info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

پنج قانون امنیت سایبری از مارتین بنکس

نزدیک به یک سال پیش، روزنامه‌نگار مارتین بنکس «پنج قانون امنیت سایبری» را تدوین کرد. امنیت سایبری زمینه‌ای پیچیده است و هر راهی برای ساده‌سازی جنبه‌های متعدد آن به مفاهیم کوتاه و آسان برای به خاطر سپردن همیشه مورد استقبال قرار می‌گیرد.

 این پنج قانون شروع بسیار خوبی برای توسعه برنامه امنیتی قوی است. قوانین عبارتند از:

  • با هر چیزی طوری رفتار کنید که انگار آسیب پذیر است.
  • همیشه فرض کنید افراد از قوانین پیروی نمی‌کنند.
  • اگر به چیزی نیاز ندارید، از شر آن خلاص شوید.
  • همه چیز را مستند کنید و مرتباً رسیدگی کنید.
  • برای شکست برنامه ریزی کنید.

البته، رعایت قوانین واقعی لزوماً برابر با امنیت نیست اما این قوانین برای امنیت سایبری مرجع مناسبی هستند. با این حال، مانند مقررات واقعی، برخی از آن‌ها بسیار حیاتی و مهم هستند. در برخی موارد، منشأ قوانین غیررسمی می‌تواند به بحث‌های پر جنب و جوش حتی توسط سرسخت‌ترین متخصصان امنیت سایبری بیفزاید.

 

اولین قانون : با هر چیزی طوری رفتار کنید که آسیب‌پذیر است.

اولین قانون امنیت سایبری این است که با همه چیز به گونه ای رفتار کنید که گویی آسیب پذیر است زیرا هرچیزی می‌تواند آسیب پذیر باشد. در هر دوره مدیریت ریسکی همیشه تاکید می‌شود که چیزی به نام سیستم ۱۰۰٪ امن وجود ندارد. مسلماً کل حوزه امنیت سایبری بر این اصل بنا شده است. از آنجایی که بسیاری از سازمان‌ها نمی‌توانند این استاندارد را به طور کامل رعایت کنند، افزایش امنیت اعتماد صفر به معیار جدیدی از عملکرد امنیت سایبری تبدیل شده است. اعتماد صفر، بر اساس طراحی، دسترسی به همه چیز را بدون تأیید اعتبار آن رد می‌کند. این شبیه چیزی است که ممکن است در یک فیلم جاسوسی ببینید، جایی که دسترسی به هر اتاقی نیاز به مجوز دارد. اعتماد صفر، با بررسی مجدد مجوز در مراحل مختلف جلسه، حتی فراتر می‌رود. مدیریت دسترسی به هویت (IAM) هم برای کاربران و هم برای دستگاه‌ها و همچنین مراحلی مانند تأیید به‌روزرسانی، محیطی بدون اعتماد است. هیچ دستگاه، برنامه یا کاربری نباید بدون تأیید و تأیید مجدد به چیزی دسترسی داشته باشد.

 

قانون دوم : فرض کنید افراد از قوانین پیروی نمی‌کنند.

متخصصان امنیتی ترجیح داده‌اند که قانون «مردم ممکن است قوانین را دور بزنند» را دوباره تنظیم کنند، زیرا این قانون بیش از حد خوش‌بینانه است. این طرز فکر قانون‌گذار در ارتباط با کامیپیوترها به حلقه‌های اصلی «هکرها» برمی‌گردد که در MIT Model Railroad Club آغاز شد. از آنجایی که پیروی از برخی از پروتکل‌های امنیتی اغلب ناخوشایند است، کارمندان ممکن است راه‌هایی برای دور زدن این حفاظت‌ها پیدا کنند که منجر به آسیب‌پذیری‌ها می‌شود.

 آمارها این اصل را تأیید می‌کنند، به طوری که ۹۴ درصد از سازمان‌های ایالات متحده و بریتانیا در سال ۲۰۲۰ از نقض اطلاعات داخلی رنج می‌برند. به طور مشابه، ۸۴ درصد از رهبران فناوری اطلاعات خطای انسانی را شایع‌ترین علت حوادث جدی ذکر می‌کنند. همانطور که حملات مهندسی اجتماعی رایج تر شده‌اند، ضرورت وجود این قانون بیشتر احساس می‌شود. اقدامات ضد فیشینگ، الزامات رمز عبور و قوانین مشابه تنها در صورتی مؤثر هستند که افراد ازآن‌ها پیروی کنند.

کسب‌وکارها باید از اجرای سیاست‌های سختگیرانه‌تر امنیت سایبری فراتر بروند. این بدان معناست که با استفاده از ابزارهایی مانند مدیریت رمز عبور، این قوانین را اجرا کنیم و در عین حال رعایت آن‌ها آسان‌تر می‌شود. با این حال، همانطور که این قانون خاص بیان می‌کند، متخصصان امنیتی باید درک کنند که کنترل‌های فنی نیز برای تقویت امنیت مورد نیاز است. محدودیت‌های دسترسی و حفاظت‌های مشابه برای کاهش نقض‌های داخلی ضروری است.

 

قانون سوم : اگر به آن نیاز ندارید، از شر آن خلاص شوید.

 قانون سوم امنیت سایبری، که در ابتدا به عنوان یکی از ۳ قانون برایان کربس برای امنیت آنلاین رایج شد، هدف آن به حداقل رساندن سطوح حمله و به حداکثر رساندن دید است. در حالی که کربس فقط به نرم‌افزارهای نصب شده اشاره می‌کرد، ایده این قانون گسترش یافته است. برای مثال، بسیاری از کسب‌وکارها داده‌ها، سیستم‌ها و دستگاه‌هایی را که دیگر از آن‌ها استفاده نمی‌کنند یا به آن‌ها نیاز ندارند، حفظ می‌کنند، به‌ویژه زمانی که مقیاس گسترش می‌یابند. این کار مانند این است که کفش کهنه و دوست داشتنی در کمد قرار می‌گیرد. این انباشتن می‌تواند آسیب‌پذیری‌های غیرضروری را ایجاد کند، مانند سوءاستفاده چند دهه‌ای که در برخی از نرم‌افزارهای منبع باز کشف شده است.

اکثر شرکت‌ها تقریباً تنها ۷۵ درصد از عملیات OT خودشان را می‌بینند. حفظ دارایی‌های زائد یا نامربوط از دیده شدن ۱۰۰% وظایفشان جلوگیری می‌کند. اگر سیستم‌ها و داده‌های قدیمی را رها کنند، می‌توانند بینش بیشتری در مورد وظایفشان به دست آورند که می‌تواند آسیب‌پذیری و تشخیص نقض را تسریع کند.

 

قانون چهارم: همه چیز را مستند کنید و مرتباً رسیدگی کنید.

این قانون در واقع دو قانون در یک قانون است. بخشی از آن به حداکثر رساندن دید و کشف آسیب پذیری‌ها و بخشی از آن رسیدگی داخلی منظم و مداوم است. برای اکثر متخصصان امنیتی، رسیدگی فرآیندی خسته کننده است. رسیدگی نه تنها باید شامل بررسی پیکربندی، بلکه آزمایش فعال برای بررسی آسیب‌پذیری‌های کم‌نظیر یا جدید باشد. مستندسازی که اغلب به عنوان یکی از سخت‌ترین وظایف امنیت سایبری اعلام می‌شود، هم برای کارکنان فعلی و هم برای نفرات بعد ضروری است. اغلب، مهندسان برای راه‌اندازی سیستم تحت فشار قرار می‌گیرند و مستندات را به زمان دیگری محول می‌کنند. متأسفانه، این اتفاق هرگز رخ نمی‌دهد، زیرا کار روزانه به عنوان جزیی از سیستم پیچیده است. مدیریت تغییر نیز تحت این عنصر قرار می‌گیرد. هرچه کسب‌وکارها بیشتر ثبت کنند، ردیابی و اصلاح فعالیت‌های مشکوک و پیاده‌سازی سیستم‌های جدید آسان‌تر است.

 

قانون پنجم: برنامه ریزی برای شکست.

قانون نهایی امنیت سایبری بیان می‌کند که سازمان‌ها باید برای بدترین شرایط آماده شوند. با توجه به سرعت پیشرفت جرایم سایبری، این اتفاق باید حتما به آن توجه ویژه شود. خطرات بهره‌برداری روز صفر برای کسب و کارها بسیار زیاد است؛ اینکه تصور کنند هرگز قربانی نقض نخواهند شد.

همه این‌ها نشان می‌دهد که سازمان‌ها باید اقدامات پیشگیرانه قوی و همچنین برنامه‌های دقیق بازیابی را اعمال کنند. میانگین هزینه یک حمله باج افزار هفت برابر بیشتر از خود باج است، بنابراین پیشگیری بهتر از درمان است. کسب و کارها باید هر دو را متعادل کنند تا اطمینان حاصل کنند که تا حد ممکن امن هستند.

پشتیبان‌گیری و طرح‌های واکنش اضطراری باید بخشی از استاندارد امنیتی هر شرکت باشد. با این حال، مهم است که اطمینان حاصل شود که اینها در واقع برنامه‌های پشتیبان هستند و کسب‌وکارها در دفاع پیرامونی خود کوتاهی نمی‌کنند.

 

۵ قانون امنیت سایبری لیست قطعی نیستند.

ممکن است تعجب کنید که چرا نیاز به بازنگری و بازنگری این پنج قانون است؛ برای یک چیز، پنج قانون امنیت سایبری مانند همیشه مرتبط با یک‌دیگر هستند. همچنین، مهم است که بدانیم امنیت سایبری هرگز یک فعالیت ثابت نیست. سازمان‌ها باید به طور مستمر و با دقت این شیوه‌ها را بررسی و اعمال کنند.

جرایم سایبری به طور مداوم در حال تحول است و خطرات آن برای نادیده گرفتن آسیب‌پذیری‌های احتمالی بسیار شدید است. این پنج دستورالعمل به عنوان راهنما برای سازمان‌ها تلقی می‌شود. این راهبردها به ما کمک می‌کنند تا به ما یادآوری کنند که یک برنامه امنیتی قابل اعتماد باید شامل چه مواردی باشد، سازمان‌ها باید جزئیات دقیق‌تری را توجه کنند و برای امن ماندن باید دستورات را اجرا کنند.