آیا زیر خط فقر امنیتی هستید؟ – شماره 8 2022 – انتشارات تکنیوز

احتمالاً سخت‌ترین عامل از میان چهار عامل، تأثیر شامل ایجاد توازن بین آنهایی است که تأثیر بیشتری دارند (بزرگترین/بلندترین) و بقیه جامعه امنیتی و تجاری، در حالی که «امنیت سایبری عظیم چندجانبه، فرامرزی، نظامی/مدنی» را نیز مورد توجه قرار می‌دهد. مشکل سیاست.»

3. قابلیت.

خط فقر امنیتی

امنیت سایبری چیزی است که صنعت به عنوان یک کل باید به آن توجه کند، نه صرفاً با انگیزه سود بلکه به عنوان یک پروژه پایدار، زیرا کسانی که مرتکب جرایم سایبری می شوند، از نظر اینکه چه کسی از تأثیر جنایات خود متحمل می شود، هیچ ابهامی ندارند. و این صرفاً یک موضوع صنعتی نیست – دولت‌ها باید با بخش خصوصی همکاری کنند (و بالعکس) در ایجاد قابلیت‌ها و امکانات پایه‌ای که به کسانی که قادر به خرید جدیدترین و بهترین محصولات و افراد ماهر نیستند اجازه می‌دهد تا در حداقل شانس محافظت از خود را دارند.

بهترین جمله از Nather در این رویداد این بود: “امنیت باید به راحتی استفاده از یک قاشق باشد.” یادگیری استفاده از قاشق آسان است و مهم نیست که کجا می روید، می دانید چگونه از قاشق بدون “آموزش آگاهی از قاشق” استفاده کنید.

تجربه و تخصص: همه ما فشار ناشی از تلاش برای یافتن مهارت‌های امنیت سایبری خوب را شنیده‌ایم یا احساس کرده‌ایم. برخی پیش‌بینی‌ها می‌گویند که تا پایان سال آینده یا زودتر، کمبود افراد ماهر برای پر کردن حدود 3 میلیون شغل وجود خواهد داشت. مشکل این است که حتی برای شرکت‌هایی که می‌دانند به چه امنیت ضروری نیاز دارند، فقدان مهارت ممکن است نصب و استفاده مؤثر از آن را مختل کند. باز هم، این نیز به هزینه راه حل ها و مهارت ها مربوط می شود. این در مورد آموزش آگاهی نیست، بلکه دانش عمیق‌تر مورد نیاز است تا سیستم‌ها مطابق با نیاز عمل کنند.

جای تعجب نیست که خستگی MFA نیز در افزایش تعداد نقض‌ها نقش دارد. احراز هویت چند عاملی (MFA) به عنوان راهی برای ایمن کردن دسترسی به سیستم ها با نیاز به یک اقدام امنیتی اضافی، مانند پین یکبار مصرف پیامک یا سایر فاکتورهای احراز هویت (مانند Google Authenticator)، یا درخواست دسترسی ارسال شده، تبلیغ می شود. از طریق یک برنامه شرکتی برای به دست آوردن دسترسی.

وندی ناتر.

جای تعجب نیست که مفهوم «خستگی سایبری» در حال تبدیل شدن به بخشی از زبان روزمره است. این ما را به SPL می رساند.

سیسکو در اواخر سال 2022 یک میزگرد رسانه ای برای منطقه EMEA برگزار کرد که در آن وندی ناتر، رئیس CISO های مشاور در سیسکو، در مورد وضعیت امنیت سایبری، به ویژه با تمرکز بر خط فقر امنیتی (SPL)، که به عنوان خط زیر تعریف می شود، صحبت کرد. که یک سازمان نمی تواند به طور موثر از خود محافظت کند.

به طور کلی، این تغییرات برای توسعه نرم‌افزار موهبتی بوده است و مطمئناً بهره‌وری توسعه‌دهندگان را افزایش داده و هزینه‌ها را کاهش داده است. اما از بسیاری جهات آنها یک کابوس برای امنیت بوده اند. توسعه‌دهندگان با تکیه بر کدهای شخص ثالث که ممکن است به طور کامل با کارکردهای داخلی آن آشنا نباشند، زنجیره‌ای از اجزای نرم‌افزاری را ایجاد کرده‌اند که پیچیده‌تر از اجزای سازنده‌های فیزیکی هستند. و از آنجایی که یک برنامه کاربردی به اندازه کم‌ایمن‌ترین مؤلفه آن امن است، نرم‌افزار ساخته شده به این روش دارای آسیب‌پذیری‌های منحصربه‌فردی است که صنعت عمیقاً با آن دست و پنجه نرم می‌کند.» [1]

همانطور که مشاهده می شود، بسیاری از شرکت هایی که فکر می کنند اقدامات لازم را برای آمادگی سایبری انجام داده اند، نه به دلیل عدم تلاش، بلکه به دلیل پیچیدگی چشم انداز امنیت سایبری، خود را زیر SPL می بینند. ترسناک تر این است که بسیار محتمل است که فقط تیم امنیتی بدانند که آیا شرکت زیر SPL است، مگر اینکه به مدیریت اطلاع دهند – و چه کسی این خطر را می پذیرد؟

واقعیت این است که حتی شرکت‌های بزرگ راه‌حل‌های امنیتی زیادی دارند (کمتر از ۴ تا ۳۱ مورد) و بودجه‌های امنیتی اغلب می‌توانند تا چهار برابر کاهش یابند (یعنی خیلی کم) و هنوز هیچ تضمینی برای شما وجود ندارد. نقض نخواهد شد علاوه بر آن، می‌توانید «چیزهای کوچک» مانند فرهنگ شرکت و بحث‌های بی‌پایان ایمنی در مقابل امنیت و حریم خصوصی در مقابل امنیت را وارد کنید تا مسائل را حتی بیشتر پیچیده‌تر کنید.

بستن کمربند ایمنی Zero Trust

ناتر خاطرنشان می کند که SPL به نوعی از شکست اخلاقی از سوی سازمان هایی که با امنیت دست و پنجه نرم می کنند اشاره نمی کند، بلکه مفهوم «فقر» بیشتر پویایی های امنیتی سازمان را توصیف می کند. همانطور که در بالا ذکر شد، این خطی است که زیر آن یک سازمان دیگر نمی تواند از خود محافظت کند.

نفوذ: مشتریان بزرگ با پول تمام توجه را به خود جلب می کنند و درخواست های آنها برای ویژگی های جدید یا قوانین جدید به سرعت برآورده می شود. نه خیلی بچه های کوچک، و این باید تغییر کند.

برای احتیاط در صورت مرتکب اشتباه خود یا راننده دیگری در وسایل نقلیه کمربند ایمنی را می بندیم، البته در بیشتر مواقع نیازی به آن نیست. با این حال، در صورت نیاز، عواقب نپوشیدن آن می تواند شدید باشد. بنابراین، سازمان‌ها باید کمربند ایمنی Zero Trust را نیز ببندند تا مطمئن شوند سیستم‌هایشان از اشتباهات کاربران (یا فعالیت‌های مخرب) ایمن است. سرزنش کردن کاربر همیشه گزینه خوبی برای محافظت از مشاغل تیم های سایبری است، اما در درازمدت واقعاً هیچ فایده ای ندارد. در بهترین حالت، همه به مدت یک هفته یا یک ماه قبل از شروع دوباره «کسب و کار طبق معمول» در حالت آماده باش خواهند بود.

سیسکو به عنوان نقطه شروعی برای شرکت هایی که به دنبال افزایش رتبه SPL خود هستند، آخرین مطالعه نتایج امنیتی خود را منتشر کرد. [2]، به دنبال “کشف 5 روش برتر امنیتی و نحوه بهینه سازی آنها” – و خیلی چیزهای دیگر است. ارزش خوندن رو داره

جاش فرولینگر در حال نوشتن برای CSO آنلاین توضیح می دهد: «دوران کدهای نرم‌افزاری اختصاصی و یکپارچه مدت‌هاست که به پایان رسیده است. برنامه های مدرن اغلب بر روی استفاده مجدد از کدهای گسترده ساخته می شوند که اغلب از کتابخانه های منبع باز استفاده می کنند. این برنامه‌ها همچنین به‌طور فزاینده‌ای به اجزای عملکردی کوچک‌تر و مستقل به نام کانتینر تقسیم می‌شوند که توسط پلتفرم‌های ارکستراسیون کانتینر مانند Kubernetes مدیریت می‌شوند و به صورت محلی یا در فضای ابری اجرا می‌شوند.

قابلیت: وقتی صحبت از قابلیت‌ها به میان می‌آید، Nather شیوه‌های به‌روزرسانی و ادغام فناوری بهتر و همچنین انتقال عملکردهای تجاری غیر اصلی به ابر را توصیه می‌کند. او همچنین می‌خواهد «معماری‌های مرجع امنیتی خاص عمودی» بیشتری ببیند، نه فهرست‌های چک.

آنچه مورد نیاز است یک دفاع چند لایه است که مانع از تأثیر شکست یک کاربر بر کل سازمان شود. این تعریف ساده شده Zero Trust است: شما به یک کاربر خاص برای دسترسی و استفاده از داده های خاص برای یک زمان خاص اعتماد دارید، تمام.

در حالی که MFA به کاهش تعداد نقض‌های ناشی از حدس زدن یا سرقت رمز عبور کمک می‌کند، درخواست‌های مداوم برای احراز هویت در طول زمان منجر به «خستگی MFA» می‌شود که کاربران را در تلاش برای یافتن راهی هوشمندانه برای جلوگیری از آن یا صرفاً موافقت می‌کند. همه و همه درخواست ها، همانطور که در سال 2022 برای Uber و دیگرانی که فکر می کردند توسط وزارت امور خارجه محافظت می شوند، اتفاق افتاد.


منبع: https://www.securitysa.com/18138R

2. تخصص.

[1] www.securitysa.com/*cso1، به https://www.csoonline.com/article/3667309/what-is-an-sbom-software-bill-of-materials-explained.html

4. نفوذ.

از دیگر موارد قابل توجه گستره ای از کتابخانه های نرم افزاری بود که توسعه دهندگان این روزها به آنها دسترسی دارند. نمونه‌های ساده‌ای از خطرات این موضوع در کتابخانه‌های پایتون و جاوا اسکریپت مشاهده شده است که فقط دو مورد را نام می‌بریم. این امر نیاز به یک لایحه مواد نرم افزاری (SBOM) را برجسته می کند، که ویکی پدیا می گوید: “موجودی اجزای مورد استفاده برای ساختن یک مصنوع نرم افزاری مانند یک برنامه نرم افزاری را اعلام می کند.” به عبارت دیگر، این یک رکورد رسمی از اجزای یک محصول نرم افزاری و همچنین “رابطه زنجیره تامین” آنها است.

[2] مطالعه نتایج امنیتی سیسکو، جلد. 2: www.securitysa.com/*cisco4، به



وام)

حتی هنگام استفاده از نرم‌افزار متن‌باز، که اکثر سرورهای ابری جهان را اجرا می‌کند، ممکن است نرم‌افزار واقعی برای دانلود و استفاده رایگان باشد، اما برنامه‌های کاربردی در سطح سازمانی به افرادی نیاز دارند که آنها را اجرا کنند، بنابراین واقعاً «رایگان» نیست. هزینه و تلاش برای نگهداری آن (از جمله نگهداری امنیتی) عاملی است که باید در نظر گرفته شود.

البته، فرهنگ شرکت در اینجا نقش مهمی ایفا می کند، به عنوان مثال در صنعت مهمان نوازی – برهم زدن تجربه مهمان (شاید با MFA) قابل قبول نخواهد بود. بنابراین امنیت باید این عوامل را در نظر بگیرد و بین کسب و کار و امنیت تعادل ایجاد کند. این به استدلال های ذکر شده در بالا در مورد ایمنی در مقابل امنیت و حریم خصوصی در مقابل امنیت مربوط می شود. او خاطرنشان می کند که شکست سریع خوب است و حتی در برخی صنایع ضروری است، اما نه زمانی که در هواپیمای 10 کیلومتری در هوا هستید. به طور مشابه، آیا می‌خواهید بیمار باشید که روی یک گارنی با حفظ حریم خصوصی خود می‌میرد؟

چهار عامل اصلی در ایجاد SPL وجود دارد:

با تنظیم صحنه با اخباری که دیگر واقعاً برای کسی خبری نیست (برخی آن را خستگی سایبری می‌نامند)، این شرکت خاطرنشان کرد که امروز سرفصل‌های بی‌پایانی درباره نقض‌های سایبری و پیامدهای ناشی از آن وجود دارد. همانطور که می توان انتظار داشت، برخی از دلایل اصلی باج افزار هستند، و همچنین حملات زنجیره تامین که در آن یک شرکت نقض می شود زیرا سیستم های آن به نوعی با سیستم های اشخاص ثالث در زنجیره تامین خود مرتبط یا یکپارچه شده اند.

Nather پیشنهاد می‌کند که محصولات امنیت سایبری به گونه‌ای طراحی شوند که به «تخصص امنیتی مخفیانه» کمتری نیاز داشته باشند، و صنعت باید بیشتر از همه مسیرهای ورود به صنعت حمایت کند. به طور انتقادی، او همچنین توصیه می‌کند که «تمرکز تخصص مبتنی بر بازار در فروشندگانی که می‌توانند برای استعدادها پیشی بگیرند» متوقف شود.

نوشته اندرو سلدون

1. پول.

پول: مشکل پول هر شرکتی به این موضوع اشاره دارد که آیا سازمان قادر به تهیه ابزار و افراد مناسب برای محافظت موثر از خود است؟ این موضوع همچنین سوالاتی را در مورد ماهیت جهانی امنیت سایبری ایجاد می کند. برای مثال، آیا برخی از زیرساخت‌ها یا کنترل‌های اساسی امنیت سایبری باید به‌عنوان یک سرویس یارانه‌ای ارائه شوند، زیرا به ندرت اتفاق می‌افتد که یک نقض فقط بر یک شرکت تأثیر بگذارد؟ علاوه بر این، چه امنیتی باید «ساخت‌شده» باشد و بنابراین بدون هزینه اضافی در دسترس باشد؟

گفته می شود، امنیت همیشه برای سازمان ها، چه امنیت سایبری و چه امنیت فیزیکی، یک مشکل است. تصمیمات زیادی در مورد سیستم هایی که باید استفاده کرد، درک وضعیت (یا وضعیت) سایبری سازمان، دانستن اینکه چه چیزی به چه چیزی و چه کسی متصل است، چه برنامه هایی در حال استفاده هستند و کدام باید استفاده شوند، داده های شما در کجا هستند، وجود دارد. و بسیاری سوالات دیگر امنیت به معنای ارائه راه‌حلی است که بتواند با پاسخ به آن سؤالات مقابله کند (یا شرکت را برای ساده‌تر کردن پاسخ‌ها تغییر دهد، مانند کنترل دقیق‌تر داده‌ها) و باور نکردن هر گلوله نقره‌ای که آخرین تبلیغات فروش ارائه می‌دهد.

آیا زیر خط فقر امنیتی هستید؟

شماره 8 2022 انتخاب سردبیر