۰۲۱۴۲۹۲۲

کاتالوگ

Menu

۰۲۱۴۲۹۲۲

چارچوب‌های امنیتی؛ ستون فقرات طراحی مراکز داده ایمن و انعطاف‌پذیر

دسته‌ها
امنیت
فهرست مطالب

راه‌های مختلفی برای تدوین یک برنامه امنیت سایبری در فرآیند طراحی مراکز داده وجود دارد، اما از کجا باید شروع کرد؟ این موضوع می‌تواند برای بسیاری از کارشناسان فعال در حوزه طراحی مراکز داده چالش‌برانگیز باشد، زیرا امنیت سایبری دارای زبان و اصطلاحات خاص خود است. چارچوب‌ها برای کمک به سازمان‌ها در این مسیر طراحی شده‌اند. چارچوب‌‌ها، نقشه راهی هستند که نشان می‌دهند برای رسیدن به هدف نهایی که تدوین یک برنامه امنیت سایبری کارآمد بر مبنای بهترین روش‌ها و استانداردهای صنعتی است، چگونه باید گام برداشت. همچنین، شامل مجموعه‌ای از الزامات هستند که نحوه محافظت از یک مولفه زیرساختی را شرح می‌دهند. به‌طور مثال، چک‌لیستی مبنی بر ایمن‌سازی سرورها یا شبکه ارائه می‌دهند تا کارشناسان امنیتی بر مبنای آن، تهدیدات سایبری را به حداقل برسانند. 

چارچوب‌‌ها، الزاما نحوه پیاده‌سازی یک کنترل خاص را مشخص نمی‌کنند، بلکه تنها بیان می‌کنند که باید آن کنترل وجود داشته باشد. به‌عنوان مثال، یک چارچوب‌ ممکن است بیان کند، باید از احراز هویت دو مرحله‌ای (MFA) سرنام multi-factor authentication استفاده شود، اما نحوه یا محل پیاده‌سازی آن را مشخص نمی‌کند. همچنین، ممکن است بیان کند که باید نظارت، ثبت‌نام و احراز هویت به شکل دقیقی پیکربندی شود، اما نحوه انجام آن یا مدت زمان نگهداری گزارش‌ها را مشخص نکند.

به بیان دقیق‌تر، چارچوب‌‌ها، مستنداتی هستند که به سازمان‌ها در پیاده‌سازی بهترین روش‌ها کمک می‌کنند. شما یا مسئول امنیت سازمان می‌توانید تصمیم بگیرید که قصد پیاده‌سازی یک کنترل خاص یا مجموعه‌ای از کنترل‌ها را ندارید. این موضوع کاملا طبیعی است؛ اما باید سطح ریسکی را که سازمان با عدم پیاده‌سازی یک کنترل خاص یا مجموعه‌ای از کنترل‌ها می‌پذیرد، مشخص کنید. 

سازمان‌هایی، مانند سازمان بین‌المللی استانداردسازی (ISO)، چارچوب‌‌ها را برای همسو کردن سازمان‌ها با بهترین روش‌های امنیت سایبری تدوین کرده‌اند. استانداردهایی همچون ISO 27001/27002 توسط بسیاری از سازمان‌های بین‌المللی برای همگام شدن با بهترین روش‌های امنیت سایبری استفاده می‌شوند. دولت‌ها نیز استانداردهای امنیت سایبری را برای محافظت از خود در برابر تهدیدات ایجاد کرده‌اند و بر مبنای آن گام بر می‌دارند.

به‌طور مثال، موسسه ملی استانداردها و فناوری (NIST) که مقر آن در ایالات متحده است، وظیفه ایجاد استانداردها و چارچوب‌های مختلف، از جمله چارچوب‌های امنیت سایبری را بر عهده دارد. استرالیا نیز مرکز امنیت سایبری (ASD’s ACSC) سرنام Australian Signals Directorate’s Australian Cyber Security Centre خود را دارد. کانادا نیز مرکز امنیت سایبری خود را دارد. هر یک از این نهادهای دولتی، چارچوب‌های امنیت سایبری مخصوص به خود را توسعه داده‌اند و نهادهای دولتی را ملزم به رعایت مفاد مندرج در آن کرده‌اند.

علاوه بر این، چارچوب‌های دیگری نیز وجود دارند که رعایت آن‌ها الزامی است. به عنوان مثال، صنعت بهداشت باید از قوانین HIPAA پیروی کند و اگر کسب‌وکاری با کارت‌های اعتباری کار می‌کند، باید استاندارد PCI DSS را رعایت کند. با این‌حال، شرکت‌ها و سازمان‌هایی که فعالیت‌های عادی دارند و نیازی به رعایت الزامات قانونی خاصی ندارند، این گزینه را در اختیار دارند تا چارچوب‌ انتخابی خود را بر مبنای نیازها و اهداف کسب‌وکارشان گزینش کنند. 

به بیان دقیق‌تر، هنگام انتخاب چارچوب‌، باید نیازهای کسب‌وکار را در نظر بگیریم. حتی اگر یک چارچوب‌ خاص را انتخاب کرده‌اید، ممکن است نیاز به رعایت الزامات دیگر ضروری باشد. به طور مثال، اگر شرکتی تصمیم به پیاده‌سازی استاندارد ISO 27001 بگیرد و در عین حال با کارت‌های اعتباری نیز کار می‌کند، باید علاوه بر ایزو، استاندارد PCI DSS را نیز رعایت کند. شرکت‌های چند ملیتی، اگر در اتحادیه اروپا فعالیت می‌کنند، باید از قوانین GDPR که مربوط به حفاظت از اطلاعات شخصی افراد است، پیروی کنند. شرکت‌های فعال در زمینه ارائه خدمات ابری، به‌ویژه در حوزه SaaS که اطلاعات حساسی را میزبانی می‌کنند یا خدماتی را به سازمان‌هایی ارائه می‌دهند که حساس هستند، باید خط‌مشی‌های مندرج در چارچوب‌هایی مثل FedRAMP را رعایت کنند. NIST در این میان چه نقشی دارد؟

چرا سازمان‌های بزرگ به سراغ چارچوب NIST CSF می‌روند؟ 

چارچوب NIST CSF، یک نقطه شروع عالی برای برنامه‌های امنیت سایبری است. ابتدا این چارچوب برای کمک به زیرساخت‌های حیاتی ایالات متحده و در ادامه برای کسب‌وکارهای بزرگ طراحی شده بود، اما نسخه 2.0 چارچوب NIST CSF به گونه‌ای نوشته شده است که برای سازمان‌های کوچک و متوسط نیز به راحتی قابل استفاده و اجرا باشد. 

چارچوب امنیتی NIST 

این چارچوب، بسیار انعطاف‌پذیر است و می‌توانید آن را متناسب با نیازهای خاص سازمان خود تنظیم کنید. پژوهش‌های انجام شده نشان می‌دهند، بخش عمده‌ای از سازمان‌هایی که از چارچوب‌های دیگر استفاده می‌کردند، به دلیل پیچیدگی آن‌ها، به سمت CSF مهاجرت کرده‌اند. CSF سرنام Cybersecurity Framework به دلیل سادگی درک، نگهداری و ارزیابی پیشرفت، یک گزینه بسیار مناسب است. همچنین، اگر در آینده تصمیم به پیاده‌سازی چارچوب‌های دیگری مثل SP 800-53 NIST، CIS Controls، COBIT یا ISO 27001 بگیرید، استفاده از CSF به عنوان پایه، شما را برای این مهاجرت آماده خواهد کرد. چارچوب NIST CSF 2.0 به شش بخش اصلی تقسیم می‌شود:

  • حاکمیت

  • شناسایی

  • محافظت

  • تشخیص

  • پاسخ‌گویی

  • بازیابی

این شش بخش اصلی، زیربنای تدوین یک برنامه جامع امنیت سایبری را شکل می‌دهند که خود به دسته‌ها و زیرمجموعه‌های مختلفی تقسیم می‌شوند. این بخش‌ها نشان‌دهنده‌، مجموعه‌ای از کنترل‌ها هستند که برای محافظت از سازمان یا افزایش تاب‌آوری برنامه امنیت سایبری استفاده می‌شوند. به عنوان مثال، نهاد “شناسایی” شامل زیرمجموعه‌های زیر است:

  • مدیریت دارایی‌ها

  • ارزیابی ریسک

  • بهبود

مقایسه CSF با سایر چارچوب‌ها

همان‌طور که پیش‌تر اشاره شد، چارچوب‌های امنیتی مختلفی برای تدوین دکترین دفاعی سازمان‌ها طراحی شده‌اند. با این‌حال، بخش عمده‌ای از آن‌ها، در زیرمجموعه‌ها و گروه‌ها با چارچوب NIST CSF نقطه اشتراک دارند. فرض کنید از شما سوالی در مورد نحوه پیاده‌سازی کنترل‌های امنیتی در سازمان بر اساس استاندارد ISO یا SP 800-53 پرسیده شود، اما شما از چارچوب CSF استفاده می‌کنید. چگونه می‌توانید این دو را با هم مرتبط کنید؟ برای هر کنترل در CSF، ماتریسی وجود دارد که نشان می‌دهد چگونه این کنترل با کنترل‌های سایر چارچوب‌ها مرتبط است. این ماتریس کمک می‌کند به پرسش‌های مربوط به رابطه بین CSF و سایر چارچوب‌ها پاسخ دهید. همچنین، اگر تصمیم به تغییر چارچوب‌ داشته باشید به شما کمک می‌کند. منظور این نیست که ابتدا باید از CSF استفاده کنید و سپس به سراغ چارچوب‌ دیگری بروید. شما می‌توانید از CSF برای کل سازمان یا بخشی از آن استفاده کنید. در حقیقت، اهداف تجاری ماهیت پویا و متغیری دارند، بنابراین، کنترل‌های امنیتی نیز باید همسو با آن‌ها تدوین شوند. اکنون، اجازه دهید به بررسی سایر چارچوب‌هایی بپردازیم که در NIST CSF به آن‌ها اشاره شده است. 

CIS Controls

نسخه‌های مختلفی از CIS Controls وجود دارد. این کنترل‌ها ابتدا توسط موسسه SANS توسعه داده شدند و اکنون توسط CIS نگهداری می‌شوند. CIS Controls بر اساس بازخوردهای دریافت شده از رهبران صنعت، به طور مداوم به‌روزرسانی می‌شود. در نسخه 8، CIS گروه‌های اجرایی (IGs) را معرفی کرد که کنترل‌هایی را که باید بر اساس منابع سازمان پیاده‌سازی شوند، تعریف می‌کند. همچنین، CIS تعداد کنترل‌ها را از 20 به 18 کاهش داده است. این فهرست شامل 18 کنترل مهم امنیت سایبری است که توسط مرکز امنیت اینترنت (CIS) تعیین شده‌اند:

  1. موجودی و کنترل دارایی‌های سازمانی: شناسایی و کنترل تمامی دستگاه‌ها و نرم‌افزارهای موجود در شبکه سازمان.

  2. موجودی و کنترل دارایی‌های نرم‌افزاری: شناسایی و کنترل تمامی نرم‌افزارهای نصب شده در سازمان.

  3. محافظت از داده‌ها: اقدامات لازم برای محافظت از داده‌های حساس مانند رمزگذاری و کنترل دسترسی.

  4. پیکربندی امن دستگاه‌ها و نرم‌افزارها: تنظیم صحیح دستگاه‌ها و نرم‌افزارها برای افزایش امنیت آن‌ها.

  5. مدیریت حساب‌های کاربری: ایجاد و مدیریت صحیح حساب‌های کاربری و دسترسی‌ها.

  6. مدیریت کنترل دسترسی: کنترل دقیق دسترسی کاربران به منابع و اطلاعات سازمان.

  7. مدیریت مداوم آسیب‌پذیری‌ها: شناسایی و رفع آسیب‌پذیری‌های موجود در سیستم‌ها و نرم‌افزارها.

  8. مدیریت لاگ‌های امنیتی: جمع‌آوری، تحلیل و بررسی لاگ‌های امنیتی برای تشخیص و پاسخ به تهدیدات.

  9. محافظت از ایمیل و مرورگر وب: محافظت در برابر تهدیدات مرتبط با ایمیل و وب مانند اسپم، فیشینگ و بدافزارها.

  10. دفاع در برابر بدافزار: استفاده از ابزارهای ضد بدافزار و اقدامات پیشگیرانه برای جلوگیری از ورود و گسترش بدافزارها.

  11. بازیابی داده‌ها: ایجاد و حفظ نسخه‌های پشتیبان از داده‌ها و برنامه‌های مهم.

  12. مدیریت زیرساخت شبکه: مدیریت و نگهداری صحیح زیرساخت شبکه برای جلوگیری از حملات سایبری.

  13. نظارت بر شبکه و دفاع در برابر حملات: نظارت بر ترافیک شبکه و شناسایی و پاسخ به حملات سایبری.

  14. آگاهی‌رسانی و مهارت‌های امنیتی: آموزش پرسنل در زمینه امنیت سایبری و آگاهی از تهدیدات.

  15. مدیریت ارائه‌دهندگان خدمات: مدیریت و نظارت بر ارائه‌دهندگان خدمات خارجی از نظر امنیت سایبری.

  16. امنیت نرم‌افزارهای کاربردی: اطمینان از امنیت نرم‌افزارهای کاربردی مورد استفاده در سازمان.

  17. مدیریت پاسخ به حوادث: ایجاد و اجرای برنامه‌های پاسخ به حوادث سایبری.

  18. آزمایش نفوذ: انجام تست‌های نفوذ برای شناسایی آسیب‌پذیری‌های سیستم.

این فهرست شامل اقدامات امنیتی مهمی است که هر سازمان باید برای محافظت از خود در برابر تهدیدات سایبری انجام دهد.

فهرست 18 کنترل مهم امنیت سایبری CIS

چارچوب فریمورک CIS کنترل‌ها را از مهم‌ترین تا کم اهمیت‌ترین آن‌ها فهرست کرده است. به بیان دقیق‌تر، یک سازمان باید ابتدا فرآیندهای کشف و مستندسازی منابع فناوری اطلاعات خود را بررسی کند. صادقانه بگویم، اگر یک سازمان قبل از اجرای سایر کنترل‌ها، تست نفوذ انجام دهد، در واقع زمان، پول و تلاش خود را هدر می‌دهد، زیرا تست نفوذ در این مرحله، اطلاعاتی را ارائه می‌دهد که سازمان از قبل به آن‌ها آگاه است.

COBIT

کوبیت 5 بر اساس پنج اصل حاکمیتی و مدیریتی زیر طراحی شده است:

  • برآورده کردن نیازهای ذینفعان.

  • پوشش کل سازمان.

  • استفاده از یک چارچوب یکپارچه.

  • اتخاذ رویکردی جامع.

  • تفکیک حاکمیت از مدیریت.

کوبیت، یک چارچوب حاکمیتی و مدیریت سازمانی برای فناوری اطلاعات است. این چارچوب نشان می‌دهد که چگونه برنامه را پیاده‌سازی و اجرا کنید. در ادامه باید پیشرفت خود را بررسی کنید، سنجه‌های کسب‌شده را با نتایج مقایسه کنید، یک برنامه جامع برای اصلاح اقدامات تدوین کنید و دوباره فرآیند را آغاز کنید. این یک روش موثر برای آغاز یک برنامه دفاعی کارآمد یا بهبود مستمر زیرساخت‌های فناوری اطلاعات است.

ISO/IEC 27001

استاندارد ISO/IEC 27001 توسط سازمان بین‌المللی استانداردسازی (ایزو) ایجاد شده است و به عنوان یک استاندارد بین‌المللی برای پایه‌گذاری و ایمن‌سازی دارایی‌های فناوری اطلاعات و ارزیابی ریسک استفاده می‌شود. اساس چارچوب 27001، اطمینان از وجود کنترل‌های امنیتی با رعایت سه اصل محرمانگی، یکپارچگی و دسترس‌پذیری (CIA) است. علاوه بر سه اصل CIA، این استاندارد نحوه به‌کارگیری یک سیستم مدیریت امنیت اطلاعات (ISMS) را نیز مشخص می‌کند. ISMS برای ثبت و ضبط کنترل‌های امنیتی پیاده‌سازی شده در محیط سازمان استفاده می‌شود. سه اصل CIA به شرح زیر تعریف می‌شوند:

  • محرمانگی: محدود کردن دسترسی به منابع یا اطلاعات حساس فناوری اطلاعات.

  • یکپارچگی: اطمینان از اینکه اطلاعات تنها توسط افراد مجاز تغییر داده شده‌اند.

  • دسترس‌پذیری: اطمینان از دسترس‌پذیری اطلاعات یا منابع فناوری اطلاعات مطابق با توافقات سطح خدمات یا نیازهای سازمانی.

سیستم مدیریت امنیت اطلاعات ISO/IEC 27001

شایان ذکر است که سازمان‌ها و افراد نیز می‌توانند گواهینامه ISO 27001 را دریافت کنند. به بیان دقیق‌تر، سازمان‌ها از این گواهینامه برای اثبات وجود یک برنامه امنیت سایبری اختصاصی به مشتریان خود استفاده می‌کنند. افراد نیز می‌توانند این گواهینامه را دریافت کنند که به آن‌ها اجازه می‌دهد تا ارزیابی‌های صدور گواهینامه را برای شرکت خود یا سایر سازمان‌ها انجام دهند.

NIST SP 800-53

یکی از پراستفاده‌ترین چارچوب‌های امنیت سایبری، NIST SP 800-53 است. این چارچوب شامل 20 چک‌لیست کنترل حریم خصوصی و امنیتی با حدود 1000 کنترل مجزا است. اهمیت این چارچوب تا به‌اندازه‌ای است که بر اساس قانون مدیریت امنیت اطلاعات فدرال (FISMA)، دولت فدرال ایالات متحده موظف است این کنترل‌ها را در تمام منابع فناوری اطلاعات خود پیاده‌سازی کند. جدول یک، خانواده کنترل‌های این چارچوب را نشان می‌دهد.

شناسه خانواده شناسه خانواده
AC کنترل دسترسی PE حفاظت فیزیکی و محیطی
AT آگاهی و آموزش PL برنامه‌ریزی
AU حسابرسی و پاسخگویی PM مدیریت برنامه
CA ارزیابی، مجوزدهی و نظارت PS کنترل پرسنل
CM مدیریت پیکربندی PT اطلاعات شخصی قابل شناسایی و شفافیت
CP برنامه‌ریزی اضطراری RA ارزیابی ریسک
IA شناسایی و احراز هویت SA اکتساب سیستم و خدمات
IR پاسخ به حادثه SC حفاظت از سیستم و ارتباطات
MA نگهداری SI یکپارچگی سیستم و اطلاعات
MP حفاظت از رسانه‌ها SR مدیریت ریسک زنجیره تامین

جدول یک-خانواده کنترل‌های NIST SP 800-53

نحوه پیاده‌سازی چارچوب NIST 800 53

دستاوردهای مهم به‌کارگیری NIST CSF از سوی سازمان‌ها

سازمان‌ها این آزادی عمل را دارند تا از NIST CSF به شکلی استفاده کنند که به نیازهای آن‌ها مبنی بر تامین امنیت سایبری پاسخ دهد. انعطاف‌پذیری در پیاده‌سازی کنترل‌های امنیتی یکی از مزایای مهم این چارچوب‌ است. بسیاری از سازمان‌ها با استفاده از CSF توانسته‌اند ریسک‌های سایبری خود را کاهش دهند. برای درک بهتر اهمیت و کارکرد چارچوب فوق، به چند مورد از دستاوردهای موفقیت‌‌آمیز سازمان‌ها در استفاده از CSF اشاره خواهیم کرد. 

اداره رودخانه کلرادو پایین (Lower Colorado River Authority)

LCRA که مسئولیت تامین آب سالم برای میلیون‌ها نفر از ساکنان تگزاس را بر عهده دارد، با چالش‌های امنیتی بزرگی مواجه بود. به عنوان یک زیرساخت حیاتی، LCRA باید امنیت فناوری اطلاعات و فناوری عملیاتی خود را به طور کامل تضمین می‌کرد. LCRA ابتدا از چارچوب SP 800-53 NIST برای پیاده‌سازی کنترل‌های امنیتی استفاده کرد، اما به دلیل وسعت و ساختار غیرمتمرکز سازمان، پیاده‌سازی کامل این چارچوب با مشکلات جدی روبرو شد. LCRA به چارچوبی نیاز داشت که انعطاف‌پذیرتر باشد و بتواند به راحتی در سازمان پیاده‌سازی شود. در نهایت، LCRA چارچوب SP 800-53 را کنار گذاشت و به سمت CSF روی آورد. این تغییر به آن‌ها اجازه داد از یک چارچوب مشترک در سازمان استفاده کنند. 

بخش علوم زیستی دانشگاه شیکاگو

دانشگاه شیکاگو که در سال 1890 تاسیس شده است، بیش از یک قرن به آموزش دانشجویان پرداخته است. بخش علوم زیستی (BSD) یکی از بزرگترین بخش‌های این دانشگاه با 23 دپارتمان و 5000 عضو هیئت علمی و کارمند است. این بخش برای رعایت الزامات مختلفی مانند HIPAA و FedRAMP نیاز به استفاده از چند چارچوب داشت. به دلیل ساختار غیرمتمرکز دانشگاه، حفظ یک وضعیت امنیتی یکپارچه در تمام دپارتمان‌ها با چالش‌هایی مواجه بود. BSD با گردهم آوردن متخصصان حوزه امنیت، اقدام به تدوین یک فرآیند چهار مرحله‌ای برای ارزیابی و کاهش ریسک سایبری نمود. این چهار مرحله به شرح زیر بودند: 

  1. تعیین وضعیت فعلی

  2. ارزیابی امنیت سایبری

  3. تعیین وضعیت مطلوب

  4. اجرای نقشه راه

دپارتمان BSD برای سنجش موفقیت‌آمیز بودن انتخاب خود، سیستمی برای امتیازدهی از 0 تا 4 ایجاد کرد. سپس، سمینارهای آموزشی برای کارکنان برگزار شد تا درک بهتری از نحوه استفاده از چارچوب کسب کنند که نتایج کاملا درخشان بودند.

کلام آخر 

در این مقاله، بررسی کردیم که چارچوب چیست و چرا اهمیت دارد. چارچوب‌ها برای کمک به سازمان‌ها در ایجاد یک برنامه امنیت سایبری طراحی شده‌اند. همچنین، متوجه شدیم که چرا NIST CSF، یک چارچوب قابل استفاده و انعطاف‌پذیر برای سازمان‌ها است. با افزایش حملات سایبری از اوایل دهه 2000 تابه‌امروز، نیاز به تقویت امنیت سایبری بیش از پیش احساس شده است. چارچوب‌های امنیت سایبری برای کمک به سازمان‌ها در این زمینه ایجاد شدند و به تشریح این مسئله پرداخته‌اند که فناوری اطلاعات و امنیت سایبری یکسان نیستند. امنیت سایبری زبان و روش‌های اجرایی خاص خود را دارد. همان‌طور که پیش‌تر به دو نمونه موفقیت‌آمیز اشاره کردیم، برخی از سازمان‌ها از چارچوب‌های دیگر به سمت CSF مهاجرت کردند، زیرا انعطاف‌پذیری بیشتری برای تطبیق با نیازهای مختلف کسب‌وکار به‌دست آورده‌اند. 

حمیدرضا تائبی

منابع:

Cybersecurity Framework Success Story – Lower Colorado River Authority

Cybersecurity Framework Success Story – University of Chicago Biological Sciences Division

Unveiling NIST Cybersecurity Framework 2.0: Secure your organization with the practical applications of CSF by Jason Brown 

اشتراک‌گذاری
نویسنده
تصویر حمیدرضا تائبی
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
تماس با مفتاح