فصل دهم: تعیین محدوده به صورت نتیجه محور
تعیین محدوده توسط تیم CAPTR یک فرایند چند مرحلهای با تمرکز بر آیتمهایی است که نفوذ به آنها تأثیر مرگبار یا حیاتی دارد. اگر قرار باشد آیتمهای اولیه انتخاب شده برای ارزیابی به اجرای موفقیت آمیز عملیات تیم CAPTR کمک کنند، تعیین محدوده ارزیابی به این روش ضروری است. فرایند تعیین محدوده برای عملیات تیم CAPTR نسبت به تیم قرمز سنتی نتیجه محورتر است چون بهره وری و هزینه-مزایای این کار ارتباط مستقیمی با شناسایی درست و مناسب آیتمهایی با نفوذ مرگبار یا کشنده و در نظر گرفتن آنها در محدوده دارد. شناسایی این داراییها توسط پرسنل مناسب و مرتبط به ارزیابی ریسک سناریوی بدترین حالت، تحلیل مرکزیت و اولویت بندی اهداف بالقوه انجام میشود.
ارزیابی ریسک بدترین حالت
در روش سنتی مدیریت ریسک و اولویت بندی داراییها، مدیر سازمان از یک ماتریس ریسک استاندارد استفاده میکند تا مشخص کند که کدامیک از آیتمها بیشترین ریسک را دارند (قسمتهای پررنگ شده در جدول 10-1) و باید زودتر به آنها رسیدگی شود.
جدول 10-1 تمرکز ریسک تیم قرمز
| احتمال/عواقب | ریسک | ||||
| کم اثر | جزئی | متوسط | بزرگ | حیاتی | |
| تقریباً قطعی | متوسط | زیاد | بسیار زیاد | بسیار زیاد | بسیار زیاد |
| محتمل | متوسط | زیاد | زیاد | بسیار زیاد | بسیار زیاد |
| ممکن | کم | متوسط | زیاد | زیاد | بسیار زیاد |
| بعید | کم | کم | متوسط | متوسط | زیاد |
| نادر | کم | کم | کم | کم | متوسط |
با اجرای عملیات تیم CAPTR رهبر سازمان درک میکند که “احتمال” برای آیتمهای حیاتی یا مرگبار مهم نیست و باید فرض کرد که نفوذ به آنها ممکن و محتمل است. این کار به منظور مقابله حداکثری با فعالیت مهاجمان تهدیدات پیشرفته انجام میشود. اگر یک مهاجم APT به دنبال هدف گرفتن چنین آیتمهایی در سازمان باشد، دیر یا زود این آیتمها تحت حمله قرار میگیرند. این رویکرد باعث میشود که اولویت دهی ریسک به سمت رسیدگی به آیتمهایی متمرکز شود که در ماتریس ریسک معمولی در ستون حیاتی قرار دارند (در جدول 10-2 به صورت پررنگ مشخص شده است) چون بدترین حالت ممکن در نظر گرفته میشود و احتمال تلاش برای نفوذ و موفقیت آن تقریباً قطعی در نظر گرفته میشود.
جدول 10-2 تمرکز ریسک تیم CAPTR
| احتمال/عواقب | ریسک | ||||
| کم اثر | جزئی | متوسط | بزرگ | حیاتی | |
| تقریباً قطعی | متوسط | زیاد | بسیار زیاد | بسیار زیاد | بسیار زیاد |
| محتمل | متوسط | زیاد | زیاد | بسیار زیاد | بسیار زیاد |
| ممکن | کم | متوسط | زیاد | زیاد | بسیار زیاد |
| بعید | کم | کم | متوسط | متوسط | زیاد |
| نادر | کم | کم | کم | کم | متوسط |
انتخاب افراد مناسب
سوالی که در تعیین محدوده تیم CAPTR پرسیده میشود این است که: این سازمان توانایی مقاومت در برابر چه نفوذهایی را ندارد؟ پیدا کردن پاسخ درست این سوال، به همه جوانب سازمان مشتری و همچنین تخصص امنیت تهاجمی تیم ارزیابی بستگی دارد. مثل عملیات تیم قرمز سنتی، در این روش هم برای تعیین درست و مناسب محدوده نیاز به حضور کارمندان بخش امنیت و زیرساخت وجود دارد اما یکی از تفاوتهای آشکار این دو، حضور کارشناسان امنیت تهاجمی در تعیین محدوده عملیات CAPTR است. همانطور که قبلاً اشاره شد، معمولاً [در روش سنتی] محدوده توسط مشتری و پیش از شروع ارزیابی مشخص شده و برای اجرای عملیات بیشتر نقش یک عامل محدود کننده را دارد تا توانمندساز. همچنین [در روش CAPTR] مشارکت پرسنل هم ترتیب مشخصی دارد چون شکل دهی محدوده CAPTR یک روند رو به تکامل است که در نهایت با اولویت بندی داراییها و تعیین سطح ریسک به پایان میرسد.
پرسنل عملیاتی
مشارکت کارمندان عملیاتی در تعیین محدوده، مربوط به حضور مدیران اجرایی، عملیاتی و عملکردی سطح بالا است. از این افراد سوال میشود که: چه چیزی میتواند آسیبهای جبران ناپذیری به سازمان شما وارد کند؟ ممکن است این اتفاق از دست دادن مالکیت معنوی باشد یا افشای اطلاعات حساس مشتریان مثل اطلاعات مالی، HIPAA و دادههای دیگر. بدتر اینکه، ممکن است این اتفاق از دست رفتن جان انسانها در اثر یک نفوذ سایبری باشد. صرف نظر از نوع نفوذهای کشنده یا حیاتی که ممکن است برای یک سازمان رخ دهد، احتمال اطلاع مدیران غیرفنی، از نوع اتفاقات قابل تحمل برای سازمان که پس از آن سازمان همچنان پابرجا خواهد بود بیشتر است.
پرسنل فنی
پس از مشخص شدن آیتمهایی با نفوذ مرگبار یا حیاتی توسط کارمندان عملیاتی، پرسنل فنی وارد عمل میشوند تا اهداف بالقوه را برای ارزیای تیم CAPTR مشخص کنند. ممکن است کارمندان عملیاتی از انواع آسیبهای قابل جبران برای سازمان اطلاع داشته باشند اما احتمال آشنایی با سطح حمله مربوط به چنین اهدافی توسط پرسنل فنی بیشتر است. مثلاً، فرض کنید که شرکتی یک مالکیت معنوی خاص داشته باشد که افشای آن باعث نابودی آن شرکت شود. پرسنل عملیاتی در جریان هستند که چه مالکیت معنوی مهم است اما پرسنل فنی اطلاع دارند که چه دستگاههایی این اطلاعات مالکیت معنوی را مدیریت، ذخیره و حفاظت میکنند. با مشارکت پرسنل فنی، حالا محدوده کاملتر شده و مالکیت معنوی و سیستمهای مسئول حفاظت و دسترسی به آن را مشخص میکنند.
پرسنل ارزیابی
همانطور که پیش از این اشاره شد، حضور پرسنل فنی و عملیاتی سازمان در بحثهای تعیین محدوده ضروری است. این کار بیشتر به این منظور انجام میشود که تیم قرمز واقعاً توانایی رسیدگی و مدیریت آنچه در تعیین محدوده مشخص شده را داشته باشد. در تیم CAPTR، پرسنل ارزیاب در تعیین نیازهای واقعی که مشخص کننده محدوده هستند، مشارکت دارند. پس از مشخص کردن آیتمهایی که نفوذ به آنها مرگبار یا حیاتی است و تعیین سطح حمله مربوط به آنها توسط کارمندان فنی و عملیاتی مشتری، کارشناسان امنیت تهاجمی شروع به ارزیابی مسیرهایی میکنند که به نفوذ به آن سطح حمله کمک میکنند. حالا تعیین محدوده تیم CAPTR مشخص کرده که چه اطلاعاتی نباید فاش شوند، نفوذ به کدام ماشینها معادل از دست دادن آنها است و کدام ماشینها احتمالاً در تلاش برای نفوذ حضور خواهند داشت. همانطور که قبلاً اشاره شد، خروجی مطلوب ارزیابی تیم CAPTR مقابله با حملات مستمر پیشرفتهای است که احتمال نفوذ مرگبار یا حیاتی را ایجاد میکنند و فرایند تعیین محدوده هم باید متناسب با این هدف انجام شود.
یک نمونه محدوده
برای درک بیشتر توضیحات، فرض کنید سازمانی که درخواست اجرای عملیات تیم CAPTR را دارد، یک شرکت حقوقی کوچک با 30 کارمند است. دیاگرام این شرکت در شکل 10-1 مشخص شده است.
شکل 10-1 شبکه نمونه
در شروع گفتگوهای تعیین محدوده، مدیر عامل اجرایی (CEO[1]) و وکلای ارشد، توضیح میدهند که افشای فایل مربوط به پروندههای باز و مختومه میتواند باعث نابودی شرکت شود. اگر فایل پروندههای باز افشا شود، باعث شرمساری شرکت، خشم مشتریان و از دست دادن این پروندهها خواهد شد. افشای اطلاعات پروندههای مختومه هم نقض قانون محرمانگی اطلاعات بین وکیل-مشتری خواهد بود، منجر به از بین رفتن اعتماد شده و خسارتهای مالی ناشی از شکایتهای قانونی پس از آن، جبران ناپذیر است.
مدیر ارشد فنی (CTO[2])، کارمندان بخش فناوری اطلاعات و مدیران شرکت هم سطح حملهای که احتمالاً شامل نفوذ کشنده است را مشخص میکنند. طبق توضیحات این افراد، برای فایلهای پروندههای باز و بسته سرورهایی مجزا وجود دارد به همراه یک سرور پشتیبان که آرشیو هر دو در آنها قرار دارد. همچنین آنها توضیح میدهند که دسترسی به این سرورها محدود به کارمندان بخش حقوقی درون سازمان است و افراد بخش عملیاتی مثل کارمندان منابع انسانی به آنها دسترسی ندارند. تیم ارزیابی پس از شنیدن همه صحبتها، به این نتیجه میرسد که احتمالاً حمله از سمت سیستمهای مربوط به کارمندان حقوقی یا سیستمهای مدیریتی شروع میشود. در این مرحله از فرایند تعیین محدوده تیم CAPR، محدوده اولیه میتواند شامل ماشینهای منتخبی باشد که در شکل 10-2 مشخص شدهاند.
شکل 10-2 محدوده اولیه CAPTR
تحلیل مرکزی
حالا که نقاط نفوذ مرگبار و سطح حمله مربوط به آن مشخص شد، تحلیل مرکزی انجام میشود تا مشخص شود که نقطه اوج قرار گرفتن سازمان در معرض خطر، کجا است. شکل 10-3 یک نمایش منطقی از آیتمهایی که در محدوده ارزیابی قرار گرفتهاند است. اتصالات سیاه رنگ مربوط به ارتباطات مدیریتی و خطوط خاکستری رنگ نشان دهنده ارتباطات مربوط به دسترسی هستند.
شکل 10-3 نگاشت منطقی
این نوع نمایش گرافیکی به شناسایی حد آستانه مناسب برای عملیات CAPTR کمک میکند. همچنین این روش امکان تشخیص نقطه اوج ریسک را برای سازمان فراهم میکند یعنی نقطهای از شبکه که بیشتر از سایر نقاط وجود سازمان را تهدید میکند. با توجه به اینکه سرور پشتیبان فایل پروندهها هم جزء آیتمهایی با احتمال نفوذ مرگبار و هم نقطه کانونی پایانههای ارتباطی است، این سرور نقطه اوج ریسک برای شرکت حقوقی محسوب میشود (شکل 10-4 را ببینید).
شکل 10-4 اوج ریسک
ارزیابیهای تیم CAPTR از نظر هزینه-مزایا برای سازمان مشتری بسیار مقرون به صرفه هستند چون ماهیت متمرکزی داشته، محدوده آنها تا حد ممکن به اوج ریسک نزدیک است و این محدوده متناسب با مهلت اجرای ارزیابی انتخاب میشود. در صورت طولانیتر بودن فرصت اجرای ارزیابی، ممکن است عملیات تیم CAPTR علاوه بر سرورهایی با احتمال نفوذ کشنده، ماشینهای مربوط به کنترل کننده دامنه و ادمین را هم پوشش دهد. دلیل اهمیت زیاد نفوذ به این سیستمها، انبوه ارتباطات مدیریتی و دسترسی است که از داراییهای تحت مدیریت به سرورهای نفوذ کشنده جریان دارند. این نوع محدوده در شکل 10-5 مشخص شده است.
شکل 10-5 آستانه اولیه برای محدوده عملیات CAPTR
اما در ارزیابی ما، فرصت اجرای عملیات کمتر و محدوده فقط شامل سرورهای ذخیره فایل پروندهها و پشتیبان آنها است (شکلهای 10-6 و 10-7 را ببینید).
شکل 10-6 نمایش محدوده CAPTR منطقی
شکل 7-10 نمایش محدوده CAPTR فیزیکی
این نمودارها نسبتاً ساده هستند اما رسم چنین نمودارهایی – و توضیحات تعیین محدوده که منجر به رسم آنها شده است – به تیمهای CAPTR امکان میدهد که در صنعت امنیت تهاجمی کار بسیار متفاوتی را انجام دهند. شیوه تعیین محدوده در عملیات تیم CAPTR به سازمانها کمک میکند تا علاوه بر شناسایی داراییهای با ارزش خودشان، مشخص کنند که از نظر مهاجمان کدام داراییها با ارزش هستند. این اطلاعات به تنهایی به کارمندان امنیت سازمان امکان میدهند که پیش از شروع ارزیابی، متمرکز بر آنچه واقعاً برای سازمان اهمیت دارد و دستگاههایی که سطح حمله آیتمهای مهم را تشکیل میدهند، شوند.
محدوده CAPTR در این مثال منجر به شناسایی سه دستگاهی شد که بر اساس ریسکی که برای سازمان ایجاد میکنند و با توجه به زمان در نظر گرفته شده برای ارزیابی آنها، محدوده اولیه ارزیابی را تشکیل میدهند. گفتگوهایی که پس از این، برای تعیین محدوده انجام میشوند با توجه به این اطلاعات یک هدف دیگر دارند یعنی اولویت بندی. در مثال ما انجام این کار نسبتاً ساده است. قبلاً مشخص کردیم که سرور پشتیبان، نقطه اوج ریسک برای سازمان است و باید بیشترین اولویت را داشته باشد. بین سرورهای پروندههای باز و بسته، احتمالاً سرور حاوی اطلاعات پروندههای باز دومین اولویت و سرور پروندههای بسته سومین اولویت را داشته و آخرین دستگاه در محدوده تیم CAPTR است. این ترتیب بر اساس احتمال از دست رفتن (یا سرقت) اطلاعات مشخص شده و دادههای سروری که حاوی فایلهای پروندههای باز است، مهمترین دادههای در معرض خطر هستند.
خلاصه فصل دهم
در این فصل به بررسی مراحل لازم برای تعیین محدوده ارزیابی تیم CAPTR پرداختیم، که عبارت بودند از:
- پرسنل عملیاتی، آیتمهایی با امکان نفوذ حیاتی را کشنده را شناسایی میکنند.
- پرسنل فنی، سطح حمله مربوط به آن آیتمها را مشخص میکنند.
- تیم ارزیابی، دستگاههایی که بر علیه این سطح حمله از آنها استفاده میشوند را مشخص میکنند.
- یک حد آستانه برای ارزیابی ریسک مشخص شده و آیتمهای درون محدوده شناسایی میشوند.
5. داراییها اولویت بندی میشوند.
[1] chief executive officer
[2] chief technical officer
