در این قسمت ریسکهای شبکه را با هم بررسی خواهیم کرد.
- منابع یا داراییهای سازمان (Assets)
در این بخش باید منابع با ارزش سازمان مشخص شود، که این منابع میتواند شامل دادهها، برنامهها و سرورها و… باشد.
در زیر جدولی از منابع موجود را مشاهده میکنید.:
طبقهبندیهای دولتی | حساس اما غیر طبقه بندی شده (SBU) محرمانه |
طبقهبندی بخش خصوصی و عمومی | حساس |
معیارهای طبقه بندی ارزش | سن طول عمر مفید |
- آسیب پذیری (Vulnerability)
نقص یا ضعف در طراحی، پیادهسازی، بهرهبرداری و مدیریت یک سیستم میتوانند برای نقض سیاست امنیتی سیستم، مورد سوء استفاده قرار گیرند. اصولاً مهاجمان از آسیبپذیریهایی که از طریق نرمافزار، سختافزار و یا کارمندان به وجود میآید میتوانند به شبکه سازمان حمله کنند، بیشتر سازمانهای امروزی یک ارزیابی کلی برای شناسایی این آسیبپذیریها انجام میدهند.
طبقهبندی آسیبپذیریها به صورت زیر بیان میشود:
■ Policy flaws (نقص در سیاست سازمان)
■ Design errors (طراحی اشتباه)
■ Protocol weaknesses (ضعف در پروتکل)
■ Misconfiguration (تنظیمات اشتباه)
■ Software vulnerabilities (آسیبپذیری نرمافزار)
■ Human factors (عوامل انسانی)
■ Malicious software (نرمافزارهای مخرب)
■ Hardware vulnerabilities (آسیبپذیری سختافزاری)
■ Physical access to network resources (دسترسی فیزیکی به منابع شبکه)
- تهدیدات (Threat)
تهدیدات زمانی رخ میدهد که مهاجم در بخش قبلی (Vulnerability)، آسیبپذیریهای یک سیستم را شناسایی کند و بتواند از آن طریق به شبکه ما ضربه بزند، یک مثال ساده در این بخش، میتواند به اشتراک گذاشتن یک پوشه با دسترسی اشتباه باشد.
- عامل تهدیدات (Threat agent)
عامل، کسی است که تهدیدات را به وجود میآورد، مثلاً مهاجمی که از ACL یا همان Access List اشتباه استفاده میکند میتواند عامل تهدید باشد که این عاملها میتوانند آسیبپذیریها را شناسایی و از آنها برای حمله به شبکه استفاده کنند، البته همه عاملها این کار را انجام نمیدهند.
- ریسک (Risk)
احتمال یک خطر است که توسط یک عامل تعدید (Threat agent) از طریق پیدا کردن یک آسیبپذیری در شبکه به وجود میآید، کاهش ریسکهای یک شبکه بسته به سیاستهایی دارد که مدیر شبکه پیادهسازی میکند.
روشهایی که در اقدام متقابل میتوان از آنها استفاده کرد شامل موارد زیر است:
- اجرایی (Administrative) که شامل استانداردها، رویهها، دستورالعملها و سیاستهای سازمان است که باید به صورت کتبی از همه کاربران تعهد گرفت تا خلاف آن عمل نکنند.
- فیزیکی (Physical) شامل کنترلهای فیزیکی دقیق برای تجهیزات شبکه خود است، مثلاً میتوانید برای اتاق سرور خود از دربهای ضد سرقت پیشرفته و نسوز استفاده کنید و یا اینکه برای رکهای دیواری که در هر طبقه موجود هستند را قفل کنید، طراحی باید به صورتی باشد که کاربران به هیچ قطعه یا سیسمی دسترسی نداشته باشند.
- منطقی (Logical) که شامل کنترلهای منطقی شامل گذرواژهها ، فایروالها ، سیستمهای پیشگیری از نفوذ، لیستهای دسترسی ، تونلهای VPN و… کنترلهای منطقی اغلب به عنوان فنی گفته میشوند، کنترل میکند.
- در معرض قرار گرفتن (Exposure)
وقتی که به یک پوشه به اشتراک گذاشته شده یک دسترسی اشتباه میدهید، آن پوشه در معرض تهدیدات قرار خواهد گرفت و امنیت شرکت را زیر سوال خواهد برد.
- اقدام متقابل (Countermeasure)
اقدام متقابل، ریسکهای یک شبکه را کاهش خواهد داد، برای انجام یک کار در شبکه سه موضوع آسیبپذیری، تهدیدات و ریسک باید مورد توجه قرار گیرد تا بتوان اقدام متقابل را برای آنها انجام داد.
فرآیند مدیریت ریسک (Risk Management Process)
فرآیند مدیریت ریسک شامل یک سرس عملیات است که عبارتند از:
- شناسایی کردن منابع و ارزشهای سازمان
- شناسایی تهدیدات
- شناسایی آسیبپذیری
- تعیین احتمال حمله
- شناسایی ضربه
- تعیین ریسک به عنوان ترکیبی از احتمال و تاثیر.
طبقهبندی منابع (Asset Classification)
اولین قدم در ارزیابی ریسکها شناسایی منابع و ارزشهای آن سازمان است، داراییهایی که در یک سازمان وجود دارد مشهود و غیر مشهود است که این داراییهای مشهود عبارتند از:
کاربران، کامپیوترها، امکانات و منابع، ولی داراییهای غیر مشهود شامل مالکیت معنوی دادهها و شهرت سازمانی است.