مدل‌سازی تهدید یک مسئولیت کلیدی برای هر تیم امنیت سایبری است که به دنبال محافظت از سازمان و دارایی‌های سازمان خود است. این برنامه برای کمک به تیم‌های امنیت سایبری طراحی شده است که به طور فعال خطرات و تهدیدات احتمالی را پیدا کرده و شناسایی کنند و از طریق سناریوها، مدل‌های واکنش و سایر اشکال تشخیص تهدید کار کنند.

با این حال، مدل‌سازی تهدید با تکامل تهدیدها به تکامل خود ادامه می‌دهد. در این مقاله، نحوه شروع به کارگیری مدل‌های تهدید را بررسی می‌کنیم، تصورات غلط را نادیده می‌گیریم، و چگونه چارچوب مناسبی را پیدا کنیم تا بتوانید به درستی از سازمان خود دفاع کنید.

راستی قبل از اینکه بریم ادامه مقاله ، اگر با اصطلاج فریمورک یا چارچوب آشنا نسیتی حتما این مقاله [ فریمورک و پلتفرم چیست و چه تفاوتی باهم دارند؟ ] رو مطالعه کن ! 🙂

مدل سازی تهدید چیست؟

مدل‌سازی تهدید، فرآیند کلی ارزیابی ریسک‌ها، تهدیدها و آسیب‌پذیری‌های یک سازمان، شناسایی احتمال به خطر انداختن آن تهدیدات، و ارزیابی توانایی شما برای پیشگیری و پاسخ به آن تهدیدها است.

مدل‌سازی تهدید به سازمان‌ها کمک می‌کند تا در برابر سناریوهایی که آن‌ها را در موقعیتی در معرض خطر قرار می‌دهند، آماده شوند. سناریوهای رایج عبارتند از زمانی که یک سازمان قربانی یک حمله مخرب مانند فیشینگ، باج افزار یا حمله MitM می شود.

با این حال، مدل‌سازی مؤثر تهدید، دامنه آنچه را که ممکن است و سازمان می‌تواند برای آن آماده باشد، گسترش می‌دهد. به عنوان مثال، هنگامی که یک سازمان یک فروشنده یا شریک اصلی، مانند یک ارائه دهنده زیرساخت پایگاه داده را وارد می کند، خطری وجود دارد که باید حساب و کتاب آماده شود.

اگر سازمانی در حال پیاده‌سازی چیزی عمومی مانند یک وب‌سایت جدید یا به‌روزرسانی بزرگ برای برنامه خود باشد، همین امر صادق است. درک اینکه چگونه این سناریوها می توانند منجر به مصالحه بالقوه شوند و دانستن اینکه چگونه به طور موثر واکنش نشان دهند، کلیدی است.

فرآیند مدل سازی تهدید

فرآیند مدل سازی تهدید، به طور سنتی، چهار مرحله اساسی را دنبال می کند:

برنامه ریزی: چه چیزی می سازیم؟

این یک مرحله مهم است که در آن چارچوبی (فریمورک) را ایجاد می کنید که مدل تهدید شما را در بر می گیرد. اینجا جایی است که برنامه‌های کاربردی، معماری، جریان داده‌ها، طبقه‌بندی داده‌ها، دارایی‌های درگیر، و طرف‌ها و ذینفعان درگیر مانند بخش‌ها، شرکا و حتی مشتریان را تعریف می‌کنید.

با صحبت با همه طرف‌های درگیر و درک هر مورد استفاده مرتبط، اجزا، مجوزها، کاربران، نقاط دسترسی و دارایی‌های مهم، می‌توانید به مرحله بعدی بروید.

شناسایی: چه چیزی می تواند اشتباه باشد؟

این مرحله با شناسایی و طبقه بندی انواع تهدیدهایی که ممکن است در معرض یا در معرض خطر آنها قرار بگیرید بر اساس مراحل قبلی شروع می شود. به همین دلیل است که تا آنجا که ممکن است جزئیات مهم است زیرا باید دامنه کاملی از کل سطح حمله خود را داشته باشید.

از آنجا، شما باید سناریوهای مختلف حمله را پشت سر بگذارید – چه حمله باج افزار، استخراج داده، تزریق SQL یا چیز دیگری. دانستن اینکه دارایی‌های شما چقدر حیاتی است و نقطه شکست کجاست، به شما کمک می‌کند بفهمید کدام حملات سازمان شما را بیشتر در معرض خطر قرار می‌دهند.

پیشگیری/کاهش: برای دفاع در برابر تهدیدات چه می‌کنیم؟

این تمرین سناریوسازی را بیشتر می‌برد، جایی که شما و تیمتان تشخیص می‌دهید که چه فناوری، برنامه‌های واکنش به حادثه، کنترل‌ها، ابزارهای کاهش خطر و خطر و فرآیندهایی را که برای جلوگیری یا کاهش آسیب در صورت خطر یا حمله موفقیت‌آمیز دارید، شناسایی می‌کنید.

بدانید که ممکن است در اینجا همپوشانی های زیادی وجود داشته باشد – شما نباید مجموعه ای از ابزارها و فناوری های یک به یک برای هر نوع حمله یا سناریو داشته باشید. در عوض، سازمان شما باید از ابزارها، سیستم‌ها، کنترل‌ها و فرآیندهایی استفاده کند که سازمان شما را به طور جامع‌تری محافظت و دفاع کند.

اعتبار سنجی/ اصلاح: آیا ما طبق مراحل قبلی عمل کرده ایم؟

مرحله بالا باید هر شکافی را که ممکن است سازمان یا داده‌های شما را ناامن یا آسیب‌پذیر کند، آشکار کند. در نهایت، این مرحله به شما اجازه می دهد تا ارزیابی کنید که آیا تهدید به درستی کاهش می یابد یا خیر و آنچه را که برای جبران شکاف های حیاتی لازم است، شناسایی کنید.

این مرحله مستمر و مداوم است – با تغییر و تحول تهدیدات، و تغییر سازمان شما، مدل تهدید نیز تغییر می کند. بازگشت منظم به این مرحله به شما این امکان را می‌دهد تا درک بهتری از تغییراتی که نیاز است فرآیندها، ابزارها، سیستم یا رویکرد خود را به‌روزرسانی کنید.

تصورات و اشتباهات رایج در مدل سازی تهدیدات

مدل‌سازی تهدید یکی از پیچیده‌ترین اقدامات امنیتی است که منجر به تصورات نادرست و اشتباهاتی می‌شود که می‌تواند به فرآیند کلی آسیب برساند. در اینجا چند مورد ارزش مرور وجود دارد.

تست های نفوذ، آموزش آگاهی از امنیت و بررسی کد کافی است

مدل‌سازی تهدید تهدیدها و سناریوها را بسیار جامع‌تر از چیزی مانند تست نفوذ یا آموزش آگاهی امنیتی در بر می‌گیرد.

اینها هنوز فرآیندهای مؤثری هستند که به شما در مورد شکاف ها و آسیب پذیری ها هشدار می دهند، اما مدل سازی تهدید در ارائه درک گسترده شرکت از آنچه هستید و برای آن آماده نیستید، در عین حال که فعالیت پیشگیرانه تری را ارائه می دهد، بسیار مؤثرتر است.

منتظر بمانید تا بخش شما بزرگتر یا بالغ شود

مدل سازی تهدید پیچیده است اما نه آنقدر که شما آن را به تعویق بیندازید. شروع کوچک و حتی انجام برخی از مراحل اولیه مدل‌سازی تهدید، شروع خوبی است و ممکن است نقاط کور مهمی را نمایان کند.

با شروع کوچک، می توانید چک-in های منظمی را ایجاد کنید تا بتوانید مدل سازی تهدید خود را ایجاد کنید، آن را بالغ کنید و با رشد بخش خود و افزایش منابع و در دسترس بودن آن، آن را موثرتر کنید.

مدل‌سازی بدون تهدید قبل از هر استقرار بزرگ

انتشار کد جدید، یک محصول جدید یا یک ارتقای بزرگ بدون مدل‌سازی تهدید، می‌تواند بسیار خطرناک باشد. نه تنها به خود اجازه می دهید چیزی را که به طور بالقوه آسیب پذیر است را مستقر کنید، بلکه میزان تهدید یا خطر را نیز نمی دانید.

مدل‌سازی تهدید به بهترین وجه در این سناریو اعمال می‌شود، و به شما این امکان را می‌دهد که اطمینان حاصل کنید که هیچ آسیب‌پذیری قابل استفاده آسانی وجود ندارد و همچنین اطلاعات دقیق مورد نیاز برای فعال بودن در صورت بروز خطر یا حادثه امنیتی را در اختیار شما قرار می‌دهد.

انتخاب چارچوب یا روش مدل‌سازی تهدید

مدل‌ها و چارچوب‌های تهدید مختلفی برای انتخاب وجود دارد و هر کدام کاربردها و سطح پیچیدگی متفاوتی دارند. برخی از فروشندگان، شرکا یا ابزارها نیز راه حل ها یا نرم افزارهایی را ارائه می دهند که به شما در انجام فرآیند مدل سازی تهدید کمک می کند.

برخی از این چارچوب‌ها را می‌توان با سایر چارچوب‌های ریسک ترکیب یا به کار گرفت، به‌ویژه اگر مدل تهدید شما انواع مختلفی از سطوح حمله و بردارهای خطر را در خود جای دهد.

به طور کلی، چندین عامل کلیدی وجود دارد که باید هنگام اتخاذ یک چارچوب یا روش مدل تهدید در نظر بگیرید:

• صنعت شما (و تهدیدات و خطرات مرتبط)
• اندازه بخش امنیتی شما
• ساختار سازمان شما (و سهامداران)
• منابع در دسترس
• مدل ریسک
• دلیل مدل سازی تهدید
• آنچه شامل می شود (کارکنان، دستگاه ها، استقرار کد، اشخاص ثالث)
• مدل‌های تهدید موجود (چه توسط یک شریک یا فروشنده موجود ارائه شود)

همانطور که مدل‌سازی تهدید خود را آغاز می‌کنید، این ملاحظات به شما کمک می‌کند تا چند جزئیات کلیدی، مانند دارایی‌های در معرض خطر و مهاجمان بالقوه را شناسایی کنید، که نوع چارچوبی را که باید استفاده کنید، محدود می‌کند.