[ad_1]

امنیت سایبری یک هدف سریع است. اگر شرایط فعلی خود را درک نکنید ، چگونه می توانید آن را بهبود ببخشید؟

اعتبار: تصویر از طریق Adobe Stock

اعتبار: تصویر از طریق Adobe Stock

شرکت های آمریکایی به طور فعال توسط هکرها و گروه های هکر تأمین شده توسط دولت هدف قرار می گیرند. افسران ارشد امنیت اطلاعات می فهمند که این مسئله ای نیست اگر شرکت آنها یک حادثه امنیت سایبری خواهد داشت اما چه زمانی ممکن است اتفاق بیفتد اگرچه راهی برای دانستن دقیق زمان وقوع حمله وجود ندارد ، CISO ها می توانند با داشتن یک استراتژی جامع شامل افراد ، فرآیندها و فناوری ، احتمال نقض را به حداقل برسانند. با این حال ، از آنجا که تاکتیک ها و فن آوری های هک به طور مداوم در حال پیشرفت هستند ، درک دائمی وضعیت فعلی شرکت مهم است.

با این حال ، همه سازمان ها CISO ندارند. به خصوص در شرکت های کوچکتر ، CIO یا CTO ممکن است هم از نظر قدرت و هم از نظر امنیت سایبری مسئولیت داشته باشند ، حتی اگر احتمالاً متخصص امنیت نباشند. در حالی که یک CIO یا CTO مطمئناً می تواند مهارت های خود را به عنوان یک بازیگر تمام وقت یا CISO ارتقا دهد ، آنها باید درک کنند که انجام یک کار CISO به طور مستقل ، چه کاری لازم است. بخشی از این ارزیابی وضعیت فعلی شرکت است.

بیل لارنس ، SecurityGate.io

بیل لارنس ، SecurityGate.io

“ارزیابی ریسک می تواند به یک سازمان کمک کند تا بفهمد چه دارایی های خود را دارد ، مالکیت آن دارایی ها و همه چیز را برای مدیریت تعدیل ها در اختیار داشته باشد. این شامل فهمیدن اینکه شما چه چیزی را می خواهید برای اندازه گیری میزان خطر اندازه گیری کنید ، زیرا مجموعه ای از چارچوب های مختلف وجود دارد [such as] NIST و مدل بلوغ امنیت سایبری ، (C2M2) ، “بیل لارنس ، CISO در SecurityGate.io ، ارائه دهنده بستر مدیریت ریسک ، گفت.” سپس ، به روش تکرار شونده ، می خواهید این خط مقدماتی یا عکس فوری را بگیرید تا بدانید که آنها براساس معیارهای مشخصی چقدر خوب یا بد اندازه گیری می شوند ، بنابراین می توانید برای کاهش خطر ، سیستم های اضافی یا بعضاً پیشرفت های اساسی انجام دهید. “

قابلیت مشاهده دارایی مسئله ای است

یکی از رایج ترین شکایاتی که یک مدیر امنیت سایبری بدون توجه به عنوان آنها خواهد داشت ، عدم دید در دارایی های شرکت است. بدون درک اینکه سخت افزار ، نرم افزار ، شبکه و اکوسیستم داده چیست ، درک اینکه کدام آسیب پذیری ها و تهدیدات حتی مرتبط هستند نیز غیرممکن است.

جورج فینی ، دانشگاه متدیست جنوب

جورج فینی ، دانشگاه متدیست جنوب

جورج فینی ، CISO از دانشگاه South Methodist ، گفت: “مرکز امنیت اینترنت در حال ایجاد 20 لیست برتر در لیست چک امنیتی است. اولین چیزی که آنها می گویند این است که شما باید روی تهیه دستگاه ها ، نرم افزار و داده خود تمرکز کنید. “شما باید بدانید که برای محافظت از آن چه دارید ، اما دستیابی به این دید بسیار چالش برانگیز است. ممکن است بتوانید آغوش خود را به دور دارایی های محلی بپیچید ، اما اگر محیط شما به دلیل اینکه در ابر هستید سریع تغییر کند ، دستیابی به آن بسیار دشوارتر است. “

داشتن یک خط پایه مهم است

دیو کرونین ، معاون رئیس جمهور ، رئیس استراتژی سایبر و مرکز تعالی (CoE) در Capgemini آمریکای شمالی ، گفت که کلمه “ارزیابی” به دلیل انطباق با آنها منفعت ندارد.

کرونین گفت: “آنچه اتفاق می افتد این است که آنها بر اساس یک الزام مطابقت ارزیابی می شوند و این لزوماً منجر به چیزی نمی شود ، زیرا اگر فقط کادر انطباق را علامت بزنید ، واقعاً یک عکس فوری از زمان است”. “او به شما توصیه می کند که گویا شما باید یک برنامه مدیریت پچ داشته باشید ، بنابراین من کادر را علامت می زنم ، اما فقط به این دلیل که شما شرایط را برآورده می کنید به این معنی نیست که مطمئن هستید. امروز کجا هستید.”

اگر خط پایه هنوز وجود نداشته باشد ، اولین تصویر برای این منظور خدمت می کند. بر این اساس ، درک میزان بودجه ای که برای پیشرفت فوری مورد نیاز خواهد بود ، آسان تر است. با این حال ، باید یک نقشه راه نیز وجود داشته باشد که نحوه کاهش خطرات در طول زمان و هزینه های آن را توضیح دهد.

دیو کرونین ، کاپژمینی

دیو کرونین ، کاپژمینی

کرونین گفت: “این علاوه بر شناخت محیط ، یک استراتژی سایبری جامع تری است و شما قادر به گرفتن همه چیز نخواهید بود.” “این ترفند برای به حداقل رساندن خطر با پیاده سازی افراد مناسب ، فرآیندها و فن آوری ها و استفاده از روش لایه ای است تا نفوذ آن دشوارتر باشد.”

ارزیابی خطر شخص ثالث نیز مورد نیاز است

امروزه ، شرکت ها (به معنای واقعی کلمه) با شرکا و مشتریان خود در ارتباط هستند و این ارتباطات می تواند گسترش بدافزار را تسهیل کند. به همین ترتیب ، حساب های ایمیل به خطر افتاده می توانند به تسهیل فعالیت های فیشینگ کمک کنند.

در همین حال ، تهدیدهای بازخرید از “مجرد” به “مضاعف” به “سه گانه” تبدیل شده است ، به این معنی که بازیگران بد نه تنها ممکن است برای یک کلید رمزگشایی دیه بخواهند ، بلکه ممکن است برای انتشار نشدن داده های حساس به دست آمده باج بگیرند. اخیراً ، عنصر سومی وجود دارد که به شرکای شرکت و مشتریان گسترش می یابد. و آنها ملزم به پرداخت دیه هستند تا اطلاعات حساس آنها منتشر نشود.

از این گذشته ، یک شرکت می تواند یکی از اهداف بسیار در کل زنجیره تأمین باشد.

مایک ویلکس ، CISO در شرکت رتبه بندی امنیت سایبری ، گفت: “نگاه کردن به کارت امتیازی خود راه خوبی برای شروع و فکر کردن در مورد رتبه بندی است ، زیرا در نهایت همان انواع وزن و عوامل خطر را به ارائه دهندگان خود اختصاص می دهید.” “ما باید بر این فکر غلبه کنیم که شما یک صفحه گسترده به اکسل ارسال خواهید کرد [questionnaire] سالی یکبار به تأمین کنندگان اصلی آن. “

یکی از س questionsالات اصلی که در پرسشنامه سالانه تأمین کننده گنجانده شده این است که آیا تأمین کننده در 12 ماه گذشته تخلف کرده است یا خیر. با توجه به مدت زمان طولانی ، کاملاً امکان پذیر است که تأمین کننده کالا 11 ماه پیش تخلف شده باشد.

ویلکس گفت که شرکت ها عاقلانه هستند که خطرات کشورهای N را بررسی کنند ، زیرا خطرات حتی بیشتر از خطرات کشورهای سوم در کمین است.

مایک ویلکس ، کارت امنیت

مایک ویلکس ، کارت امنیت

ویلکس گفت: “مردم به درجه ای از تغییر اکوسیستم فکر می کنند – چه کسی خدمتی را به من ارائه می دهد و چه کسی خدمتی را به او ارائه می دهم.” “ما واقعاً باید کل این موارد را گسترش دهیم ، زیرا اگر همه گیری سال گذشته چیزی به ما یاد داد ، به این معنی است که کل زنجیره تامین مختل شده است.”

روند مشابهی در سطح برنامه های نرم افزاری منفرد مشاهده می شود ، زیرا توسعه دهندگان از کتابخانه ها و م componentsلفه های منبع باز شخص ثالث و منبع آزاد بیشتری برای پاسخگویی به دوره های کاهش تحویل نرم افزار استفاده می کنند. با این حال ، بدون درک آنچه در برنامه وجود دارد ، ساختن یک برنامه امن عملا غیرممکن است. قسمتهای زیادی بیش از کنترل توسعه دهنده و همچنین وابستگی های نرم افزاری وجود دارد که ممکن است کاملاً قابل درک نباشد. به همین دلیل است که شرکت ها به طور فزاینده ای از ابزارهای تجزیه و تحلیل ترکیب نرم افزار (SCA) و ایجاد حساب مواد نرم افزاری (SBOM) استفاده می کنند. SBOM نه تنها شامل تمام اجزای برنامه ، بلکه نسخه های مربوط به آنها نیز می شود.

ویلکس گفت: “اگر بتوانیم تعجب کنیم که این نرم افزار از کجا آمده و از چه چیزی ساخته شده است ، در واقع می توانیم ارزیابی نرم افزار و کمی سازی خطر را شروع کنیم.” “قطعاً این یک چیز مفید ، یک چیز ضروری و چیزی است که ما به عنوان افسران امنیتی می خواهیم ببینیم ، زیرا در این صورت می توانم درباره استفاده از یک ارائه دهنده نرم افزار یا مبادله کتابخانه یا بسته برای چیزی که زیرساخت های من را ایجاد می کند ، آگاهانه تصمیم بگیرم.”

کمک بخواهید

ارزیابی موقعیت امنیت سایبری یک شرکت عملی عمیق است که نیاز به رویت در اکوسیستم فناوری شرکت و فراتر از آن دارد. پیچیدگی دارایی های شرکت مستلزم استفاده از ابزارهای مدرن است که می تواند کار فوق بشری درک سطح حمله خود شرکت را تسریع و ساده کند. و همانطور که در بالا ذکر شد ، خیاطی نباید در آنجا متوقف شود.

لارنس به SecurityGate گفت: “بسیاری از افرادی که چارچوب ارزیابی ریسک ندارند ، سعی می کنند خودشان یکی ایجاد کنند ، اما هنگامی که شروع به انتقال صفحه گسترده به جلو و عقب می کنید ، گم می شوید زیرا نمی دانید چه کسی آخرین به روزرسانی را انجام داده است.” . “وقتی ابزار دیجیتالی دارید ، می توانید این اطلاعات را به سرعت دریافت کنید و نیازی نیست که قرار ملاقات داشته باشید تا بفهمید چه مواردی باید در صفحه گسترده وارد شود. در قالب دیجیتال ، این کار بسیار آسان تر می شود.”

علاوه بر این ، اگر شرکت شما فاقد CISO است ، از یک شریک مشاور که زمینه امنیت سایبری ، چگونگی توسعه حملات سایبری و آنچه شرکت شما برای منصرف کردن شرکت کنندگان بد باید انجام دهد ، در سطح CISO کمک بگیرید.

لارنس گفت: “شما نمی خواهید بسیاری از چیزهای اساسی را که ارزیابی خوب ریسک می تواند برای شما به همراه داشته باشد ، جلب کنید.” “هدف این است که با تهدیدهایی که وجود دارد همراه باشید و دائماً خطر خود را ارزیابی کنید تا بتوانید آنچه را که می توانید برای کاهش آن انجام دهید.”

آنچه در ادامه بخوانید:

آنچه در مورد بیمه Ransomware باید بدانید

چه چیز جدیدی در امنیت IT وجود دارد؟

چگونه می توان به هماهنگی تیم های توسعه و امنیت دست یافت

لیزا مورگان یک نویسنده مستقل است که داده های بزرگ و BI را برای InformationWeek پوشش می دهد. وی در مقالات ، گزارش ها و انواع دیگر مطالب در نشریات و سایت های مختلف شرکت کرده است ، از SD Times گرفته تا واحد هوشمند اکونومیست. مناطق مشترک پوشش شامل … بیوگرافی کامل را ببینید

ما از نظرات شما در مورد این موضوع در کانال های رسانه های اجتماعی خود استقبال می کنیم ، یا [contact us directly] با س questionsالات در مورد سایت.

مقالات بیشتر



[ad_2]

منبع: tasiveh-news.ir