کنترل های امنیتی چیست و چه اهمیتی دارد؟
کنترل امنیتی را در اساسی ترین سطح، می توان گفت که امنیت فناوری اطلاعات در مورد محافظت از چیز هایی است که برای یک سازمان ارزش دارند.
کنترل امنیت پارامتر هایی هستند که برای حفاظت از اشکال مختلف داده ها و زیرساخت های مهم برای یک سازمان پیاده سازی می شوند. هر نوع حفاظت یا اقدام متقابلی که برای اجتناب، شناسایی، مقابله یا به حداقل رساندن خطرات امنیتی برای اموال فیزیکی، اطلاعات، سیستمهای رایانه ای یا سایر دارایی ها استفاده میشود، یک کنترل امنیتی محسوب میشود.
کنترل های امنیتی برای کاهش خطر این دارایی ها وجود دارد.
آن ها شامل هر نوع خط مشی، روش، تکنیک، متد، راه حل، برنامه، عمل یا دستگاهی هستند که برای دستیابی به آن هدف طراحی شده اند که نمونه های قابل تشخیص شامل فایروال ها، سیستم های نظارتی و نرم افزار آنتی ویروس است.
با توجه به نرخ فزاینده ای که از انواع حملات سایبری شنیده ایم، امروزه کنترل امنیت داده ها بیش از هر زمان دیگری اهمیت دارد. بر اساس یک مطالعه مدرسه کلارک در دانشگاه مریلند، حملات امنیت سایبری در ایالات متحده در حال حاضر به طور متوسط هر 39 ثانیه رخ می دهد، که از هر سه آمریکایی یک نفر را تحت تاثیر قرار می دهد. 43 درصد از این حملات، مشاغل کوچک را هدف قرار می دهند. بین جولای 2018 و آوریل 2019، میانگین هزینه نقض داده در ایالات متحده 8.2 میلیون دلار بوده است.
در همان زمان، مقررات حفظ حریم خصوصی داده ها در حال رشد است و این امر را برای کسب و کار ها ضروری می کند که سیاست های حفاظت از داده های خود را تقویت کنند یا با جریمه های احتمالی روبرو شوند. اتحادیه اروپا قوانین سختگیرانه حفاظت از داده های عمومی (GDPR) را در سال گذشته اجرا کرد.
هدف کنترل امنیتی
کنترل های امنیتی به طور خودسرانه انتخاب و اجرا نمی شوند، آن ها به طور معمول از فرایند مدیریت ریسک سازمان خارج می شوند که با تعریف استراتژی کلی امنیت IT و سپس اهداف آغاز می شود. این امر با تعریف اهداف کنترل خاص، در مورد چگونگی سازمان برای مدیریت مؤثر ریسک، دنبال می شود.
برای مثال، “کنترل های ما اطمینان معقولی را فراهم می کند که دسترسی فیزیکی و منطقی به پایگاه داده ها و سوابق داده به کاربران مجاز محدود شده است” این یک هدف کنترل است.
“کنترل های ما اطمینان منطقی را در مورد سیستم های مهم و زیرساخت های موجود در دسترس و کاملاً کارآمد طبق موارد برنامه ریزی شده” ارائه می دهد.
کنترل های امنیتی
هنگامی که یک سازمان اهداف کنترل را تعیین می کند، می تواند خطر دسترسی به دارایی های فردی را ارزیابی کند و سپس مناسب ترین کنترل های امنیتی را برای ایجاد انتخاب کند.
یکی از ساده ترین و صریح ترین مدل ها برای طبقه بندی کنترل ها براساس نوع است:
- فیزیکی
- فنی یا اداری
- و بر اساس عملکرد: پیشگیرانه، شناسایی و اصلاح کننده است.
انواع کنترل
انواع مختلفی از کنترل های امنیت وجود دارد که می توانند برای محافظت از سخت افزار، نرم افزار، شبکه ها و داده ها در برابر اقدامات و رویداد هایی که می توانند باعث از بین رفتن یا آسیب شوند، اجرا شوند. مثلا:
- کنترل های امنیتی فیزیکی: شامل مواردی مانند حصار محیطی مرکز داده، قفل ها، حفاظ ها، کارت های کنترل دسترسی، سیستم های کنترل دسترسی بیومتریک، دوربین های نظارتی و حسگر های تشخیص نفوذ است.
- کنترل های امنیتی دیجیتال: شامل مواردی مانند نام کاربری و رمز عبور، احراز هویت دو مرحله ای، نرم افزار آنتی ویروس و فایروال ها می شود.
- کنترل های امنیت سایبری: کنترل امنیت سایبری شامل هر چیزی است که به طور خاص برای جلوگیری از حملات به داده ها طراحی شده است، از جمله کاهش حملات DDoS و سیستم های جلوگیری از نفوذ.
- کنترل های امنیتی ابری: شامل اقداماتی است که با همکاری یک ارائه دهنده خدمات ابری برای اطمینان از حفاظت لازم برای داده ها و بار های کاری انجام می دهید. اگر سازمان شما بار های کاری را در فضای ابری اجرا می کند، باید الزامات امنیتی خط مشی شرکت یا کسب و کار و مقررات صنعت را رعایت کنید.
عملکرد های کنترل
کنترل های پیشگیری کننده
اقدامات امنیتی را که برای جلوگیری از وقوع فعالیت های ناخواسته یا غیر مجاز طراحی شده است، توصیف کنید.
- کنترل های فیزیکی: شامل انجام اقداماتی نظیر نرده، استفاده از کارت های مغناطیسی برای ورود و خروج کارکنان، سیستم کنترل زیست محیطی، کنترل رطوبت، دوربین مداربسته جهت نظارت بر مکانی که سیستم بکاپ گیری از داده ها در آن جا قرار دارد، می شود.
- کنترل های فنی: مانند نرم افزار آنتی ویروس، فایروال ها و IPS ها.
- کنترل های اداری: مانند تفکیک وظایف، طبقه بندی داده ها و حسابرسی.
کنترل های شناسایی
اقدامات امنیتی یا راه حلی را که برای شناسایی و هشدار از فعالیت های ناخواسته یا غیرمجاز در حال انجام یا بعد از وقوع آن انجام شده است، توصیف می کند.
مثال های فیزیکی شامل هشدارها یا اعلان های مربوط به حسگر فیزیکی(آلارم درب ها، زنگ های آتش) است.
Honeypots و IDS نمونه هایی از کنترل های فنی شناسایی هستند.
کنترل های اصلاح کننده
شامل اقدامات انجام شده برای ترمیم خسارت یا بازگرداندن منابع و قابلیت های وضعیت قبلی آن ها به دنبال یک فعالیت غیرمجاز یا ناخواسته است.
نمونه هایی از کنترل های اصلاحی فنی شامل وصل کردن یک سیستم، قرنطینه سازی ویروس، خاتمه یک فرآیند و یا راه اندازی مجدد سیستم است.
چارچوب های کنترل امنیتی و بهترین شیوه ها
سیستم های کنترل های امنیتی، شامل فرآیند ها و اسنادی که پیادهسازی و مدیریت مداوم این کنترل ها را تعریف میکنند، به عنوان چارچوب یا استاندارد نامیده می شوند.
چارچوب ها سازمان را قادر می سازد تا کنترل های امنیتی را در انواع مختلف دارایی ها بر اساس یک روش پذیرفته شده و آزمایش شده به طور مداوم مدیریت کند. برخی از شناخته شده ترین چارچوب ها و استاندارد ها عبارتند از:
چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری
مؤسسه ملی استاندارد و فناوری (NIST) در سال 2014 چارچوبی داوطلبانه ایجاد کرد تا به سازمان ها راهنمایی در مورد نحوه پیشگیری، شناسایی و پاسخ به حملات سایبری ارائه کند. روش ها و رویه های ارزیابی برای تعیین اینکه آیا کنترل های امنیتی یک سازمان به درستی اجرا می شوند، به عنوان مورد نظر عمل می کنند و نتیجه دلخواه را ایجاد می کنند (مطابق با الزامات امنیتی سازمان) استفاده می شوند. چارچوب NIST به طور مداوم به روز می شود تا با پیشرفت های امنیت سایبری همگام شود.
مرکز کنترل امنیت اینترنت
مرکز امنیت اینترنت (CIS) فهرستی از اقدامات دفاعی با اولویت بالا تهیه کرده است که نقطه شروعی را برای هر شرکتی که به دنبال جلوگیری از حملات سایبری است، “باید انجام شود، اول انجام شود” ارائه می دهد. به گفته مؤسسه SANS که کنترل های CIS را توسعه داده است، «کنترلهای CIS مؤثر هستند زیرا از متداول ترین الگو های حمله که در گزارش های تهدید برجسته شدهاند، مشتق شدهاند و در جامعه بسیار گسترده ای از دولت و دست اندرکاران صنعت بررسی شدهاند».
سازمان می تواند به این چارچوب ها و سایر چارچوب ها برای توسعه چارچوب امنیتی و سیاست های امنیتی فناوری اطلاعات خود مراجعه کند. یک چارچوب به خوبی توسعه یافته تضمین می کند که یک سازمان کار های زیر را انجام می دهد:
- سیاست های امنیتی فناوری اطلاعات را از طریق کنترل های امنیتی اجرا می کند
- به کارکنان و کاربران در مورد دستورالعمل های امنیتی آموزش می دهد
- مطابق با مقررات صنعت و انطباق است
- در کنترل های امنیتی به کارایی عملیاتی دست می یابد
- به طور مستمر خطرات را ارزیابی می کند و از طریق کنترل های امنیت به آن ها رسیدگی می کند
یک راه حل امنیتی تنها به اندازه ضعیف ترین حلقه آن قوی است. بنابراین، شما باید چندین لایه از کنترل های امنیتی (که به عنوان استراتژی دفاعی عمیق نیز شناخته میشود) را برای اجرای کنترل های امنیتی در مدیریت هویت و دسترسی، داده ها، برنامهها، زیرساخت شبکه یا سرور، امنیت فیزیکی و اطلاعات امنیتی در نظر بگیرید.
ارزیابی های کنترل های امنیتی
ارزیابی کنترلهای امنیتی اولین گام عالی برای تعیین هر گونه آسیب پذیری است. ارزیابی کنترل های امنیتی شما را قادر میسازد کنترل هایی را که در حال حاضر در اختیار دارید ارزیابی کنید و تعیین کنید که آیا آن ها به درستی اجرا شدهاند، همانطور که در نظر گرفته شده عمل می کنند و نیاز های امنیتی شما را برآورده میکنند یا خیر.
انتشارات ویژه NIST 800-53 توسط NIST به عنوان معیاری برای ارزیابی موفقیت آمیز کنترل امنیتی ایجاد شد. دستورالعمل های NIST به عنوان بهترین رویکرد عملی عمل می کنند که در صورت اعمال، می تواند به کاهش خطر آسیب امنیتی برای سازمان شما کمک کند. از طرف دیگر، سازمان شما می تواند ارزیابی امنیتی خود را نیز ایجاد کند.
برخی از مراحل کلیدی برای ایجاد یک ارزیابی امنیتی شامل موارد زیر است:
- تعیین سیستم های هدف: فهرستی از IP آدرس های مورد نیاز برای اسکن در شبکه خود ایجاد کنید. این لیست باید شامل IP آدرس های تمام سیستم ها و دستگاه های متصل به شبکه سازمان شما باشد.
- برنامه های مورد نظر را تعیین کنید: برنامه ها و سرویس های وب را که باید اسکن شوند را فهرست کنید. نوع سرور برنامه وب، وب سرور، پایگاه داده، اجزای شخص ثالث و فناوری های مورد استفاده برای ساخت برنامه های موجود را تعیین کنید.
- اسکن آسیب پذیری و گزارش دهی: تیم های شبکه و تیم های فناوری اطلاعات را از تمام فعالیت های ارزیابی مطلع نگه دارید، زیرا ارزیابی آسیب پذیری می تواند گهگاه در هنگام بارگیری سرور های مورد نظر با درخواست ها، انفجار هایی در ترافیک شبکه ایجاد کند. همچنین، گذرنامه تایید نشده برای IP های اسکنر در سراسر شبکه سازمان را دریافت کنید و مطمئن شوید که IP ها در لیست سفید IPS/IDS قرار دارند. در غیر این صورت، اسکنر می تواند یک هشدار ترافیکی مخرب ایجاد کند و در نتیجه IP آن مسدود شود.