روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ «امنیت» و «اضافه کاری» همیشه دوش به دوش یکدیگرند. طبق آخرین نظرسنجی، از هر 5 CISO، یکی 65 ساعت در هفته کار می‌کند و با توجه به 38 یا 40 ساعت قیدشده در قرارداد این اضافه‌کاری محسوب می‌شود. این برای کارمندان امنیت اطلاعات نیز صادق است. تقریباً نیمی از آن‌ها فرسودگی شغلی‌شان شکایت دارند و می‌گویند دچار استرس دائم و خستگی شده‌اند. در عین حال کمبود نیرو و محدودیت‌های بودجه باعث شده استخدام افرادِ بیشتر، کار سختی باشد. اما گزینه‌های دیگری هم وجود دارد: ما طبق بررسی‌هایمان پی بردیم که تسک‌هایی که از همه وقت‌گیرتر هستند متعلق به تیم امنیتی است و حالا در ادامه قرار است توضیح دهیم چطور می‌شود به این تسک‌ها سرعت بخشید. با ما همراه بمانید.

هشدارهای امنیتی

برنده قطعی دسته‌بندی «زمان‌ هدر ده» می‌رسد به هشدارهایی که سیستم‌های امنیت اطلاعات و آی‌تی شرکت تولید می‌کنند. از آنجایی که این سیستم‌ها اغلب تعدادشان زیاد است هزاران رخداد تولید می‌کنند که نیاز به مدیریت دارند. به طور متوسط یک متخصص امنیتی باید در ساعت 23 هشدار را تحلیل کند (حتی خارج از ساعت). 38 درصد پاسخ‌دهندگان اما اعتراف کردند باید شب‌ها به هشدارها پاسخ دهند.

چه باید کرد؟

1.      راهکارهای بیشتری از همان فروشنده را استفاده کنید. یک کنسول متمرکز مدیریتی با سیستم منسجم هشدار تعداد هشدارها را کاهش داده و پردازش آن‌ها را سرعت می‌بخشد.
2.      اتوماسیون اجرایی. برای مثال یک راهکار XDR می‌تواند سناریوهای معمول تحلیل/واکنش‌دهی را خودکار کرده و تعداد هشدارها را با ترکیب رخدادهای مختلف و تبدیلشان به یک رخداد واحد کاهش دهد.
3.      از یک سرویس MSSP، MDR یا SoC تجاری استفاده کنید. این کارآمدترین راه برای مقیاس انعطاف‌پذیر مدیریت هشدار است. اعضای تیم تمام وقت قادر خواهند بود بر ایجاد امنیت کلی و بررسی حوادث پیچیده تمرکز کنند.

ایمیل‌هایی با هشدار

اعلان‌های فروشندگان و تنظیم‌کننده‌ها و هشدارهای سیستم‌های امنیتی از طریق ایمیل به تیم infosec ارسال می‌شود - اغلب به یک صندوق ورودی مشترک. در نتیجه، پیام‌های مشابه توسط چندین کارمند از جمله CISO خوانده می‌شود و بهای زمانی می‌تواند به 5 تا 10 ساعت در هفته برسد.

چه باید کرد؟

1.      تا آنجا که ممکن است هشدارها را در سیستم‌های تخصصی بارگذاری کنید. اگر محصولات امنیتی می‌توانند هشدارهایی را به SIEM یا داشبورد ارسال کنند، بهتر از ایمیل است.
2.      از اتوماسیون استفاده کنید. برخی از ایمیل‌های معمولی را می‌توان با استفاده از اسکریپت‌های ساده تجزیه و تحلیل و در داشبورد به هشدار تبدیل کرد. ایمیل‌هایی که برای این روش مناسب نیستند باید تجزیه و تحلیل شوند، از نظر فوریت و موضوع امتیازدهی گشته و سپس به یک فولدر خاص منتقل شوند یا به یک کارمند تعیین شده اختصاص داده شوند. برای انجام این کار به ربات هوش مصنوعی نیاز ندارید. قوانین پردازش ایمیل یا اسکریپت‌های ساده این کار را انجام می‌دهند.

این رویکردها به طور چشمگیری تعداد ایمیل‌هایی را که نیاز به خواندن و پردازش کاملا دستی توسط متخصصان متعدد دارند، کاهش می‌دهند.

ایمیل‌های پرچم‌گذاری‌شده توسط کارمندان

بگذارید پرونده ایمیل را با نگاهی بر یکی از آخرین دسته‌ از پیام‌های جلب‌توجه ببندیم. اگر شرکت شما آموزش امنیت اطلاعات به کارمندان خود داده باشد یا در حال تجربه حمله‌ای بزرگ باشد بسیاری از کارمندان فوروارد کردن هر ایمیل مشکوکی به تیم امنیت اطلاعات را وظیفه خود می‌دانند. اگر خیلی از کارمندان شرکت شما چشمانی تیز همچون عقاب دارند پس باید اینباکس شما در حال ترکیدن باشد!

چه کار باید کرد؟

1.      در سطح میل، محافظتی مطمئن به کار گیرید. این کار به طور قابل‌ملاحظه‌ای تعداد ایمیل‌هایی که واقعاً فیشینگ هستند را کاهش می‌دهد. شما با داشتن مکانیزم‌های تخصصی دفاع همچنین می‌توانید با پیچیده‌ترین حملات هدف‌دار مبارزه کنید. البته که این اثری روی تعداد کارمندان تیزچشم شما نخواهد داشت.
2.      اگر راهکار امنیتی ایمیل شما به کاربران اجازه می‌دهد تا یک ایمیل مشکوک را گزارش کنند، به همکاران خود دستور دهید از آن استفاده کنند تا مجبور نباشند به صورت دستی چنین هشدارهایی را پردازش کنند.
3.      یک آدرس ایمیل جداگانه برای پیام های مشکوک کارمندان تنظیم کنید تا از ترکیب این دسته از ایمیل ها با سایر هشدارهای امنیتی جلوگیری شود.
4.      اگر مورد 2 امکان پذیر نیست، تلاش خود را بر جستجوی خودکار ایمیل های امن شناخته شده در میان ایمیل‌هایی که برای پیام های مشکوک به آدرس ارسال می‌شوند متمرکز کنید. اینها درصد زیادی را تشکیل می‌دهند، بنابراین تیم infosec فقط باید موارد واقعاً خطرناک را بررسی کند.

ممنوعیت‌ها، ارزیابی‌های ریسک و مذاکرات ریسک

بخشی از کار  CISO این است که بین امنیت اطلاعات، کارایی عملیاتی، انطباق با مقررات و محدودیت‌های منابع تعادل ایجاد کند. برای ارتقای امنیت، تیم‌های امنیت اطلاعات اغلب فناوری‌ها، سرویس‌های آنلاین، متودهای ذخیره داده خاصی را در شرکت منع می‌کند (البته فهرست به همین‌ها ختم نمی‌شود). گرچه این ممنوعیت‌ها ناگزیر و الزامی‌اند اما مهم است نحوه اثرگذاری‌شان روی کسب و کار که اینکه چطور شرکت خود را با آن‌ها سازگار می‌کند مورد بررسی قرار گرفته شود. به عنوان مثال، ممکن است متوجه شوید که یک سیاست بیش از حد سختگیرانه در مورد پردازش داده‌های شخصی منجر به برون سپاری آن فرآیند شده است، یا اینکه یک سرویس اشتراک‌گذاری فایل امن با چیزی راحت‌تر جایگزین شده است.   در نتیجه، infosec زمان و انرژی گرانبهایی را برای بالا رفتن از موانع تلف می‌کند: ابتدا در مورد «نبایدها» با کسب‌وکار مذاکره می‌کند، سپس راه‌حل‌ها را کشف و سپس رخدادها و مشکلات اجتناب‌ناپذیر را برطرف می‌کند. حتی اگر چنین حوادثی رخ ندهد، فرآیندهای ارزیابی خطرات و الزامات infosec هنگام راه‌اندازی ابتکارهای جدید چند لایه هستند، افراد زیادی را درگیر و زمان زیادی را هم برای CISO و هم برای تیم آنها مصرف می‌کنند.

چه کار باید کرد؟

1.      از ممنوعیت‌های بیش از حد سخت پرهیز کنید. هرچه ممنوعیت‌ها بیشتر باشد، زمان بیشتری برای تعیین خط‌مشی صرف می‌شود.
2.      گفتگوی باز و صریح با مشتریان کلیدی در مورد اینکه چگونه کنترل‌های infosec بر فرآیندها و عملکرد آنها تأثیر می‌گذارد، داشته باشید. سازش با فناوری‌ها و رویه‌ها برای جلوگیری از مسائل شرح داده شده در بالا مهم است.
3.      اسناد و سناریوهای استاندارد برای درخواست‌های تجاری مکرر ("ساخت یک وبسایت"، "جمع‌آوری نوع جدیدی از اطلاعات از مشتریان"، و غیره) تهیه کنید، به بخش های کلیدی روشی ساده و قابل پیش‌بینی برای حل مشکلات تجاری خود با رعایت کامل امنیت اطلاعات ارائه دهید.
4.      به این درخواست‌های تجاری به صورت موردی رسیدگی کنید. تیم‌هایی که فرهنگ infosec قوی نشان می‌دهند می‌توانند کمتر تحت ممیزی امنیتی قرار گیرند - فقط در بحرانی‌ترین مراحل یک پروژه. این باعث کاهش هزینه‌های زمانی برای کسب و کار و تیم امنیت اطلاعات می‌شود.

چک‌لیست‌ها، گزارشات و اسناد راهنما

امنیت کاغذی –از پر کردن فرم‌ها برای ممیزی گرفته تا دپارتمان‌های انطباق با مقررات برای تحلیل داکیومنت‌های قانونی و ارزیابی کاربردپذیری آن‌ها در بخش اجرایی- زمان زیادی می‌برد. شاید از تیم امنیت اطلاعات خواسته شود به شرکای تجازی خود اطلاعاتی ارائه‌ دهد؛ شرکایی که به طور فزاینده‌ای تمرکزشان بر زنجیره تأمین است و از همتایان خود درخواست امنیت اطلاعات قوی دارند.

چه کار باید کرد؟

1.      برای ایجاد اسناد «قابل استفاده مجدد»، مانند کاغذ سفید جامع امنیتی، گزارش PCI در مورد انطباق، یا ممیزی SOC2، زمان و تلاش خود را سرمایه‌گذاری کنید. داشتن چنین داکیومنتی نه تنها به رعایت مقررات بلکه به پاسخ سریع به درخواست‌های معمول طرف مقابل نیز کمک می‌کند.
2.      یک فوق تخصص استخدام کنید (یا فردی از تیم خود را آموزش دهید). بسیاری از تمرین‌کنندگان infosec زمان زیادی را صرف تدوین ایده‌هایی برای کاغذهای سفید می‌کنند. بهتر است آنها را روی کارهای عملی متمرکز کرده و از افراد آموزش دیده ویژه‌ای برای رسیدگی به امور اداری، چک لیست ها و ارائه ها استفاده کنید.
3.      فرآیندها را خودکار کنید - این نه تنها به انتقال عملیات کنترل معمول به ماشین‌ها، بلکه به مستندسازی صحیح آنها کمک می‌کند. برای مثال، اگر تنظیم‌کننده به گزارش‌های اسکن آسیب‌پذیری دوره‌ای نیاز داشته باشد، سرمایه‌گذاری یکباره منابع در رویه‌ای خودکار برای تولید گزارش‌های سازگار منطقی خواهد بود.

انتخاب فناوری‌های امنیتی

ابزارهای جدید امنیت اطلاعات هر ماه ظهور می‌کنند. خرید هر چند تعداد راهکار نه تنها دخل بودجه را درمی‌آورد و باعث افزایش تعداد هشدارها می‌شود که نیاز برای جداسازی پروسه سختِ ارزیابی و تولید راهکارهای جدید را نیز ایجاد می‌کند. حتی اگر مناقصه‌ها و کاغذبازی‌ها را کنار بگذاریم، تیم باید تحقیقات بازار را انجام دهد، مدعیان را عمیقاً ارزیابی کند و سپس اجرای آزمایشی را انجام دهد.

چه کار باید کرد؟

1.      سعی کنید تعداد فروشنده‌های امنیت اطلاعاتی که استفاده می‌کنید کم کنید. یک رویکرد تک فروشنده‌ای در بلند مدت راندمان اجرایی را بالا می‌برد.
2.      بازرسین سیستم را در ارزیابی و تست پروسه موقع خرید راهکارها دخیل کنید؛ همینطور VARها و یا سایر شرکا را. یک شریک مجرب به بریدن هرزه علف‌ها (راهکارهای نامناسب) به طور یکجا و کم کردن بار از شانه‌های تیم امنیت اطلاعات درون سازمانی در طول پیاده‌سازی کمک می‌کند.

آموزش امنیت

گرچه انواع مختلف آموزش امنیت سایبری برای همه کارمندان الزامی است اما پیاده‌سازی ناکارمد می‌تواند تیم امنیت اطلاعات را گیج کند. مشکلات معمول: کل آموزش به طور درون‌سازمانی طراحی و ارائه می‌شود؛ یک حمله شبیه‌سازی فیشینگ می‌تواند موجی از وحشت را برای تیم اینفوسک برانگیزد. آموزشی که متناسب با سطح کارمند نباشد خود احتمال دارد وضعیتی را ایجاد کند که در آن خود تیم امنیت اطلاعات هم به آموزش نیاز داشته باشد!

چه باید کرد؟

استفاده از پلت‌فرم خودکار برای آموزش کارمند می‌تواند سفارشی‌سازی محتوا برای صنعت را ساده‌تر کرده و  جزئیات دپارتمان راحت‌تر آموزش داده شود. از حیث پیچیدگی، هر دو متریال آموزشی و تست‌ها خودکار با سطح کارمند منطبق شده و این باعث می‌شود عامل لذت افزایش یافته و موفقیت دو چندان شود. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.