چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
چشم انداز تهدید دیجیتال به طور مداوم در حال تغییر است و عوامل مخرب روزانه حملات پیچیده تری را انجام می دهند. سازمان ها باید آخرین چارچوب های امنیتی را در نظر بگیرند تا از این محیط تهدید پویا جلوتر بمانند.
چارچوبهای امنیت سایبری یک رویکرد سازمانیافته برای مدیریت ریسکهای امنیتی، کاهش آسیبپذیریهای احتمالی و بهبود کلی دفاع دیجیتال ارائه میکنند. از آنجایی که شرکتها به ادغام فناوریهای دیجیتال در عملیات خود ادامه میدهند، بهروز ماندن با جدیدترین چارچوبهای امنیت سایبری اهمیت فزایندهای دارد.
از موسسه ملی استانداردها و فناوری (NIST) گرفته تا قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA)، چارچوبهای امنیت سایبری بخش ضروری هر عملیات فناوری اطلاعات هستند. در این بلاگ به معرفی برخی از برترین چارچوب های امنیت سایبری و توضیح آن ها می پردازیم 😉
چارچوب های امنیت سایبری چیست و چرا لازم است؟
چارچوب امنیت سایبری مجموعه ای از سیاست ها، شیوه ها و رویه هایی است که برای ایجاد یک موقعیت امنیتی موثر اجرا می شود. این چارچوبها به سازمانها راهنمایی میکنند تا از داراییهای خود در برابر تهدیدات سایبری با شناسایی، ارزیابی و مدیریت ریسکهایی که میتواند منجر به نقض دادهها، قطع سیستم یا سایر اختلالات شود، محافظت کنند.
چارچوبهای امنیت سایبری به سازمانها کمک میکنند تا یک استراتژی امنیتی مؤثر را ایجاد و حفظ کنند که نیازهای خاص محیط آنها را برآورده کند. از طریق ارزیابی شیوههای امنیتی فعلی و شناسایی شکافهای حفاظتی، این چارچوبها به تیمهای امنیت سایبری کمک میکنند تا پادمانهای مناسب را برای حفاظت از داراییهای حیاتی اجرا کنند.
[ مدل سازی تهدید چیست و چگونه چارچوب مناسب را انتخاب کنیم؟ ]
چارچوب های امنیت سایبری که باید در نظر گرفته شود
امنیت اطلاعات زمینه ای پویا است که طیف وسیعی از فناوری ها، چارچوب ها و بهترین شیوه ها را در بر می گیرد. چارچوب ها و راه حل های امنیتی مناسب بسته به صنعت، مقیاس و دامنه عملیات سازمان در بین سازمان ها به طور قابل توجهی متفاوت خواهد بود. در اینجا برخی از پرکاربردترین چارچوب های امنیت سایبری را بررسی میکنیم :
1. NIST
موسسه ملی استانداردها و فناوری (NIST) یک سازمان دولتی است که مسئول پیشرفت فناوری و استانداردهای امنیتی در ایالات متحده است. چارچوب امنیت سایبری NIST دستورالعملهایی را برای سازمانها ارائه میکند تا حملات سایبری را شناسایی، محافظت کنند، شناسایی کنند، پاسخ دهند و از آن بازیابی کنند. این چارچوب در سال 2014 به عنوان راهنمایی برای آژانس های فدرال ایجاد شد، اما این اصول تقریباً برای هر سازمانی که به دنبال ایجاد یک محیط دیجیتال امن است، اعمال می شود.
اکنون در نسخه دوم، چارچوب NIST مجموعه ای جامع از بهترین شیوه ها برای سازمان هایی است که به دنبال بهبود وضعیت امنیتی خود هستند. این شامل راهنمایی دقیق در مورد مدیریت ریسک، مدیریت دارایی، کنترل هویت و دسترسی، برنامه ریزی واکنش به حادثه، مدیریت زنجیره تامین و غیره است.
https://www.nist.gov/cyberframework
2. ISO 27001 و ISO 27002
ISO 27001 و ISO 27002 دو مورد از رایج ترین استانداردهای مدیریت امنیت اطلاعات امروزی هستند. این استانداردها چارچوب جامعی را برای سازمان هایی فراهم می کند که به دنبال محافظت از داده های خود از طریق سیاست های قوی و بهترین شیوه ها هستند.
این استانداردها که در ابتدا توسط سازمان بینالمللی استاندارد (ISO) توسعه یافتند، اصول و شیوههایی را ارائه میکنند که تضمین میکند سازمانها اقدامات مناسبی را برای محافظت از دادههای خود انجام میدهند. از مدیریت دارایی و کنترل دسترسی گرفته تا واکنش به حادثه و تداوم کسب و کار، این استانداردها دستورالعمل های دقیقی را برای کمک به سازمان ها برای ایمن سازی شبکه های خود ارائه می دهند.
ISO 27001 یک استاندارد بین المللی است که یک رویکرد سیستماتیک برای ارزیابی ریسک، انتخاب کنترل و اجرا ارائه می دهد. این شامل الزامات برای ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS) است.
ISO 27002 یک آیین نامه عملی است که کنترل های امنیتی دقیق تر و دقیق تری را مشخص می کند. هنگامی که این دو استاندارد با هم اجرا می شوند، رویکردی جامع برای مدیریت امنیت اطلاعات در اختیار سازمان ها قرار می دهند.
https://www.iso.org/isoiec-27001-information-security.html
3. CIS Controls
چارچوب کنترل مرکز امنیت اینترنت (CIS) بهترین شیوه ها را برای سازمان هایی که به دنبال محافظت از شبکه های خود در برابر تهدیدات سایبری هستند، ارائه می دهد. این چارچوب شامل 20 کنترل است که بسیاری از حوزه های امنیتی مانند کنترل دسترسی، مدیریت دارایی و پاسخ به حادثه را پوشش می دهد.
کنترل های CIS به سه دسته اصلی، بنیادی و سازمانی تقسیم می شوند.
- کنترلهای اساسی بر روی اقدامات ضروری امنیت سایبری که همه سازمانها باید اجرا کنند، مانند وصلههای منظم و محافظت از آنتیویروس، تمرکز دارند.
- کنترلهای بنیادی اقدامات پیشرفتهتری هستند که باید علاوه بر پروتکلهای امنیتی اساسی، شامل احراز هویت دو مرحلهای و نظارت منظم بر فایلهای گزارش برای فعالیتهای مشکوک انجام شوند.
- کنترلهای سازمانی برای ارائه حفاظتهای اضافی خاص برای نیازهای محیط یک سازمان، مانند آگاهی و آموزش کاربر، طراحی شدهاند.
https://www.cisecurity.org/controls
4. SOC2
چارچوب کنترل سازمان خدمات (SOC) یک استاندارد حسابرسی است که توسط حسابرسان شخص ثالث برای ارزیابی امنیت، در دسترس بودن، یکپارچگی پردازش، محرمانه بودن و حریم خصوصی سیستم ها و خدمات شرکت استفاده می شود. SOC2 یکی از رایج ترین استانداردها در این چارچوب است که به طور خاص برای ارائه دهندگان خدمات ابری طراحی شده است.
استاندارد SOC سازمانها را ملزم میکند که مستندات دقیقی در مورد فرآیندهای داخلی و رویههای مربوط به امنیت، در دسترس بودن، یکپارچگی پردازش، محرمانه بودن و حریم خصوصی ارائه دهند. اسناد منطبق با SOC باید شامل سیاستهایی مانند اقدامات کنترل دسترسی، پروتکلهای رمزگذاری دادهها، طرحهای واکنش به حادثه و غیره باشند.
سازمانها همچنین باید شواهدی مبنی بر اثربخشی کنترلهای خود، مانند گزارشهای حسابرسی یا نتایج تست نفوذ، ارائه دهند تا اطمینان حاصل شود که اقدامات امنیتی آنها به درستی عمل میکند و میتواند از دادههایشان در برابر تهدیدات سایبری محافظت کند.
https://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganization-smanagement
5. PCI-DSS
شورایی از پردازندههای اصلی پرداخت، استاندارد امنیت دادههای صنعت کارت پرداخت (PCI-DSS) را برای محافظت از دادههای کارت پرداخت مشتریان توسعه دادند. این استاندارد مجموعه ای جامع از الزامات طراحی شده برای کمک به سازمان ها در ایمن سازی سیستم های خود و جلوگیری از دسترسی غیرمجاز به اطلاعات مشتریان را ارائه می دهد.
چارچوب PCI-DSS شامل 12 پیشنیاز است که سازمان ها باید برای محافظت از داده های مشتری رعایت کنند. این الزامات شامل کنترل دسترسی، امنیت شبکه و ذخیره سازی داده های خاص صنعت پردازش پرداخت می شود. همچنین شامل اقداماتی برای حفاظت از دادههای کارت پرداخت مشتری، از جمله فناوریهای رمزگذاری و توکنسازی است.
https://www.pcisecuritystandards.org/about_us
6. COBIT
اهداف کنترل برای اطلاعات و فناوری های مرتبط (COBIT) که توسط انجمن حسابرسی و کنترل سیستم های اطلاعاتی (ISACA) توسعه یافته است، یک چارچوب جامع است که برای کمک به سازمان ها در مدیریت موثرتر منابع فناوری اطلاعات طراحی شده است. این چارچوب بهترین شیوه ها را برای حاکمیت، مدیریت ریسک و امنیت ارائه می دهد.
چارچوب COBIT به پنج دسته تقسیم می شود: برنامه ریزی و سازماندهی، به دست آوردن و پیاده سازی، ارائه و پشتیبانی، نظارت و ارزیابی، و مدیریت و ارزیابی. هر دسته شامل فرآیندها و فعالیت های خاصی است که به سازمان ها کمک می کند منابع فناوری اطلاعات خود را به طور موثر مدیریت کنند.
COBIT همچنین شامل دستورالعملهای امنیتی و حفاظتی دقیق دادهها است که شامل کنترل دسترسی، احراز هویت کاربر، رمزگذاری، ثبت حسابرسی و مناطق پاسخ به حادثه میشود. این دستورالعملها مجموعهای جامع از اقدامات را در اختیار سازمانها قرار میدهند که میتوانند برای محافظت از سیستمهایشان در برابر تهدیدات سایبری استفاده شوند.
https://www.isaca.org/resources/cobit
7. HITRUST Common Security Framework
اتحادیه اعتماد اطلاعات سلامت (HITRUST) چارچوب امنیتی مشترک (CSF) یک چارچوب امنیتی جامع است که برای صنعت مراقبت های بهداشتی طراحی شده است. این استاندارد شامل بهترین روشها برای حفاظت از امنیت دادههای بیمار، پوشش حوزههایی مانند کنترل دسترسی، مدیریت هویت و دسترسی، رمزگذاری، ثبت حسابرسی و پاسخ به حادثه است.
HITRUST CSF شامل حاکمیت دقیق امنیت سایبری، مدیریت ریسک و الزامات انطباق است، که به سازمان ها کمک می کند تا الزامات نظارتی مربوطه را برآورده کنند و در عین حال از سیستم های خود در برابر تهدیدات سایبری بالقوه محافظت کنند.
8. Cloud Control Matrix
ماتریس کنترل ابری Cloud Security Alliance (CSA) یک چارچوب امنیتی جامع برای سیستمها و برنامههای مبتنی بر ابر است که کنترل دسترسی، احراز هویت کاربر، رمزگذاری، ثبت حسابرسی و پاسخ به حادثه را پوشش میدهد.
مشابه HITRUST، CCM همچنین شامل دستورالعمل های دقیق برای حاکمیت امنیتی و مدیریت ریسک است و هدف آن کمک به سازمان ها برای برآورده کردن استانداردهای نظارتی مربوطه است.
https://cloudsecurityalliance.org/research/cloud-controls-matrix/
9. CMMC 2.0
CMMC 2.0 (Cybersecurity Maturity Model Certification) آخرین نسخه چارچوب وزارت دفاع ایالات متحده (DOD) است که در سال 2021 اعلام شد. این برای محافظت از اطلاعات امنیت ملی با ایجاد مجموعه ای از استانداردهای امنیت سایبری سازگار برای هر سازمانی که با وزارت دفاع کار می کند طراحی شده است. .
برخی از تغییرات عمده از 1.0 به 2.0 عبارتند از:
اجازه دادن به خودارزیابی برای برخی الزامات برای کمک به سهولت انطباق
ایجاد اولویت برای محافظت از اطلاعات وزارت دفاع
ایجاد همکاری بهتر بین سازمان ها و وزارت دفاع با تکامل تهدیدات سایبری
در CMMC 2.0، 3 سطح جداگانه بر اساس حساسیت داده هایی که یک سازمان پردازش می کند وجود دارد. هر سطح دارای مقدار بیشتری از تمرینات مورد نیاز و همچنین شدت ارزیابی است. در سطح پایه 1، 17 شیوه با خود ارزیابی سالانه وجود دارد. در سطح 3، بیش از 110 تمرین، همراه با ارزیابی های سه ساله تحت رهبری دولت مورد نیاز است.
https://dodcio.defense.gov/CMMC
چارچوب های امنیت سایبری خاص کشور
همراه با فهرست بالا، چندین چارچوب امنیت سایبری دیگر وجود دارد که به طور خاص برای نیازهای انطباق کشورها و مناطق خاص طراحی شدهاند. اگرچه ممکن است این موارد برای هر MSP (managed service providers) صدق نکند، اما داشتن آگاهی و درک اولیه از آنها ایده خوبی است. در زیر چند نمونه کلیدی آورده شده است:
10. Essential 8
Essential 8 چارچوب امنیت سایبری پایه منطقه APAC است که به همه سازمان ها توصیه می شود از آن پیروی کنند، مشابه چارچوب NIST در ایالات متحده که توسط ACSC (مرکز امنیت سایبری استرالیا) در سال 2017 ایجاد شد، این به عنوان یک مجموعه پایه از حداقل بهترین شیوه ها عمل می کند. اجتناب از سیستم های به خطر افتاده توجه داشته باشید که برخلاف بسیاری از فریم ورک های دیگر، به طور خاص بر روی شبکه های مبتنی بر ویندوز مایکروسافت تمرکز دارد.
Essential 8 عنوان، شیوه های کاهش تهدید زیر را نشان می دهد:
- کنترل برنامه
- برنامه های پچ
- پیکربندی تنظیمات ماکرو مایکروسافت آفیس
- سخت شدن برنامه کاربر
- محدود کردن امتیازات اداری
- وصله سیستم عامل
- احراز هویت چند عاملی
- پشتیبان گیری معمولی
https://www.cyber.gov.au/acsc/view-all-content/essential-eight
چگونه چارچوب امنیت سایبری مناسب را برای سازمان خود انتخاب کنیم؟
هنگام انتخاب یک چارچوب امنیت سایبری، باید هم نیازهای خاص سازمان و هم مشتریان خود را در نظر بگیرید. چارچوبهای مختلف برای محیطها و نیازمندیهای مختلف طراحی شدهاند، بنابراین تحقیق در مورد چارچوبهای مختلف و تعیین اینکه کدامیک قابل اجرا هستند، اولین قدم حیاتی است. ما در این بلاگ سعی کردیم معرفی مختصری از برترین چارچوب های امنیتی کرده باشیم تا اگر دوستانی آشنایی ندارند با این موارد آشنا شوند. برای تحقیق در مورد هر کدام میتوانید به لینک هر چارچوبی که قرار دادیم مراجعه کنید
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
ACCESS LOG چیست؟
1 Comment
Join the discussion and tell us your opinion.
You write interesting – added a blog to the reader