حسناً، انت الان في مجال إدارة أمن المعلومات وفي يدك ان تستثمر لتحسين او بناء قسم أمن معلومات، كيف يجب ان تبدأ؟
بداية، عمل تقييم من شركة استشارية لمعرفة الوضع بشكل عام، لاحظ ان "كل الشركات الاستشارية" ستقدم معلومات ونتائج على مستوى بسيط ولن تقدم معلومات بشكل معمق ولكنها بداية جيدة للتخطيط الإستراتيجي و معرفة حجم الاستثمار المطلوب
بداية، عمل تقييم من شركة استشارية لمعرفة الوضع بشكل عام، لاحظ ان "كل الشركات الاستشارية" ستقدم معلومات ونتائج على مستوى بسيط ولن تقدم معلومات بشكل معمق ولكنها بداية جيدة للتخطيط الإستراتيجي و معرفة حجم الاستثمار المطلوب
نتائج الشركات الاستشارية جيدة كبداية توجيه لكيف يجب ان تبدأ بقليل من التخصيص لشركتك او مؤسستك. يجب التنويه ان "بعض" الشركات الاستشارية تقدم نتائج نوعا ما غير محايدة تدفع لشراء بعض المنتجات المباشرة منها او من شراكات تكونها مع منتجين آخرين.
- تخصيص الميزانية المناسبة لأمن المعلومات
هل ما يدفع الان قليل؟ كثير؟ عادل؟ للإجابة هناك عدة طرق من ضمنها عمل تقييم شامل مع حساب تكلفة ما بعد الاختراق. ولحساب ما بعد الاختراق يتم تقييم المعلومات الفعلية للسوق، تقرير صدر مؤخرا من مؤسسة Ponemon Institute بالتعاون مع IBM يقدر ان تكلفة الاختراق في السعودية والإمارات هي 460 ريالا لكل سجل من معلومات العملاء او سجلات الشركة الخاصة. فإذا كان للشركة مليون عميل وتم اختراق نصفها، فإن تكلفة الاختراق تساوي 230 مليون ريال.
فإن كان حجم الاستثمار المطلوب هو 200 مليون او اكثر فهذا القدر مبالغ فيه لان حجم تكلفة الاختراق مقارب، وان كان حجم الاستثمار 50 مليون فهو مبرر لان حجم الاختراق لكامل البيانات قد يصل الى 460 مليون ريال. في اخر المقال بقية الاحصائية للاطلاع.
على سبيل المثال تقرير Verizon DBIR 2015 يوضح ان اكثر الاختراقات تحدث من مصادرة خارجية، اذن التركيز على طرق كشف ومنع الاختراقات الخارجية يأتي اولا قبل كشف ومنع الاختراقات الداخلية.
3. قم بتكييف التقنيات والإجراءات لتعتمد على مشاركة المعلومات من العالم
لماذا تهتم اصلا بمعلومات الآخرين؟
التقرير السابق من فيرايزون ينوه ان 75% من الهجمات على المؤسسات انتقلت لمؤسسة ثانية خلال 24 ساعه، ما يعني ان المخترقين هاجموا الشركة الاولى وخلال 24 ساعه هجموا على شركة اخرى. عند نجاح الهجوم الأول يتم تطبيقه بسرعه على بقية الشركات، و 40% من الهجمات تم تجربتها على مؤسسات اخرى خلال ساعه واحده فقط.
هذه المعلومة تنشئ عصر جديد يوجب الاطلاع على معلومات المهاجمين ومشاركتها مع العالم indication of compromise feeds، انشاء تقنية واجراء لاستقبال هذه المعلومات ودمجها في التقنيات الموجودة داخل مؤسستك يعطيك دلائل على امكانية اختراقك. يمكن عمل الدمج integration عبر تقنيات الـ SIEM.
اهمية الـ Indication of compromise feeds هي باختصار مشاركة المعلومات الأمنية عبر بعض المصادر، ولان بعض المعلومات قد تكون مكررة، يقدم تقرير فيرايزون تقسيم بدلائل مفيده للتعامل معها، التغذيات يمكن ان تكون قسمين رئيسية:
الاول: المخاطر من الخارج Inbound feed وهي تعني بمشاركة معلومات الدومين وIP
الثانية: المخاطر من الداخل outbound feed وهي الأجهزة التي تقوم بمحاولة التواصل مع عناوين خارجية لأنها مخترقة مسبقا
حسب التقرير ان العديد من التغذيات feeds تشارك بنفس المعلومات من النوع الأول "inbound feed” لأنها حسب التقرير تمر على نفس honeypots في شبكة الإنترنت بينما ال المخاطر من الداخل outbound feeds هي غالبا لا تكون مكررة في التغذيات من الشركات وفرق البحوث المختلفة. بالأسفل يوضح ان الجزء الذي يحدث فيه التكرار والإبلاغ عن نفس العناوين متضخم في الـ inbound feeds
لذا مزيد من التركيز على الأجهزة الداخلية التي تحاول الوصول الى عناوين خارجية مطلوب، والاستثمار في الأدوات والمصادر التي توفر الطرق الناجحة للوصول الى هذه الأجهزة المخترقة ومعالجتها هو اهم من البقية.3. أمن الويب والايميل
اكبر مدخلين للاختراقات والهجمات المستهدفة عن طريق الويب والايميل، أمن هذه الاثنين بتقنيات جيده وفي أكثر من مكان وشدد الإجراءات عليهما تأمن ما نسبته 70% من مصادر الاختراق.
4. ما بعد الـزيرو داي 0Day ، ما بعد الاختراق
مالم تكتشف الى الان 0day في مؤسستك فأعلم ان الغالب انك لا تعلم عن تواجدها اصلا، عليك ان تعمل على بناءفريق رد على الاختراقات الأمنية وتدريبهم بشكل فعال. من 90% الى 70% من المؤسسات والشركات في العالم تستهدف باختراقات من فيروسات غير معروفة لدى شركات مكافحة الفيروسات! نعم، هذا ما يحدث الان لكن هذا لا يعني ان الفيروس فعليا جديد كلياً لم يعرف مطلقا، بل السبب ان المخترقين يقومون بتغيير اشياء بسيطة في البرمجية نفسها لينتج هاش مختلف عن الموجود في برامج مكافحة الفيروسات وبالتالي يعتبر جديد ويسمى 0day
يقترح تقرير من Ponemon Institute ان العامل الأول لتقليل تكاليف الاختراقات الأمنية هو انشاء فريق للرد على الاختراقات الأمنية. كما يجعل التقرير التشفير للبيانات العامل الثاني لتقليل التكاليف الناتجة عن الاختراقات الأمنية والثالث هو تدريب الموظفين.
يحسب تقرير Ponemon تكلفة الاختراق عبر كل سجل او record يتم تسريبه في السعودية والإمارات (AB) تساوي 122$ او ما يساوي 460 ريال/درهم في عام 2015. والعوامل المسجلة بالرسم بالأعلىتخفض التكلفة بالتتابع حسب ما هو موضح الى ان تصل بالسالب، فمشاركة طرف ثالث يزيد من التكاليف 16 دولار لكل سجل ما يعني: 122+16= 138 دولار او 520 ىريال/درهم لكل سجل يتم اختراقه.
الخلاصة
الاستثمار في التقنيات التقليدية مطلوب بحجم معتدل مع توظيف للتقنيات والطرق الحديثة في امن المعلومات، حجم الخسار المتوقعة من الاختراقات يجب ان يتم ضعها في عين الاعتبار عند تعيين الميزانية الخاصة بأمن المعلومات وتأمين كافي في حدث اختراق لعدد معين من السجلات الخاصة بالشركة، الابتعاد عن مبيعات المنتجات والتركيز على الاستشارات الفعالة من الشركات الأمنية اكثر فعالية في تغطية الاستراتيجية العليا.
الخطوة الاولى تكون بتقييم الوضع الحالي واستمداد الرؤية المستقبلية بناء على نتائج التقارير المنتجة من التقييم مرفقة بتقييم فعلي لحجم الخسائر المتوقع لتساوي المبلغ المطلوب للاستثمار في امن المعلومات بطريقة علمية، بقية الخطوات تتبعها بمعرفة اين يجب ان يتم الاستثمار ومن ثم البدء بتنفيذ المشاريع الداعمة مع دمج اجراءات فعالة لتقييد المعاملات التي قد تنتج حوادث امنية تسبب خسائر.
تبني الطرق الحديثة للاستفادة من مشاركة العالم بما لديهم من حوادث أمنية طريقة في غاية الفعالية وخطوة اولى للاستفادة من الاختراقات للآخرين لعمل تقييم مستمر للحالة الأمنية الخاصة بالاصول المفترض حمايتها.
