نظرًا لأن مشهد التهديدات السيبرانية يتغير باستمرار ، فإن تقييمات الأمن السيبراني الروتينية هي عنصر أساسي في برنامج شامل لإدارة المخاطر. في جميع الأوقات ، يجب على شركتك مراقبة النظافة الإلكترونية لنظامها البيئي بالكامل ، بما في ذلك مزودي الطرف الثالث والرابع. يساعدك تقييم مخاطر الأمن السيبراني على القيام بذلك من خلال تحديد المخاطر الإلكترونية التي تؤثر على وضعك الأمني ، مما يسمح لك باتخاذ قرارات أكثر استنارة حول كيفية تخصيص الأموال لتنفيذ ضوابط الأمان وحماية الشبكة. دعنا نلقي نظرة على بعض تقييمات مخاطر الأمن السيبراني الأكثر شيوعًا والإجراءات التي يمكن لشركتك اتخاذها لإجراء تقييم فعال:
ما هو تقييم الأمن السيبراني؟
تقييم الأمن السيبراني هو عملية تحدد الوضع الحالي للأمن السيبراني لمؤسستك وتوصي بخطوات للتحسين. في حين أن هناك العديد من أنواع التقييمات المختلفة ، تركز هذه المقالة على NIST SP 800-115: تنفيذ ضوابط الأمان لأنظمة المعلومات الفيدرالية (ICS) - منهجية تقييم الأمان الإصدار الثاني (SAM2). الهدف هنا هو تقديم بعض المعلومات الأساسية حول كيفية عمل SAM2 حتى تتمكن من تحديد ما إذا كان مناسبًا لموقفك الخاص.
أدوات تقييم الأمن السيبراني
تقوم أدوات تقييم الأمن السيبراني بتقييم وضع الأمن السيبراني لشركتك. يتكون التقييم من سلسلة من الأسئلة التي تساعد في تحديد الوضع الحالي للأمن السيبراني لمؤسستك ، وتحديد المخاطر والفرص المحتملة ، وتوفير فرصة لتقييم عناصر التحكم الحالية الخاصة بك.
تم تصميم التقييم ليتم استكماله بواسطة مقيِّم خارجي لم يسبق له تقييم مؤسستك. سيتم إنشاء تقرير تقييم بناءً على نتائج التقييم ، والتي قد تتضمن توصيات لتحسين وضع الأمان السيبراني لديك.
كيف تقوم بتقييم الأمن السيبراني؟
تتمثل الخطوة الأولى في إجراء تقييم للأمن السيبراني في فهم نطاق مشروعك. يمكن تعريف تقييم الأمن السيبراني على أنه تحليل يأخذ في الاعتبار جميع جوانب أمن المعلومات ، بما في ذلك أمن الشبكة والنظام ، وتطوير التطبيقات وتنفيذها ، ونماذج ترخيص المستخدم (على سبيل المثال ، تسجيل الدخول الفردي) ، وسياسات وإجراءات إدارة تصنيف البيانات.
يجب أن يتضمن نطاق تقييمك ما يلي:
- تأثير الأعمال في حالة حدوث تهديد أو ثغرة ؛
- مستويات المخاطر الحالية لكل منطقة محددة أعلاه ؛
- ما مدى حماية كل منطقة من التهديدات المعروفة؟ إذا لم يكن الأمر كذلك ، فحدد الضوابط التي قد تحتاج إلى تنفيذها بناءً على معايير الصناعة الحالية / أفضل الممارسات ؛
- ما هي المجالات الأخرى التي تحتاج إلى الاهتمام؟ على سبيل المثال: هل لدينا قدرة مراقبة كافية لحركة مرور شبكتنا؟ هل هناك رؤية كافية لما يفعله العملاء عبر الإنترنت كجزء من أنشطتهم اليومية دون المرور بنا في كل مرة يسجلون فيها الدخول؟
قائمة مراجعة تقييم الأمن السيبراني
يمكنك استخدام قائمة مراجعة تقييم الأمان القياسية للتأكد من أنك تغطي جميع القواعد بتقييم الأمن السيبراني الخاص بك. هذا مهم بشكل خاص عند العمل في المشاريع الكبيرة والفرق ، لأنه يقلل من الوقت اللازم لكل شخص لإكمال الجزء الخاص به من العملية.
فيما يلي نموذج لقائمة تحقق يمكنك تخصيصها واستخدامها حسب الحاجة:
- NIST 800-53 (إطار أمان الكمبيوتر) - تحدد هذه الوثيقة الحد الأدنى من متطلبات إدارة أمن المعلومات طوال دورة حياة المؤسسة. يصف خمسة مجالات مثيرة للقلق: تقييم المخاطر ، واختبار الاختراق ، وتطوير خطة الاستجابة للحوادث ، والتنفيذ ، وتطوير وتنفيذ خطة إدارة أمن المرافق ، وإمكانية إنشاء / تحديث وثيقة توجيه السياسات.
ما هو مدرج في تقييم الأمن السيبراني؟
تقييم الأمان هو عملية تستخدم الأدوات والتقنيات لجمع المعلومات حول بيئة الشبكة الخاصة بك. يهدف التقييم الأمني الجيد إلى ضمان أمان بيانات مؤسستك وأنظمتها وتطبيقاتها قدر الإمكان.
يشمل التقييم الأمني الجيد ما يلي:
- نطاق التقييم وجدوله الزمني وتكلفته ؛
- الفريق الذي سينفذها ؛
- النهج المستخدم لإجراء ذلك (على سبيل المثال ، اختبار القلم أو مسح الضعف) ؛
- الأدوات / التقنيات المستخدمة أثناء مراحل التجميع - مثل مسح المنافذ أو برامج التشويش ؛
- الأشخاص الذين يتلقون نتائج من هذا النشاط - على سبيل المثال ، المستخدمون النهائيون الذين يمرون عبر أجهزتهم واحدًا تلو الآخر (لا حاجة للتسجيل اليدوي) ، والشركاء / البائعين الذين يتلقون التقارير منا مباشرةً عبر مرفقات البريد الإلكتروني.
خدمات تقييم الأمن السيبراني
تقييم الأمان هو عبارة عن مجموعة منهجية من البيانات لتحديد مستوى المخاطر وتحديد نقاط الضعف في أمن معلومات مؤسستك. الهدف من التقييم الأمني هو تحديد الثغرات في العمليات والسياسات الحالية لمؤسستك ، وكذلك تقييم نقاط الضعف التي يمكن للقراصنة استغلالها.
يمكن إجراء تقييمات الأمان باستخدام برامج مفتوحة المصدر مثل Nessus أو Qualys 'Vulnerability Management Suite (VMS) ، والتي تمنحك لمحة عن تكوين شبكتك الآن - أو يمكن الاستعانة بمصادر خارجية (مثل تقييمات الأمن السيبراني). هذه العملية لها فوائد عديدة: إنها أرخص ؛ أنها توفر ردود فعل في الوقت الحقيقي ؛ لا توجد مشكلات تتعلق بتثبيت البائع لأنك تحصل على إمكانية الوصول إلى جميع الأدوات في وقت واحد ، وإذا واجهت مشاكل مع أي أداة معينة أثناء مرحلة التقييم ، فقد يكون هناك أداة أخرى متاحة مجانًا!
مثال على تقرير تقييم الأمن السيبراني
تقرير تقييم الأمن السيبراني هو مستند يصف الوضع الأمني الحالي لمؤسستك والثغرات الموجودة فيه. كما يوفر توصيات لتحسين الأمن السيبراني لمؤسستك ، بما في ذلك تطبيق أفضل الممارسات والتقنيات.
يجب أن يتضمن تقرير تقييم الأمن السيبراني ما يلي:
- الغرض من التقرير (على سبيل المثال ، "تقديم معلومات حول مستوى الحماية الحالي")
- وصف لنوع المعلومات التي سيتم تضمينها (على سبيل المثال ، "سيتم تغطية الموضوعات التالية:")
- قائمة المراجع المستخدمة في هذا المستند ، بما في ذلك أي موارد خارجية تم الرجوع إليها أثناء إنشائها (على سبيل المثال ، "كتب الدكتور جون دو هذه الورقة.")
كم من الوقت يستغرق تقييم الأمن السيبراني؟
يعتمد ذلك على حجم عملك ونوع التقييم الذي تريد القيام به ومقدار الوقت المتاح لديك. تؤثر السرعة التي سيتم بها إكمال كل جزء أيضًا على مدى سرعة الحصول على النتائج من جهة خارجية ، لذلك إذا كانت الاستجابة بطيئة أو لم تقدم أي نتائج على الإطلاق ، فقد يؤدي ذلك إلى تأخير المشاريع الأخرى قيد التقدم لعدة أيام أو أسابيع (حسب عدد الموارد المعنية). إذا حدث هذا ، فمن الأفضل في بعض الأحيان المحاولة مرة أخرى مع مزود آخر بدلاً من ذلك حتى يأتي الشخص الذي يناسب احتياجاتك!
ما هو تقييم الأمان NIST؟
NIST هو المعهد الوطني للمعايير والتكنولوجيا (NIST). إنها وكالة غير تنظيمية داخل وزارة التجارة الأمريكية ، مما يعني أنها لا تضع قوانين أو تفرض لوائح حكومية. بدلاً من ذلك ، تقوم NIST بإنشاء ونشر معايير للمباني والإلكترونيات والبرامج - بما في ذلك معايير أمان المعلومات!
تشير كلمة "تقييم" إلى عملية التقييم حيث تقوم المنظمة بتقييم حالتها الحالية مقابل واحد أو أكثر من المعايير أو الأهداف المحددة ؛ ثم يتخذ إجراءات بناءً على تلك النتائج. يمكن أن يساعد التقييم الأمني المؤسسات في التعرف على نقاط ضعفها من خلال النظر في الانتهاكات السابقة أو التهديدات الحالية التي يشكلها مجرمو الإنترنت ؛ تحديد ما إذا كان لديهم موارد كافية متاحة لمنع الهجمات المستقبلية ؛ تحديد المجالات التي يمكن إجراء تحسينات عليها حتى يفشل المخترقون مرة أخرى - وأكثر من ذلك بكثير!
ما هي المراحل الثلاث لخطة التقييم الأمني؟
تقييم الأمان هو عملية تتضمن جمع معلومات حول شبكتك وعملائك ، وتحديد أهداف التقييم ، وتصميم نهج لجمع البيانات من مصادر مختلفة ، وتحليل النتائج.
يتم التخطيط للمرحلة الأولى من أي تقييم أمني. في هذه المرحلة ، ستقرر المعلومات التي يجب جمعها لتقييم وضع الأمن السيبراني لمؤسستك. قد ترغب أيضًا في التفكير في من سيشارك في أداء هذه المهمة والمدة التي سيستغرقها كل شخص (وفريقه) لإكمالها.
بمجرد إنشاء خطتك ، حان وقت التنفيذ! في هذه المرحلة ، ستبدأ جميع المهام المعينة أثناء التخطيط في العمل عليها بشكل مستقل أو معًا ، اعتمادًا على مستوى خبرتهم.
كيف أبدأ تقييم الأمن السيبراني؟
الخطوة الأولى في تحديد الأهداف هي تحديد المشكلة. قد يكون هذا صعبًا إذا لم تقم بذلك من قبل ، ولكن يجب أن تبدأ بفهم واضح لما تحاول مؤسستك تحقيقه وأين هي حالتها الحالية.
بمجرد تحديد المشكلة ، حان الوقت لتحديد نتائج قابلة للقياس لمساعدة موظفيك على فهم كيفية تقدمهم نحو هذه الأهداف. إذا كان ذلك ممكنًا ، فحاول ألا تعتمد على تصورات الآخرين حول مدى أدائهم الجيد - يجب أن تعترف دائمًا بالأخطاء والإخفاقات كفرد أو كعضو في الفريق (ولا تنسَ نفسك!). إن كونك طموحًا ولكن واقعيًا سيقطع بعيدًا في تحقيق النجاح هنا ؛ فكر في أشياء مثل: "أريد رفع مستويات اللياقة البدنية لأعضاء فريقي بنسبة 20٪ خلال الأشهر الستة المقبلة".
أدوات مجانية لتقييم الأمن السيبراني
يمكن أن تكون الأدوات المجانية مفيدة إذا كنت تبحث عن نظرة عامة سريعة على تقييم الأمن السيبراني. سيعرضون لك المعلومات الأساسية حول شبكتك ويقدمون لمحة سريعة عن مكان الأشياء. ومع ذلك ، فإن هذه الأدوات ليست مفصلة أو موثوقة مثل الأدوات المدفوعة ، لذلك لن تقدم لك كل التفاصيل حول مدى أمان بيئتك.
تستحق أدوات تقييم الأمن السيبراني المدفوعة وزنها ذهباً لأنها تدخل في تفاصيل أكثر من الأدوات المجانية. كما أنها أكثر دقة عند تقييم مستويات المخاطر عبر أجزاء مختلفة من البنية التحتية لشركتك (مثل سطح المكتب مقابل الأجهزة المحمولة).
فيما يلي أفضل المختارات لأدوات تقييم الأمن السيبراني المجانية التي يجب عليك التحقق منها.
# 1. كالي لينكس
Kali Linux هو نظام تشغيل شائع لاختبار الاختراق ، يُعرف أيضًا باسم القرصنة الأخلاقية. يعتمد على نظام Debian Linux ويحتوي على أكثر من 600 أداة أمان مثبتة مسبقًا. هذا يجعلها مثالية لاختبار أمان الشبكة أو تطبيق الويب.
يمكن لـ Kali اختبار أمان الشبكة أو تطبيق الويب من خلال شن هجمات مختلفة ضدها (مثل فحص المنفذ).
# 2. اذهب للتصيد الاحتيالي
Go phish عبارة عن مجموعة أدوات للتصيد الاحتيالي لمختبري الاختراق والتدريب على الوعي الأمني. يوفر القدرة على إنشاء رسائل بريد إلكتروني واقعية للتصيد الاحتيالي وصفحات ويب ورسائل SMS يمكن استخدامها في التقييم أو إعداد الفصل الدراسي.
تم إنشاء الأداة بواسطة Adrienne Porter Felt ، الذي أنشأ أيضًا إطار عمل اختبار القلم الشهير Metasploit Framework (MSF). يهدف هذا المشروع إلى تسهيل الأمر على الأشخاص الذين ليس لديهم خبرة برمجية واسعة لبناء أدواتهم فوق واجهات برمجة التطبيقات الخاصة بـ MSF دون الحاجة إلى معرفة كيفية عمل واجهات برمجة التطبيقات هذه أولاً - وهذا بالضبط ما فعلوه!
# 3. الدفاع
Defending عبارة عن ماسح ضوئي للأمان على شبكة الإنترنت يستخدم OWASP Top 10 لمساعدتك في العثور على الثغرات الأمنية في تطبيقات الويب الخاصة بك وإصلاحها. يمكن استخدامه لاختراق واختبار أمان تطبيقات الويب. ومع ذلك ، فهي مكتوبة بلغة Python والمصدر المفتوح ، لذلك إذا كنت مهتمًا بمعرفة المزيد عن وظائفها ، فتحقق من محطتها الخارجية على GitHub!
# 4. Aircrack-ng
Aircrack-ng عبارة عن مجموعة من الأدوات التي يمكن استخدامها لمراجعة الشبكات اللاسلكية. يتم استخدامه لتدقيق أمان WiFi واستعادة مفاتيح الشبكة وكلمات المرور.
تم تطوير الأداة في البداية بواسطة Simon Paška ، الذي وجد أن تشفير WPA / WPA2 كان عرضة لهجمات رفض الخدمة (DoS) باستخدام برنامج نصي آلي يُعرف باسم "Aircrack". تم إصدار النسخة الأولى من Aircrack في عام 2002 من قبل Wichert Akkerman و Michal Zalewski. في عام 4 ، أنشأ Mikko Hyppönen نسخة جديدة تسمى Airmon والتي تدعم mon2004 بدلاً من mon0 / 0. [1] بحلول عام 5 ، تم دمج aircrack-ng في ملحق Linux Shodan الخاص بـ Kismet (تم إصداره في البداية في عام 2007).
# 5. جناح التجشؤ
Burp Suite عبارة عن منصة متكاملة لإجراء اختبار أمان لتطبيقات الويب. يحتوي على مجموعة من الأدوات التي تدعم عملية الاختبار بأكملها ، من اعتراض حركة المرور ومراقبتها من خلال إنشاء تقرير ding.
يمكن لبرنامج Burp Suite اعتراض ومعالجة وتسجيل HTTP والطلبات والاستجابات لطلب موقع الويب أو أمان التطبيق. يتضمن ميزات مثل:
- الوكيل - يضخ حمولات عشوائية في اتصالات الشبكة الحية دون أذونات خاصة ؛ مفيد أيضًا في اختبار الجهات الخارجية مثل Twitter أو LinkedIn (والتي تتطلب غالبًا أذونات خاصة).
- مكرر - يسمح لك بتكرار الطلبات عدة مرات باستخدام مدخلات مختلفة بسهولة ؛ مفيد عند تجربة مجموعات مختلفة من المعلمات / الرؤوس ، وما إلى ذلك ، على سبيل المثال ، .g. ، تغيير معلمات GET بين عنوانين URL مختلفين عن طريق تكرار طلب واحد عدة مرات!
نبذة عامة
في الختام ، تجدر الإشارة إلى أن تقييم الأمن السيبراني هو عملية تساعد الشركات على تقييم مدى تعرضها للقرصنة والسرقة. يشمل التقييم إجراء جرد للبنية التحتية لشبكتك ، وتقييم المخاطر التي ينطوي عليها كل نظام ، واختبار نقاط الضعف في تلك الأنظمة والتطوير ، والتهرب من خطة عمل لإصلاح أي مشاكل قبل أن تصبح مشكلات أكثر أهمية. بالإضافة إلى ذلك ، من الضروري الحصول على تدريب مستمر حتى يعرف الموظفون أفضل السبل لحماية أنفسهم من المتسللين الذين قد يحاولون سرقة المعلومات السرية من أنظمة شركتك.
الأسئلة الشائعة حول تقييم الأمن السيبراني
ما هو تقييم الأمن السيبراني؟
تطبيق سطح مكتب مستقل يوجه مالكي الأصول والمشغلين من خلال عملية منهجية لتقييم تكنولوجيا التشغيل وتكنولوجيا المعلومات.
ما هي قائمة مراجعة تقييم المخاطر الأمنية؟
يوفر قائمة بالتهديدات التي تؤثر على سلامة أصول المؤسسة وسريتها وتوافرها.
كيف تجري تقييم مخاطر الأمن السيبراني في 5 خطوات؟
- الخطوة الأولى: تحديد نطاق تقييم المخاطر
- الخطوة الثانية: كيفية تحديد مخاطر الأمن السيبراني
- الخطوة الثالثة: تحليل المخاطر وتحديد التأثير المحتمل
- الخطوة 4: تحديد المخاطر وترتيبها حسب الأولوية
- الخطوة الخامسة: توثيق جميع المخاطر
- تقييم مخاطر الأمن السيبراني: كل ما تحتاج إلى معرفته
- التدريب السيبراني: التعريف والتغطية والأمثلة
- نظام أمن الأعمال: ما هو كل شيء ، أنواعه وتكلفته
مراجع حسابات
