پژوهشکده پولی و بانکی
بانک مرکزی جمهوری اسلامی ایران
Monetary and Banking Research Institute
تاريخ:چهاردهم دی 1395 ساعت 12:48   |   کد : 272888
مدیریت آسیب‌پذیری‌ها در حوزه امنیت اطلاعات
کارگاه آموزشی
مدیریت آسیب‌پذیری‌ها در حوزه امنیت اطلاعات
بهره‌گیری از کنترل‌های امنیتی برای شناسایی و مسدود کردن حملات، تقویت مدیریت پیکربندی دستگاه‌های آسیب‌پذیر و احراز هویت از مهمترین شروط کاهش آسیب‌پذیری سامانه‌های امنیتی است.
روز دوم ششمین همایش سالانه بانکداری الکترونیک و نظا‌م‌های پرداخت، با برگزاری کارگاه آموزشی «مدیریت آسیب‌پذیری‌ها در حوزه امنیت اطلاعات» توسط سید علی هاشمی‌اقدم، علیرضا اطهری‌فرد و سجاد طرهانی همراه شد.
بر اساس مطالب ارایه شده در این کارگاه، امروزه مدیریت آسیب‌پذیری‌ها جزو جذاب‌ترین موضوعات مطرح شده در کنفرانس‌های دانشگاهی در سطح جهانی است و حدود ۳۸ درصد از مقالات بین‌المللی که در مجامع ارایه می‌گردد به موضوع مدیریت آسیب‌پذیری‌ها اشاره دارد، به نحوی که بر اساس آمار منتشر شده، در سال‌های ۲۰۱۴ و ۲۰۱۵، بیش از یک سوم موضوعات مطرح شده در ۴۲۳۹ سخنرانی در بیش از ۸۰ همایش، مرتبط با آسیب‌پذیری‌ها و تهدیدات بوده است.
فرایندهای امنیتی بر خلاف تجهیزات، نرم افزارها و خدمات در ازای پول خرج کردن به دست نمی‌آیند. آنها فقط می‌توانند توسط سازمان ایجاد شده و سپس به سطح مناسبی از بلوغ برسند. «مستعد بودن برای مورد حمله قرار گرفتن» کوتاه‌ترین تعریفی است که برای واژه آسیب‌پذیری می‌توان ارائه کرد. آسیب‌پذیری به نقصی باز می‌گردد که امکان سوء‌استفاده از طریق آن وجود دارد. این سوء‌استفاده می‌تواند زنجیره‌ای از رخدادها را رقم بزند که نهایتاً پیامدهای نامطلوبی را برای سازمان به همراه دارد.
در خصوص منابع آسیب‌پذیری می‌توان گفت، آسیب‌پذیری قادر است در سیستم‌عامل، ثابت‌افزار، نرم‌افزارهای کاربردی، پیکربندی و نیز خارج از حوزۀ فناوری اطلاعات وجود داشته باشد. امنیت فیزیکی، منطقه‌بندی نامناسب شبکه، اعطای مجوزهای دسترسی غیرضروری و بی‌قاعده به کاربران و آموزش ناکافی آن‌ها از جمله دیگر منابع آسیب‌پذیری است.
در خصوص مدیریت آسیب‌پذیری، باید اذعان داشت این مدیریت یکی از لایه‌‌های پیشنگرانه در برنامه دفاع سایبری سازمان‌هاست و عموما فرآیندی از جنس فرآیندهای اجرایی و عملیاتی به حساب می‌آید.
اما در مدیریت آسیب‏پذیری اشتباهات رایجی وجود دارد از جمله پوشش آسیب ‏پذیری‏ ها بدون پیشبرد اقداماتی در رابطه با ترمیم آنها، غافل شدن از چشم‏ انداز ریسک‏ های سازمان و اهمیت دارایی‏ها، مشخص نبودن نقش‏ها و مسئولیت‏ها در مدیریت آسیب‏پذیری و گزارش‌دهی نادرست. همچنین باورهای غلطی نیز در این خصوص وجود دارد از جمله تفکری که معتقد است وصله کردن همان مدیریت آسیب‏پذیری است، باور اینکه مدیریت آسیب‌پذیری‏ها، تنها، یک مسئله ‏ی فنی است و تصور ترمیم تمام آسیب‏ پذیری‏ ها.
برای شناسایی و رفع آسیب‌پذیری‌ها، مناسب است آن را به عنوان یک چرخه در نظر بگیریم؛ چرخۀ فرآیندی شامل سه فرآیند اصلی به نام‌های «ارزیابی آسیب‌پذیری»، «طرح‌ریزی مدیریت آسیب‌پذیری» و «ترمیم یا کاهش آسیب‌پذیری» است که برای رسیدن به سطح مطلوب، باید این سه فرآیند هر یک به خوبی عمل کنند، تا چرخ دنده‌های پیشرفت این چرخه به درستی و با سرعت مناسب حرکت کنند. نام این چرخه فرآیندی «مدیریت آسیب‌پذیری‌ها» است. این چرخه فرآیند مدیریت چالش‌ها را از «موردی بودن»، «دستی بودن» و «مخاطره‌محور نبودن» به سوی «یکپارچگی با برنامه‌های ارزیابی و پایش امنیتی مخاطره‌محور» سوق داده و تکامل می‌بخشند.
اما یکی از مهمترین موضوعات، اولویت‌بندی آسیب‌پذیری‌ها مبتنی بر تهدیدها است. در این بین باید بر وصله یا ترمیم آن دسته از آسیب‏پذیری‏هایی که در سازمان دیده شده‌اند و در دنیا مورد سوءاستفاده قرارگرفته است فارغ از شدتشان تمرکز نمود.
توصیه‌های مهم در تصمیم‌گیری‌های مدیریت آسیب‌پذیری بدین شرح است:
فرایندی برای اولویت‌بندی آسیب‌پذیری‌ها تدوین کنید.
سامانه‌هایی که داده‌های مرتبط با آسیب‌پذیر‌ی‌های سازمان را در خود دارند، امن کنید.
از آزمون ایمنی ترمیم قبل از انجام نهایی آن استفاده کنید.
همکاری‌ها و خودکارسازی‌های لازم را به منظور عملیاتی کردن فرآیند ترمیم به انجام رسانید.
تعاملات میان تیم‌های عملیاتی را تسهیل کنید و تا جایی که امکان دارد آن ها را ساده کنید.
حداقل، سامانه‌های آسیب پذیری که از اینترنت قابل دسترس هستند و کد سوء استفاده از آسیب‌پذیری آنها در دسترس عموم قرار دارد را ترمیم کنید.
اگر نمی‌توانید با سرعت لازم ترمیم کنید، کاهش مخاطره را در پیش بگیرید.
اما یکی دیگر از بخش‌های مهم مدیریت آسیب‌پذیری‌ها، ترمیم و یا کاهش آسیب‌پذیری امنیتی است. در این بین تعیین نقش‌ها و مسئولیت‌ها، یکپارچه‌سازی مدیریت وصله با فرآیندهای مدیریت آسیب‌پذیری، تغییر، پیکربندی و انتشار، گزینش ابزارها و فروشندگان مناسب و تعیین سنجه‌های واقع‌بینانه از اهمیت زیادی برخوردار هستند. همچنین برای هر بخش از فرآیند وصله کردن، افرادی را با نقش‌های مدیریت وصله تعیین می‌شوند. در این خصوص، میزان اهمیت یک وصله از منظر امنیتی باید بررسی شود و در اولویت‌بندی اعمال وصله باید از تحلیل میزان تأثیر هر آسیب‌پذیری استفاده کرد.
افزون بر این، برای پاسخ‌دهی به این پرسش که چگونه می‌توانیم آسیب‌پذیری را کاهش دهیم، می‌توان گفت که جداسازی منطقی سامانه‌های قدیمی و غیرقابل وصل، بهره‌گیری از کنترل‌های امنیتی برای شناسایی و مسدود کردن حملات مرتبط با سامانه‌های آسیب‌پذیر، تقویت مدیریت پیکربندی دستگاه‌های آسیب‌پذیر و فعال‌سازی لاگ‌های دسترسی و احراز هویت از شرط‌های مهم کاهش‌دهی آسیب‌پذیری‌ها است.

آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 
 

دوره‌های آموزشی جاری
تازه‌های نشر
پیوندها



کليه حقوق اين سايت محفوظ و متعلق به پژوهشکده پولی و بانکی مي باشد.
نقل مطالب با ذکر منبع آزاد است.
بازديد اين صفحه: 2,930,031