آموزش رایگان سکیوریتی پلاس؛ چگونه ریسک‌ها را محاسبه کنیم؟

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

ابزارهایی برای کمک به تجزیه و تحلیل ریسک

• می‌توانید از تعدادی ابزار برای کمک به ارزیابی، تجزیه و تحلیل و تصمیم‌گیری در رابطه با تجزیه و تحلیل ریسک و ارزیابی ریسک استفاده کنید.

نقشه ماتریس ریسک/حرارت

• ماتریس ریسک که به عنوان نقشه حرارتی نیز شناخته می‌شود، ابزاری است که برای تعیین مقدار ریسک در یک رویداد خاص استفاده می‌شود تا به تصمیم‌گیری در مورد سطح ریسک کمک کند. با نگاهی به شکل زیر، می‌توانید مشاهده کنید که ماتریس ریسک یک لیست در سمت چپ برای سطح تاثیر یک رویداد دارد و سپس در بالای صفحه سطوح احتمال وقوع رویداد قرار می‌گیرند.

اجازه دهید این‌گونه فرض کنیم که  رویدادی مانند حمله DoS علیه سایت تجارت الکترونیکی شما دارای تأثیر زیاد (3)، اما احتمال متوسط ​​(2) است. در این حالت یک ارزش ریسک 6  که حاصل‌ضرب دو مقدار است را دریافت می‌کنید. همچنین، توجه داشته باشید که هر یک از مقادیر ریسک معمولاً رنگی هستند تا از نظر بصری بتوانید میزان خطرپذیری رویداد را تعیین کنید. مقدار ریسک 1 رنگ سبز خواهد بود (به معنای حداقل خطر)، مربع‌های زرد برای شناسایی سطوح ریسک 2 و 3 استفاده می‌شود، سطوح ریسک 4 و 6 ممکن است نارنجی باشد و سپس سطح ریسک 9 به رنگ قرمز نشان داده می‌شود که بیان‌گر خطرپذیری بالا است. این رنگ‌ها و ارزش‌ها را می‌توان تغییر داد تا با روش‌شناسی سازمان برای مدیریت ریسک تطبیق داده شود.

ارزیابی کنترل ریسک و خود ارزیابی کنترل ریسک

• ارزیابی کنترل ریسک (Risk Control Assessment) اصطلاحی است که زمانی استفاده می‌شود که ارزیابی توسط شخص ثالثی انجام شود که اهداف ریسک تجاری را درک می‌کند و کارایی کنترل‌های امنیتی را برای به حداقل رساندن ریسک بررسی می‌کند.
• خود ارزیابی کنترل ریسک (Risk control self-assessment) اصطلاحی است که برای توصیف فرآیند شناسایی ریسک و ارزیابی اثربخشی کنترل‌هایی که دارایی را در برابر خطر محافظت می‌کنند، استفاده می‌شود. هدف RCSA مطمئن شدن از قابلیت اطمینان کنترل‌های موجود، اطمینان از ایمنی دارایی‌ها و اطمینان از انطباق با قوانین، مقررات و سیاست‌های امنیتی است.

شرایط ریسک

آزمون سکیوریتی پلاس دانش شما در ارتباط با تعدادی از شرایط دیگر مرتبط با ریسک و انجام تجزیه و تحلیل ریسک آزمایش می‌کند. برخی از این اصطلاحات در بخش‌های دیگر فصل‌ها مورد بحث قرار گرفته‌اند، اما به شکل فهرست‌وار این موضوعات را بررسی می‌کنیم:

• آگاهی از ریسک (Risk awareness): به افزایش آگاهی در ارتباط با خطرات موجود در ارتباط با دارایی‌ها و درک تأثیر ریسک‌ها و نحوه کاهش آن خطرات و نحوه مدیریت ریسک‌های باقیمانده اشاره دارد.
• ریسک ذاتی (Inherent risk): به ریسک‌های طبیعی مرتبط با یک فعالیت یا فرآیند تجاری خاص قبل از اعمال تکنیک کاهش برای کاهش ریسک اشاره دارد.
• ریسک باقیمانده (Residual risk): میزان ریسکی که پس از اعمال تکنیک کاهش برای کاهش خطر باقی می‌ماند.
• ریسک کنترل (Control risk): به عنوان کنترل ریسک نیز شناخته می‌شود و اشاره به فرآیند شناسایی تهدیدات علیه دارایی‌ها و شناسایی کنترل‌هایی دارد که می‌توان برای محافظت از آنها اعمال کرد.
•  ریسک‌پذیری (Risk appetite): سطح ریسکی که شرکت بر اساس اهداف و مقاصد خود مایل به پذیرش آن است. ریسک‌پذیری به تعیین این‌که آیا برای محافظت از دارایی به کنترلی نیاز است یا خیر کمک می‌کند.

خط مشی های تاثیرگذار بر مخاطرات 

هر برنامه امنیت سایبری باید شامل فهرستی از کنترل‌هایی باشد که باید برای محافظت از دارایی‌های شرکت مانند سیستم‌ها، دستگاه‌های شبکه و داده‌ها استفاده شود. اصطلاح وضعیت امنیتی به میزان ایمن بودن آن دارایی‌ها بر اساس تکنیک‌های کاهنده پیاده‌سازی شده اشاره دارد. تعدادی گام وجود دارد که یک شرکت می‌تواند برای بهبود وضعیت امنیتی خود و کاهش وضعیت ریسک انجام دهد، مانند انجام ارزیابی ریسک، اجرای کنترل‌های امنیتی برای کاهش ریسک، آموزش کارکنان در مورد امنیت و مخاطرات و اجرای طرح واکنش به حادثه.

مقررات حاکم بر سازمان شما تأثیر مستقیمی بر وضعیت ریسک شما دارد. به‌عنوان مثال، اگر شرکتی در حال پردازش کارت‌های اعتباری است، باید از الزامات انطباق تعیین شده توسط استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) پیروی کند. پیروی از این الزامات به ایجاد یک محیط امن‌تر در هنگام رسیدگی به اطلاعات کارت اعتباری کمک می‌کند و در نتیجه وضعیت ریسک را کاهش می‌دهد.

ریسک در ارتباط با رایانش ابری و اشخاص ثالث

یک موضوع داغ در دنیای امروز، مفهوم رایانش ابری است. با رایانش ابری، می‌توانید مشترک یک سرویس ابری شوید که فضای ذخیره‌سازی داده‌ها را در برخی از سرورهای متصل به اینترنت ارائه می‌دهد یا می‌توانید خدمات میزبانی شخصی مانند وب سرور، سرور پایگاه داده و سرور ایمیل را برای خود داشته باشید. نمونه‌ای از مزایای اشتراک در سرویس‌های ابری این است که شرکت شما نیازی به خرید سخت‌افزار برای میزبانی ایمیل و پایگاه‌های داده شرکت ندارد، شما به سادگی مشترک سرویس‌های ابری می‌شوید و آن‌ها خدمات موردنیاز را برای شما فراهم می‌کنند. در ادامه به سادگی وارد رابط مدیریت (معمولاً یک رابط وب) می‌شوید و سرویس را مدیریت می‌کنید (مانند ایمیل).

اشتراک در چنین خدماتی به شرکت شما امکان می‌دهد در هزینه‌های اولیه مانند خرید سخت‌افزار صرفه‌جویی کند، اما همچنین به شما امکان می‌دهد با عدم نگرانی در مورد مدیریت سخت‌افزار فیزیکی و خود سیستم عامل، در زمان خود صرفه‌جویی کنید. ارائه‌دهنده سرویس مسئولیت سخت‌افزار، مدیریت سیستم‌عامل و به‌روزرسانی‌ها و اطمینان از در دسترس‌پذیری بالا (که ارزش هزینه را دارد) را بر عهده خواهد گرفت.

متأسفانه یکی از نگرانی‌های بزرگ در مورد سرویس‌های ابری حفظ حریم خصوصی است. ارائه‌دهنده ابر داده‌ها را کجا ذخیره می‌کند؟ امنیت داده‌ها چگونه است؟ این‌ها سوالاتی هستند که باید بپرسید و پاسخ آن‌ها را بیابید. نکته اصلی این است که شما اطلاعات خود را در اختیار یک سازمان شخص ثالث قرار می‌دهید، زیرا به آن‌ها اعتماد دارید.

تصمیم‌گیری برای استفاده از خدمات ابری چیزی است که باید با دقت در ارتباط با آن برنامه‌ریزی کنید. همچنین، راه‌حل‌های ترکیبی را در نظر بگیرید که به عنوان مثال، داده‌های حساس را در سایت شرکت (معروف به داخل محل) ذخیره می‌کنند، در حالی که داده‌های غیر حساس را در فضای ابری ذخیره می‌کنند تا از خدمات پشتیبان‌گیری یا حتی دسترس‌پذیری بالای داده‌ها استفاده کنید.

توجه داشته باشید که انواع مختلفی از مدل‌های ابری وجود دارد. به‌طور مثال، ابر عمومی، جایی است که داده‌های شما در اینترنت میزبانی می‌شود و ابر خصوصی به این معنی که داده‌ها داخل شرکت میزبانی می‌شوند. مهم است که توجه داشته باشید که خطرات بیشتری در ارتباط با ابرهای عمومی وجود دارد، زیرا آن‌ها در سازمان شما میزبانی نمی شوند.

موارد زیر نکاتی است که باید هنگام ادغام سیستم‌ها و داده‌ها با سرویس‌های ابری و شرکت‌های شخص ثالث در نظر بگیرید:

• شرکای تجاری داخلی/خارجی (On-boarding/off-boarding business): هنگام کار با شرکای تجاری که نیاز به دسترسی به سیستم‌های شما دارند، باید رویه‌هایی برای افزودن افراد جدید (کارمندان شریک) به سیستم مدیریت هویت و دسترسی (IAM) داشته باشید. این سیستم برای شناسایی افراد خارج از شرکت و کنترل دسترسی آن‌ها به سیستم استفاده می‌شود. فرآیند اضافه کردن یک کارمند جدید به سیستم به عنوان On-boarding شناخته می‌شود، در حالی که حذف یک کارمند از سیستم به عنوان off-boarding شناخته می‌شود.
• شبکه‌های اجتماعی و/یا برنامه‌های کاربردی (Social media networks and/or applications): امروزه با رشد شبکه‌های اجتماعی، سازمان‌ها باید خط‌مشی‌هایی را اجرا کنند و به کارکنان آموزش دهند که چه اطلاعاتی مجاز به ارسال در شبکه‌های رسانه‌های اجتماعی هستند و چه اطلاعاتی مجاز به ارسال نیستند.
• قراردادهای قابلیت همکاری (Interoperability agreements): مطمئن شوید که قراردادهای عملیاتی را با ارائه‌دهنده ابر یا شرکت شخص ثالث تعریف کرده‌اید. توافق نامه‌هایی مانند قراردادهای سطح خدمات (SLA) را منعقد کنید. بررسی کنید که آیا به یک قرارداد خرید عمومی (BPA) نیاز است که برای پوشش نیازهای تکراری یک محصول یا خدمات استفاده می‌شود. اطمینان حاصل کنید که یک یادداشت تفاهم (MOU)، که گاهی اوقات به عنوان یادداشت توافق (MOA) شناخته می‌شود، وجود دارد. این سندی است که دو طرف قرارداد آن‌را قبول دارند و شرح وظایف و مسئولیت‌های دو طرف را مشخص می‌کند. همچنین اطمینان حاصل کنید که با قرارداد خدمات اینترنتی خود (ISA) آشنا هستید و از هرگونه محدودیت در ارتباط با داده‌ها و زمان انقضا آگاه هستید. اگر از خدمات ابری استفاده می‌کنید این موضوع مهم است، زیرا برای دسترسی به هر سرویس یا داده‌ای در ابر به اتصال اینترنت نیاز دارید.
• ملاحظات حفظ حریم خصوصی (Privacy considerations): همان‌طور که قبلاً اشاره شد، باید بدانید که ذخیره اطلاعات از طریق شخص ثالث یا در فضای ابری خطراتی دارد. شما اطمینان دارید که ارائه‌دهنده خدمات آن اطلاعات را به شکل ایمن نگه‌داری می‌کند.
•  آگاهی از خطر (Risk awareness): درک خطرات ادغام با سرویس‌های ابری و اشخاص ثالث مهم است. شما این ریسک را باید قبول کنید که داده‌های شما در یک مکان ناامن ذخیره می‌شوند و اگر اطلاعات رمزگذاری نشده باشد، می‌توانند توسط دیگران مشاهده شوند. باید اطمینان حاصل کنید که ارائه‌دهنده دسترسی به آن اطلاعات را تضمین می‌کند. خطرات دیگری نیز وجود دارد که باید از آنها آگاه بود - ممکن است دسترسی به اینترنت را از دست بدهید و نتوانید به داده‌های موجود در فضای ابری دسترسی پیدا کنید. همچنین ممکن است با موقعیتی مواجه شوید که ارائه‌دهنده ابر از کار بیفتد—در این صورت چگونه به داده‌های خود دسترسی خواهید داشت؟ یا اگر سخت‌افزار ارائه‌دهنده ابر به دلایل قانونی توقیف شود چه اتفاقی می‌افتد. همه این شرایط می‌تواند باعث شود که نتوانید به داده‌های خود در فضای ابری دسترسی داشته باشید.
• اشتراک‌گذاری غیرمجاز داده (Unauthorized data sharing): هنگام کار با سازمان‌های شخص ثالث، همیشه این خطر وجود دارد که کارمندان شخص ثالث اطلاعات را بدون مجوز با دیگران به اشتراک بگذارند.
• مالکیت داده (Data ownership): اطمینان حاصل کنید که قراردادهای قابلیت همکاری مشخص می‌کند که مالک داده‌های ذخیره شده در ابر چه کسی است، خود شما یا شرکتی که میزبان اطلاعات است. برخی از شرکت‌های شخص ثالث ممکن است بر این باور باشند که اگر داده‌ها را روی سرورهای آن‌ها ذخیره کنید، داده‌ها متعلق به آن‌ها است. همه قراردادها را بخوانید و مطمئن شوید که مالکیت داده به صراحت مشخص شده است.
• پشتیبان‌گیری از داده‌ها (Data backups): تا زمانی که بدانید که به لحاظ تئوری، وقتی داده‌های خود را در ابر ذخیره می‌کنید، نمی‌دانید چه کسی به آن‌ها دسترسی دارد، با احتیاط بیشتری داده‌های خود را در فضای ذخیره‌سازی ابری قرار می‌دهید. اگر در ارتباط با این موضوع نگران هستید و واقعاً می‌خواهید داده‌های خود را در فضای ابری ذخیره کنید (مخصوصاً اگر اطلاعات خیلی حساسی نیستند)، قبل از پشتیبان‌گیری اطلاعات در فضای ابری، اطلاعات را رمزگذاری کنید.
• از خط‌مشی‌ها و رویه‌های امنیتی پیروی کنید (Follow security policies and procedures): مطمئن شوید هنگام کار با سرویس‌های ابری و شرکت‌های شخص ثالث، خط‌مشی‌ها و رویه‌های امنیتی سازمان‌تان را دنبال می‌کنید. اگر شما افسر امنیتی مسئول به‌روزرسانی خط‌مشی‌ها هستید، مطمئن شوید که آن‌ها را به‌روزرسانی می‌کنید تا قوانین سازمان در مورد خدمات ابری را در بر بگیرد.
• بررسی الزامات قرارداد برای تأیید انطباق و استانداردهای عملکرد (Reviewing agreement requirements to verify compliance and performance standards): این مورد واقعاً مهم است. شما باید همه قراردادها را بخوانید تا مطمئن شوید که مطابق یا هماهنگ با قوانین سازمان‌تان هستند. برای مثال، به دلیل نگرانی‌های مربوط به حریم خصوصی، بسیاری از سازمان‌های دولتی و بخش‌های پزشکی نمی‌توانند اطلاعات را در ابر یا در یک شرکت شخص ثالث ذخیره کنند.

انواع ارزیابی ریسک

هنگامی که در حال انجام ارزیابی ریسک هستید، مهم است که دو نوع رایج تحلیل ریسک را درک کنید که کیفی و کمی (qualitative and quantitative) است. تجزیه و تحلیل ریسک کیفی شامل تخصیص یک ارزش به تهدید بر اساس یک مقیاس و عدم نگرانی در مورد محاسبه هزینه مرتبط با ریسک است، در حالی که تحلیل ریسک کمی شامل مرتبط کردن هزینه به هر ریسک است. در این بخش با تفاوت این دو نوع آشنا خواهید شد.

برای آزمون سکیوریتی پلاس باید در ارتباط با تفاوت بین تحلیل ریسک کیفی و کمی اطلاعات کافی داشته باشید. کیفی از یک مقیاس برای شناسایی جدی بودن یک تهدید استفاده می‌کند، در حالی که کمی مبتنی بر هزنه است.

کیفی (Qualitative)

همان‌طور که گفته شد، تجزیه و تحلیل ریسک کیفی، در ارتباط با ریسک و تکنیک‌های کاهش ریسک بدون محاسبه هزینه واقعی است. با تجزیه و تحلیل ریسک کیفی، شما مقیاسی از مقادیر را برای رتبه بندی هر تهدید بر اساس اعداد موجود در مقیاس ایجاد می‌کنید. قبل از این‌که به نمونه‌هایی از مقیاس نگاه کنیم، ابتدا باید فرمول محاسبه ریسک را حتی با تحلیل کیفی ریسک درک کنید. فرمول به این صورت است که ریسک برابر با احتمال ضرب شده در ضرر (همچنین به عنوان تأثیر شناخته می‌شود) است:

ریسک = احتمال × ضرر  (Risk = Probability × Loss)

با تجزیه و تحلیل ریسک کیفی، به جای صرف زمان برای محاسبه مقدار بر تخصیص ارزش بر اساس مقیاسی که ایجاد می‌کنید تمرکز می‌کنید. رویکرد فوق باعث صرفه‌جویی در زمان در طول تجزیه و تحلیل می‌شود، زیرا در واقع سعی نمی‌کنید رقم دقیق را کشف کنید. برای روشن شدن بحث به مثال زیر دقت کنید:

اولین قدم ایجاد مقیاسی برای احتمال وقوع یک تهدید است. جدول زیر نمونه‌ای از جدول مقادیر احتمال را نشان می‌دهد. سایر عبارات احتمال، احتمال و احتمال وقوع است که اصطلاحی است که در آزمون سکیوریتی پلاس استفاده می‌شود.

جدول زیر نشان می‌دهد که شما در مورد پنج مقدار احتمال تصمیم گرفته‌اید. با هر یک از تهدیدات لیست شده با دارایی‌ها، یک مقدار احتمال برای نشان دادن میزان احتمال وقوع تهدید تعیین می‌کنیم. به عنوان مثال، وب سروری که میزبان یک سایت ایمیل عمومی است، خطر حمله انکار سرویس را دارد و شما به این تهدید احتمال "احتمالا" که دارای مقدار 3 است اختصاص می‌دهید.

هنگامی که احتمال را تعیین کردید، تأثیر مرتبط با هر یک از تهدیدها را شناسایی خواهید کرد. مانند احتمال، ضرر بر اساس یک مقیاس که ممکن است بخواهید از مقیاس «کم/متوسط/بالا» استفاده کنید، یا مقیاس خود را بسازید، مانند آنچه در جدول زیر آمده است.

با نگاهی به جدول فوق، مشاهده می‌کنید که من با مقیاس دیگری که دارای پنج مقدار است، کار را ادامه داده‌ام. رویکرد فوق به شما انعطاف‌پذیری خاصی را در هنگام تعیین تأثیر به هر یک از تهدیدات مختلف می‌دهد. برای مثال، ممکن است تصمیم بگیرید که حملات انکار سرویس به وب‌سایت تجارت الکترونیکی شما دارای سطح «تاثیر متوسط» باشد، زیرا آنها سرور را از کار می‌اندازند و اجازه انجام تجارت نمی‌دهد.

هنگامی که احتمال و تأثیر (زیان) هر یک از ریسک‌ها را شناسایی کردید، ریسک هر تهدید را بر اساس فرمول ریسک = احتمال × ضرر محاسبه کنید. جدول زیر نمونه‌ای از نحوه ترسیم تهدیدات علیه یک دارایی و سپس محاسبه ریسک مربوط به هر تهدید را با استفاده از تحلیل کیفی نشان می‌دهد. شما ریسک مربوط به هر یک از تهدیدها را با استفاده از احتمال و ضرر (که به عنوان تأثیر شناخته می‌شود) اندازه‌گیری می‌کنید. رویکرد فوق به شما امکان می‌دهد تهدیدها را اولویت‌بندی کنید و ابتدا با سرمایه‌گذاری در راه‌حل‌های امنیتی برای محافظت از دارایی در برابر تهدیدات با اولویت با تهدیدهای با اولویت بالا مقابله کنید. در این مثال، تهدیدات پرخطر شما حمله تزریق SQL و حمله سرریز بافر است، بنابراین باید روی کنترل‌هایی سرمایه‌گذاری کنید تا از وقوع آن تهدیدها جلوگیری کنید.

نکته امتحانی: تجزیه و تحلیل ریسک کیفی این مزیت را دارد که یک نوع ارزیابی بسیار سریع است، زیرا شما درگیر کشف ارقام مالی نیستید و صرفاً ارزش‌ها را براساس مقیاسی که ایجاد می‌کنید اعمال می‌کنید. با تجزیه و تحلیل کمی، هزینه ناشی از تهدید به تعیین میزان سرمایه‌گذاری شما در راه‌حل امنیتی برای محافظت از دارایی کمک می‌کند.

برای مطالعه بخش بعد اینجا کلیک کنید. 

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.

تبلیغات لینکی: 

سایت استخدام