بازاندیشی درباره امنیت سایبری در عصر تحول دیجیتال

در سال­های اخیر اکثر تجارت­ها با استفاده از تکنولوژی­های ICT مانند رایانش ابری/مرزی، کلان­داده و اینترنت اشیاء (IoT) سرعت تحول دیجیتال خود را افزایش داده­اند. اما در همین حین سازمان­ها همچنان آماج حملات امنیتی قرار می­گیرند و به همین دلیل نمی­توانند اهداف خود از تحول دیجیتال را کاملا پیاده­سازی کنند. اوایل امسال سازمان­های بزرگ سراسر جهان مانند خدمات سلامت ملی بریتانیا مورد حمله باج­افزار “Wannacry” قرار گرفتند. به عنوان یک مثال دیگر می­توان به حمله کلاهبرداری سایبری اشاره کرد که در فوریه سال 2016 علیه سیستم تراکنش­های بین­المللی سویفت صورت گرفت و در آن 81 میلیون دلار از بانک مرکزی بنگلادش به سرقت رفت. این حملات نقاط ضعف زیرساخت­های سایبری مدرن و اهمیت امنیت سایبری به عنوان یکی از مهم­ترین عناصر در استراتژی تحول دیجیتال سازمان­ها را نشان می­دهد. برای سرمایه­گذاری موفق در بخش راهکارهای امنیتی، فهم عوامل محرک و روند پیشرفت راهکارهای امنیت سایبری در آینده اهمیت والایی دارد.

 

عوامل محرک امنیت سایبری در آینده

عوامل زیر گستره و پیچیدگی سیستم­های امنیت سایبری را تعیین می­کنند:

 

تحول تکنولوژی

سایز و پیچیدگی زیرساخت­های IT تجارت­ها در نتیجه استفاده از تکنولوژی­های جدید مانند سیستم­های فیزیکی-سایبری (CPS) و IoT رو به رشد است. در این موارد از سیستم­ها و دستگاه­هایی استفاده می­شود که اشیاء فیزیکی و دنیای دیجیتال را به یکدیگر متصل می­کنند مانند سنسورها، ماشین­های هوشمند، خودروهای متصل، ربات­ها و … . این سیستم­ها به تصمیم­گیری بهتر و بهبود خلاقیت کمک می­کنند اما در عین حال باعث افزایش احتمال آسیب­پذیری نیز می شوند. به عنوان مثال، سال گذشته حمله محرم­سازی از سرویس (DDoS) با استفاده از نقاط ضعف دستگاه­های IoT علیه سایت­های اینترنتی مانند آمازون، توییتر و اسپاتیفای صورت گرفت.

 

پیچیدگی قوانین و مقررات

امروزه سازمان­های متعددی در زمینه تعیین قوانین فعالیت می­کنند و تجارت­ها را مجاب می­کنند از قوانین و استانداردهای امنیتی متعددی پیروی نمایند. به عنوان مثال، سازمان­های مالی ایالات متحده باید از استاندارد امنیت داده صنعت پرداخت کارت (PCI DSS)، قانون ساربینز-آکسلی 2002 (SOX, P.L. 107-204)، قانون گرام-لیچ-بلیلی، قانون مدرن­سازی سرویس­های مالی 1999 و قوانین متعدد دیگری پیروی کنند. سیستم­های امنیت سایبری در حال تغییر هستند تا بتوانند به سازمان­ها کمک کنند از قوانین و استانداردها پیروی نمایند.

 

پیچیدگی حملات

حملات سایبری هر سال بیش از پیش نامتقارن­تر و غیرقابل­پیش­بینی­تر شده و در نتیجه پیچیده­تر می­شوند. به عنوان مثال حملات باج­افزار نیز به گروه حملات فیشینگ، DDoS و مهندسی اجتماعی اضافه شده­اند اما روش­هایی که مجرمان سایبری استفاده می­کنند با استفاده از حملات و تکنیک­های رمزگذاری پیشرفته همواره در حال تغییر و تحول هستند.

 

منابع محدود

بسیاری از کسب­وکارها منابع، تخصص و سرمایه لازم برای تقابل با جرائم سایبری مدرن را ندارند. این مشکل بیشتر در کسب­وکارهای کوچک و متوسط وجود دارد و همواره در حال جستجو برای راهکارهای مقرون به صرفه هستند.

 

خدمات و راهکارهای امنیت سایبری جدید

راهکارهای امنیت سایبری جدید که در نتیجه عوامل بالا پدید آمده­اند، مشخصات و ویژگی­های زیر را دارا می­باشند:

 

هوش و اتوماسیون امنیتی

اتوماسیون راهکارهای امنیت سایبری نقشی کلیدی در همگام­سازی سیستم­ها با تعداد و پیچیدگی رو به رشد تهدیدات امنیت سایبری دارد. همین دلیل باعث افزایش استفاده از سیستم­های ماشین لرنینگ (یادگیری ماشین) می­شود زیرا این­ سیستم­ها می­توانند به طور کاملا خودکار یا نیمه­خودکار الگوی حملات را شناسایی کنند. همچنین استفاده از تکنولوژی­های دیپ لرنینگ و هوش مصنوعی برای شناسایی شاخص­های حملات پیچیده که با سیستم­های معمولی ماشین لرنینگ به ندرت قابل شناسایی هستند نیز رو به افزایش است.

 

دیتاست­های امنیت سایبری و روش­های مبتنی بر داده

جمع­آوری دیتاست­های امنیتی در طراحی و توسعه سیستم­های امنیت سایبری در آینده نقش مهمی دارد. این دیتاست­ها یکی از مهم­ترین پیش­نیازها در آموزش و اعتبارسنجی سیستم­های مبتنی بر داده مانند الگوریتم­های هوش مصنوعی و ماشین لرنینگ هستند. بکارگیری هوش و اتوماسیون امنیتی بدون حجم وسیعی از داده­های عملیاتی مربوط به منابع سایبری و حملات علیه­ آن­ها امکان­پذیر نیست.

 

استانداردها

سازمان­های توسعه­دهنده استانداردها معمولا از جدیدترین و بهترین تکنولوژی­ها استفاده می­کنند. در نتیجه استفاده از راهکارهای مبتنی بر استانداردها معمولا گزینه کارآمدتری در تقویت امنیت سایبری سازمان­های مدرن است. این سازمان­ها باید نه تنها از استانداردهای مرسوم و معتبر (مانند استاندارد معروف ISO27001) بلکه از استانداردهای جدید مانند چارچوب امنیتی کنسرسیوم اینترنت صنعتی (IISF) نیز پیروی کنند. IISF موارد لازم برای تامین امنیت سیستم­های CPS در عصر صنعت 4.0 را در اختیار می­گذارد.

 

سیاست­های یکپارچه برای امنیت سایبری و فیزیکی

در پروسه یکپارچه­سازی سیستم­های CPS و IoT ارتباط نزدیکی بین سیستم­های سایبری و فیزیکی و همچنین مکانیزم­های امنیتی­شان وجود دارد. به عنوان مثال استفاده از سیستم­ کنترل الکترونیکی درها و دوربین­های مدار بسته به عنوان تکنولوژی اصلی امنیت فیزیکی رو به افزایش است. رابطه نزدیکی که بین این سیستم­ها وجود دارد به مرور زمان باعث ادغام و یکپارچه­سازی سیستم­های امنیتی فیزیکی و سایبری و سیاست­های مرتبط با آنان خواهد شد. صنایعی که از زیرساخت­های فیزیکی و سایبری استفاده می­کنند (مانند صنعت انرژی، حمل و نقل، ساختمان سازی) در این زمینه پیشرو هستند.

 

پایگاه­ داده­های نقاط ضعف و حفرات امنیتی

مجامع امنیت سایبری با تجربه سال­ها جمع­آوری اطلاعات و دانش درباره تهدیدات سایبری توانسته­اند دیتابیس­های وسیعی از نقاط ضعف تهیه کنند که از آن­ها برای نگهداری و انتشار اطلاعات درباره حفرات امنیتی شناخته­شده استفاده می­شود. دیتابیس نقاط ضعف و حفرات امنیتی موسسه ملی استانداردها و تکنولوژی یکی از محبوب­ترین دیتابیس­هاییست که راه­های دسترسی اتوماتیک به اطلاعات به­روز درباره تهدیدات امنیتی را در اختیار توسعه­دهندگان و طراحان سیستم­های امنیت سایبری می­گذارد. این موضوع اهمیت والایی دارد زیرا بکارگیری هوش و اتوماسیون امنیتی به جمع­آوری و پردازش حجم وسیعی از داده­ها نیاز دارد.

امنیت مدیریت­شده و امنیت به عنوان یک سرویس

راهکارهای بسیاری وجود دارند که از الگوی «امنیت به عنوان یک سرویس» یا «پرداخت به اندازه مصرف» پیروی می­کنند. به عنوان مثال می­توان به راهکارهای امنیتی مدیریت­شده (MSS) اشاره کرد که یکی از محبوب­ترین گزینه­ها برای کسب­وکارهای کوچک و متوسط و سازمان­هاییست که بودجه محدودی دارند. این راهکارها از رابط­های کاربری مبتنی بر وب استفاده می­کنند که برای کارکنانی در کار با سیستم­های امنیتی تجربه چندانی ندارند جذاب­تر هستند.

سرویس یوآیدی؛ افزایش امنیت در فضای دیجیتال

سرویس احراز هویت دیجیتال یوآیدی ، راهکار تحول دیجیتال است که برای اولین بار در ایران توسعه داده شده است و امنیت دیجیتال را به ارمغان می آورد. این سرویس بر اساس فناوری هوش مصنوعی و الگوریتم های تشخیص زنده بودن چهره و تطابق تصویر ایجاد شده است. کسب و کارها می‌توانند با استفاده از این سرویس، مشتریان خود را به صورت غیرحضوری با اطمنیان بالاتری احراز هویت کنند. در حال حاضر این سرویس در احراز هویت آنلاین سجام برای دریافت کد بورسی استفاده می شود به صورتی که با استفاده از این سرویس نحوه احراز هویت الکترونیکی سجام ، غیر حضوری شده است. این امکان وجود دارد که در سایر بخش ها بخصوص بخش بانکی و بیمه و خدمات دولت الکترونیک و وقوه قضاییه مانند ثبت نام الکترونیکی سامانه ثنا استفاده شود.

ممکن است شما دوست داشته باشید
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.