امنیت اطلاعات

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی - بخش سوم

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی  - بخش سوم

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی - بخش سوم

کنترل‌های امنیتی حیاتی توسط بهترین متخصصان امنیت سایبری و  با توجه به رایج‌ترین الگوهای حمله ارائه شده در گزارشات سایبری ایجاد شده‌اند و حملات جدید به‌صورت پیوسته توسط همین متخصصان، بررسی شده و کنترل‌ها به‌روزرسانی می‌گردند. در قسمت اول و دوم این مقاله به معرفی برخی ازاین کنترل‌های امنیتی حیاتی پرداختیم و در قسمت سوم نیز، سایر این کنترل‌ها معرفی خواهد شد.

کنترل و نظارت بر حساب‌های کاربری [2]

مهاجمان به طور مكرر به جستجوی حساب‌های كاربری قانونی اما غیرفعال گشته و از آن‌ها برای جعل هویت کاربران قانونی استفاده می‌كنند که این اقدام كشف رفتار مهاجم را برای ناظران شبكه سخت می‌كند. اغلب از حساب‌های پیمانكاران و كارمندانی كه قرارداد آن‌ها خاتمه یافته است بدین ترتیب سوء‌استفاده می‌شود. مهاجمان به خوبی از راه‌های نفوذ به شبکه آگاه بوده و می‌دانند که بهترین راه دسترسی به شبکه استفاده از حساب‌های قانونی است. با استفاده از این رویکرد شانس هشدار در مورد رفتار متخاصمانه کاهش یافته و مهاجمین قادر هستند به جمع آوری و افزایش امتیازات بپردازند.

از این کنترل در کسب‌وکارها با هدف جلوگیری از دسترسی غیرمجاز به مجموعه داده‌ها با مدیریت صحیح حساب‌های کاربری استفاده می‌شود.

ارزیابی مهارت‌های امنیتی و ارائه آموزش‌های مناسب برای برطرف کردن نواقص[3]

هر سازمانی که امیدوار است بتواند حملات را شناسایی کرده و به طور موثر به آن‌ها پاسخ دهد، باید خلا دانش خود را یافته و برای پر کردن آن، آموزش مناسب را ارائه دهد. یک برنامه ارزیابی مهارت‌های امنیتی جامع می‌تواند به ذی‌نفعان اطلاع دهد که کجا آگاهی امنیتی نیازمند بهبود بوده و در تخصیص مناسب منابع محدود برای بهبود اقدامات امنیتی به آن‌ها کمک کند.

هدف از این کنترل تجاری محدود کردن تاثیر سیستم‌های در معرض خطر با آموزش اعضای سازمان در مورد مباحث امنیت اطلاعات است.

امنیت نرم‌افزارهای کاربردی [4]

یکی از اولویت‌های اصلی سازمان‌های هکری در سال‌های اخیر حمله به آسیب‌پذیری‌های نرم‌افزارهای مبتنی بر وب و دیگر برنامه‌های کاربردی بوده است. این آسیب‌پذیری‌ها به دلایل متعددی ممکن است وجود داشته باشند از جمله اشتباهات برنامه‌نویسی، خطاهای منطقی، و ناتوانی در بررسی شرایط ناخواسته و غیرمعمول. ناتوانی در بررسی اندازه ورودی کاربر، ناتوانی در فیلتر دنباله کاراکترهای غیرضروری بالقوه مخرب از جریان‌های ورودی و ناتوانی در مقداردهی صحیح و پاک کردن متغیرها، نمونه‌هایی مشخص از این گونه خطاها هستند.

هدف این کنترل تجاری برطرف کردن اشکالات امنیتی در برنامه‌ها با هدف محافظت از مجموعه‌ها و سیستم‌های داده حساس است.

مدیریت و پاسخ به رویدادها[5]

بدون یک برنامه پاسخ‌گویی به وقایع، ممکن است یک سازمان قادر به تشخیص یک حمله در مراحل آغازین نباشد؛ و حتی در صورت تشخیص حمله ممکن است از رویه‌های مناسبی برای کنترل آسیب‌ها و خارج نمودن مهاجم و بازیابی امن بهره نبرد. بنابراین، در مقایسه با زمان وجود یک برنامه پاسخ‌گویی به وقایع موثر، مهاجم می‌تواند اثرات مخرب بسیار بیشتری داشته، آسیب‌های بیشتری وارد آورده، سیستم‌های بیشتری را آلوده کرده و احتمالا داده‌های حساس بیشتری را به سرقت ببرد. در این صورت، آسیب زیادی به شهرت سازمان وارد شده و ممکن است اطلاعات زیادی از بین برود.

هدف تجاری این کنترل این است که افشا و ریسک داده‌ها با پاسخ‌گویی صحیح به وقایع، هنگام شناسایی آن‌ها به حداقل برسد.

تست نفوذ و تمرینات تیم قرمز[6]

مهاجمان از طریق مهندسی اجتماعی و با بهره‌برداری از نرم‌افزارها و سخت‌افزارهای آسیب‌پذیر، به شبکه‌ها و سیستم‌ها نفوذ می‌کنند. به محض دسترسی و ورود به شبکه، آن‌ها غالبا در سیستم‌های هدف به شکل عمیقی نفوذ کرده و تعداد دستگاه‌های تحت کنترل خود را افزایش می‌دهند. اکثر سازمان‌ها دفاع از خود را به درستی تمرین نمی‌کنند، بنابراین در مورد توانایی‌های خود اطمینان نداشته و آماده شناسایی و پاسخ‌گویی به حملات نیستند.

هدف تجاری این کنترل این است که آسیب‌پذیری‌های احتمالی در سیستم‌های تجاری شناسایی شوند.

سخن پایانی

همانطور که بیان شد کنترل‌های امنیتی حیاتی مجموعه‌ای از اقدامات توصیه شده برای دفاع سایبری هستند که راهکارهایی مشخص و قابل اجرا برای متوقف نمودن حملات گسترده و خطرناک ارائه می‌کنند. با این حال، پیاده‌سازی این کنترل‌ها در یک سازمان با چالش‌های زیادی از جمله موارد زیر همراه است:

آیا پیاده‌سازی تمام کنترل‌ها برای همه کسب‌وکارها ضروری است؟

در صورت عدم امکان پیاده‌سازی تمام این کنترل‌ها، یک کسب‌وکار باید بر روی چه مواردی تمرکز کند؟

برای پیاده‌سازی هر یک از این کنترل‌ها چه اقداماتی باید صورت بگیرد؟

معیارهای پیاده‌سازی هر یک از این کنترل‌ها چیست؟

شرکت امن‌پردازان کویر، از شرکت‌های پیشگام کشور در حوزه امنیت سایبری کشور است که با در اختیار داشتن نیروهای متخصص به ارائه خدمات امنیتی به شرکت‌ها و سازمان‌ها می‌پردازد. پیاده‌سازی کنترل‌های امنیتی حیاتی از اصلی‌ترین زمینه‌های فعالیت امن‌پردازان کویر است که شرکت‌ها و سازمان‌های علاقمند می‌توانند برای درخواست همکاری یا کسب مشاوره از طریق شماره 02142273 با کارشناسان این شرکت در ارتباط باشند.

 

[1] Critical Security Controls

[2] Account Monitoring and Control

[3] Security Skills Assessment and Training to Fill Gaps

[4] Application Software Security

[5] Incident Response and Management

[6] Penetration Tests and Red Team Exercises

 

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی- بخش اول

لزوم و هدف استفاده از کنترل‌های امنیتی حیاتی - بخش دوم

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

جدیدترین مقالات

پربازدیدترین ها