گزارش اچ‌پی از توانايی‌ها و بلوغ سازمان‌های دفاع سايبری

IRCRE201404164
تاريخ: 02/02/93

مقدمه
سازمان‌ها در گوشه و كنار جهان در حال سرمايه گذاري روي توانايي‌هاي دفاع سايبري فناوري اطلاعات براي محافظت از دارايي‌هاي حياتي خود هستند. اينكه سازمان‌ها از برند، سرمايه‌هاي فكري و اطلاعات مشتري محافظت مي‌كنند يا كنترل‌هايي را براي زيرساخت‌هاي حياتي فراهم مي‌كنند، همگي چند مولفه‌ عمومي دارند: نيروي انساني، فرآيندها و فناوري. بلوغ اين مولفه‌ها در ميان سازمان‌ها و صنعت‌هاي مختلف متفاوت است. شركت اچ پي توانايي‌ها، دروس آموخته شده و سطوح كارآيي عمليات امنيت را كه مبتني بر ارزيابي‌هاي بلوغ روي سازمان‌هاي مختلف در جهان انجام داده است، در غالب گزارشي منتشر كرده است. در زير بخش هايي از اين گزارش را مشاهده مي كنيد.
SIOC اچ پي از سال 2008، توانايي‌ها و بلوغ 69 مركز عمليات امنيت (SOC) خوب را طي 93 ارزيابي، مشخص كرده است. ارزيابي‌هاي بلوغ، سازمان‌هايي در بخش خصوصي و عمومي، سازمان‌هاي بزرگ در تمامي صنايع و ارائه دهندگان خدمات امنيت مديريت شده (MSSP) را شامل مي‌شود. اين ارزيابي‌ها از نظر جغرافيايي شامل SOCهاي 13 كشور است.
روش HP براي ارزيابي مبتني بر مدل «بلوغ توانايي مجتمع سازي تهيه شده توسط موسسه مهندسي نرم افزار دانشگاه كارنگي ملون (SEI-CMMI)» است. تمركز اين نوع ارزيابي بر روي جنبه هاي تطابق با كسب و كار، نيروي انساني، فرآيند و فناوريِ عمليات ارزيابي شده مي‌باشد. تشخيص قابل اطمينان فعاليت و تهديدات مخرب روي سازمان، و رهيافت ساختارمند براي مديريت اين تهديدات، مهمترين معيار موفقيت يك توانايي عمليات امنيت بالغ است.
هزينه نشت داده در طي سال‌هاي 2010 تا 2013، هفتاد و هشت درصد افزايش يافته است و هم چنين زماني كه براي برطرف سازي يك حمله سايبري صرف مي‌شود 130 درصد رشد داشته است. در نتيجه براي محدود كردن پيامدها و افزايش سرعت رفع چنين رويدادهايي، نياز به بهبود كارايي عمليات امنيت وجود دارد.
براساس گزارش اچ پي، 24 درصد از سازمان‌هاي عمليات امنيت ارزيابي شده، حداقل الزامات براي فراهم كردن مانيتورينگ مداوم امنيت را برآورده نمي‌كنند. تنها 30 درصد از سازمان‌هاي ارزيابي شده اهداف تجاري و الزامات تطابقي را برآورده مي‌كنند. با وجود اين يافته‌ها، داده‌ها نشان مي‌دهد كه بهبود عملكرد در محدوده‌هاي مختلفي در حال وقوع است:

• شركت‌ها درحال به رسميت شناختن اثر فناوري اطلاعات روي كسب و كار خود هستند و به همين جهت در حال ايجاد SOCها براي محافظت از سرمايه‎‌هاي شركت مي باشند.
• آگاهي مديران اجرايي از امنيت فناوري اطلاعات در حال افزايش است. در سازمان‌ها كارشناسان امنيت فناوري اطلاعات در حال كسب پختگي درباره فهم تهديدات و الزامات مورد نياز دفاعي هستند.
• فروشندگان امنيت بايد در قبال فراهم كردن راه حل‌هاي كارا و شفافي كه مديريت و يكپارچگي آنها ساده باشد، پاسخگو باشند.
• SOCها در حال ساخت انجمن‌هاي رسمي و غيررسمي هستند و شروع به اشتراك گذاري آزادتر اطلاعات كرده‌اند.

خلاصه‌اي از يافته‌ها
در حالي كه حضور SOCها در حال افزايش مي باشد و سطح توانايي آنها نمايانگر بهبود است، ارزيابي‌هاي HP نشان مي‌دهد كه سطح بلوغ SOCها زير سطح ايده آل است.
برخي از يافته‌هايي كه از ارزيابي‌هاي SOC حاصل شده است به شرح زير مي باشد:

• كلمه "عمليات" منجر به سردرگمي درباره ماموريت SOC و ايجاد انتظارات اشتباه از يك SOC شده است -- SOCهاي كارا شامل جمع آوري، تحليل و انتشار هستند و ذاتاً ماهيت تحليلي دارند. اين جنبه‌ها منجر به تمايز SOCها از ديگر سازمان‌هاي عملياتي مي‌شود كه فقط روي دسترس پذيري، تعيين مشكل و بازيابي متمركز هستند. همين مساله يكي از دلايل تبديل نام SOC به مركز دفاع سايبري است.
• پايه‌هاي امنيت فناوري اطلاعات خيلي مهم هستند و عموماً ناديده گرفته مي‌شوند -- مديريت دارايي، مديريت ID كاربر (user ID administration)، طبقه بندي اطلاعات و مديريت آسيب پذيري تماماً مولفه‌هاي كليدي مي باشند كه براي رسيدن SOC به اهداف بالاتر الزامي هستند.
• عدم توانايي اولويت بندي كردن فعاليت‌ها در SOC منجر به بلوغ و توانايي كمتر مي‌شود -- محافظت از همه دارايي ها كاري مشكل و هزينه بر است. SOCهاي موفق از رهيافتي مبتني بر مخاطره براي اولويت بندي و تمركز روي اهداف مهمتر استفاده مي‌كنند.
• مدل هاي Follow-the-sun (اين مدل نوعي از گردش كاري جهاني است كه در آن وظايف روزانه ميان سايت‌هاي كاري كه در ناحيه هاي زماني متفاوت قرار دارند، به گردش در مي‌آيد) و تيم‌هاي توزيع شده از نظر جغرافيايي مشخصاً كارايي كمتري نسبت به تيم‌هايي كه در يك محل مستقر هستند دارند -- تغيير جغرافيايي و محدوده‌هاي تيم، محدوديتي براي برقراري فرهنگ و ارتباطي كارا ميان تيم‌ها است. مراكز عمليات همجوار كارايي بيشتري در توسعه توانايي‌هاي بلوغ دارند.
• چارچوب‌هاي كاري مبتني بر كارآيي، ظرفيت و دسترس پذيري - مانند ITIL- براي توسعه SOC بالغ كافي نيستند -- عمليات امنيت نيازمند ابزارهاي فرآيندي بيشتري هستند و بايد از رهيافت تحليلي استفاده كنند. در عمليات امنيت، مدل CMMI، روش‌هاي Agile و پارامترهاي محوري موفقيت براي مديريت، كاراتر هستند.
• اتكاي بيش از حد به فناوري وجود دارد -- بسياري از سازمان‌ها هزينه زيادي روي فناوري مي‌كنند و نيروي انساني و مهارت‌هاي لازم براي رسيدن به اهداف را در نظر نمي‌گيرند. در SOCها، اين كار منجر به سرمايه گذاري حداقلي روي گرانترين CPU كه تحليلگر است مي‌شود! برخلاف تحليلگران، سيستم ها نمي توانند در برخي موارد براي رسيدن به فرضيه درست از تفكر غيرخطي استفاده نمايند در نتيجه توانايي تحليل نيروي انساني براي شناسايي و پاسخ به تهديدات مدرن الزامي است.
• افزايش توانايي عمليات امنيت از طريق خدمات امنيت مديريت شده (MSS) نيازمند عمليات بالغ در سمت مشتري است – مدل‌هاي MSS بسيار كمي وجود دارند كه مي‌توانند كاملاً بار مخاطره يا مسئوليت تشخيص تهديد و پاسخگويي را از مشتري بردارند. سازمان‌هايي كه با ارائه دهنده MSSها كار مي‌كنند هم چنان براي حفظ مشاركت ارائه دهنده سرويس نيازمند توانايي‌هاي تحليل رويداد و پاسخگويي به رخداد هستند.
• سريع ترين راه براي رسيدن به يك SOC توانا وجود يك نقض سياست امنيتي عمومي است -- شركت‌هايي كه به واسطه نقض سياست امنيتي، تجربه ضرر را دارند، ديد بهتري نسبت به سرمايه گذاري روي يك SOC توانا دارند.
• موارد كاربرد (use case) پيشرفته به خوبي عملياتي نشده‌اند -- فرآيندهاي ناكافي مديريت محتوا(داده‌هاي جمع آوري شده) منجر به توسعه موارد كاربرد پيشرفته‌اي شده است كه فاقد كنترل براي حصول اطمينان از مزيت‌هاي استفاده از اين موارد كاربرد است. اين مورد بيشتر به واسطه عدم برقراري ارتباط بين تيم‌هاي مهندسي كه محتواي سيستم را ايجاد مي‌كنند و تيم‌هاي تحليلي كه از محتوا استفاده مي‌كنند بوجود آمده است. SOCهاي كارا از فرآيندهاي توسعه محتواي تكرار شونده استفاده مي‌كنند.
• در SOC فعاليت‌هاي اداري كه روي فعاليت‌هاي تحليلي قرار مي‌گيرد، منجر به تنزل رتبه نتايج مورد انتظار از SOC مي‌شود -- سازمان‌ها اغلب بر اين باور هستند تعداد رويدادهايي كه در SOC تشخيص داده مي‌شوند كافي نيستند و به همين جهت يكسري فعاليت هاي غيرمرتبط به تحليلگران اختصاص مي‌دهند. اين درحالي است كه پاسخگويي بالغ‌تر، عبارت است از كشف علت وجود عدم تشخيص و پياده سازي طرحي براي بهبود توانايي تشخيصي SOC.