: یک چارچوب تجاری است که تمرکزش بر نحوه مدیریت و حاکمیت فناوری اطلاعات در شرکتها است.
Zachman Framework: مدلی برای توسعه معماریهای سازمانی است که توسط جان زاچمن (John Zachman) توسعه پیدا کرده است.
Open Group Architecture Framework: مدلی برای توسعه معماریهای سازمانی است.
SABSA: معماری امنیت کسبوکار کاربردی شروود سرنام Sherwood Applied Business Security Architecture مدل و روشی برای توسعه معماری امنیت اطلاعات سازمانی ریسکمحور و مدیریت خدمات است. ویژگی اصلی مدل SABSA این است که تمرکز زیادی روی تجزیهوتحلیل الزامات تجاری با هدف تامین امنیت آنها دارد.
چارچوبهای ریسک
چارچوب مدیریت مخاطره (RFM) سرنام Risk Management Framework را باید بهعنوان یک فرآیند ساختاریافته تعریف کرد که به سازمان اجازه میدهد مخاطره را شناسایی و ارزیابی کند و آنرا تا حد قابل قبول کاهش دهد و اطمینان حاصل کند مخاطره در سطح قابل قبول و کنترلشدهای وجود دارد. در اصل، RMF یک رویکرد ساختاریافته برای مدیریت مخاطره (ریسک) است.
همانگونه که مشاهده میکنید، طیف گستردهای از چارچوبهای مدیریتی در دسترس قرار دارند، آنچه برای شما بهعنوان یک متخصص امنیت اطلاعات باید مهم باشد این است که اطمینان حاصل کنید سازمان دارای یک RMF است که بدون مشکل کار میکند. برخی چارچوبها در مقایسه با نمونههای دیگر مورد پذیرش بیشتر سازمانها قرار دارند، زیرا کارکرد مثبت خود در طول سالهای گذشته را نشان دادهاند. از اینرو، هنگام انتخاب یک چارچوب باید تحقیق کاملی انجام دهید و گزینه هماهنگ با استراتژیهای تجاری سازمان را انتخاب یا در صورت لزوم ویرایش و پیادهسازی کنید. یکی از چارچوبهای موفق و مهم در این حوزه NIST RMF است که قصد داریم در ادامه با مفهوم و مولفههای آن آشنا شویم.
NIST RMF
چارچوب NIST برای کمک به سازمانهایی با ابعاد مختلف و عمدتا بزرگ تنظیم شده و روی حفظ حریم خصوصی هنگام تهیه یک محصول، خدمات یا اطلاعات متمرکز است. هدف اصلی این دستورالعمل، ارتقاء امنیت زیرساختهای حیاتی سازمانهای بزرگ در برابر حملههای داخلی و خارجی است. بهطور خاص،NIST پنج رویکرد اصلی را برای مدیریت ریسکهای موجود در امنیت دادهها و اطلاعات پیشنهاد میکند. این عملکردها عبارتند از: شناسایی، محافظت، تشخیص، پاسخگویی و بازیابی. توضیح اجمالی هر یک از عملکردها بهشرح زیر است:
شناسایی (Identify): به سازمانها در شناسایی مخاطرات امنیتی پیرامون داراییها، محیط کسبوکار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک کمک میکند.
محافظت (Protect): کنترلهای امنیتی مورد نیاز برای حفاظت از سیستمهای اطلاعاتی و دادهها را تعریف میکند و شامل کنترل دسترسی، آموزش و آگاهسازی، امنیت دادهها، روشهای حفاظت از اطلاعات و نگهداری از فناوریهای محافظتی است.
تشخیص (Detect): دستورالعملهایی برای تشخیص ناهنجاریها در سیستمهای امنیتی، نظارتی و شبکهها برای تفکیک حوادث امنیتی از حوادث غیرامنیتی مثل خرابی تجهیزات ارائه میدهد.
پاسخ (Repones): شامل توصیهها و تکنیکهایی در جهت برنامهریزی با هدف پاسخگویی به رویدادهای امنیتی، کاهش ریسک و فرایندهای پاسخگویی به حوادث است.
بازیابی (Recovery): دستورالعملهایی را ارائه میدهد که سازمانها میتوانند از آنها برای بازگشت به شرایط پایدار در هنگام بروز حملههای سایبری استفاده کنند.
این چارچوب شامل عناصر کلیدی مدیریت ریسک است که باید بهعنوان یک متخصص امنیتی در مورد آنها اطلاع داشته باشید. ذکر این نکته ضروری است که چارچوب فوق برای سازمانهای بزرگ طراحی شده و ممکن است برای پیادهسازی در سازمان مجبور به اعمال تغییراتی در ساختار کلی آن باشید. NIST RMF بر مبنای یک فرآیند هفت مرحلهای کار میکند
به این نکته مهم دقت کنید که چرخه نشاندادهشده در شکل ۱ بیپایان است، زیرا سیستمهای اطلاعاتی دائما در حال تغییر هستند. هر تغییری باید تجزیهوتحلیل شود تا مشخص شود که آیا نیازی به اعمال تغییر در مراحل دیگر ضروری است یا خیر. توضیح هر یک از مراحل نشاندادهشده در شکل 1 بهشرح زیر است:
شکل 1
آمادهسازی (Prepare)
اولین قدم حصول اطمینان از این مسئله است که فعالیتهای مدیران ارشد (در هر دو سطح استراتژیک و عملیاتی) در یک سازمان هماهنگ باشد. این موضوع شامل توافق بر سر نقشها، اولویتها، محدودیتها و تحمل مخاطره است. یکی دیگر از فعالیتهای کلیدی در مرحله آمادهسازی، انجام ارزیابی مخاطره سازمانی است که دید روشنی در اختیار تیم امنیتی قرار میدهد تا بتوانند مخاطرات را بهخوبی درک کنند. یکی از نتایج این ارزیابی، شناسایی داراییهای باارزش است که باید به بهترین شکل از آنها محافظت شود.
طبقهبندی (Categorize)
گام بعدی این است که سیستمهای اطلاعاتی را بر مبنای حساس بودن و میزبانی اطلاعات حساسی که قرار است توسط تجهیزات کلاینت مورد دستیابی قرار گرفته، پردازش شوند یا انتقال پیدا کنند، طبقهبندی کنیم. هدف این است که برای سیستمهای خود طبقهبندیهایی بر مبنای میزان حساسیت و مهم بودن آنها ایجاد کنیم تا بتوانیم از ابزارهای امنیتی مناسبی برای محافظت از آنها استفاده کنیم. امروزه بیشتر سازمانهای اروپایی و آمریکایی ملزم به پیادهسازی چارچوب NIST SP 800-60 هستند. NIST SP 800-60 با تمرکز بر میزان حساسیت و اهمیت داراییهای سازمانی (محرمانگی، یکپارچگی و دسترسپذیری) سعی میکند میزان خطرپذیری سامانهها را تعیین کند. بهطور مثال، فرض کنید یک سیستم مدیریت ارتباط با مشتری (CRM) دارید. اگر محرمانگی آن در معرض خطر قرار گیرد، آسیب قابل توجهی به شرکت وارد میشود، بهخصوص اگر اطلاعات به دست رقبا بیفتد، اما در مقابل نقض یکپارچگی و دسترسپذیری سیستم احتمالا برای کسبوکار پیامدهای بحرانی و جدی نخواهد داشت و از اینرو، به دارایی با مخاطره کم طبقهبندی میشود. بر مبنای این تعریف، طبقهبندی امنیتی برای یک سیستم مدیریت ارتباط با مشتری از طریق فرمول زیر محاسبه میشود:
SCCRM= {(محرمانگی، بالا)، (یکپارچگی، کم)، (دسترسپذیری، کم)} SP 800-60 از سه سطح طبقهبندی امنیتی کم، متوسط و زیاد استفاده میکند. برچسب کم اشاره به سیستمهای اطلاعاتی دارد که اطلاعات مهمی روی آنها قرار ندارد و در نتیجه نقض اصول سهگانه محرمانگی، یکپارچگی و دسترسپذیری کسبوکار را با چالش جدی روبهرو نمیکند. برچسب متوسط اشاره به سیستمهایی دارد که نقض حداقل یکی از اصول سهگانه باعث ایجاد اختلال در عملکرد فعالیتهای تجاری میشود. برچسب بالا، به سیستمهایی اشاره دارد که نقض هر یک از این اصول باعث متوقف شدن عملیات تجاری میشود. در مثال ما، نقض اصل محرمانگی اهمیت زیادی دارد، زیرا به اعتبار برند خدشه وارد میکند.
انتخاب (Select)
هنگامی که سیستمها را دستهبندی کردید، نوبت به انتخاب و احتمالا تنظیم کنترلهایی میرسد که برای محافظت از داراییها از آنها استفاده میکنید. NIST RMF سه نوع کنترل امنیتی مشترک، خاص و ترکیبی را تعریف میکند.
کنترل مشترک، کنترلی است که برای چند سیستم تعریف و اعمال میشود. بهطور مثال، در سناریو CRM اگر یک فایروال برنامه کاربردی وبمحور (WAF) را برای CRM پیادهسازی کنیم از مکانیزم کنترل امنیتی مشترک استفاده کردهایم، زیرا امکان استفاده از دیوارآتش در ارتباط با دیگر مولفههای نرمافزاری و سرویسهای سازمان وجود دارد. WAF فراتر از نظارت بر یک سیستم CRM کار میکند و قادر به محافظت از CRM دیگر سامانههای تحت شبکه است.
کنترلهای خاص در محدوده سیستمها پیادهسازی میشوند و بدیهی است که تنها از یک سیستم خاص محافظت میکنند. بهطور مثال، صفحه ورود به سیستم CRM را تصور کنید که از پروتکل امنیت لایه انتقال (TLS) برای رمزگذاری اطلاعات محرمانه کاربر استفاده میکند. اگر زیرسیستم احراز هویت بخش جداییناپذیر CRM باشد، آنگاه مورد مذکور نمونهای از یک کنترل خاص است.
در نگاه اول بهنظر میرسد در چارچوب NIST همهچیز به رنگ سیاه یا سفید هستند، اما دنیای امنیت پیچیدهتر از آن است و اغلب اوقات، کنترلها در حد فاصل کنترلهای مشترک و خاص قرار میگیرند. یک کنترل ترکیبی تا حدی اشتراکی و تا حدی مختص یک سیستم است. در مثال CRM، یک کنترل ترکیبی میتواند آموزش و آگاهیرسانی امنیتی باشد.
پیادهسازی (Implement)
در این مرحله دو وظیفه کلیدی وجود دارد که باید انجام شود؛ پیادهسازی و مستندسازی. قسمت اول خیلی سرراست است. بهطور مثال، اگر در مرحله قبل تشخیص دادید که باید یک قانون به WAF اضافه کنید تا حملاتی مانند تزریق زبان پرسوجو ساختاریافته (SQL) را فیلتر کنید، آن قانون را اجرا میکنید. کار ساده است. بخشی که بیشتر ما با آن مشکل داریم، مستندسازی تغییراتی است که اعمال میکنیم.
مستندسازی به دو دلیل اهمیت دارد. اول آنکه اجازه میدهد تا متوجه شویم چه کنترلهایی وجود دارند، در چه مکانی قرار دارند و چرا تعریف و پیادهسازی شدهاند. آیا تا بهحال مسئولیت سیستمی به شما محول شده که پیکربندی آن در وضعیت بحرانی قرار داشته باشد؟ شما سعی میکنید بفهمید چه پارامترها یا قوانین خاصی وجود دارند، اما در تغییر آنها تردید دارید، زیرا ممکن است عملکرد سیستم مختل شود. این مشکل به دلیل نبود یا تنظیم اشتباه اسناد بهوجود میآید که در نهایت باعث میشود هکرها از آسیبپذیریهای مستتر یا پیکربندیهای اشتباه بهرهبرداری کرده و یک حمله سایبری را با موفقیت پیادهسازی کنند. دلیل دوم اهمیت مستندسازی این است که امکان میدهد کنترلها را بهطور کامل در برنامه ارزیابی و نظارت کلی ادغام کنیم و اطلاع دقیقی در ارتباط با کنترلهایی داشته باشیم که در طول زمان منسوخ و بیاثر شدهاند.
ارزیابی (Assess)
کنترلهای امنیتی که قصد پیادهسازی آنها را داریم، تنها در صورتی مانع بروز حملههای سایبری میشوند که توانایی ارزیابی آنها را داشته باشیم. ارزیابی کنترلها، نقش مهمی در مدیریت درست مخاطرات دارد. برای سازمانها ضروری است که یک برنامه جامع داشته باشند که تمام کنترلهای امنیتی (مشترک، ترکیبی و خاص سیستم) را با توجه به خطراتی که قرار است به آنها رسیدگی کنند، ارزیابی کند. این طرح باید توسط مقام یا مقامات مربوطه بررسی و تایید شود تا قابلیت اجرایی پیدا کند.
ارزیابی باید نشان دهد که چارچوب تدوینشده توانایی مقابله با مخاطرات را دارد و قادر است از داراییهای سازمانی به بهترین شکل محافظت کند. از اینرو، تیم توسعهدهنده چارچوب نباید آنرا ارزیابی کنند و این مسئولیت باید به کارشناس امنیتی امین سازمان سپرده شود تا اثربخشی کنترلها را ارزیابی کند و اطمینان دهد ابزارهای درستی انتخاب شدهاند و اسناد بهدرستی تدوین شدهاند. به همین دلیل، ارزیابی تمامی فرآیندها، ابزارها و خطمشیهایی که قرار است پیادهسازی شوند اهمیت زیادی دارد.
ارزیابی باید تعیین کند آیا پیادهسازی کنترلها موثر هستند یا خیر. از اینرو، نتایج در گزارشها باید مستندسازی شوند تا بهعنوان مرجعی برای ارزیابیهای بعدی قابل استفاده باشند. اگر کنترلها موثر نیستند باید اقدامات اصلاحی برای رفع کاستیها انجام شود و نتیجه ارزیابی دومرتبه مستندسازی شود. در نهایت، طرحهای امنیتی بهروزرسانی میشوند تا یافتهها و توصیههای ارزیابی در آنها اعمال شود. ارزیابی کنترلهای امنیتی «ممیزی» نامیده میشود.
مجوزدهی (Authorize)
همانگونه که میدانید، هیچ سیستمی در جهان بدون مخاطره نیست. یکی از بزرگترین مشکلاتی که کارشناسان امنیتی در یک سازمان با آن روبهرو هستند، دریافت مجوزهای مختلف از مدیران ارشد است تا بتوانند خطمشیهای امنیتی در معماری شبکه سازمانی را پیادهسازی کنند.
در این مرحله، نتایج ارزیابی ریسک و کنترلها باید به فرد تصمیمگیرنده تحویل داده شود تا تاییدیه اتصال کنترلهای امنیتی به سیستمهای اطلاعاتی را صادر کند. این شخص (یا گروه) از نظر قانونی مسئول و پاسخگو هستند که پس از پیادهسازی کنترلها، سیستمها بدون مشکل به کار ادامه میدهند. از اینرو، باید اطلاعات معتبر و قابل استنادی در اختیار آنها قرار گیرد، زیرا مسئولیت هرگونه اختلال در عملکرد شبکه بر عهده این افراد و نه مسئول پیادهسازی مکانیزمهای امنیتی خواهد بود.
به همین دلیل، افرادی که چارچوب امنیتی را آماده میکنند باید برای مدیرعامل این مسئله را به روشنی شرح دهند که چه مخاطراتی برای سازمان چالشآفرین هستند و در صورت عدم توجه به مخاطرات، سازمان با چه زیانهایی روبهرو میشود. گاهیاوقات پس از تدوین چارچوب امنیتی مجبور به بازنگری در برنامه عملیاتی میشوید تا بتوانید در صورت بروز یک حمله سایبری بهسرعت واکنش نشان دهید و هکرها موفق نشوند بهراحتی از نقاط ضعف و کاستیهای مستتر در سیستمهای اطلاعاتی بهرهبرداری کنند. در بیشتر سازمانها مجوزهای پیادهسازی چارچوبهای امنیتی برای یک دوره زمانی مشخص و در قالب برنامه اقدام و نقطه عطف (POAM یا POA&M) صادر میشوند.
نظارت (Monitor)
ما باید بهصورت دورهای تمام کنترلها را بررسی کنیم و مشخص کنیم که آیا هنوز موثر هستند یا خیر. آیا تغییراتی در الگوی تهدیدات تاکتیکی و تکنیکی بهوجود آمده است، آیا آسیبپذیریهای جدیدی کشف شدهاند، آیا یک تغییر غیرمستند یا تاییدنشده در پیکربندی باعث شده تا اثربخشی کنترلهای امنیتی کمتر شده و سطح مخاطرات پیرامون داراییهای سازمانی به درجه بحرانی نزدیک شده باشند؟ اینها تنها برخی از مسائلی هستند که ما از طریق نظارت مستمر و بهبود مستمر قادر به پاسخگویی به آنها هستیم.
کلام آخر
چارچوب NIST RMF یکی از مهمترین چارچوبهای مدیریت ریسک امنیت اطلاعات است که بهطور گسترده مورد استفاده قرار میگیرد. این چارچوب دستورالعملهایی برای مدیریت ریسک امنیت اطلاعات در یک سازمان را تعریف میکند، اما رویکرد خاصی را برای اجرای آن دیکته نمیکند. به عبارت دیگر، چارچوب به ما میگوید که چه کارهایی را باید انجام دهیم، نه اینکه چگونه آنها را انجام دهیم.
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.
 |
 |
 |
 |
 |
 |
 |
|
