روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای اجرای برنامه‌های مؤثر امنیت سایبری و حفظ جایگاه تیم امنیت در دل تمام فرآیندهای کسب‌وکار، مدیر فناوریCISO) ) باید به‌طور منظم ارزش این کار را به مدیران ارشد نشان دهد. این کار نیازمند صحبت کردن به زبان کسب‌وکار است، اما تله خطرناک در کمین کسانی است که این مسیر را می‌روند. متخصصان امنیت و مدیران اجرایی اغلب از کلمات یکسان استفاده می‌کنند، اما منظورشان چیزهای کاملاً متفاوتی است. گاهی اوقات، چندین اصطلاح مشابه به جای یکدیگر به کار گرفته می‌شوند. در نتیجه، مدیران ارشد ممکن است درک نکنند که تیم امنیت در تلاش است کدام تهدیدها را خنثی کند، سطح واقعی تاب‌آوری سایبری شرکت چقدر است، یا بودجه و منابع در کجا هزینه می‌شود. بنابراین، پیش از ارائه داشبوردهای زیبا یا محاسبه بازگشت سرمایه برنامه‌های امنیتی، بهتر است این نکات اصطلاحی ظریف را به‌آرامی روشن کنیم. با شفاف‌سازی این اصطلاحات و ایجاد یک زبان مشترک، مدیر فناوری و هیئت‌مدیره می‌توانند ارتباطات را به‌طور چشمگیری بهبود بخشند و در نهایت، موقعیت امنیتی کلی سازمان را تقویت کنند.

چرا واژگان امنیت سایبری برای مدیریت مهم است؟

برداشت‌های متفاوت از اصطلاحات فقط یک ناراحتی ساده نیست؛ پیامدهای آن می‌تواند بسیار جدی باشد. عدم وضوح در مورد جزئیات می‌تواند منجر به موارد زیر شود:

سرمایه‌گذاری‌های نادرست. مدیریت ممکن است خرید یک راه‌حل مبتنی بر «اعتماد صفر» را تأیید کند، بدون اینکه بداند این فقط یک تکه از یک برنامه جامع و بلندمدت با بودجه‌ای بسیار بزرگ‌تر است. پول خرج می‌شود، اما نتایج مورد انتظار مدیریت هرگز حاصل نمی‌شود. به‌طور مشابه، در مورد مهاجرت به کلود، مدیریت ممکن است فرض کند که انتقال به کلود به‌طور خودکار تمام مسئولیت امنیت را به ارائه‌دهنده منتقل می‌کند و در نتیجه، بودجه امنیت کلود را رد کند.

پذیرش کورکورانه ریسک. مدیران واحدهای کسب‌وکار ممکن است ریسک‌های سایبری را بدون درک کامل از تأثیر بالقوه آن بپذیرند.

نبود حاکمیت. بدون درک اصطلاحات، مدیریت نمی‌تواند سؤالات درست و دشوار را بپرسد یا حوزه‌های مسئولیت را به‌طور مؤثر تعیین کند. وقتی حادثه‌ای رخ می‌دهد، اغلب مشخص می‌شود که مالکان کسب‌وکار معتقد بودند امنیت کاملاً در حوزه مدیر فناوری است، در حالی که مدیر فناوری اختیار تأثیرگذاری بر فرآیندهای کسب‌وکار را نداشته است.

ریسک سایبری در برابر ریسک فناوری اطلاعات

بسیاری از مدیران اجرایی بر این باورند که امنیت سایبری یک مسئله صرفاً فنی است که می‌توانند آن را به واحد فناوری اطلاعات بسپارند. حتی با وجود اینکه اهمیت امنیت سایبری برای کسب‌وکار غیرقابل انکار است و مدت‌هاست که رخدادهای سایبری به عنوان یکی از بزرگ‌ترین ریسک‌های کسب‌وکار رتبه‌بندی می‌شوند، نظرسنجی‌ها نشان می‌دهد که بسیاری از سازمان‌ها هنوز در جلب مشارکت رهبران غیرفنی در بحث‌های امنیت سایبری ناکام هستند. ریسک‌های امنیت اطلاعات اغلب با نگرانی‌های فناوری اطلاعات مانند «آپ‌تایم» و در دسترس بودن خدمات یکی گرفته می‌شوند. در واقعیت، ریسک سایبری یک ریسک راهبردی کسب‌وکار است که به تداوم کسب‌وکار، زیان مالی و آسیب به شهرت مرتبط است. ریسک‌های فناوری اطلاعات معمولاً ماهیت عملیاتی دارند و بر کارایی، قابلیت اطمینان و مدیریت هزینه تأثیر می‌گذارند. پاسخ به حوادث فناوری اطلاعات اغلب به‌طور کامل توسط کارکنان این واحد انجام می‌شود. اما حوادث مهم امنیت سایبری دامنه بسیار گسترده‌تری دارند؛ آنها به مشارکت تقریباً تمام بخش‌ها نیاز دارند و تأثیر بلندمدتی بر سازمان از جنبه‌های مختلف از جمله شهرت، انطباق با مقررات، روابط با مشتریان و سلامت کلی مالی دارند.

انطباق با مقررات در برابر امنیت

امنیت سایبری در الزامات قانونی در تمام سطوح ادغام شده است؛ از دستورالعمل‌های بین‌المللی مانند NIS2 و GDPR گرفته تا رهنمودهای صنعتی فرامرزی مانند PCI DSS، به‌اضافه الزامات خاص بخش‌های مختلف. در نتیجه، مدیریت شرکت اغلب اقدامات امنیت سایبری را به‌عنوان چک‌لیست‌های انطباق با مقررات می‌بیند و تصور می‌کند که پس از برآورده شدن الزامات قانونی، مسائل امنیت سایبری را می‌توان حل‌شده در نظر گرفت. این طرز فکر می‌تواند ناشی از تلاش آگاهانه برای به حداقل رساندن هزینه‌های امنیتی باشد («بیشتر از چیزی که الزامی است، کار نمی‌کنیم») یا از یک سوءتفاهم صادقانه («ما ممیزی ISO 27001 را گذرانده‌ایم، پس هک‌شدنی نیستیم»).

در واقعیت، انطباق با مقررات، برآورده کردن حداقل الزامات ممیزان و نهادهای نظارتی در یک مقطع زمانی خاص است. متأسفانه، تاریخچه حملات سایبری در مقیاس بزرگ به سازمان‌های مهم ثابت می‌کند که الزامات «حداقلی» به همین دلیل این نام را دارند. برای محافظت واقعی در برابر تهدیدات سایبری مدرن، شرکت‌ها باید به‌طور مستمر استراتژی‌ها و اقدامات امنیتی خود را متناسب با نیازهای خاص صنعت خود بهبود بخشند.

تهدید، آسیب‌پذیری و ریسک

این سه اصطلاح اغلب به اشتباه به‌جای یکدیگر استفاده می‌شوند: «یک آسیب‌پذیری بحرانی روی سرور ما وجود دارد؟ یعنی ما یک ریسک بحرانی داریم!» برای جلوگیری از وحشت یا برعکس، بی‌عملی، استفاده دقیق از این اصطلاحات و درک ارتباط آنها با یکدیگر حیاتی است.

آسیب‌پذیری ضعف است. این می‌تواند یک نقص در کد نرم‌افزار، یک سرور با تنظیمات اشتباه، یک اتاق سرور قفل‌نشده، یا کارمندی باشد که هر پیوست ایمیلی را باز می‌کند.

تهدید یک علت بالقوه برای رخداد امنیتی است. این می‌تواند یک عامل مخرب، بدافزار، یا حتی یک بلای طبیعی باشد. تهدید چیزی است که ممکن است «از آن در باز وارد شود».

ریسک، زیان بالقوه است. این ارزیابی ترکیبی از احتمال موفقیت یک حمله و چیزی است که سازمان در نتیجه آن از دست می‌دهد (تأثیر).

ارتباط بین این مؤلفه‌ها را می‌توان با یک فرمول ساده توضیح داد:

ریسک = (تهدید × آسیب‌پذیری) × تأثیر

می‌توان اینگونه مثال زد: فرض کنید یک آسیب‌پذیری بحرانی با بالاترین درجه شدت در یک سیستم قدیمی کشف شده است. با این حال، این سیستم از همه شبکه‌ها جدا است، در یک اتاق ایزوله قرار دارد و تنها سه کارمند تأییدشده به آن دسترسی دارند. احتمال اینکه یک مهاجم به آن برسد نزدیک به صفر است. در همین حال، نبود احراز هویت دو مرحله‌ای در سیستم‌های حسابداری یک ریسک واقعی و بالا ایجاد می‌کند که هم ناشی از احتمال بالای حمله و هم خسارت قابل‌توجه بالقوه است.

پاسخ به رخداد، بازیابی پس از فاجعه و تداوم کسب‌وکار

برداشت مدیریت از بحران‌های امنیتی اغلب بیش از حد ساده‌انگارانه است: «اگر باج‌افزار به ما حمله کرد، کافی است طرح بازیابی پس از فاجعه فناوری اطلاعات را فعال کنیم و از پشتیبان‌گیری‌ها بازیابی کنیم». اما یکی دانستن این مفاهیم و فرآیندها بسیار خطرناک است. پاسخ به رخداد وظیفه تیم امنیت یا پیمانکاران متخصص است. کار آنها مهار تهدید، بیرون راندن مهاجم از شبکه و متوقف کردن گسترش حمله است. بازیابی پس از فاجعه یک وظیفه مهندسی فناوری اطلاعات است. این فرآیند بازیابی سرورها و داده‌ها از پشتیبان‌گیری‌ها پس از تکمیل پاسخ به حادثه است. تداوم کسب‌وکار یک وظیفه راهبردی برای مدیران ارشد است. این طرحی است برای اینکه شرکت چگونه به ارائه خدمات به مشتریان، ارسال کالا، پرداخت غرامت و صحبت با مطبوعات ادامه دهد در حالی که سیستم‌های اصلی هنوز از دسترس خارج هستند. اگر مدیریت تنها بر بازیابی تمرکز کند، شرکت برای بحرانی‌ترین دوره قطع سرویس، برنامه عملیاتی نخواهد داشت.

آگاهی‌بخشی امنیتی در برابر فرهنگ امنیتی

رهبران در تمام سطوح گاهی تصور می‌کنند که صرفاً برگزاری دوره‌های آموزشی امنیتی، نتایج را تضمین می‌کند: «کارمندان آزمون سالانه را گذرانده‌اند، پس دیگر روی لینک‌های فیشینگ کلیک نمی‌کنند». متأسفانه، تکیه صرف بر آموزش‌هایی که توسط منابع انسانی و فناوری اطلاعات سازماندهی شده‌اند، کافی نیست. اثربخشی نیازمند تغییر رفتار تیم است که بدون مشارکت مدیریت کسب‌وکار غیرممکن است.

آگاهی، دانش است. یک کارمند می‌داند فیشینگ چیست و اهمیت رمزهای عبور قوی را درک می‌کند. فرهنگ امنیتی به الگوهای رفتاری اشاره دارد. این چیزی است که یک کارمند در یک موقعیت پرتنش یا زمانی که کسی نگاه نمی‌کند، انجام می‌دهد. فرهنگ با آزمون‌ها شکل نمی‌گیرد، بلکه با محیطی شکل می‌گیرد که در آن گزارش اشتباهات بی‌خطر باشد و تشخیص و جلوگیری از موقعیت‌های بالقوه خطرناک به یک عادت تبدیل شود. اگر کارمند از تنبیه بترسد، حادثه را پنهان می‌کند. در یک فرهنگ سالم، او یک ایمیل مشکوک را به مرکز عملیات امنیتی گزارش می‌دهد، یا همکاری را که فراموش کرده سیستم خود را قفل کند، تذکر می‌دهد و به این ترتیب به یک حلقه فعال در زنجیره دفاعی تبدیل می‌شود.

شناسایی در برابر پیشگیری

رهبران کسب‌وکار اغلب با مفاهیم قدیمی «دیوارهای دژ» فکر می‌کنند: «ما سیستم‌های حفاظتی گران قیمت خریده‌ایم، پس هیچ راهی برای هک شدن ما وجود ندارد. اگر حادثه‌ای رخ دهد، یعنی مدیر فناوری شکست خورده است». در عمل، پیشگیری از ۱۰۰٪ حملات از نظر فنی غیرممکن و از نظر اقتصادی غیرقابل‌قبول است. استراتژی مدرن بر اساس تعادل بین امنیت سایبری و اثربخشی کسب‌وکار ساخته شده است. در یک سیستم متوازن، مؤلفه‌های متمرکز بر شناسایی و پیشگیری از تهدید با هم کار می‌کنند.

پیشگیری، حملات خودکار و انبوه را دفع می‌کند. شناسایی و پاسخ به شناسایی و خنثی‌سازی حملات حرفه‌ای‌تر و هدفمندی کمک می‌کند که از ابزارهای پیشگیری عبور کرده‌اند یا از آسیب‌پذیری‌ها سوءاستفاده می‌کنند. هدف کلیدی تیم امنیت سایبری امروز تضمین آسیب‌ناپذیری کامل نیست، بلکه شناسایی حمله در مراحل اولیه و به حداقل رساندن تأثیر آن بر کسب‌وکار است. برای اندازه‌گیری موفقیت در این زمینه، صنعت معمولاً از معیارهایی مانند میانگین زمان شناسایی و میانگین زمان پاسخ استفاده می‌کند.

فلسفه اعتماد صفر در برابر محصولات اعتماد صفر

مفهوم اعتماد صفر که به معنای «هرگز اعتماد نکن، همیشه تأیید کن» برای تمام مؤلفه‌های زیرساخت فناوری اطلاعات است، مدت‌هاست که به‌عنوان یک رویکرد مرتبط و مؤثر در امنیت شرکتی شناخته شده است. این رویکرد نیازمند تأیید مداوم هویت (حساب‌های کاربری، دستگاه‌ها و سرویس‌ها) و زمینه برای هر درخواست دسترسی، بر اساس این فرض است که شبکه قبلاً به خطر افتاده.

با این حال، وجود عبارت «اعتماد صفر» در نام یک راه‌حل امنیتی به این معنا نیست که یک سازمان می‌تواند یک‌شبه با خرید آن محصول، این رویکرد را اتخاذ کند. اعتماد صفر محصولی نیست که بتوانید آن را «روشن» کنید؛ این یک استراتژی معماری و یک سفر تحول بلندمدت است. پیاده‌سازی اعتماد صفر نیازمند بازسازی فرآیندهای دسترسی و پالایش سیستم‌های فناوری اطلاعات برای تضمین تأیید مداوم هویت و دستگاه‌ها است. خرید نرم‌افزار بدون تغییر فرآیندها تأثیر قابل‌توجهی نخواهد داشت.

امنیت کلود در برابر امنیت در کلود

هنگام مهاجرت سرویس‌های فناوری اطلاعات به زیرساخت ابری مانند AWS یا Azure، اغلب این توهم انتقال کامل ریسک وجود دارد: «ما به ارائه‌دهنده پول می‌دهیم، پس امنیت دیگر دغدغه آنهاست». این یک باور غلط خطرناک و تفسیر نادرستی از آنچه به عنوان «مدل مسئولیت مشترک» شناخته می‌شود، است.

امنیت کلود، مسئولیت ارائه‌دهنده است. او از مراکز داده، سرورهای فیزیکی و کابل‌کشی محافظت می‌کند. امنیت در کلود، مسئولیت مشتری است. بحث‌ها درباره بودجه پروژه‌های کلود و جنبه‌های امنیتی آنها باید با مثال‌های واقعی همراه باشد. ارائه‌دهنده از پایگاه داده در برابر دسترسی غیرمجاز، مطابق با تنظیماتی که کارمندان مشتری پیکربندی کرده‌اند، محافظت می‌کند. اگر کارمندان یک پایگاه داده را باز بگذارند یا از رمزهای عبور ضعیف استفاده کنند، و اگر احراز هویت دو مرحله‌ای برای پنل مدیریت فعال نباشد، ارائه‌دهنده نمی‌تواند از دانلود اطلاعات توسط افراد غیرمجاز جلوگیری کند؛ این یک خبر رایج است. بنابراین، بودجه این پروژه‌ها باید شامل ابزارهای امنیت کلود و مدیریت پیکربندی در سمت شرکت باشد.

اسکن آسیب‌پذیری در برابر تست نفوذ

رهبران اغلب بررسی‌های خودکاری را که جزو بهداشت سایبری محسوب می‌شوند، با ارزیابی دارایی‌های فناوری اطلاعات برای تاب‌آوری در برابر حملات پیچیده اشتباه می‌گیرند: «چرا برای تست نفوذ به هکرها پول بدهیم وقتی ما هر هفته اسکنر را اجرا می‌کنیم؟» اسکن آسیب‌پذیری یک لیست خاص از دارایی‌های فناوری اطلاعات را از نظر آسیب‌پذیری‌های شناخته‌شده بررسی می‌کند. به زبان ساده، این مانند گشتی است که نگهبان برای بررسی قفل بودن پنجره‌ها و درهای اداره می‌زند. تست نفوذ یک ارزیابی دستی برای سنجش امکان نفوذ واقعی با بهره‌برداری از آسیب‌پذیری‌ها است. برای ادامه تشبیه، این مانند استخدام یک سارق حرفه‌ای است تا واقعاً سعی کند به اداره نفوذ کند. هیچ‌کدام جای دیگری را نمی‌گیرد؛ برای درک موقعیت امنیتی واقعی خود، یک کسب‌وکار به هر دو ابزار نیاز دارد.

دارایی‌های مدیریت‌شده در برابر سطح حمله

یک باور غلط رایج و خطرناک به محدوده حفاظت و دید کلی واحدهای فناوری اطلاعات و امنیت مربوط می‌شود. یک جمله رایج در جلسات این است: «ما یک لیست موجودی دقیق از سخت‌افزارهای خود داریم. از همه چیزهایی که مالکشان هستیم محافظت می‌کنیم». دارایی‌های مدیریت‌شده فناوری اطلاعات چیزهایی هستند که واحد فناوری اطلاعات خریداری، پیکربندی کرده و می‌تواند در گزارش‌های خود ببیند. سطح حمله هر چیزی است که برای مهاجمان قابل دسترسی است: هر نقطه ورود بالقوه به شرکت. این شامل فناوری اطلاعات سایه (سرویس‌های ابری، پیام‌رسان‌های شخصی، سرورهای آزمایشی...) می‌شود که اساساً هر چیزی است که کارمندان خودشان برای سرعت بخشیدن یا ساده‌تر کردن کارشان و با دور زدن پروتکل‌های رسمی راه‌اندازی می‌کنند. اغلب، همین دارایی‌های «نامرئی» به نقطه ورود حمله تبدیل می‌شوند، زیرا تیم امنیت نمی‌تواند از چیزی که نمی‌داند وجود دارد محافظت کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.