تحلیل سنجش خطرات امنیت سایبری از دیدگاه متخصصان امنیتی

0
7094

امروزه مباحث «معیارهای سنجش خطر در حوزه امنیت سایبری» بسیار گسترده شده به صورتی که گاهی شرکت‌های فعال در این زمینه، این معیارها را به‌صورت بلادرنگ به سازمان‌های مختلف ارائه می‌کنند.

در همین راستا می‌توان پیش‌بینی کرد، در سال جاری شرکت‌های بیمه از اقدامات خود در این حوزه بیش از ۳ میلیارد دلار حق بیمه دریافت خواهند کرد.

تحقیقات صورت گرفته بر روی بازار داغ خطرهای امنیت سایبری، به‌وضوح نشان می‌دهد که افزایش مجرمان سایبری، فشار هیئت‌مدیره بر روی مسئولین امنیتی شرکت‌ها و زیان‌های مالی در حال شکل‌دهی بازار جدیدی متشکل از مشاوران، کارگزاران و بیمه گران است.

در حال حاضر مدیران امنیت اطلاعاتی درصدد پاسخگویی به سؤالات و چالش‌های پیش روی مدیران سطح بالای سازمان‌ها و شرکت‌ها در این حوزه برآمدند. سؤالات چالش‌برانگیزی مانند:

  • آیا ما در امنیت هستیم؟ اگر چنین است، چگونه این امنیت تأمین می‌شود؟
  • آیا حادثه سایبری که برای شرکت x اتفاق افتاد، می‌تواند برای ما رخ دهد؟ آیا ما در طول زمان در زمینه امنیتی رشد خواهیم کرد؟
  • با توجه به هزینه‌هایی که شرکت‌های بزرگ برای امنیت سایبری خود در نظر گرفته‌اند، آیا ما به‌اندازه کافی هزینه کرده‌ایم؟ یا باید هزینه بیشتری کنیم؟

در ادامه در گفتگویی با Richard Seiersen نائب رئیس شرکت Trust و مدیر ارشد امنیتی شرکت Twilio فعال در زمینه تولید نرم‌افزارهای ارتباطی به بررسی این موضوع از جنبه‌های مختلف پرداخته خواهد شد.

۱-آیا واقعاً سنجش خطرات سایبری کاری دشوار است؟

باید گفت تاکنون خطرات سایبری در حالت‌های پیچیده اندازه‌گیری شده‌اند، مانند زمان جاری شدن سیل، خشک‌سالی، تدارکات نظامی و مانند این‌ها؛ بنابراین ما می‌توانیم خطرات سایبری را اندازه‌گیری کنیم اما نکته مهم در این میان سنجش این خطرات از منظر و جنبه‌های درست است.

ما ۱۷۱ متخصص امنیتی را ازنظر سواد آماری بررسی کردیم و با یافته‌های جالبی روبرو شدیم. در این بررسی مشخص شد متخصصانی با چشم‌انداز مطلوب در تجزیه‌وتحلیل پیش‌بینی، امتیاز بسیار بهتری نسبت به همتایانشان که به این مسئله بی‌توجه بودند، کسب کردند.

درواقع بسیاری از مخالفت‌ها با روش‌های کمی برای سنجش خطرات امنیت سایبری به‌شدت باسواد آماری پایین همبستگی دارد.

خبر خوب این است که در بین این افراد تمایل زیادی برای اتخاذ روش‌های علمی جهت اندازه‌گیری خطرات سایبری وجود دارد. به نظر می‌رسد چالش اصلی در «چگونگی این سنجش» باشد.

۲-تیم امنیتی من در حال حاضر از قدرت تصمیم‌گیری پایینی در مقابل خطرات برخوردار بوده و استرس بالایی می‌گیرند. آیا باید دروس آماری را بگذرانند؟

در اینجا تفکر و منطق احتمالاتی لازم است! دشمنان ما معمولاً حساس، مشکوک و گل‌ها از هوش مصنوعی استفاده می‌کنند، کسانی که به دنبال بهره‌برداری از آسیب‌پذیری‌های کشف نشده و ناشناخته همه‌جا را جستجو می‌کنند. تئوری احتمال، یک‌زبان میانجی از عدم قطعیت است. احتمال وقتی به‌درستی استفاده شود، کمک می‌کند عدم قطعیت داشته و از اطمینان بیش‌ازحد به خود جلوگیری کنیم.

در واقع شما می‌توانید گروه امنیت خود را به‌گونه‌ای تربیت کنید که وقتی می‌گویند ۹۰ درصد، از یک فعالیت مخرب خاص مطمئن هستند، با درصد بالایی درست گفته باشند.

۳-به‌اندازه کافی دیتا نداریم؟ از کجا باید شروع کنیم؟

متأسفانه این حرف یعنی نداشتن دیتای کافی، استدلال غلطی است. به گفته Doug Hubbard یکی از کارشناسان این زمینه: «ما بیش از آنچه لازم است دیتا در اختیار داریم و واقعاً به داده‌های کمتری نسبت به آنچه فکر می‌کنیم، نیاز داریم.»

ما می‌توانیم کار خود را با شرط‌بندی‌های بهتر شروع کنیم. بله این کار درست مثل یک شرط‌بندی است. وی امیدوار است تیم امنیتی خود را به متفکران احتمالی بانام مستعار «شرط بندان امنیتی» تبدیل کند. اگر اعضای یک تیم امنیتی بتواند پیش‌بینی‌های بهتری برای خطرات احتمالی انجام دهد، مسلماً نتیجه بهتری به دست خواهد آمد.

توجه داشته باشید، شما با استفاده از روش‌های اثبات نشده هم با سطوح کیفی مختلف به‌گونه‌ای خطرات را پیش‌بینی می‌کنید. تحقیقات نشان می‌دهد پیش‌بینی متخصصان امنیتی در حال حاضر با ۲۰ درصد تناقض همراه است.

خوشبختانه ما می‌توانیم این درصد را با طراحی مدل‌هایی مانند ساخت روبات‌های امنیتی کاهش دهیم.

۴-پس‌ازاینکه تیم امنیتی احتمال خطرات را تعیین کرد چه باید کرد؟

 در این مرحله باید به وضعیت «بازگشت به کنترل» توجه کرد. برای مثال یک خطر در قسمت‌های مختلف تأثیری از ۲ تا ۴۰ میلیون دلار دارد. باید هزینه‌ها را در نظر گرفت. آیا می‌توان خطرات شناخته‌شده را به‌طور مؤثر کاهش داد و در صورت انجام این کار چقدر هزینه خواهد شد.

۵-چگونه می‌توانم به بهترین روش بودجه مناسب را برای مسائل امنیت سایبری صرف کنیم؟

بودجه امنیتی شما نمایانگر میزان تحمل خطر شرکت یا سازمان شماست. با کمتر هزینه کردن، ما تنها مشخص می‌کنیم که آماده پذیرش بالاترین سطح خطر هستیم.

در جداول تعیین خطر متخصصان، ما می‌توانیم ریسک‌های مختلف و اولویت‌بندی آن‌ها را برپایه شرایط خاص مشاهده کنیم. برای مثال، اگر داده‌های حساس PII داشته باشیم، ضرر و زیان‌ها می‌تواند پیامدهای گسترده‌تری داشته باشد، یا با کنترل و کاهش دسترسی به پایگاه داده، می‌توانیم یک بازگشت بسیار سطح بالا به کنترل داشته باشیم.

با این حساب باید انتخاب کنیم که بودجه و صرف هزینه در کدام قسمت و برای چه‌کاری بیشترین منفعت را برای ما خواهد داشت.

همچنین در درازمدت، باید به فکر طراحی سیستم‌های خبره برای بهبود نتایج احتمالی باشیم. ما به ساختن مدل‌هایی برای حفظ دانش و کاهش خطا نیاز داریم و در طول زمان ما چنین مدل‌هایی را با استفاده از برنامه‌نویسی احتمالی رمزنگاری کنیم.

۶-چگونه می‌توان چنین مدل‌هایی را توسعه داد و رمزنگاری کرد؟

این ادعای هوش مصنوعی (AI) است. به عبارت ساده‌تر، ما اول یک مدل داده محور را توسعه می‌دهیم که اطلاعات جمع‌آوری‌شده در مورد خطر را، رمزنگاری می‌کند. سپس جلوتر رفته به مدل اجازه می‌دهیم تا از منابع داخلی و خارجی یاد بگیرد و به‌این‌ترتیب به تکاملی از داده‌های علمی و تصمیم دست پیدا خواهیم کرد.

درواقع ما شروع به ساخت «ربات‌های خطر» یا به عبارتی «سایبورگ امنیتی» کرده‌ایم. می‌گوییم سایبورگ زیرا عنصر انسان بودن را حفظ کرده است. در برخی موارد، این سیستم می‌تواند واکنش‌هایی را از طرف ما، دقیقا مانند سیستم‌های خبره انجام دهد.