حساب کاربری

ورود به حساب کاربری


برون‌سپاری امنیت

برون‌سپاری امنیت

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

برون‌سپاری امنیت

 

با تبدیل اینترنت به ابزار اصلی تجارت در سالیان گذشته، اطلاعات به یکی از مهم‌ترین دارایی شرکت‌ها تبدیل شده و باید راه‌کارهایی برای تامین امنیت این دارایی‌ها اندیشیده شود. برای تامین امنیت دارایی‌ها می‌توان یکی از 3 رویکرد زیر را در نظر گرفت:

  • تامین امنیت به صورت درون‌سازمانی
  • استخدام شرکت یا شرکت‌هایی بیرونی برای انجام تمام امور امنیتی
  • ترکیبی از دو رویکرد قبل

در ادامه به بررسی رویکرد دوم که برون‌سپاری امنیت نامیده شده و هدف این مطلب می‌باشد، خواهیم پرداخت.

 

امنیت اطلاعات

 

امنیت اطلاعات عبارت است از اطمینان از 3 اصل اساسی محرمانگی، جامعیت و دسترسی‌پذیری اطلاعات. بهترین رویکرد برای اطمینان از این موارد به کارگیری دفاع چندلایه (defense in depth) می‌باشد. در رویکرد دفاع چندلایه، برای امن کردن شبکه باید از چندین لایه دفاعی استفاده کرد. اغلب سازمان‌ها با استفاده از فایروال یک لایه دفاعی ایجاد می‌کنند. با این وجود خرابکاران داخلی، ویروس‌ها و خرابکاران خبره بیرونی به راحتی قادر به دور زدن این لایه دفاعی هستند. در نتیجه برای تامین امنیت یک شبکه باید اقدامات دیگری نیز انجام داد. استفاده از آنتی‌ویروس‌ها به عنوان لایه‌ای دیگر، خطر ویروس‌ها را کاهش می‌دهد. یک سیستم تشخیص نفوذ خوب، در شناسایی و جداسازی رفتارهای مخرب مفید واقع می‌شود. مدیریت پیکره‌بندی با یک خط مبنای مشخص به همراه حسابرسی منظم و پشتیبان‌گیری منجر به تشخیص و کم‌اثر کردن نفوذهای موفق و فعالیت‌های نامجاز خواهد شد. در نهایت برای اثرگذاری، این ابزارها و تکنیک‌ها باید دقیقا با توجه به سیاست امنیتی شرکت به کار روند.

با این وجود، موارد فوق بدون هزینه نیستند. برای ارائه یک معماری امنیتی مناسب باید سخت‌افزارها و نرم‌افزارهایی غالبا گران‌قیمتی خریداری شده و متخصصان امنیت و IT‌ برای پیاده‌سازی، نگهداری، استفاده و نظارت مناسب بر تکنولوژی خریداری شده استخدام شود. علاوه‌ براین نیاز است که همواره با توجه به تغییرات مداوم در تکنولوژی، آن‌ها را ارتقا داده و برای متخصصان استخدام شده دوره‌های آموزشی مناسب برگزار کرد.

 

MSSPها :

ارائه‌دهندگان خدمات امنیت مدیریت ‌شده (MSSPها) شرکت‌هایی هستند که در یک یا چند جنبه از خدمات امنیتی قابل ارائه به سایر شرکت‌ها تخصص دارند.گستره این شرکت‌ها بسیار وسیع بوده و از شرکت‌های بسیار بزرگ که هر سرویسی را ارائه کرده تا شرکت‌های کوچک‌تر که تنها یک سرویس مانند فایروال را ارائه می‌کنند، می‌باشد. با توجه به این مساله، شرکت‌هایی که به دنبال برون‌سپاری امنیت هستند گزینه‌های قابل انتخاب زیادی خواهند داشت.

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است؟

 

دلایل انتخاب MSSP چیست؟

 

نکات زیادی وجود دارد که در زمان تصمیم‌گیری در مورد برون‌سپاری امنیت یا انجام درون‌سازمانی آن باید در نظر گرفته شوند. سختی‌های موجود در پیاده‌سازی دفاع چندلایه، استخدام و آموزش نیروهای متخصص، از دست ندادن این نیروها، هزینه، پیشرفت‌های مداوم تکنولوژی، خطرهای روزافزون بیرونی، ملاحظات قانونی، کنترل و آرامش خاطر همه ملاحظاتی هستند که باید در نظر گرفته شوند.

استخدام کارکنان واجد شرایط برای شغل‌های کلیدی در زمینه امنیت بسیار سخت است. امنیت هم‌چنان حرفه‌ای نوظهور محسوب شده و تعداد متخصصان واجد شرایط آن به اندازه تعداد مورد نیاز نیستند. علاوه ‌بر این، حتی در صورت استخدام نیروهای واجدشرایط، پرداخت حقوق آن‌ها مساله‌ای مهم است و ممکن است بسیاری از شرکت‌ها قادر به تامین آن نباشند. پیشرفت سریع تکنولوژی و همراه با آن تکنیک‌ها و تکنولوژی‌های امنیت نیز باید در نظر گرفته شود. تجهیزات VPN، IDS، فایروال، روتر، سیستم عامل، تست نفوذ و DNS تعداد کمی از تکنولوژی‌هایی هستند که متخصصان امنیت باید در زمینه آن‌ها به‌روز بوده و زیر و بم آن‌ها را بدانند. همه تکنولوژی‌های مرتبط با امنیت، به دانش و تخصص گسترده‌ای برای کاربرد صحیح و مناسب نیاز دارند. برای به روز ماندن با این ابزارها کارکنان درون‌سازمانی نیازمند هزینه قابل توجهی برای آموزش هستند که به آن هزینه­ی خرید محصولات و ارتقا آن‌هاست. یافتن ، آموزش نیروهای واجدشرایط و از دست ندادن آن‌ها نیز مهم و هزینه‌بر است.

تهدیدات مخرب بیرونی نیز در حال افزایش هستند. تعداد زیادی وب‌سایت وجود دارد که با در اختیار قرار دادن اسکریپت‌های موردنیاز، بدون نیاز به داشتن دانش در مورد تکنولوژی پس‌زمینه، امکان حمله به یک شبکه را برای هکرهای تازه‌کار فراهم می‌کند. با این وجود ابزارهای آنلاین قابل دسترس محدود بوده و بنابراین این هکرها حداقل تا زمانی که ابزارهای حرفه‌ای‌تر در اختیار آن‌ها قرار نگرفته، تهدید مهمی محسوب نمی‌شوند. هکرهای پیشرفته‌تر دلیل نیاز شرکت‌ها به دفاع چندلایه هستند. این هکرها از ابزارهایی استفاده می‌کنند که عموم از آن‌ها اطلاعی نداشته و اغلب خود آن‌ها را ایجاد کرده‌اند. کشف رخنه‌های امنیتی جدید جهت بهره‌برداری و ساخت ویروس‌های نسل جدید از جمله این ابزارها هستند.

هزینه نیز فاکتور بسیار مهمی برای تصمیم‌گیری درباره برون‌سپاری امنیت است. مزیتی که برخی از MSSPها در این زمینه دارند این است که با توجه به اندازه خود، می‌توانند با مزیت مقیاس ، قیمت کمتری را برای خدمات خود پیشنهاد کنند به طوری که شرکت‌های با بودجه کم نیز قادر به استفاده از این خدمات باشند. این درحالیست که همان‌طور که قبلا نیز اشاره شد، هزینه تخصص درون‌سازمانی به شکل حقوق پرداختی به متخصصان امنیت و هزینه آموزش آن‌ها می‌تواند بسیار بالا باشد. سخت افزار و نرم‌افزار های امنیتی نیز می‌توانند پر هزینه بوده و هزینه ارتقا آن‌ها نیز باید در نظر گرفته شود. علاوه‌ بر این، این نکته نیز باید در نظر گرفته شود که شرکت‌های زیادی از جمله شرکت‌های کوچک‌تر، با توجه به بودجه محدود خود قادر به استخدام متخصصین امنیتی مورد نیاز نیستند. در عوض، آن‌ها یا از کارکنان بخش IT برای انجام کارهای امنیتی استفاده کرده یا بخش امنیتی خود را بدون استخدام تعداد نیروی لازم جهت انجام مناسب وظایف امنیتی راه‌اندازی می‌کنند. اما، امنیت یک مسئولیت تمام وقت است و در صورت عدم اجرای صحیح با مشکل مواجه خواهد شد. انجام درون‌سازمانی امنیت به صورت‌های ذکر شده موجب پخش قوای شرکت‌ها شده و مشکلات بیشتری ایجاد می‌کند. اگر کارکنان بخش IT زمان زیادی از وقت خود را به امنیت اختصاص دهند آن‌گاه، مسئولیت‌های دیگر آن‌ها دچار مشکل خواهد شد. تشکیل بخش امنیت به صورت ناقص نیز ممکن است باعث آسیب‌پذیری بیشتر شبکه در مقابل حملات شود. با برون‌سپاری سرویس‌ها، یک شرکت می‌تواند به فعالیت‌های اصلی کسب‌ و‌کار خود پرداخته و از پخش کردن منابع خود در جنبه های مختلف جلوگیری کند.

تست نفوذ چیست؟ 

 

برخی از نگرانی‌ها در مورد برون‌سپاری

 

با توجه به مطالب فوق و تامین امنیت و مسائل مربوط به آن به مسئولیت MSSP پس از آن، برون‌سپاری امنیت به رویکردی محبوب تبدیل شده و شرکت‌های زیادی از آن استفاده می‌کنند. اما برخی از مدیران احساس خوبی نسبت به واگذاری کنترل شبکه و در نتیجه داده‌های حساس خود به یک ارائه‌دهنده خدمات امنیت مدیریت‌ شده ندارند. برای افرادی که واگذاری کنترل شرکتشان به دیگران مساله‌ای اضطراب‌آور است، این مساله نگرانی مهمی خواهد بود. اینجاست که توافق‌نامه سطح خدمات service level agreement (SLA) نقش مهمی ایفا می‌کند. SLA قراردادی است مابین شرکت و MSSP که با جزئیات دقیق جنبه‌های مشخصی از ارتباط شامل دسترسی به اطلاعات در آن مشخص شده است. پس از مشخص شدن سطح دسترسی، توافق‌نامه عدم افشا اطلاعات (information disclosure agreement) می‌تواند ایجاد شود. رایزنی بین شرکت و ارائه‌دهنده امنیت در مورد توافق‌نامه عدم افشا اطلاعات می‌تواند منجر به حصول یک توافق‌نامه سطح خدمات خوب شده که نگرانی‌های شرکت درباره در اختیار گذاشتن اطلاعات حساس را حذف کند.

 

رویه انتخاب:

پس از تصمیم به برون‌سپاری امنیت و مشخص شدن سرویس‌هایی که قرار است برون‌سپاری شود، باید درباره ارائه‌دهندگان این سرویس‌ها تحقیق شود. در انجام تحقیقات باید به مواردی مانند وضعیت مالی، اعتبار، اندازه، هزینه، محل و راحتی کار با ارائه‌دهنده توجه شود.

وضعیت مالی ارائه‌دهنده از این جهت مهم است مشتریان یک MSSP ورشکسته به حال خود رها خواهند شد و خواه منابع لازم را در اختیار داشته باشند و خواه خیر، باید خود به دفاع از خود بپردازند. در نتیجه، وجود تنها SMSPهای با وضعیت مناسب در بین گزینه‌های انتخابی بسیار مهم است. علاوه‌براین، با توجه به دسترسی MSSP‌ به داده‌های حساس، قبل از شروع به رایزنی با یک MSSP، باید با دقت زیاد مشتریان قبلی و فعلی MSSP‌ را یافته و اعتبار آن را بررسی کرد. اندازه MSSP نیز ممکن است تاثیرگذار باشد. MSSPهای کوچک خدمات خود را برای مشتریان شخصی‌سازی می‌کنند، اما در کار کردن با ارائه‌دهندگان بزرگ و معروف اطمینان بیشتری وجود دارد. بررسی هزینه نیز به دلایل واضح باید انجام شود. به‌طور معمول، ارائه‌دهندگان بزرگ‌تر و ارائه‌دهندگانی که جدیدا وارد بازار شده‌اند احتمالا قیمت‌های مناسب‌تری برای خدمات خود پیشنهاد می‌دهند. محل جغرافیایی ارائه‌دهنده نیز فاکتور مهمی است. ارائه‌دهندگان کوچک‌تر اغلب از محدودیت جغرافیایی نسبت به شرکت‌هایی که قادرند به آن‌ها خدمت‌رسانی کنند، رنج می‌برند. ارائه‌دهندگان بزرگ‌تر معمولا این محدودیت را نداشته و قادر به فراهم‌آوری ابزارهای موردنیاز برای اتصال مشتریان به محل اصلی ارائه‌دهنده (که در آن نظارت بر شبکه مشتریان انجام می‌شود) هستند.

علی‌رغم مهم بودن تمام موارد فوق، میزان راحتی کار با ارائه‌دهنده می‌تواند مهم‌ترین فاکتور در تصمیم‌گیری باشد. بنابراین، قبل از انعقاد قرارداد مدیران شرکت باید از ارائه‌دهنده بازدید کرده و افرادی را که قرار است بر شبکه آن‌ها نظارت کنند، ملاقات کنند. این فرایند سرنخ‌هایی در مورد فرهنگ کسب‌و‌کار ارائه‌دهنده و نحوه اداره این کسب‌و‌کار توسط ارائه‌دهنده در اختیار آن‌ها قرار می‌دهد.

پس از شناسایی ارائه‌دهنده مناسب، مذاکره درباره قرارداد و به‌طور مشخص درباره توافق‌نامه سطح خدمات انجام می‌شود. در این توافق‌نامه دسترسی به سیستم‌ها، رفتار در زمان وقوع حمله و معیارهای کارایی مشخص می‌شود. می‌توان میزان دسترسی ارائه‌دهنده به داده‌های حساس را در این توافق‌نامه محدود کرد اما باید در نظر داشت که این محدودیت منجر به ایجاد خلل در انجام وظایف ارائه‌دهنده نشود. علاوه‌براین، در این توافق‌نامه نقش‌ها و مسئولیت‌ها در زمان وقوع حمله مشخص می‌شود. برخی از موارد نیازمند به مشخص شدن در این راستا عبارتند از: مسئول رسیدگی به وقایع، بازه زمانی رسیدگی و گزارش‌دهی درباره وقایع، نحوه پاسخ به وقایع، و کارکنان مورد تماس بین شرکت و ارائه‌دهنده. معیارهای ارزیابی کارایی نیز بخشی از توافق هستند. هدف این قسمت ارائه معیارهایی کمی در مورد کارایی ارائه‌دهنده به مشتری است. پس از مشخص شدن موارد فوق، افرادی وارد به کار از شرکت باید مسئول نظارت بر انجام توافق‌نامه سطح خدمات شوند.

 

خلاصه:

تبدیل اینترنت به ابزار اصلی کسب‌و‌کارها، امنیت مدیریت‌شده را به کسب‌و‌کاری در حال گسترش با بازاری چندین میلیارد دلاری در سال تبدیل کرده است. پس از آنلاین شدن یک شرکت، مهم‌ترین دارایی آن یعنی اطلاعات در معرض خطر قرار گرفته و شرکت باید به مقابله با این تهدید بپردازد. با این وجود، با توجه به پیچیده شدن تکنولوژی، سختی استخدام متخصصان واجد شرایط و به روز نگهداری دانش آن‌ها، و سختی‌های موجود در پیاده‌سازی امنیت چندلایه درون سازمان، انجام مناسب امنیت را به کاری سخت تبدیل کرده است. با توجه به این موارد، استفاده از خدمات ارائه‌دهندگان امنیت مدیریت‌شده به گزینه‌ای مناسب برای شرکت‌ها تبدیل شده است. این ارائه‌دهندگان می‌توانند دردسرهای موجود در یافتن، استخدام و آموزش نیروهای متخصص و همچنین خرید سخت‌افزارها و نرم‌افزارهای موردنیاز و ارتقا آن‌ها را حذف کنند. دلیل این امر این است که MSSP ابزار و نیروهای لازم را در اختیار داشته و دیگر نیازی به نگرانی درباره آن‌ها وجود ندارد. ارائه‌دهندگان بزرگ‌تر با توجه به مزیت مقیاس قادرند خدمات خود را با قیمت کمتری ارائه کنند که این مهم نگرانی‌های مالی مشتریان را کمتر خواهد کرد. نکته مهم دیگر در استفاده از خدمات ارائه‌دهندگان امنیت مدیریت شده این است که از آن‌جا که این ارائه‌دهندگان هم‌زمان به امنیت چندین مشتری رسیدگی می‌کنند، قادرند دانش به دست آمده از حمله به یک مشتری را در راستای حمایت از سایر مشتریان نیز به کار گیرند.

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۲۷۳ ۴۲ (۰۲۱)
۸۸۳۹۱۷۰۸ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر