اگر به مقالات منتشرشده در حوزه امنیت نگاهی داشته باشید، مشاهده می‌کنید بخش عمده‌ای از این مقالات پیرامون مباحث فنی و کار با ابزارها هستند، در حالی که برای موفقیت در دنیای امنیت مسائل مهم دیگری مثل حاکمیت، ریسک و انطباق وجود دارد. چگونه این سه اصل مهم را در قالب یک فرآیند عملی پیاده‌سازی کنیم؟ پاسخ در مفهومی به‌نام چارچوب (Framework) خلاصه می‌شود که زیرساختی منسجم برای مدیریت مخاطره یا کنترل‌های امنیتی در اختیارمان قرار می‌دهد. مزیت بزرگ چارچوب این است که آزادی عمل زیادی ارائه می‌دهد تا خط‌مشی‌ها را هماهنگ با نیازهای کاری پیاده‌سازی کنید. به‌طور کلی، چارچوب‌ها به سه گروه مهم چارچوب‌های مخاطره، چارچوب‌های امنیت اطلاعات و چارچوب‌های معماری سازمانی تقسیم می‌شوند. چارچوب مدیریت مخاطره اهمیت بیشتری نسبت به دو نمونه دیگر دارد، زیرا امکان پیاده‌سازی موفق هر برنامه امنیت اطلاعاتی را به‌وجود می‌آورد و اجازه می‌دهد دو چارچوب دیگر را بر مبنای آن بدون مشکل پیاده‌سازی کنیم.

 

مروری بر چارچوب‌ها

چارچوب یک ساختار اساسی در بطن معماری‌های بزرگ امنیتی است که راه‌حل‌ها بر مبنای آن پیاده‌سازی می‌شوند. بنابراین، چارچوب‌ها در فناوری اطلاعات و امنیت سایبری با هدف ارائه ساختاری مورد استفاده قرار می‌گیرند تا بتوانیم بر مبنای آن مخاطرات را مدیریت ‌کنیم، معماری‌های سازمانی را توسعه ‌دهیم و همه دارایی‌های خود را ایمن کنیم. چارچوب‌ها نقشه راهی هستند که کارشناسان فناوری اطلاعات و امنیت سایبری یک سازمان بر آن اتفاق نظر دارند و با در نظر گرفتن مسائل مختلف تدوین می‌شوند. چارچوب‌ها دارای مولفه‌های مختلفی هستند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

مخاطره (Risk)

در زیرمجموعه مخاطره چهار استاندارد مهم زیر وجود دارد: 

•  NIST RMF: چارچوب مدیریت مخاطره‌ای است که توسط موسسه ملی استانداردها و فناوری ایجاد شده است و خود ماحصل هم‌گرایی سه خط‌مشی ارائه‌شده توسط موسسه NIST Special Publications به ‌نام‌های 800-39، 800-37 و 800-30 است. 
•  ISO/IEC 27005: چارچوبی است که روی رفع مخاطره متمرکز است و توسط سازمان International Organization for Standardization در زیرمجموعه استاندارد ISO/IEC 27000 انتشار پیدا کرده است. 
•  OCTAVE: چارچوب ارزیابی تهدید، دارایی و آسیب‌پذیری در عملیات حیاتی است که دانشگاه کارنگی ملون آن‌را توسعه داده و بر ارزیابی ریسک متمرکز است. 
•  FAIR : چارچوب تحلیل مخاطره اطلاعات است که توسط موسسه FAIR منتشر شده و بر اندازه‌گیری دقیق‌تر احتمال بروز حوادث و تاثیرات آن‌ها بر فعالیت‌های تجاری تمرکز دارد.

برنامه امنیتی (Security Program)

•  سری ISO/IEC 27000: مجموعه‌ای از استانداردهای بین‌المللی در مورد نحوه توسعه و نگه‌داری سیستم مدیریت امنیت اطلاعات (ISMS) است که توسط دو سازمان ISO و IEC ایجاد شده است.
•  NIST Cybersecurity Framework: چارچوب امنیت سایبری NIST با هدف ایمن‌سازی سامانه‌های مورد استفاده در موسسات دولتی تدوین شده است. این چارچوب پرکاربرد و جامع بر روی تامین امنیت اطلاعاتی که مخاطره زیادی دارند، متمرکز است. 

کنترل‌های امنیتی (Security Controls)

•  NIST SP 800-53: فهرستی از کنترل‌ها و فرآیندهای انتخابی است که برای محافظت از سیستم‌های فوق حساس به آن استناد می‌شود. 
•  کنترل‌های CIS: سازمان غیرانتفاعی Center for Internet Security یکی از ساده‌ترین رویکردها برای محافظت از دارایی‌ها و اطلاعات حساس سازمانی را ارائه کرده که قابل پیاده‌سازی در شرکت‌های بزرگ و کوچک هستند. 
•  COBIT 2019: یک چارچوب تجاری است که تمرکزش بر نحوه مدیریت و حاکمیت فناوری اطلاعات در شرکت‌ها است. 

معماری سازمانی (Enterprise Architecture) 

• Zachman Framework: مدلی برای توسعه معماری‌های سازمانی است که توسط جان زاچمن (John Zachman) توسعه پیدا کرده است.
•  Open Group Architecture Framework: مدلی برای توسعه معماری‌های سازمانی است.
•  SABSA: معماری امنیت کسب‌و‌کار کاربردی شروود سرنام Sherwood Applied Business Security Architecture مدل و روشی برای توسعه معماری امنیت اطلاعات سازمانی ریسک‌محور و مدیریت خدمات است. ویژگی اصلی مدل SABSA این است که تمرکز زیادی روی تجزیه‌وتحلیل الزامات تجاری با هدف تامین امنیت آن‌ها دارد.

چارچوب‌های ریسک

چارچوب مدیریت مخاطره (RFM) سرنام Risk Management Framework را باید به‌عنوان یک فرآیند ساختاریافته تعریف کرد که به سازمان اجازه می‌دهد مخاطره را شناسایی و ارزیابی کند و آن‌را تا حد قابل قبول کاهش دهد و اطمینان حاصل کند مخاطره در سطح قابل قبول و کنترل‌شده‌ای وجود دارد. در اصل، RMF یک رویکرد ساختاریافته برای مدیریت مخاطره (ریسک) است.

همان‌گونه که مشاهده می‌کنید، طیف گسترده‌ای از چارچوب‌های مدیریتی در دسترس قرار دارند، آن‌چه برای شما به‌عنوان یک متخصص امنیت اطلاعات باید مهم باشد این است که اطمینان حاصل کنید سازمان دارای یک RMF است که بدون مشکل کار می‌کند. برخی چارچوب‌ها در مقایسه با نمونه‌های دیگر مورد پذیرش بیشتر سازمان‌ها قرار دارند، زیرا کارکرد مثبت خود در طول سال‌های گذشته را نشان داده‌اند. از این‌رو، هنگام انتخاب یک چارچوب باید تحقیق کاملی انجام دهید و گزینه هماهنگ با استراتژی‌های تجاری سازمان را انتخاب یا در صورت لزوم ویرایش و پیاده‌سازی کنید. یکی از چارچوب‌های موفق و مهم در این حوزه NIST RMF است که قصد داریم در ادامه با مفهوم و مولفه‌های آن آشنا شویم. 

NIST RMF

چارچوب NIST برای کمک به سازمان‌هایی با ابعاد مختلف و عمدتا بزرگ تنظیم شده و روی حفظ حریم خصوصی هنگام تهیه یک محصول، خدمات یا اطلاعات متمرکز است. هدف اصلی این دستورالعمل، ارتقاء امنیت زیرساخت‌های حیاتی سازمان‌های بزرگ در برابر حمله‌های داخلی و خارجی است. به‌طور خاص،NIST  پنج رویکرد اصلی را برای مدیریت ریسک‌های موجود در امنیت داده‌ها و اطلاعات پیشنهاد می‌کند. این عملکردها عبارتند از: شناسایی، محافظت، تشخیص، پاسخ‌گویی و بازیابی. توضیح اجمالی هر یک از عملکردها به‌شرح زیر است:

• شناسایی (Identify): به سازمان‌ها در شناسایی مخاطرات امنیتی پیرامون دارایی‌ها، محیط کسب‌و‌کار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک کمک می‌کند. 
• محافظت (Protect): کنترل‌های امنیتی مورد نیاز برای حفاظت از سیستم‌های اطلاعاتی و داده‌ها را تعریف می‌کند و شامل کنترل دسترسی، آموزش و آگاه‌سازی، امنیت داده‌ها، روش‌های حفاظت از اطلاعات و نگه‌داری از فناوری‌های محافظتی است. 
• تشخیص (Detect): دستورالعمل‌هایی برای تشخیص ناهنجاری‌ها در سیستم‌های امنیتی، نظارتی و شبکه‌ها برای تفکیک حوادث امنیتی از حوادث غیرامنیتی مثل خرابی تجهیزات ارائه می‌دهد. 
• پاسخ (Repones): شامل توصیه‌ها و تکنیک‌هایی در جهت برنامه‌ریزی با هدف پاسخ‌گویی به رویدادهای امنیتی، کاهش ریسک و فرایندهای پاسخ‌گویی به حوادث است.
• بازیابی (Recovery): دستورالعمل‌هایی را ارائه می‌دهد که سازمان‌ها می‌توانند از آن‌ها برای بازگشت به شرایط پایدار در هنگام بروز حمله‌های سایبری استفاده کنند.

این چارچوب شامل عناصر کلیدی مدیریت ریسک است که باید به‌عنوان یک متخصص امنیتی در مورد آن‌ها اطلاع داشته باشید. ذکر این نکته ضروری است که چارچوب فوق برای سازمان‌های بزرگ طراحی شده و ممکن است برای پیاده‌سازی در سازمان مجبور به اعمال تغییراتی در ساختار کلی آن باشید. NIST RMF بر مبنای یک فرآیند هفت مرحله‌ای کار می‌کند (شکل 1). 

به این نکته مهم دقت کنید که چرخه نشان‌داده‌شده در شکل ۱ بی‌پایان است، زیرا سیستم‌های اطلاعاتی دائما در حال تغییر هستند. هر تغییری باید تجزیه‌وتحلیل شود تا مشخص شود که آیا نیازی به اعمال تغییر در مراحل دیگر ضروری است یا خیر. توضیح هر یک از مراحل نشان‌داده‌شده در شکل 1 به‌شرح زیر است:

 

آماده‌سازی (Prepare)

اولین قدم حصول اطمینان از این مسئله است که فعالیت‌های مدیران ارشد (در هر دو سطح استراتژیک و عملیاتی) در یک سازمان هماهنگ باشد. این موضوع شامل توافق بر سر نقش‌ها، اولویت‌ها، محدودیت‌ها و تحمل مخاطره است. یکی دیگر از فعالیت‌های کلیدی در مرحله آماده‌سازی، انجام ارزیابی مخاطره سازمانی است که دید روشنی در اختیار تیم امنیتی قرار می‌دهد تا بتوانند مخاطرات را به‌خوبی درک کنند. یکی از نتایج این ارزیابی، شناسایی دارایی‌های باارزش است که باید به بهترین شکل از آن‌ها محافظت شود. 

طبقه‌بندی (Categorize)

گام بعدی این است که سیستم‌های اطلاعاتی را بر مبنای حساس بودن و میزبانی اطلاعات حساسی که قرار است توسط تجهیزات کلاینت مورد دستیابی قرار گرفته، پردازش شوند یا انتقال پیدا کنند، طبقه‌بندی کنیم. هدف این است که برای سیستم‌های خود طبقه‌بندی‌هایی بر مبنای میزان حساسیت و مهم بودن آن‌ها ایجاد کنیم تا بتوانیم از ابزارهای امنیتی مناسبی برای محافظت از آن‌ها استفاده کنیم. امروزه بیشتر سازمان‌های اروپایی و آمریکایی ملزم به پیاده‌سازی چارچوب NIST SP 800-60 هستند. NIST SP 800-60 با تمرکز بر میزان حساسیت و اهمیت دارایی‌های سازمانی (محرمانگی، یکپارچگی و دسترس‌پذیری) سعی می‌کند میزان خطرپذیری سامانه‌ها را تعیین کند. به‌طور مثال، فرض کنید یک سیستم مدیریت ارتباط با مشتری (CRM) دارید. اگر محرمانگی آن در معرض خطر قرار گیرد، آسیب قابل توجهی به شرکت وارد می‌شود، به‌خصوص اگر اطلاعات به دست رقبا بیفتد، اما در مقابل نقض یکپارچگی و دسترس‌پذیری سیستم احتمالا برای کسب‌و‌کار پیامدهای بحرانی و جدی نخواهد داشت و از این‌رو، به دارایی با مخاطره کم طبقه‌بندی می‌شود. بر مبنای این تعریف، طبقه‌بندی امنیتی برای یک سیستم مدیریت ارتباط با مشتری از طریق فرمول زیر محاسبه می‌شود:

SCCRM=  {(محرمانگی، بالا)، (یکپارچگی، کم)، (دسترس‌پذیری، کم)} SP 800-60 از سه سطح طبقه‌بندی امنیتی کم، متوسط و زیاد استفاده می‌کند. برچسب کم اشاره به سیستم‌های اطلاعاتی دارد که اطلاعات مهمی روی آن‌ها قرار ندارد و در نتیجه نقض اصول سه‌گانه محرمانگی، یکپارچگی و دسترس‌پذیری کسب‌وکار را با چالش جدی روبه‌رو نمی‌کند. برچسب متوسط اشاره به سیستم‌هایی دارد که نقض حداقل یکی از اصول سه‌گانه باعث ایجاد اختلال در عملکرد فعالیت‌های تجاری می‌شود. برچسب بالا، به سیستم‌هایی اشاره دارد که نقض هر یک از این اصول باعث متوقف شدن عملیات تجاری می‌شود. در مثال ما، نقض اصل محرمانگی اهمیت زیادی دارد، زیرا به اعتبار برند خدشه وارد می‌کند. 

انتخاب ()

هنگامی که سیستم‌ها را دسته‌بندی کردید، نوبت به انتخاب و احتمالا تنظیم کنترل‌هایی می‌رسد که برای محافظت از دارایی‌ها از آن‌ها استفاده می‌کنید. NIST RMF سه نوع کنترل امنیتی مشترک، خاص و ترکیبی را تعریف می‌کند. 

کنترل مشترک، کنترلی است که برای چند سیستم تعریف و اعمال می‌شود. به‌طور مثال، در سناریو CRM اگر یک فایروال برنامه کاربردی وب‌محور (WAF) را برای CRM پیاده‌سازی کنیم از مکانیزم کنترل امنیتی مشترک استفاده کرده‌ایم، زیرا امکان استفاده از دیوارآتش در ارتباط با دیگر مولفه‌های نرم‌افزاری و سرویس‌های سازمان وجود دارد. WAF فراتر از نظارت بر یک سیستم CRM کار می‌کند و قادر به محافظت از CRM دیگر سامانه‌های تحت شبکه است. 

کنترل‌های خاص در محدوده سیستم‌ها پیاده‌سازی می‌شوند و بدیهی است که تنها از یک سیستم خاص محافظت می‌کنند. به‌طور مثال، صفحه ورود به سیستم CRM را تصور کنید که از پروتکل امنیت لایه انتقال (TLS) برای رمزگذاری اطلاعات محرمانه کاربر استفاده می‌کند. اگر زیرسیستم احراز هویت بخش جدایی‌ناپذیر CRM باشد، آن‌گاه مورد مذکور نمونه‌ای از یک کنترل خاص است. 

در نگاه اول به‌نظر می‌رسد در چارچوب NIST همه‌چیز به رنگ سیاه یا سفید هستند، اما دنیای امنیت پیچیده‌تر از آن است و اغلب اوقات، کنترل‌ها در حد فاصل کنترل‌های مشترک و خاص قرار می‌گیرند. یک کنترل ترکیبی تا حدی اشتراکی و تا حدی مختص یک سیستم است. در مثال CRM، یک کنترل ترکیبی می‌تواند آموزش و آگاهی‌رسانی امنیتی باشد. 

پیاده‌سازی (Implement)

در این مرحله دو وظیفه کلیدی وجود دارد که باید انجام شود؛ پیاده‌سازی و مستندسازی. قسمت اول خیلی سرراست است. به‌طور مثال، اگر در مرحله قبل تشخیص دادید که باید یک قانون به WAF اضافه کنید تا حملاتی مانند تزریق زبان پرس‌و‌جو ساختاریافته (SQL) را فیلتر کنید، آن قانون را اجرا می‌کنید. کار ساده است. بخشی که بیشتر ما با آن مشکل داریم، مستندسازی تغییر‌اتی است که اعمال می‌کنیم.

مستندسازی به دو دلیل اهمیت دارد. اول آن‌که اجازه می‌دهد تا متوجه شویم چه کنترل‌هایی وجود دارند، در چه مکانی قرار دارند و چرا تعریف و پیاده‌سازی شده‌اند. آیا تا به‌حال مسئولیت سیستمی به شما محول شده که پیکربندی آن در وضعیت بحرانی قرار داشته باشد؟ شما سعی می‌کنید بفهمید چه پارامترها یا قوانین خاصی وجود دارند، اما در تغییر آن‌ها تردید دارید، زیرا ممکن است عملکرد سیستم مختل شود. این مشکل به دلیل نبود یا تنظیم اشتباه اسناد به‌وجود می‌آید که در نهایت باعث می‌شود هکرها از آسیب‌پذیری‌های مستتر یا پیکربندی‌های اشتباه بهره‌برداری کرده و یک حمله سایبری را با موفقیت پیاده‌سازی کنند. دلیل دوم اهمیت مستندسازی این است که امکان می‌دهد کنترل‌ها را به‌طور کامل در برنامه ارزیابی و نظارت کلی ادغام کنیم و اطلاع دقیقی در ارتباط با کنترل‌هایی داشته باشیم که در طول زمان منسوخ و بی‌اثر شده‌اند. 

ارزیابی (Assess)

کنترل‌های امنیتی که قصد پیاده‌سازی آن‌ها را داریم، تنها در صورتی مانع بروز حمله‌های سایبری می‌شوند که توانایی ارزیابی آن‌ها را داشته باشیم. ارزیابی کنترل‌ها، نقش مهمی در مدیریت درست مخاطرات دارد. برای سازمان‌ها ضروری است که یک برنامه جامع داشته باشند که تمام کنترل‌های امنیتی (مشترک، ترکیبی و خاص سیستم) را با توجه به خطراتی که قرار است به آن‌ها رسیدگی کنند، ارزیابی کند. این طرح باید توسط مقام یا مقامات مربوطه بررسی و تایید شود تا قابلیت اجرایی پیدا کند. 

ارزیابی باید نشان ‌دهد که چارچوب تدوین‌شده توانایی مقابله با مخاطرات را دارد و قادر است از دارایی‌های سازمانی به بهترین شکل محافظت کند. از این‌رو، تیم توسعه‌دهنده چارچوب نباید آن‌را ارزیابی کنند و این مسئولیت باید به کارشناس امنیتی امین سازمان سپرده شود تا اثربخشی کنترل‌ها را ارزیابی کند و اطمینان دهد ابزارهای درستی انتخاب شده‌اند و اسناد به‌درستی تدوین شده‌اند. به همین دلیل، ارزیابی تمامی فرآیندها، ابزارها و خط‌مشی‌هایی که قرار است پیاده‌سازی شوند اهمیت زیادی دارد. 

ارزیابی باید تعیین کند آیا پیاده‌سازی کنترل‌ها موثر هستند یا خیر. از این‌رو، نتایج در گزارش‌ها باید مستند‌سازی شوند تا به‌عنوان مرجعی برای ارزیابی‌های بعدی قابل استفاده باشند. اگر کنترل‌ها موثر نیستند باید اقدامات اصلاحی برای رفع کاستی‌ها انجام شود و نتیجه ارزیابی دومرتبه مستند‌سازی شود. در نهایت، طرح‌های امنیتی به‌روزرسانی می‌شوند تا یافته‌ها و توصیه‌های ارزیابی در آن‌ها اعمال شود. ارزیابی کنترل‌های امنیتی «ممیزی» نامیده می‌شود. 

مجوزدهی (Authorize) 

همان‌گونه که می‌دانید، هیچ سیستمی در جهان بدون مخاطره نیست. یکی از بزرگ‌ترین مشکلاتی که کارشناسان امنیتی در یک سازمان با آن روبه‌رو هستند، دریافت مجوزهای مختلف از مدیران ارشد است تا بتوانند خط‌مشی‌های امنیتی در معماری شبکه سازمانی را پیاده‌سازی کنند. 

در این مرحله، نتایج ارزیابی ریسک و کنترل‌ها باید به فرد تصمیم‌گیرنده تحویل داده شود تا تاییدیه اتصال کنترل‌های امنیتی به سیستم‌های اطلاعاتی را صادر کند. این شخص (یا گروه) از نظر قانونی مسئول و پاسخ‌گو هستند که پس از پیاده‌سازی کنترل‌ها، سیستم‌ها بدون مشکل به کار ادامه می‌دهند. از این‌رو، باید اطلاعات معتبر و قابل استنادی در اختیار آن‌ها قرار گیرد، زیرا مسئولیت هرگونه اختلال در عملکرد شبکه بر عهده این افراد و نه مسئول پیاده‌سازی مکانیزم‌های امنیتی خواهد بود. 

به همین دلیل، افرادی که چارچوب امنیتی را آماده می‌کنند باید برای مدیرعامل این مسئله را به روشنی شرح دهند که چه مخاطراتی برای سازمان چالش‌آفرین هستند و در صورت عدم توجه به مخاطرات، سازمان با چه زیان‌هایی روبه‌رو می‌شود. گاهی‌اوقات پس از تدوین چارچوب امنیتی مجبور به بازنگری در برنامه عملیاتی می‌شوید تا بتوانید در صورت بروز یک حمله سایبری به‌سرعت واکنش نشان دهید و هکرها موفق نشوند به‌راحتی از نقاط ضعف و کاستی‌های مستتر در سیستم‌های اطلاعاتی بهره‌برداری کنند. در بیشتر سازمان‌ها مجوزهای پیاده‌سازی چارچوب‌های امنیتی برای یک دوره زمانی مشخص و در قالب برنامه اقدام و نقطه عطف (POAM یا POA&M) صادر می‌شوند. 

نظارت (Monitor)

ما باید به‌صورت دوره‌ای تمام کنترل‌ها را بررسی کنیم و مشخص کنیم که آیا هنوز موثر هستند یا خیر. آیا تغییراتی در الگوی تهدیدات تاکتیکی و تکنیکی به‌وجود آمده است، آیا آسیب‌پذیری‌های جدیدی کشف شده‌اند، آیا یک تغییر غیرمستند یا تاییدنشده در پیکربندی باعث شده تا اثربخشی کنترل‌های امنیتی کمتر شده و سطح مخاطرات پیرامون دارایی‌های سازمانی به درجه بحرانی نزدیک شده باشند؟ این‌ها تنها برخی از مسائلی هستند که ما از طریق نظارت مستمر و بهبود مستمر قادر به پاسخ‌گویی به آن‌ها هستیم. 

کلام آخر

چارچوب NIST RMF یکی از مهم‌ترین چارچوب‌های مدیریت ریسک امنیت اطلاعات است که به‌طور گسترده مورد استفاده قرار می‌گیرد. این چارچوب دستورالعمل‌هایی برای مدیریت ریسک امنیت اطلاعات در یک سازمان را تعریف می‌کند، اما رویکرد خاصی را برای اجرای آن دیکته نمی‌کند. به عبارت دیگر، چارچوب به ما می‌گوید که چه کارهایی را باید انجام دهیم، نه این‌که چگونه آن‌ها را انجام دهیم.