گزارش مارش مک‌لنان “اولویت مقاوم سازی خودکار نسبت به کنترل‌های سایبری سنتی”

مارش مک‌لنان (Marsh McLennan) شرکت ارائه‌دهنده‌ی خدمات حرفه‌ای حوزه‌ی استراتژی و مدیریت ریسک، گزارشی درباره‌ی تکنیک‌های مقاوم سازی (Hardening) ارائه داده است. مک‌لنان در این گزارش به سازمان‌هایی که قصد خرید تکنولوژی‌های مرتبط به مقاوم سازی امنیت سایبری را دارند توصیه می‌کند که بودجه‌ی درنظرگرفته‌شده برای این کار را، به مقاوم سازی خودکار تخصیص دهند. این شرکت تاکید می‌کند که شانس کاهش ریسک در این حالت به مراتب بیشتر از کنترل‌های سایبری سنتی است.

شرح گزارش مارش مک‌لنان درباره ویژگی‌های مقاوم سازی خودکار

مدت‌هاست که کارگزاران بیمه‌های سایبری، پیش از صدور بیمه‌نامه برای شرکت‌ها، به ضرورت استفاده از سه ابزار مهمی که به‌عنوان راه‌حل امنیتی کاربرد دارد، تاکید می‌کنند. تشخیص و پاسخ نقطه پایانی (Endpoint Detection and Response: EDR)، احراز هویت چند عاملی (Multifactor Authentication: MFA) و مدیریت دسترسی ممتاز (PAM:Privileged Access Management) این ابزاها هستند. طبق گزارش مرکز تجزیه‌وتحلیل ریسک سایبری (Cyber Risk Analytics Centre) مارش‌ مک‌لنان، تکنینک‌های مقاوم ‌سازی خودکار، ارزیابی اثربخشی این ابزار را از مدل‌های سنتی، بهتر انجام می‌دهد.

این گزارش می‌گوید که کنترل‌های سایبری کلیدی که کارگزاران بیمه قبل از صدور بیمه‌نامه بررسی می‌کنند، به موارد که باعث کاهش احتمال حادثه می‌شود، مربوط است. با این نگاه، تحلیل‌گران مک‌لنان، پیشنهاد می‌کنند که سازمان‌ها منابع مالی محدود خود را صرف روش‌های ابزار موثرتری کنند تا هم در مقابل کارگزاران بیمه ریسک کمتری را نشان دهند و هم انعطاف‌پذیری آنها را بیشتر کند.

مارش مک‌لنان مدعی است « همه‌ی کنترل‌های کلیدی در مطالعه ما بهترین شیوه‌های شناخته شده هستند که معمولاً از نطر کارگزاران بیمه برای دریافت بیمه‌ی سایبری، مورد نیاز است. با این حال، بسیاری از سازمان‌ها مطمئن نیستند که کدام کنترل‌ها را اتخاذ کنند و برای تصمیم‌گیری به جای استفاده از داده‌ها به نظرات متخصصان تکیه می‌کنند».

همچنین می‌گوید: «تحقیق ما، داده‌هایی را در اختیار سازمان‌ها قرار می‌دهد که برای هدایت مؤثرتر سرمایه‌گذاری‌های امنیت سایبری نیاز دارند. در نتیجه به موقعیت مطلوب آنها در طول فرآیند دریافت بیمه‌ی سایبری کمک می‌کند. این قابلیت، نه تنها باعث انعطاف‌پذیری بیشتر در بازار بیمه می‌شود، که به اقتصادی‌شدن بیشتر انعطاف‌پذیر امنیت سایبری(Cyber Resilient) کمک می‌کند».

اطلاعاتی که در گزارش آمده، شامل مجموعه‌داده‌های(Datasets) خود مارش مک‌لنان، در کنار نتایج مجموعه‌ای از پرسش‌نامه‌های خودارزیابی امنیت سایبری (Cyber Security Self-assessment) که توسط مشتریان آمریکایی و کانادایی تکمیل شده، است.

مارش مک‌لنان، بر اساس همبستگی بین دو مجموعه‌داده، توانست با استفاده از معیار «قدرت سیگنال»(Signal Strength)، روش‌های کنترل را بسنجد؛ به این ترتیب که هرچه این معیار بالاتر باشد، روش کنترل، بر کاهش احتمال وقوع حادثه، تاثیر بیشتری دارد.

نتیجه‌گیری گزارش مارش مک‌لنان

گزارش نشان داد، سازمان‌هایی که برای پیکربندی‌های امنیتی پایه‌ی (baseline security configurations) اجزای سیستم مانند سرورها و سیستم‌های عامل از تکنیک‌های مقاوم ‌سازی خودکار استفاده می‌کنند، شش برابر کمتر از سازمان‌هایی که این کار را انجام نمی‌دهند، یک حادثه سایبری را تجربه می‌کنند. برای مثال، چنین تکنیک‌هایی شامل اجرای سیاست‌های گروه Active Directory (AD) برای اعمال و استقرار مجدد تنظیمات پیکربندی در سیستم‌ها است.

مارش مک‌لنان تاکید کرد با اینکه هنوز ابزارهایی مثل EDR، MFA و PAM مهم و مفید هستند، اما آنچه که در مورد این ابزار در واقعیت دیده می‌شود، تجربه‌ی متفاوتی است. برای مثال MFA زمانی واقعا موثر است که هم برای همه‌ی داده‌های حساس و حیاتی کار کند، هم برای همه‌ی دسترسی‌های احتمالی ورود به سیستم از راه دور، هم برای همه‌ی دسترسی‌های ممکن به حساب مدیریت. حتی برای سازمان‌هایی که از این ابزار به صورت کلی هم استفاده می‌کنند (که همه این کار را انجام نمی‌دهند)، تنها 1.4 برابر در مقابل یک حمله‌ی سایبری، موفق عمل می‌کند.

در نهایت اینکه نویسندگان گزارش ادعا کردند که به شکل واضحی، مزایای مقاوم سازی خودکار به عنوان یک رویکرد دفاعی عمیق برای امنیت سایبری نسبت به ابزارهایی که به طور تصادفی امنیت سایبری را در بعضی موارد (نه همه) ایجاد می‌کنند، بیشتر است.

وصله‌ی سریع (Prompt patching): راهی برای حفاظت

اصلاح آسیب‌پذیری‌های با شدت بالا – آن‌هایی که امتیاز CVSS بالایی بین ۷ تا ۸٫۹ دارند – در یک بازه‌ی زمانی هفت روزه به‌طور قابل‌توجهی مؤثرتر از حد انتظار بود. و احتمال تجربه یک حادثه سایبری را به میزان دو برابر کاهش داد. این آمار در حالی است که تنها 24 درصد از سازمان‌هایی که به پرسشنامه‌ها پاسخ دادند، از مقام سازی خودکار استفاده می‌کنند.

سازمان‌هایی که سیاست‌های اصلاح‌شده‌ی وصله‌ای را اجرا می‌کنند، نه تنها شانس خوبی برای افزایش انعطاف‌پذیری (Resilience) خود دارند، بلکه در مقایسه با سایرین، می‌توانند برای ریسک کمتری برای کارگزاران بیمه‌ی سایبری داشته باشند.

با این حال، توجه داشته باشید که اصلاح سریع آسیب‌پذیری‌ها با نمرات CVSS شدید، مثل 9 و بالاتر برای کاهش موفقیت‌آمیز احتمال وقوع یک حادثه، کمتر است. احتمالا به این دلیل که عوامل تهدیدکننده بسیار سریع‌تر عمل می‌کند.

موثرترین کنترل‌ها از بین 12 مورد مطالعه شده

تکنیک‌های مقاوم سازی، که احتمال وقوع یک حادثه‌ی سایبری موفق را 5.58 برابر کاهش می‌دهد.
PAM که احتمال را 2.92 برابر کاهش داد.
EDR، که احتمال را 2.23 برابر کاهش داد.
ثبت و نظارت از طریق یک مرکز عملیات امنیتی (SOC) یا ارائه دهنده‌ی خدمات مدیریت شده (MSP)، که این احتمال را 2.19 برابر کاهش داد.
اصلاح آسیب‌پذیری‌های با شدت بالا(Patching high-severity vulnerabilities)، که احتمال آن را ۲.۱۹ برابر کاهش داد.

به غیر از MFA، برخی دیگر از تکنیک‌های کنترل‌ که تاثیر کمتری دارد، شامل ابتکارات آموزشی امنیت سایبری(Cyber Security Training Initiatives) و فیلترکردن ایمیل‌ها (Email Filtering) بود.

گزارش کامل مارش مک‌لنان، را می‌توانید از اینجا دانلود کنید.