راهنمایی جامع برای شناخت دقیق دارایی‌های IT و ریسکهای سایبری

داشتن درک کامل، پیوسته به روز و دقیق از تمام دارایی های IT یکی از اهداف مقدس برای تیم های امنیتی است. برای دستیابی به آن، ابتدا باید بفهمیم که «مشاهده» واقعاً مستلزم چیست، چگونه چیزی فراتر از شناسایی آنچه در بیرون وجود دارد و دانستن اینکه کدام چالش‌ها باید مورد توجه قرار گیرند، است.

اگر به نقطه شروع هر چارچوب امنیت اطلاعات یا بهترین روش در 20 سال گذشته نگاه کنیم، مرحله اولیه را «کشف» یا «شناسایی» یا «درک» یا برخی از تغییرات آن خواهیم یافت. در مجموع، چیزی که همه آنها می گویند این است که ما نمی توانیم از چیزی که نمی دانیم داریم محافظت کنیم. یا به بیان دقیق‌تر، اگر ندانیم چه چیزی داریم، نمی‌توانیم تصمیمات خوبی در مورد چگونگی و مکان محافظت از محیط‌هایمان بگیریم. داشتن دید گسترده نسبت به آنچه دارایی ها بخشی از زیرساخت کلی ما هستند، بخش کلیدی و اساسی هر برنامه امنیتی موفق است.

علیرغم اینکه این مورد به طور گسترده پذیرفته شده و تأیید شده است، اکثر متخصصان امنیتی به شما خواهند گفت که رسیدن به آن حالت دید کامل هنوز به طرز دردناکی دشوار است. تیم‌های امنیتی طیف گسترده‌ای از ابزارها را پیاده‌سازی می‌کنند، زمان زیادی را صرف یکپارچه‌سازی مجموعه‌های داده از سیستم‌های مدیریت دارایی و سایر منابع بالقوه حقیقت می‌کنند، و با این حال، تعداد کمی می‌گویند که مطمئن هستند که واقعاً محیط خود را درک می‌کنند. چرا اینطور است؟ در بیشتر موارد، این به دو ملاحظات کلیدی خلاصه می شود که وقتی سازمان ها سعی می کنند محیط خود را درک کنند به آنها توجه نمی شود:

• آیا در واقع به دنبال و شناسایی همه دارایی های خود هستید یا فقط آنهایی را که فکر می کنید می دانید؟

• آیا زمینه دارایی ها را در رابطه با یافته های امنیتی، ریسک و تاثیر آن بر سازمان خود درک می کنید؟

اول از همه، دستیابی به دید کامل به معنای شناسایی و ارزیابی همه دارایی های فنی در محیط شماست، و نه فقط دارایی های “آسان” که برای اکثر تیم های فناوری اطلاعات و امنیت آشنا هستند. در حالی که شروع با سرورها، ایستگاه های کاری، تجهیزات زیرساخت شبکه و سایر دستگاه های IT سنتی یک روش بسیار عالی است، این یک موقعیت بسیار رایج است که سایر دارایی ها نادیده گرفته می شوند یا به طور کامل از دست می روند. چه چیز دیگری آنجاست؟ از خود بپرسید که آیا تیم شما دارایی های زیر را شناسایی می کند:

• پایگاه های داده
• برنامه های کاربردی وب
• دستگاه های OT / ICS / SCADA / صنعتی IoT
• زیرساخت های ابری
• پلتفرم های مجازی سازی
• Containers
• خدمات ارکستراسیون ابری
• زیرساخت به عنوان پیکربندی کد (IaC).
• Active Directory / Credentials / Groups
• میزبان ها / نام هاست / رکوردهای عمومی

این لیست میتواند ادامه داشت باشد. در حالی که ممکن است شناسایی این نوع دارایی ها بسیار دشوار تلقی شود، اما هنوز برای اکثر کسب و کارها بسیار مهم هستند، در معرض خطر حملات سایبری قرار دارند و در صورت به خطر افتادن، بر رفاه مالی و اعتبار سازمان تأثیر خواهند گذاشت. اگر تیم‌های امنیتی می‌خواهند اولین گام معناداری را به سمت دید بهتر و درک کامل‌تر از محیط ما بردارند، باید تمام این دارایی‌ها و همچنین دارایی‌های سنتی‌تر را که همه با آن‌ها آشنا هستیم، در اختیار بگیریم.

دقیقاً به همین دلیل است که Tenable به طور مداوم ابزارهای موجود در پلتفرم ما را گسترش داده است تا بتواند به طور ایمن و مناسب دارایی هایی مانند اینها را شناسایی کند و آن داده ها را به یک مکان واحد برگرداند. شناسایی آسیب‌پذیری‌ها و سایر خطرات امنیتی با شناسایی و درک هدف شروع می‌شود. با این سطح از دید، سازمان‌ها در موقعیت بهتری قرار می‌گیرند تا بفهمند بیشترین خطرات در محیطشان کجاست و اقدامات لازم را برای کاهش ریسک در جایی که بیشترین اهمیت را دارد، شروع می‌کنند.

اکنون، برخی از سازمان‌ها ممکن است به حدی پیشرفت کرده باشند که در جمع‌آوری داده‌های موجودی دارایی واقعاً خوب شده باشند و درک خوبی از ظاهر محیط خود داشته باشند. اما، این مکان دیگری است که در آن شروع به فروپاشی می کند. داشتن تعداد زیادی داده متفاوت که معمولاً بین چندین مخزن مختلف پخش می شود، به این معنی است که تیم های امنیتی باید تغییرات زیادی را انجام دهند تا نه تنها اطلاعات را در یک مکان برای تجزیه و تحلیل بهتر جمع آوری کنند، بلکه باید راه هایی برای عادی سازی نیز بیابند. اطلاعاتی که آنها جمع آوری کرده اند از این گذشته، هر دارایی دارای آدرس IP یا نام میزبان نیست. مخازن کد، شناسه‌های مشابهی با نمونه کانتینر ندارند. برنامه های کاربردی وب ممکن است با نام دامنه یا URL شناسایی شوند، اما یک کنترل کننده منطقی قابل برنامه ریزی صنعتی (PLC) حتی ممکن است به یک شبکه شناخته شده متصل نباشد.

و این فقط شناسه‌های دارایی پایه نیستند که متنوع و پیچیده هستند. هر نوع آسیب‌پذیری یا یافته امنیتی بسته به خود دارایی، به همان اندازه متفاوت خواهد بود. یک سرور ممکن است یک آسیب پذیری به راحتی قابل شناسایی داشته باشد که دارای یک شماره CVE اختصاص داده شده باشد، اما یک پیکربندی نادرست IaC اصلاً هیچ شناسه استانداردی نخواهد داشت. آسیب‌پذیری‌های برنامه‌های وب مانند تزریق SQL و اسکریپت بین سایتی، تکنیک‌های بیشتری نسبت به آسیب‌پذیری‌های سیستم‌عامل خاص و قابل شناسایی هستند. و در دنیای اکتیو دایرکتوری، مشکلات امنیتی اساسی ناشی از مصالحه در نحوه عملکرد AD و اعتبارسنجی اعتبارنامه ها در کل یک شرکت است، که چیزهایی نیستند که با اعمال یک پچ از دست رفته برطرف شوند.

اگر تیم امنیتی شما وظیفه داشته است که خطرات موجود در محیط را درک کند و در مورد اینکه کجا و چه چیزی را ابتدا باید کاهش دهد، تصمیم گیری کند، وقتی به چیزهایی که در یک «سیب به سیب» نگاه نمی کنند، از کجا شروع می کنید. نوعی راه؟ در واقعیت، این نوع داده‌های متفاوت حتی «سیب به پرتقال» هم نیستند و در واقع بیشتر شبیه «سیب به کشتی‌های ستاره‌ای به پنگوئن‌ها به صفت‌ها» هستند. درک زمینه پشت دارایی ها و یافته های امنیتی آنها کلیدی است. ما ابتدا باید همه این اطلاعات را جمع آوری کنیم و آن ها را به گونه ای عادی سازیم که در آن روشی ثابت و قابل اندازه گیری برای درک ریسک ناشی از هر یک از این یافته ها برای کسب و کار وجود داشته باشد. سپس می‌توانیم عوامل مختلف خطر را با یکدیگر مرتبط کنیم و بهترین تصمیم را در مورد اینکه سازمان در کجا بیشتر در معرض خطر است، چه میزان ریسک دارد و برای کاهش آن چه کاری باید انجام دهیم، بگیریم. جمع‌آوری داده‌ها به اندازه کافی دشوار است، اما حتی اگر آن بخش را مدیریت کنید، اگر نتوانید بر آنچه واقعاً مهم است تمرکز کنید، خیلی دور نخواهید بود. شما با صفحات گسترده و پایگاه داده‌های زیادی برای مدیریت خواهید ماند و در عین حال سؤالات مشابهی را درباره اینکه از کجا شروع کنید بپرسید.

 شما میتوانید این نسخه آخر این نرم افزار را از مسترلایسنس سفارش دهید.

در صورتی که این مقاله راهنمایی جامع برای شناخت دقیق دارایی‌های IT و ریسکهای سایبری برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.