مدیریت مواجهه مداوم با تهدید (CTEM) و اهمیت آن بر امنیت

امنیت سایبری در سال‌های اخیر با چالش‌هایی جدی‌تر از همیشه مواجه شده است. از جمله نواقضی که می‌توان به آن اشاره کرد، نفوذ گروه ALPHV به MGM Resorts International است که منجر به سرقت گسترده داده‌ها شد و اختلال جالب‌توجهی را به عملیات تجاری وارد کرد. MGM خسارت وارده را حدود ۱۰۰ میلیون دلار تخمین زده است. علاوه‌بر این، DP World که اپراتور بنادر استرالیاست نیز دچار حمله باج‌افزاری شدیدی شد. این حمله باعث ایجاد اختلال چندروزه در ۴۰ درصد از تجارت کانتینری استرالیا شد. در موردی دیگر، گروهی از مجرمان سایبری از آسیب‌پذیری روز صفر در ابزار انتقال فایل امن GoAnywhere سوءاستفاده کردند که بیش از ۱۳۰ سازمان را تحت‌تأثیر قرار داد.

واضح است که امنیت سایبری باید یکی از جنبه‌های اساسی هر سازمان باشد. همچنین، گزارش تهدید داده‌های تالس در سال ۲۰۲۴ (2024 Thales Data Threat Report) به ترس کارشناسان امنیت سایبری دامن می‌زند و نشان می‌دهد ۹۳ درصد از متخصصان فناوری اطلاعات معتقدند تهدیدات امنیتی نسبت به سال گذشته ۴۷ درصد بیشتر شده‌اند.

به گفته گارتنر برای مقابله با تهدیداتی از این دست، برنامه‌ای جهت مدیریت مواجهه مدوام با تهدید (Continuous Threat Exposure Management) یا همان (CTEM) مورد نیاز است؛ گارتنر می‌گوید: «تا سال ۲۰۲۶، سازمان‌هایی که اولویتشان سرمایه‌گذاری بر مدیریت مواجهه با تهدید مداوم باشد، سه برابر کمتر احتمال دارد دچار نقض شوند.»

مدیریت مواجهه با تهدید مداوم (CTEM) چیست؟

CTEM به برنامه جامعی مختص امنیت سایبری اطلاق می‌شود که مواجهه سازمان‌ها با تهدیدات مختلف را به‌طور دائم نظارت و مدیریت می‌کند. این برنامه نه‌­تنها آسیب‌پذیری‌های سیستم شما را شناسایی می‌کند بلکه با استفاده از تکنیک‌های ترکیبی برای شبیه‌سازی حملات در دنیای واقعی به ارزیابی مداوم وضعیت امنیتی شما و اولویت‌بندی تهدیدات احتمالی می‌پردازد. با این کار همیشه برای رویارویی با هر گونه چالش امنیتی آماده هستید و اطلاعات حساس خود را ایمن نگه می‌دارید.

پنج عنصر حیاتی CTEM

فرآیند مدیریت مواجهه با تهدید مداوم (CTEM) شامل چندین مرحله کلیدی است. برای جلوگیری از تهدیدات و آسیب به سازمان این مراحل باید به صورت متوالی اجرا شوند:

عنصر نخست: محدوده

سازمان‌ها باید تمام نقاط ورود و دارایی‌های آسیب‌پذیر یا همان «سطوح حمله» را شناسایی کنند. این باید شامل چیزی فراتر از دستگاه‌ها و برنامه‌های سنتی باشد، از جمله عناصر نامشهود مانند سرویس‌های مدیریت توسعه نرم‌افزار و کد، حساب‌های رسانه‌های اجتماعی شرکتی و سیستم‌های زنجیره تامین یکپارچه.

سازمان‌هایی که قصد دارند اولین برنامه CTEM خود را اجرا کنند می‌توانند با در نظر گرفتن دو حوزه این کار را شروع کنند:

۱. سطح حمله خارجی

۲. وضعیت امنیتی SaaS

سطح حمله خارجی، دامنه نسبتا محدودی دارد اما اکوسیستم رو به رشدی از ابزارهاست. از سوی دیگر، وضعیت امنیتی SaaS به دلیل افزایش کاربران از راه‌دور اهمیت فزاینده‌ای پیدا کرده است و در نتیجه داده‌های تجاری حیاتی‌تری در SaaS میزبانی می‌شوند.

عنصر دوم: توسعه

این مرحله بر شناسایی دارایی‌های آشکار و پنهان، آسیب‌پذیری‌ها، پیکربندی نادرست و سایر خطرات تمرکز دارد. یکی از اولین چالش‌هایی که هنگام ساخت برنامه CTEM با آن مواجه می‌شوید مرتبط با محدوده و کشف است. کشف دارایی‌ها و آسیب‌پذیری‌ها در مقادیر زیاد به خودی خود کافی نیست. در عوض، محدوده دقیق پروژه بر اساس ریسک تجاری و تأثیر بالقوه ارزشمندتر است زیرا برنامه متمرکز بر حیاتی‌ترین نگرانی‌هاست.

عنصر سوم: اولویت‌بندی

دستیابی به امنیت کامل هدف اصلی در این مرحله نیست. بلکه، این مرحله بر لزوم اولویت‌بخشی به چند عامل کلیدی تأکید دارد که می‌توانند شرکت را در برابر تهدیدهای سایبری محافظت کنند برای مثال، فوریت خطر، شدت ریسک امنیتی، وجود تدابیر جایگزین برای حفاظت و این‌که تا چه حد می‌توان سطح حمله را به‌صورت واقع‌بینانه کاهش داد تا در نهایت، سطح تهدید کاهش یاید. با شناسایی دارایی‌های حیاتی کسب‌وکار، می‌توانید برنامه‌ای هدفمند برای مقابله با تهدیدها طراحی کنید که به‌طور خاص نیازهای امنیتی شما را پوشش دهد.

عنصر چهارم: اعتبارسنجی

در مرحله بعد، نقص‌های احتمالی امنیتی و آسیب‌پذیری‌های موجود به‌دقت بررسی و ارزیابی می‌شوند تا مشخص شود چه ضعف‌هایی ممکن است در معرض سوءاستفاده مهاجمان قرار داشته باشند. پس شما باید برنامه‌ای برای رسیدگی به مسائل ورودی تهیه کنید.

عنصر پنجم: آمادگی

پیاده‌سازی CTEM آخرین گام در دستیابی به موفقیت است. این مرحله حیاتی‌ترین مرحله فرآیند است و ذی‌نفعان را ملزم می‌کند تا موانع تأییدیه‌ها و فرآیندهای اجرا را تسهیل کنند. همه بخش‌ها باید برای پیروی از CTEM در هر مرحله آماده شوند.

اهمیت فرآیند امنیتی در CTEM

عنصر چهارم مدل CTEM که پیش‌تر به آن اشاره شد، بر شناسایی آسیب‌پذیری‌ها و ارزیابی ریسک‌ها تمرکز دارد و در نتیجه، به اطمینان از تطابق با مقررات کمک می‌کند. انجام چنین کاری بدون بهره‌گیری از خدمات ممیزی امنیتی ممکن نخواهد بود.

مراحل ممیزی امنیتی چیست؟

۱. تنظیم سیاست‌های امنیتی برای تعریف اهداف، استانداردها و دستورالعمل‌ها

۲. شناسایی، ارزیابی و کاهش تهدیدات احتمالی برای منابع شرکت

۳. رعایت تمام الزامات نظارتی، استانداردهای صنعت و سیاست‌های داخلی

۴. آموزش کارکنان با بهترین شیوه‌ها و سیاست‌ها برای افزایش آگاهی از تهدیدات امنیتی

۵. استقرار ابزارهایی برای نظارت و تجزیه‌وتحلیل ترافیک شبکه، ورود و خروج‌های سیستم و داده‌ها

۶. توسعه و اجرای زیرساخت فناوری اطلاعات امن برای سازمان شامل شبکه‌ها، سرورها و برنامه‌ها

برای این‌که ارزیابی جامع وضعیت امنیتی به بهبود شرکت‌ها منتهی شود نیاز به انتخاب تیم مناسبی از متخصصان امنیتی است. تیم‌های امنیتی اختصاصی راه‌حل‌های سفارشی‌ای ارائه می‌کنند که نیازهای امنیتی و محدودیت‌های بودجه شما را برآورده می‌سازد. این کارشناسان امنیتی به لطف انجام ارزیابی‌های جامع ریسک، شرکت و دارایی‌های ارزشمندتان را از تهدیدات احتمالی حفظ می‌کنند.

شما باید آماده بمانید

به گفته یکی از بنیان‌گذاران SecurityScorecard، پیش‌بینی می‌شود صنعت امنیت سایبری شاهد نقض داده‌های بی‌سابقه‌ای باشد. در سال ۲۰۲۳ نقض داده‌های جهانی نسبت به سال‌های گذشته افزایش ۷۲ درصدی داشت که از بالاترین تعداد ثبت‌شده در سال ۲۰۲۲ نیز پیشی گرفت.

همچنین تلاش‌‌های فیشینگ به‌طور قابل‌توجهی پیچیده‌تر شده‌اند. در گذشته تشخیص فیشینگ آسان‌تر بود زیرا اغلب متن به زبان واضحی نوشته می‌شد یا قواعد نگارشی اشتباهی داشت. با این حال، حتی در آن زمان نیز برخی از مردم قربانی حملات فیشینگ می‌شدند. اما امروزه حملات فیشینگ بسیار پیشرفته‌تر شده‌اند و شامل یک‌سری مراحل برنامه‌ریزی‌شده هستند.

مهاجمان ممکن است از هوش‌مصنوعی برای تجزیه‌وتحلیل مکاتبات و درک زمینه و تعیین این‌که چه کسی مسئول چه چیزی در سازمان است سوءاستفاده کنند. سپس از این اطلاعات برای ایجاد اعتبار هنگام حمله استفاده می‌شود. همچنین هوش‌مصنوعی ممکن است متن‌هایی تولید کند که از سبک مکاتباتی افراد در سازمان ما تقلید کند و میزانی از اعتماد کاذب را به حمله اضافه کند.

این موضوع، ماجرایی دور از ذهن نیست! بلکه روزانه این اتفاق بارها رخ می‌دهد. شرکت IBM معتقد است که با رشد هوش مصنوعی، مجرمان سایبری نیز انگیزه بیشتری برای توسعه ابزارهای کم‌هزینه‌ و مؤثر جهت حمله به فناوری‌های مبتنی بر هوش مصنوعی پیدا خواهند کرد. امروزه پایبندی به مدیریت مواجهه مداوم با تهدید و انجام ممیزی‌های امنیتی جامع بیش از هر زمان دیگری حیاتی به نظر می‌رسد.

سازمان خود را با کمک متخصصان مجرب که می‌توانند ممیزی‌های امنیتی را مطابق با بالاترین استانداردهای امنیتی به منظور جلوگیری از تهدیدات و نقض‌های سایبری انجام دهند، ایمن کنید. منبع

برای اطلاعات بیشتر و مشاوره با کارشناسان ابرآمد، با ما در تماس باشید:

• مدیریت مواجهه با تهدید مداوم (CTEM) دقیقاً چه کمکی به سازمان می‌کند؟

  CTEM به سازمان کمک می‌کند تا به‌طور پیوسته آسیب‌پذیری‌های خود را شناسایی و اولویت‌بندی کند، ریسک‌های امنیتی را ارزیابی کند و آماده مقابله با تهدیدهای واقعی باشد. در نتیجه، احتمال وقوع نقض امنیتی و خسارت‌های ناشی از آن به‌طور قابل توجهی کاهش می‌یابد.

• تفاوت CTEM با ارزیابی سنتی امنیت چیست؟

  ارزیابی‌های امنیتی سنتی معمولا به‌صورت دوره‌ای و مقطعی انجام می‌شوند، اما CTEM یک فرآیند مستمر و پویاست که دائما وضعیت امنیت سازمان را ارزیابی و به‌روزرسانی می‌کند. این باعث آمادگی همیشگی در برابر تهدیدهای نوظهور می‌شود.

• چه سازمان‌هایی بیشتر به پیاده‌سازی CTEM نیاز دارند؟

  تمام سازمان‌هایی که داده‌های حساس دارند، به‌ویژه شرکت‌های مالی، بیمه، سلامت، فناوری و اپراتورهای زیرساخت‌های حیاتی، به CTEM نیاز مبرم دارند. با افزایش حملات پیچیده، حتی کسب‌وکارهای کوچک و متوسط نیز باید CTEM را در برنامه امنیتی خود لحاظ کنند.