بایگانی ماهیانه: اردیبهشت ۱۳۹۵

شطرنج مدیران امنیت اطلاعات

این یادداشت در شماره ۶۸ نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل)

از سال­های دور، بازی شطرنج یکی از ابزارهای آموزش مفاهیم راهبردی و تاکتیکی در میان رهبران نظامی بوده است. به دلیل مشابه، می­توان از شطرنج به عنوان ابزاری ارزشمند برای تقویت طرز فکر و عمل رهبران و مدیران امنیت اطلاعات استفاده کرد.

مفاهیم اولیه

بازی شطرنج اینگونه آغاز می­شود: تهیه ابزار بازی، یادگیری قواعد، چینش مهره­ها در وضعیت اولیه و شروع بازی در برابر حریف. اتفاق مشابه در امنیت سازمان این است که اول محدوده عملکرد را مشخص می­کنیم، نیروی انسانی مورد نیاز، فرآیندها، فناوری­ها و غیره را آماده کرده و پس از پیاده سازی کنترل­ها، به مقابله با نفوذگران می­رویم.

محدوده عمل در بازی شطرنج همان صفحه بازی است. بازی در این محدوده اتفاق می­افتد و اگر هر بخشی از این محدوده مورد غفلت ما قرار گیرد، به حریف فرصت داده­ایم که جای پایی در آن نقطه ایجاد یا از همان نقطه حمله را آغاز کند. این اصل در امنیت سازمان هم برقرار است، اگر چه زیر نظر گرفتن یک صفحه ۶۴ خانه­ای بسیار ساده تر از مراقبت از شبکه و دارایی­های سازمان است. نظارت بر زمین بازی در موضوع امنیت سازمان به مراتب پیچیده تر است چرا که فاکتورهای متعددی مثل برون­سپاری­ها، برنامه­های خارجی، فضای ابر، سیستم­های همراه  و غیره در آن وجود دارند.

قواعد بازی، دانش­های اولیه­ای هستند که به ما امکان ورود به بازی را می­دهند. چارچوب­های مختلف امنیتی، ابزار لازم برای اجرای یک برنامه امنیتی را به ما می­دهند. البته تفاوت زیادی بین پیاده­سازی چارچوب­های اولیه امنیتی با دانش و راهبرد استفاده از آنها در برابر تهدیدهای پیشرفته امروزی وجود دارد و داشتن این دانش لازم بوده اما کافی نیست.

در بازی شطرنج، مهره­ها ابزارهای پیاده­سازی استراتژی بازی هستند. در امنیت، این اجزا همان کنترل­های امنیتی هستند، که به ما امکان جلوگیری از رسیدن نفوذگر به اهدافش را می­دهند. همانطور که در بازی شطرنج، نحوه چیدمان مهره­ها میزان قدرت ما را افزایش یا کاهش می­دهد، میزان قدرت برنامه امنیتی سازمان هم به این بستگی دارد که کنترل­های (فنی و غیرفنی) امنیت چگونه پیاده سازی شده­اند. برای پیاده سازی مناسب کنترل­ها لازم است بدانیم که آنها به صورت جداگانه و در کنار هم چگونه کار می­کنند.

برای یک شطرنج باز تازه کار، دانستن نحوه حرکت هر مهره و ارزش اسمی آن کفایت می­کند. اما تبدیل شدن به یک بازیکن حرفه ای مستلزم دانستن نحوه اثرگذاری مهره­ها در شرایط مختلف، شیوه استفاده از ترکیب چند مهره هنگام حمله، و نحوه دفاع و شکست دادن حریف با استفاده از این مهره­ها است. به طور طبیعی این اصول بر کنترل­های امنیتی هم حاکم است. هر کنترل برای اینکه اثربخش باشد باید به نحو خاصی پیاده سازی و عملیاتی شود و این فراتر از تعریف اولیه واستاندارد آن کنترل است.  در ادامه، به بررسی اجزای مورد استفاده در بازی می­پردازیم.

شاه    

این مهره از دو جنبه در بازی شطرنج دارای اهمیت است. در وهله اول، شاه هدف اصلی حمله از سوی بازیکن رقیب است. با توجه به ارزش حیاتی این مهره، باید در ابتدا و در طول بازی از آن حفاظت شود. علاوه بر این، در مراحل پایانی بازی شطرنج که معمولاً بسیاری از مهره­های دیگر از صحنه خارج شده­اند، شاه به اثرگذارترین و قدرتمندترین مهره­ بازی تبدیل می­شود. مدیر ارشد امنیت اطلاعات (CISO) وظیفه حفاظت از آن بخش از منافع سازمان را بر عهده دارد که نفوذگر در صدد آسیب رساندن به آنها است و نیز با اختیاراتی که دارد می­تواند تصمیم­های حیاتی در زمان لازم اتخاذ کند. او تنها کسی است که دغدغه­ای جز امنیت اطلاعات ندارد و توانمندساز و تسهیل کننده امور امنیت در سطح رهبری سازمان است. همچنین، CISO مانند مهره شاه در شطرنج، در صورت رخداد حملات موفق بسیار آسیب پذیر خواهد بود.

سربازها

جمله معروفی از Philidor در قرن هیجدهم میلادی نقل شده با این مضمون که سربازها روح بازی شطرنج هستند. برخلاف این جمله، شیوه غالب بازی در آن سال­ها شروع بازی با سربازها و فدا کردن یک به یک آنها در راه حمله مستقیم به شاه حریف بود (که در شطرنج به این شیوه گامبی گفته می­شود). این شیوه در صورت ناموفق بودن حمله، معمولاً به شکست حمله کننده می­انجامد. مشابه ایده فوق در دنیای امنیت هم مورد علاقه برخی افراد است. این افراد به سادگی معتقدند که کنترل­های اولیه و پایه­ای امنیت، ضعیف و مملو از خطا هستند و نمی­توان با استفاده از آنها کیفیت مناسبی از امنیت را ایجاد کرد، لذا دائماً باید به دنبال کنترلهای جدید، جذاب و گران­قیمت باشیم. حقیقت این است که اگر به کنترل­ها و فرآیندهای پایه­ای و به ظاهر ساده امنیت توجه نکنیم، معمولاً در برابر نفوذگران ضعیف تر خواهیم شد. بنابراین مشابه مهره سرباز در بازی شطرنج، این کنترل­های به ظاهر ارزان و ساده نقش مهمی در کل بازی ایفا می­کنند.

تمام مهره­های (دیگر) شاه

بقیه مهره­ها در شطرنج نقاط ضعف و قوت خاص خود را دارند و اگر به جا از آنها استفاده شود قدرت زیادی داشته و در صورت عدم استفاده در جای صحیح، اثربخش نخواهند بود. به عنوان مثال، اگر مهره وزیر را خیل زود وارد میانه میدان شطرنج کنیم، (به دلیل ارزش بالای آن) تا انتهای بازی مورد تعقیب مهره­های حریف قرار خواهد داشت. مهره اسب در موقعیت های بسته (وقتی مبارزه در محدوده کوچکی از صفحه ادامه دارد) اثربخشی بالایی دارد، یا هنگامی که یک جایگاه مرکزی بدون تهدید توسط سربازان حریف را در اختیار داشته باشد. اما در موقعیت های باز، در گوشه­های صفحه یا در مرکز صفحه بدون حمایت سربازهای خودی، به مهره ضعیفی بدل می­شود. به طور کلی هر مهره­ای که به صورت مناسب به بازی گرفته نشود می­تواند به فرصتی برای حریف تبدیل شود. به طور مشابه، باید برای هر کنترل فنی یا اجرایی امنیت، شیوه و محل استفاده مناسب را در نظر گرفت و اینکه کنترل مربوطه چگونه پیاده سازی و نگهداری شود تا بهترین عملکرد را داشته باشد.

سازمان­هایی که به این نکته کلیدی توجه نمی­کنند، امنیت را به عنوان مصرف کننده منابع با ارزش خود احساس خواهند کرد. این سازمان­ها تصور می­کنند که هزینه­های انجام شده تنها برای جلب توجه ممیّز یا برخی مدیران مفید است. اینگونه کنترل­ها روی کاغذ به نظر مفید هستند اما در عمل استفاده چندانی ندارند.

همانطور که دانستن قابلیت ها و نحوه حرکت مهره­ها در بازی کافی نیست، کنترل­های امنیتی هم وقتی در کنار هم برای مقابله با انواع حملات استفاده نشوند، اثربخشی کافی ندارند. همچنین بسیاری از کنترل­ها به تنهایی در برابر حملات آسیب پذیر و قابل دور زدن خواهند بود.

موفقیت در بازی شطرنج مستلزم به روزرسانی دانش در زمینه آخرین نظریه­ها و بررسی شیوه­های به کار رفته در بازی­های جدید است. به طور مشابه، باید در زمینه آخرین شیوه ها و ابزارهای حمله و دفاع در فضای امنیت و آخرین روندهای رخ داده در دنیا هم به روز بود. توجه کنید که این به طور کل با آنچه آمادگی سازمان برای گذر از یک فرآیند ممیزی (مثلاً برای اخذ گواهی ایزو ۲۷۰۰۱) نامیده می­شود، تفاوت دارد. یک ممیّز معمولاً وجود برخی کنترل­ها را با چند سناریوی محدود آزمایش می­کند. این کار نمی­تواند اثربخشی آن کنترل یا مجموعه ای از کنترل­ها در برابر حمله­های خاص سازمان را مشخص نماید. همچنین برای گذر موفقیت آمیز از فرآیند ممیّزی، ملزم به           

نکات دیگری از این بحث باقی مانده که در شماره آینده به آنها خواهیم پرداخت.  

منبع: ایده های به کار رفته در این یادداشت از وب سایت شرکت Tripwire اخذ شده است.

        

   

اشتراک گذاری

امنیت سایبری در حوزه پزشکی، بهداشت و سلامت

طبق گزارش سالانه موسوم به DBIR (بررسی نفوذهای منجر به نشت اطلاعات در سال ۲۰۱۵) که هر ساله توسط شرکت Verizon منتشر می شود، انسان ها ضعیف ترین حلقه در زنجیره امنیت سایبری بیمارستان ها و دیگر موسسات سلامت و بهداشت هستند.

انستیتو استاندارد و فناوری ایالات متحده (NIST) قرار است یک سند راهنمای اختصاصی برای امنیت سایبری در حوزه صنعت سلامت و بهداشت ارائه کند.

بر اساس گزارش IBM، چهار مورد از هشت نفوذ و افشای اطلاعات (بیش از یک میلیون رکورد) در حوزه سلامت و بهداشت از سال ۲۰۱۰ تا کنون، در شش ماه نخست سال ۲۰۱۵ رخداده است. بر اساس همین گزارش، پنج حوزه ای که در سال ۲۰۱۵ بالاترین اهداف برای حملات سایبری بوده اند به ترتیب عبارتند از بهداشت و سلامت، صنایع تولیدی، خدمات مالی، خدمات دولتی و حمل و نقل.

اشتراک گذاری

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت ۸۱ میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز ۱ میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

اشتراک گذاری