مراحل انجام ارزیابی ریسک

ارزیابی ریسک امنیت سایبری را می توان به پنج مرحله اصلی شامل محدوده بندی، شناسایی ریسک، تحلیل ریسک، ارزیابی ریسک و مستندسازی است.

مرحله اول: محدوده ارزیابی ریسک را تعیین کنید.

ارزیابی ریسک با تصمیم گیری در مورد آنچه در محدوده ارزیابی است شروع می شود. این محدوده می تواند کل سازمان، یا قسمتی از آن و یا جنبه خاصی از کسب و کار باشد، مانند پردازش پرداخت یا یک برنامه وب.

مرحله دوم: شناسایی ریسک

  • دارایی ها را شناسایی کنید.

شما نمی توانید از چیزهایی که نمی دانید محافظت کنید، بنابراین وظیفه بعدی شناسایی و ایجاد فهرستی از تمام دارایی های فیزیکی و منطقی است که در محدوده ارزیابی ریسک قرار دارند. هنگام شناسایی دارایی ها، مهم است که نه تنها دارایی های حیاتی برای کسب و کار که احتمالاً هدف اصلی مهاجمان هستند در نظر گرفته شوند، بلکه دارایی هایی که مهاجمان می خواهند کنترل آنها را در دست بگیرند، مانند یک اکتیو دایرکتوری نیز مهم است. سرور یا آرشیو تصویر و سیستم های ارتباطی، به عنوان نقطه محوری برای گسترش حمله استفاده می شود. ایجاد یک نمودار معماری شبکه از فهرست موجودی دارایی، راهی عالی برای تجسم مسیرهای اتصال و ارتباط بین دارایی ها و فرآیندها و همچنین نقاط ورود به شبکه است و کار بعدی شناسایی تهدیدات را آسان تر می کند.

  • تهدیدات را شناسایی کنید.

تهدیدها تاکتیک‌ها، تکنیک‌ها و روش‌هایی هستند که توسط عوامل تهدید استفاده می‌شوند که پتانسیل آسیب رساندن به دارایی‌های سازمان را دارند. برای کمک به شناسایی تهدیدهای بالقوه برای هر دارایی، می توانید از یک کتابخانه تهدید مانند پایگاه دانش MITER ATT&CK استفاده کنید و محل قرارگیری هر دارایی در زنجیره کشتار سایبری لاکهید مارتین را در نظر بگیرید، زیرا این موضوع به تعیین انواع حفاظت مورد نیاز آنها کمک می کند. زنجیره کشتار سایبری مراحل و اهداف یک حمله معمولی در دنیای واقعی را ترسیم می کند.

  • پیامدهای هر تهدید را مشخص کنید.

اینکه هر آسیب پذیری چه تهدیداتی را ایجاد می کند که در این صورت شناسایی اقدامات مناسب و بهترین شیوه های مقابله با ریسک را برای تیم های امنیتی و همه ذینفعان آسان تر می کند.

مرحله سوم: ریسک ها را تجزیه و تحلیل نموده و تأثیرات بالقوه آنها را مشخص نمایید.

اکنون زمان آن رسیده است که احتمال وقوع سناریوهای ریسک مستند شده در مرحله دوم و تأثیر آن بر سازمان در صورت وقوع، تعیین شود. در ارزیابی ریسک امنیت سایبری، احتمال ریسک – احتمال اینکه یک تهدید معین می‌تواند از یک آسیب‌پذیری معین بهره‌برداری کند – باید بر اساس قابلیت کشف، بهره‌برداری و تکرارپذیری تهدیدها و آسیب‌پذیری‌ها به جای رویدادهای تاریخی تعیین شود.

مرحله چهارم: ریسک ها را تعیین و اولویت بندی کنید.

با استفاده از یک ماتریس ریسک مانند زیر که در آن سطح ریسک “احتمال تاثیر زمان” است، هر سناریو ریسک را می توان طبقه بندی کرد. اگر خطر حمله تزریق SQL “محتمل” یا “خیلی محتمل” در نظر گرفته شود، سناریوی خطر نمونه ما به عنوان “بسیار زیاد” طبقه بندی می شود.

هر سناریویی که بالاتر از سطح تحمل توافق شده باشد باید برای درمان اولویت بندی شود تا در سطح تحمل ریسک سازمان قرار گیرد. سه راه برای انجام این کار وجود دارد:

اجتناب کردن. اگر ریسک بیشتر از فواید آن باشد، اگر یک فعالیت دیگر در معرض آن قرار نگیرید، ممکن است بهترین اقدام باشد.

منتقل کردن. بخشی از ریسک را از طریق بیمه سایبری یا برون سپاری برخی عملیات به اشخاص ثالث با سایر اشخاص به اشتراک بگذارید.

کاهش. برای کاهش احتمال و/یا تأثیر و در نتیجه سطح ریسک، کنترل‌های امنیتی و سایر اقدامات را اعمال کنید.

با این حال، هیچ سیستم یا محیطی را نمی توان 100% ایمن کرد، بنابراین همیشه مقداری ریسک باقی می ماند. این ریسک باقیمانده نامیده می شود و باید به طور رسمی توسط سهامداران ارشد به عنوان بخشی از استراتژی امنیت سایبری سازمان پذیرفته شود.

مرحله پنجم: تمام ریسک ها را مستند کنید.

ثبت تمام سناریوهای ریسک شناسایی شده بسیار مهم است. این باید به طور منظم بررسی و به روز شود تا اطمینان حاصل شود که مدیریت همیشه یک حساب به روز از ریسک های امنیت سایبری خود دارد. باید شامل موارد زیر باشد:

  • سناریوی ریسک
  • تاریخ شناسایی
  • کنترل های امنیتی موجود
  • سطح ریسک فعلی
  • طرح درمان – فعالیت های برنامه ریزی شده و جدول زمانی برای رساندن ریسک به سطح قابل قبول تحمل ریسک
  • وضعیت پیشرفت — وضعیت اجرای طرح درمان
  • ریسک باقیمانده – سطح خطر پس از اجرای طرح درمان
  • صاحب ریسک – فرد یا گروهی که مسئول اطمینان از باقی ماندن ریسک های باقیمانده در سطح تحمل است.

ارزیابی ریسک امنیت سایبری یک کار بزرگ و مداوم است، بنابراین اگر قرار است امنیت آینده سازمان را بهبود بخشد، باید زمان و منابع در دسترس باشد. با ظهور تهدیدات جدید، و معرفی سیستم‌ها یا فعالیت‌های جدید، باید تکرار شود، و چنانچه برای اولین بار به خوبی انجام شود، فرآیند و الگوی تکرارپذیری را برای ارزیابی‌های آینده ارائه می‌کند، در حالی که احتمال حمله سایبری بر اهداف تجاری را کاهش می‌دهد.