گزارشی از توانایی‌ها و بلوغ سازمان‌های دفاع سایبری

سازمان‌ها در جهان در حال سرمایه‌گذاری برروی توانایی‌های دفاع سایبری برای محافظت از دارایی‌های حیاتی خود هستند. اینکه سازمان‌ها از برند، سرمایه‌های فکری و اطلاعات مشتری محافظت می‌کنند یا کنترل‌هایی را برای زیرساخت‌های حیاتی فراهم می‌کنند، بر مولفه نیروی انسانی، فرآیندها و فناوری استوار بوده و بلوغ این مولفه‌ها در میان سازمان‌ها و صنعت‌های مختلف متفاوت است.

چندی پیش شرکت اچ پی توانایی‌ها، دروس آموخته شده و سطوح کارآیی عملیات امنیت را که مبتنی بر ارزیابی‌های بلوغ روی سازمان‌های مختلف در جهان انجام داده است، در غالب گزارشی منتشر کرد.

  بر اساس این گزارش، اچ پی از سال 2008، توانایی‌ها و بلوغ 69 مرکز عملیات امنیت (SOC) خوب را طی 93 ارزیابی، مشخص کرده است. ارزیابی‌های بلوغ، سازمان‌هایی در بخش خصوصی و عمومی، سازمان‌های بزرگ در تمامی صنایع و ارائه دهندگان خدمات امنیت مدیریت شده (MSSP) را شامل می‌شود.

این ارزیابی‌ها از نظر جغرافیایی شامل SOCهای 13 کشور است.

 روش HP برای ارزیابی مبتنی بر مدل «بلوغ توانایی مجتمع سازی تهیه شده توسط موسسه مهندسی نرم افزار دانشگاه کارنگی ملون (SEI-CMMI)» است. تمرکز این نوع ارزیابی بر روی جنبه‌های تطابق با کسب و کار، نیروی انسانی، فرآیند و فناوریِ عملیات ارزیابی شده است. تشخیص قابل اطمینان فعالیت و تهدیدات مخرب روی سازمان و رهیافت ساختارمند برای مدیریت این تهدیدات، مهمترین معیار موفقیت یک توانایی عملیات امنیت بالغ است.

 هزینه نشت داده در طی سال‌های 2010 تا 2013، هفتاد و هشت درصد افزایش یافته است و هم چنین زمانی که برای برطرف سازی یک حمله سایبری صرف می‌شود 130 درصد رشد داشته است. در نتیجه برای محدود کردن پیامدها و افزایش سرعت رفع چنین رویدادهایی، نیاز به بهبود کارایی عملیات امنیت وجود دارد.

 براساس گزارش اچ پی، 24 درصد از سازمان‌های عملیات امنیت ارزیابی شده، حداقل الزامات برای فراهم کردن مانیتورینگ مداوم امنیت را برآورده نمی‌کنند. تنها 30 درصد از سازمان‌های ارزیابی شده اهداف تجاری و الزامات تطابقی را برآورده می‌کنند. با وجود این یافته‌ها، داده‌ها نشان می‌دهد که بهبود عملکرد در محدوده‌های مختلفی در حال وقوع است:

 – شرکت‌ها درحال به رسمیت شناختن اثر فناوری اطلاعات روی کسب و کار خود هستند و به همین جهت در حال ایجاد SOCها برای محافظت از سرمایه‎‌های شرکت می باشند.

 – آگاهی مدیران اجرایی از امنیت فناوری اطلاعات در حال افزایش است. در سازمان‌ها کارشناسان امنیت فناوری اطلاعات در حال کسب پختگی درباره فهم تهدیدات و الزامات مورد نیاز دفاعی هستند.

 – فروشندگان امنیت باید در قبال فراهم کردن راه حل‌های کارا و شفافی که مدیریت و یکپارچگی آنها ساده باشد، پاسخگو باشند.

 – SOCها در حال ساخت انجمن‌های رسمی و غیررسمی هستند و شروع به اشتراک گذاری آزادتر اطلاعات کرده‌اند.

 خلاصه‌ای از یافته‌ها

 در حالی که حضور SOCها در حال افزایش است و سطح توانایی آنها نمایانگر بهبود است، ارزیابی‌های HP نشان می‌دهد که سطح بلوغ SOCها زیر سطح ایده آل است.

 برخی از یافته‌هایی که از ارزیابی‌های SOC حاصل شده است به شرح زیر است:

 – کلمه "عملیات" منجر به سردرگمی درباره ماموریت SOC و ایجاد انتظارات اشتباه از یک SOC شده است – SOCهای کارا شامل جمع آوری، تحلیل و انتشار هستند و ذاتاً ماهیت تحلیلی دارند. این جنبه‌ها منجر به تمایز SOCها از دیگر سازمان‌های عملیاتی می‌شود که فقط روی دسترس پذیری، تعیین مشکل و بازیابی متمرکز هستند. همین مساله یکی از دلایل تبدیل نام SOC به مرکز دفاع سایبری است.

  – پایه‌های امنیت فناوری اطلاعات خیلی مهم هستند و عموماً نادیده گرفته می‌شوند – مدیریت دارایی، مدیریت ID کاربر (user ID administration)، طبقه بندی اطلاعات و مدیریت آسیب پذیری تماماً مولفه‌های کلیدی هستند که برای رسیدن SOC به اهداف بالاتر الزامی هستند.

 – عدم توانایی اولویت بندی کردن فعالیت‌ها در SOC منجر به بلوغ و توانایی کمتر می‌شود، محافظت از همه دارایی ها کاری مشکل و هزینه بر است. SOCهای موفق از رهیافتی مبتنی بر مخاطره برای اولویت بندی و تمرکز روی اهداف مهمتر استفاده می‌کنند.

  – مدلهای Follow-the-sun (این مدل نوعی از گردش کاری جهانی است که در آن وظایف روزانه میان سایت‌های کاری که در ناحیه های زمانی متفاوت قرار دارند، به گردش در می‌آید) و تیم‌های توزیع شده از نظر جغرافیایی مشخصاً کارایی کمتری نسبت به تیم‌هایی که در یک محل مستقر هستند دارند؛ تغییر جغرافیایی و محدوده‌های تیم، محدودیتی برای برقراری فرهنگ و ارتباطی کارا میان تیم‌ها است. مراکز عملیات همجوار کارایی بیشتری در توسعه توانایی‌های بلوغ دارند.

 – چارچوب‌های کاری مبتنی بر کارآیی، ظرفیت و دسترس پذیری – مانند ITIL- برای توسعه SOC بالغ کافی نیستند – عملیات امنیت نیازمند ابزارهای فرآیندی بیشتری هستند و باید از رهیافت تحلیلی استفاده کنند. در عملیات امنیت، مدل CMMI، روش‌های Agile و پارامترهای محوری موفقیت برای مدیریت، کاراتر هستند.

 – اتکای بیش از حد به فناوری وجود دارد؛ بسیاری از سازمان‌ها هزینه زیادی روی فناوری می‌کنند و نیروی انسانی و مهارت‌های لازم برای رسیدن به اهداف را در نظر نمی‌گیرند. در SOCها، این کار منجر به سرمایه گذاری حداقلی روی گرانترین CPU که تحلیلگر است می‌شود. برخلاف تحلیلگران، سیستم ها نمی توانند در برخی موارد برای رسیدن به فرضیه درست از تفکر غیرخطی استفاده کنند در نتیجه توانایی تحلیل نیروی انسانی برای شناسایی و پاسخ به تهدیدات مدرن الزامی است.

  – افزایش توانایی عملیات امنیت از طریق خدمات امنیت مدیریت شده (MSS) نیازمند عملیات بالغ در سمت مشتری است؛ مدل‌های MSS بسیار کمی وجود دارند که می‌توانند کاملاً بار مخاطره یا مسئولیت تشخیص تهدید و پاسخگویی را از مشتری بردارند. سازمان‌هایی که با ارائه دهنده MSSها کار می‌کنند هم چنان برای حفظ مشارکت ارائه دهنده سرویس نیازمند توانایی‌های تحلیل رویداد و پاسخگویی به رخداد هستند.

 – بر اساس اطلاعات مرکز ماهر، سریع‌ترین راه برای رسیدن به یک SOC توانا وجود یک نقض سیاست امنیتی عمومی است؛ شرکت‌هایی که به واسطه نقض سیاست امنیتی، تجربه ضرر را دارند، دید بهتری نسبت به سرمایه گذاری روی یک SOC توانا دارند.

 – موارد کاربرد (use case) پیشرفته به خوبی عملیاتی نشده‌اند؛ فرآیندهای ناکافی مدیریت محتوا(داده‌های جمع آوری شده) منجر به توسعه موارد کاربرد پیشرفته‌ای شده است که فاقد کنترل برای حصول اطمینان از مزیت‌های استفاده از این موارد کاربرد است. این مورد بیشتر به واسطه عدم برقراری ارتباط بین تیم‌های مهندسی که محتوای سیستم را ایجاد می‌کنند و تیم‌های تحلیلی که از محتوا استفاده می‌کنند بوجود آمده است. SOCهای کارا از فرآیندهای توسعه محتوای تکرار شونده استفاده می‌کنند.

– در SOC فعالیت‌های اداری که روی فعالیت‌های تحلیلی قرار می‌گیرد، منجر به تنزل رتبه نتایج مورد انتظار از SOC می‌شود؛ سازمان‌ها اغلب بر این باور هستند تعداد رویدادهایی که در SOC تشخیص داده می‌شوند کافی نیستند و به همین جهت یکسری فعالیت های غیرمرتبط به تحلیلگران اختصاص می‌دهند. این درحالی است که پاسخگویی بالغ‌تر، عبارت است از کشف علت وجود عدم تشخیص و پیاده سازی طرحی برای بهبود توانایی تشخیصی SOC.

ایسنا