امنیتاینترنتاینترنت اشیاءمیم تک 17

مدل بلوغ امنیت اینترنت اشیا یا SMM (قسمت اول)

مدل بلوغ امنیت اینترنت اشیا یا SMM (قسمت اول)
مقدمه:

هدف مدل بلوغ امنیت یا SMM ، ایجاد مسیری برای ارایه دهندگان اینترنت اشیا است. این مسیر به آن ها نشان می دهد که در کجا و چگونه در مکانیسم های امنیتی سرمایه گذاری کنند. پیچیدگی چشم اندازهای امنیتی که مدام در حال تغییر است. تصمیم گیری در باره ی جایی که نیاز به تمرکز منابع امنیتی محدود دارد را برای بسیاری از سازمان ها تبدیل به  چالش کرده است.

تعیین چارچوب یا framework به سازمان ها در این تصمیم گیری که مقاصد امنیتی آن ها چیست و هم اکنون از چه بخش هایی برخوردارند؛ کمک می کند سازمان ها با توجه به الویت ها و اهداف خود مکانیسم  مناسب را برای بهبود امنیت در نظر می گیرند؛ چرا که همه ی سیستم های اینترنت اشیا (IOT) به مکانیزم های امنیتی قوی نیاز ندارند. تعیین مکانیسم امنیتی مناسب برای رسیدن به اهداف است که سطح بلوغ را مشخص می کندو نه قدرت آن ها.

کسانی که از مدل بلوغ امنیت ( SMM ) استفاده می کنند باید بتوانند به سوالات زیر پاسخ دهند:

با توجه به نیازهای سازمانی و چشم اندازهای تهدید، راه حل های بلوغ چیست؟

راه حل های فعلی در چه سطحی از بلوغ قرار دارند؟

مکانیسم ها و فرآیندهایی که وضعیت فعلی بلوغ را به حالت هدف خود می رسانند چیست؟

روند مدل بلوغ امنیت یا The SMM Process

ایجاد سطح بلوغ با توجه به صنعت و ملاحظات خاص سیستم، به جهت تسهیل تولید پروفایل های امنیت می باشد. این پروفایل ها وضعیت سیستم های امنیت بلوغ را ضبط می کنند .از این قالب ها می توان به عنوان قالب هایی برای ارزیابی به امنیت یک منطقه خاص ، استفاده معمول و یا سیستم های مورد علاقه استفاده کرد.

ایجاد سطح بلوغ با توجه به صنعت و ملاحظات خاص سیستم، به جهت تسهیل تولید پروفایل های امنیتی می باشد. این پروفایل ها وضعیت سیستم های امنیتی بلوغ را ضبط می کنند .از این قالب ها می توان به عنوان قالب هایی برای ارزیابی ب امنیت یک منطقه خاص ، استفاده معمول و یا سیستم های مورد علاقه استفاده کرد.
روند SMM(The SMM Process)

انتظار می رود اکثر سازمان ها از روند مدل بلوغ امنیت که در شکل نشان داده شده است پیروی کنند. هنگامی که یک هدف ایجاد شده یا مشخصات مربوط به صنعت مشخص می شود، سازمان ها موقعیت فعلی را ارزیابی و ثبت می کنند. برای بهبود نقشه مسیر دو موقعیت با هم مقایسه و شکاف های آن ها شناسایی می شود. بعداز هر بهبود سازی مجددا عملیات ارزیابی انجام می شود. این چرخه اند قدر تکرار می شود تا این اطمینان بدست آید که از لحاظ امنیتی در برابر تهدیدهای جدید و در حال تغییر از آمادگی لازم برخوردار باشیم. تنها زمانی از یک سیستم امنیتی پایدار برخوردار خواهیم بود که در طول زمان ارزیابی ها و بهبودهای لازم انجام شده باشد.

pdac

بنابراین مدل بلوغ بر اساس قانون چرخه ی انجام و ارزیابی عملکرد یا PDCA طراحی می شود. در این قانون  یک خط پایه جدید انتخاب شده ، نتیجه ی حاصل از آن چک و در نهایت بهبود می یابد. این چرخه با هدف ایجاد بلوغ امنیت برای یک سیستم خاص آغاز می شود. سپس یک فرایند تکرارپذیری بهبود بلوغ امنیتی همانطور که در شکل 2 نشان داده شده است، آغاز می شود. . به عنوان  برخورد با تهدیدات امنیتی و رویکردهای کاهش آن، سازمانها باید چگونگی اجرای چرخه را به طور مرتب تعیین کنند.

بنابراین مدل بلوغ بر اساس قانون چرخه ی انجام و ارزیابی عملکرد(PDCA) طراحی می شود. در این قانون یک خط پایه جدیدانتخاب شده ، نتیجه ی حاصل از آن چک و در نهایت بهبود می یابد.این چرخه با هدف ایجاد بلوغ امنیتی برای یک سیستم خاص آغاز می شود. سپس یک فرایند تکرارپذیری بهبود بلوغ امنیتی همانطور که در شکل 2 نشان داده شده است، آغاز می شود. . به عنوان برخورد با تهدیدات امنیتی و رویکردهای کاهش آن، سازمانها باید چگونگی اجرای چرخه را به طور مرتب تعیین کنند.
PDCA

اهداف کلیدی مدل بلوغ امنیت :

تقویت همکاری بین ذینفعان به منظور ایجاد یک پروسه ی سازنده و اثر گذار شامل:

ذینفعان کسب و کار ( تصمیم گیرندگان،مدیران ریسک کسب و کار، صاحبان سیستم های IoT )

نگرانی در مورد راهبردهای مناسب برای اجرای شیوه های امنیتی بالغ، نیازها و محدودیت های سیستم های خاص IoT ،تحلیلگران، معماران، توسعه دهندگان، سازندگان سیستم و سایر ذینفعانی که مسئول پیاده سازی فنی هستند.

شناسایی شاخص های عملکرد امنیتی:

چارچوبی برای تعریف و شناسایی اهدف امنیتی بر اساس خواسته های سازمانی ارائه می دهد تا سهامداران تجاری و فنی بتوانند برای آنچه که مورد نیاز است، استفاده کنند.

هدایت روند دستیابی به یک سطح بالغ:

ارائه راهنمایی در مورد ارزیابی، تقویت و اندازه گیری وضعیت بلوغ سطح فعلی مطابق با هدف بلوغ امنیتی تعریف شده و نشان دادن چگونگی دستیابی به اهداف تعیین شده توسط این هدف.

الزامات مدل بلوغ امنیت :

کاربرد در دنیای واقعی:

در تعیین اهداف بلوغ امنیتی باید عملکرد، ایمنی، الزامات قانونی و دستورالعمل ها، مدیریت ریسک، سیاست های امنیتی و سیاست حفظ حریم خصوصی، عملکرد، هزینه ها و سایر ملاحظات تجاری را در نظر گرفت.همچنین باید از تهدیدات شناخته شده و در حال ظهور و شیوه های مقرون به صرفه برای مقابله با آنها را اطلاعات کافی داشت.

نتیجه فرایندها و هدایت به سمت هدف باید مستقیما در زیرساخت های IoT مورد استفاده و قابل اجرا باشند.

 دیدگاه های مختلف: توصیف بلوغ امنیتی را از دیدگاه های مختلف از جمله دیدگاه های کسب و کار و پیاده سازی آسان می کند.کمک می کند تا اهداف بلوغ امنیتی از دیدگاه سازمانی و نیازهای بلوغ امنیتی از دیدگاه پیاده سازی تعریف شود. این مدل به اصلاح تعاریف کمک کرده و موجب ایجاد همکاری موثر میان همه ذینفعانی که در حال تلاش برای افزایش بلوغ امنیت هستند،می شود. راهنمایی های لازم برای ارزیابی و افزایش بیشتر بلوغ امنیتی رابا استفاده از قابلیت های امنیتی مورداستفاده فراهم می کند. راهنمایی ها باید عملی و قابل اجرا باشند. قابل تنظیم برای تغییر محیط تهدید: : به عنوان زیرساخت های IoT و تهدیدات تکامل یافته، اهداف بالقوه امنیت باید در دراز مدت سازگار باقی بمانند. مدل های کسب و کار IoT، محصولات، دستورالعمل ها، مقررات، فن آوری ها و انواع سازمان ها تکامل خواهند یافت. SMM نیاز به انعطاف پذیری برای هر گونه تغییر دارد.
requirements
در نظر گرفتن دیدگاه های مختلف:

SMM توصیف بلوغ امنیتی را از دیدگاه های مختلف از جمله دیدگاه های کسب و کار و پیاده سازی آسان می کند. کمک می کند تا اهداف بلوغ امنیتی از دیدگاه سازمانی و نیازهای بلوغ امنیتی از دیدگاه پیاده سازی تعریف شود.

این مدل به اصلاح تعاریف کمک کرده و موجب ایجاد همکاری موثر میان همه ذینفعانی که در حال تلاش برای افزایش بلوغ امنیت هستند، می شود.

راهنمایی های مناسب امنیتی:

SMM راهنمایی های لازم برای ارزیابی و افزایش بیشتر بلوغ امنیتی را با استفاده از قابلیت های امنیت مورد استفاده فراهم می کند. راهنمایی ها باید عملی و قابل اجرا باشند.

قابل تنظیم برای تغییر محیط تهدید:

به عنوان زیرساخت های IoT و تهدیدات تکامل یافته، اهداف بالقوه امنیت باید در دراز مدت سازگار باقی بمانند.

توسعه پذیری:

مدل های کسب و کار IoT، محصولات، دستورالعمل ها، مقررات، فن آوری ها و انواع سازمان ها تکامل خواهند یافت. مدل بلوغ امنیت نیاز به انعطاف پذیری برای هر گونه تغییر دارد.

در تعیین اهداف بلوغ امنیتی باید عملکرد، ایمنی، الزامات قانونی و دستورالعمل ها، مدیریت ریسک، سیاست های امنیتی و سیاست حفظ حریم خصوصی، عملکرد، هزینه ها و سایر ملاحظات تجاری را در نظر گرفت.همچنین بایداز تهدیدات شناخته شده و در حال ظهور و شیوه های مقرون به صرفه برای مقابله با آنها را اطلاعات کافی داشت.
five stages of iot:

سلسله مراتب رفتارهای متقابل امنیتی :

شکل 3 ساختار مدل بلوغ امنیت و تجزیه ابعاد بلوغ امنیتی را نشان می دهد. ابعاد عبارتند از دیدگاه های سطح بالا که جنبه های کلیدی بلوغ ارا ترسیم می کنند که شامل : governance, enablement and hardening

هر یک از ابعاد، جنبه های کلیدی مختلفی دارد که دامنه آنها نامیده می شود. به عنوان مثال، بعد hardening شامل مدیریت پچ دامنه، آگاهی نسبت به موقعیت و پاسخ به رویداد است. هر بعد ممکن است از شیوه های گوناگون، هم فنی و هم سازمانی، برای دستیابی به نتایج مربوط به دامنه خود  استفاده کند. این رویکرد سلسله مراتبی، تجزیه و تحلیل بلوغ و شکاف ها را در سطوح مختلف ، ابعاد کلی و شیوه های فردی مشاهده می کند.

هر یک از ابعاد، جنبه های کلیدی مختلفی دارد که دامنه آنها نامیده می شود. به عنوان مثال، بعد hardening شامل مدیریت پچ دامنه، آگاهی نسبت به موقعیت و پاسخ به رویداد است. هر بعد ممکن است از شیوه های گوناگون، هم فنی و هم سازمانی، برای دستیابی به نتایج مربوط به دامنه خود استفاده کند. این رویکرد سلسله مراتبی، تجزیه و تحلیل بلوغ و شکاف ها را در سطوح مختلف ، ابعاد کلی و شیوه های فردی مشاهده می کند.
security maturity

Dimensions:

برای تعیین اولویت افزایش بلوغ امنیت در سطح استراتژیک ضروری است. در این سطح ذینفع اولویت هارا جهت بهبود امنیت تعیین می کند.

Domains:

منعکس کننده ابزارهای اصلی برای به دست آوردن اولویت ها در سطح تاکتیکی است. در سطح دامنه، ذینفعان  نیازهای معمول برای رسیدگی به نگرانی های امنیتی را مشخص می کنند.

Practices:

تعریف فعالیت های مرتبط با دامنه ها و شناسایی آن ها در سطح برنامه ریزی و عملیات، ذینفعان فعالیت های امنیتی خاصی را برای هدف در نظر می گیرند.

Security governance:

ابعاد حاکمیت امنیت، قلب مسئله امنیت است که همه ی فعالیتهای امنیتی شامل فرآیندهای کسب و کار، مسائل حقوقی و عملیاتی، حفاظت از شهرت و تولید درآمد را تحت تاثیر قرار می دهد. استراتژی امنیت و دامنه ی حاکمیت ،پایه های سازمانی را با ارایه امنیت ، انطباق با مقررات و تعهدات قراردادی تسهیل می کنند.همچنین موجب افزایش اعتبار انتظارات مشتری و مدیریت می شود. عملکرد مدیریت انطباق ، زمانی که شرایط برای انطباق با استانداردهای امنیتی در حال تحول وجود دارد، امری ضروری است. مدیریت برنامه های امنیتی برای برنامه ریزی روشن و تأمین فعالیت های امنیتی به موقع، کنترل پروسه و نتایج و تصمیم گیری مطلوب برای انجام مطالبات مربوط به امنیت حیاتی است مدل سازی تهدید و دامنه ارزیابی خطر، شکاف در پیکربندی های خاص، محصولات، سناریوها و فن آوری ها را مشخص، و بر اساس آن ها اقدامات مقابله رااولویت بندی می کنند.
Security governance
  • ابعاد حاکمیت امنیت، قلب مسئله امنیت است که همه ی فعالیتهای امنیتی شامل  فرآیندهای کسب و کار، مسائل حقوقی و عملیاتی، حفاظت از شهرت و تولید درآمد را تحت تاثیر قرار می دهد.
  • استراتژی امنیت و دامنه ی حاکمیت ، پایه های سازمانی را با ارایه امنیت ، انطباق با مقررات و تعهدات قراردادی تسهیل می کنند. همچنین موجب افزایش اعتبار انتظارات مشتری و مدیریت می شود.
  • عملکرد مدیریت انطباق ، زمانی که شرایط برای انطباق با استانداردهای امنیتی در حال تحول وجود دارد، امری ضروری است.
  • مدیریت برنامه های امنیتی برای برنامه ریزی روشن و تأمین فعالیت های امنیتی به موقع، کنترل پروسه و نتایج و تصمیم گیری مطلوب برای انجام مطالبات مربوط به امنیت حیاتی است
  • مدل سازی تهدید و دامنه ارزیابی خطر، شکاف در پیکربندی های خاص، محصولات، سناریوها و فن آوری ها را مشخص، و بر اساس آن ها اقدامات مقابله را اولویت بندی می کنند.
  • تمرین نگرش خطر، سازمان را قادر می سازد تا راهبردی برای رسیدگی به خطرات مطابق با سیاست مدیریت ریسک، از جمله شرایط پذیرش، اجتناب، ارزیابی، کاهش و انتقال، ایجاد کند.
  •  هدف از تمرین مدل سازی تهدید، آشکار سازی عوامل شناخته شده و خاص و توصیف آن هاست که می تواند عملکرد یک سیستم معین در معرض خطر را بیان کند.
  • زنجیره تامین و حوزه مدیریت وابستگی خارجی به منظور کنترل و به حداقل رساندن قرار گرفتن در معرض حملات سیستم از اشخاص ثالث است که دسترسی های ویژه ای دارند و می توانند حملات را پنهان کنند
  • تمرین مدیریت ریسک زنجیره تامین ،نیاز به ایجاد اعتبار برای پیمانکاران و تامین کنندگان ،تعیین فقدان منابع پنهانی تهدید و اطمینان از یکپارچگی زنجیره تامین است
Organizational Structure. Rules and Rule Sources. The [Chief] Information Security Officer. Power and Influence. Supporting Functions and Groups. Funding. Assessment and Enforcement. Metrics and the Enterprise Security Control System. 7
maturity of security governance

SECURITY ENABLEMENT

  • ابعاد قابلت امنیتی بر پایه سیاست امنیتی تأسیس شده و خطرات کسب و کار را با استفاده از بهترین ابزارهای موجود مورد توجه قرار می دهد. سیاست امنیتی و کنترل ها مستلزم بررسی و ارزیابی دوره ای است.
  • دامنه مدیریت دسترسی با هدف حفاظت از سازمان و کنترل استفاده از منابع توسط عوامل تعیین شده برای کاهش خطر نشت اطلاعات، دستکاری، سرقت و یا تخریب است
  • ایجاد و حفظ هویتها، کمک می کند تا افراد را که می توانند به سیستم و امتیازات خود دسترسی پیدا کنند، شناسایی و محدود می کنند.
  • دامنه مدیریت دارایی برای حفاظت از دارایی های فیزیکی و دیجیتال می با شد. این ناحیه همکاری قوی بین IT و تیم های امنیتی فیزیکی دارد.
  • تمرین حفاظت فیزیکی به سیاست های عمل به امنیت فیزیکی و ایمنی سیستم ها برای جلوگیری از سرقت و اطمینان از عملکرد ایمن تجهیزات اجرایی می پردازند
  • فعالیت، تغییر و پیکربندی عملکرد مدیریت نوع تغیرات مجاز را محدود می کند، زمانی که این تغیرات  اعمال شود، روند تصویب و چگونگی اداره سناریوهای تغیرات اضطراری انجام می شود.
  • دامنه حفاظت از داده ها از افشای داده های غیر مجاز یا دستکاری داده ها جلوگیری می کند، هم برای داده های استفاده نشده و هم داده های در حال استفاده. این امر برای امنیت، حفظ حریم خصوصی و حفاظت از قوانین حقوقی اهمیت دارد.
  • پیاده سازی کنترل حفاظت از داده ها و شیوه های حفاظت از اطلاعات مانند استفاده از رمزنگاری یا سایر تکنیک ها را توصیف می کند.
  • مدل بلوغ امنیت و سیاست تکرار داده ها مشخص می کند که آیا دسته های مختلفی از اطلاعات وجود دارد. اهداف خاص و قوانین حفاظت از داده ها را در نظر می گیرد.

SECURITY HARDENING

  • شیوه های اندازه گیری سخت افزاری امنیتی، از طریق ارزیابی، شناخت و رفع خطرات با اقدامات سازمانی و فنی، از اهداف قابل اعتماد حمایت می کنند.
  • آسیب پذیری و سیاست های دامنه مدیریت پچ ،سیستم ها را به روز نگه می دارد تا کمتر مستعد حملات باشند.
  • سیاست مدیریت پچ توضیح می دهد که چگونه و چه موقع باید پچ های  نرم افزاری را اعمال کرد، روش هایی را برای پچ های  اورژانسی  و سایر مسائل مربوط به پچ کردن ایجاد می کند.
  • ارزیابی آسیب پذیری به شناسایی آسیب پذیری و ریسک کمک می کند .همچنین یک برنامه ی رسیدگی الویت بندی  ایجاد می کند.
  • دامنه آگاهی موقعیتی به منظور درک وضعیت فعلی امنیت به سازمان اجازه می دهد که اولویت بندی و مدیریت تهدیدها به طور موثر تر انجام شود.
  • اشتراک اطلاعات و ارتباطات در میان همتایان صنعت کمک می کند تا همه سازمان ها بهتر آماده پاسخگویی به تهدیدات باشند. به اشتراک گذاری اطلاعات تهدید، سیستم ها را به روز نگه می دارد.
  • امنیت حسابرسی برای نظارت بر وضعیت سیستم، شناسایی ناهنجاری ها و کمک به حل اختلافات استفاده می شود.
  • واکنش رویداد و حادثه که در ترکیبی از آمادگی های سیاسی و فنی انجام می شود، به سازمان اجازه می دهد تا به سرعت به حوادث پاسخ دهد.
  • بهبود، بازیابی و تداوم عملیات نشان دهنده ترکیبی از انحرافات فنی است که در آن کارکنان آموزش دیده و سیاست تداوم کسب و کار به یک سازمان کمک می کند تا در صورت بروز تهدید به سرعت آن را حل و سازمان را به مسیر خود بازگردانند.
  • یک برنامه شناسایی رویداد و واکنش نشان می دهد که رویداد امنیتی چیست و نحوه شناسایی و اختصاص رویدادها برای تحقیقات، آنها را به صورت الزام آور و مناسب پاسخ می دهد. این باید شامل یک طرح ارتباطی برای به اشتراک گذاری اطلاعات به طور مناسب و به موقع با ذینفعان باشد.

 

بهبود، بازیابی و تداوم عملیات نشان دهنده ترکیبی از انحرافات فنی است که در آن کارکنان آموزش دیده و سیاست تداوم کسب و کار به یک سازمان کمک می کند تا در صورت بروز تهدید به سرعت آن را حل و سازمان را به مسیر خود بازگردانند. یک برنامه شناسایی رویداد و واکنش نشان می دهد که رویداد امنیتی چیست و نحوه شناسایی و اختصاص رویدادها برای تحقیقات، آنها را به صورت الزام آور و مناسب پاسخ می دهد. این باید شامل یک طرح ارتباطی برای به اشتراک گذاری اطلاعات به طور مناسب و به موقع با ذینفعان باشد.
SECURITY HARDENING

 

ادامه:

مدل بلوغ امنیت اینترنت اشیا یا SMM (قسمت دوم)

ارسال پاسخ