معیارهای امنیت سایبری (Security metrics) چیست و چه کمکی به ما می کند؟

معیارهای امنیت سایبری (Security metrics) به سازمان ها کمک می کند تا مطابقت با خط مشی ها را تأیید کنند، نقاط قوت و ضعف را شناسایی کنند و روندهای امنیتی را دنبال کنند.
مطالعه روندها امکان نظارت مستمر و تنظیم وضعیت امنیتی را فراهم می کند. معیارهای امنیت سایبری به سازمان ها در زمینه های ذیل کمک می کند.

۱- ارزیابی انطباق با قوانین
۲- بهبود کنترل های امنیتی
۳- پاسخ گویی به نیازهای تجاری جهت نیل به اهداف و ماموریت های سازمان

 

این مقاله وضعیت فعلی معیارهای امنیتی، اهمیت انتخاب اندازه در جهت تعیین معیار خاص و مسائل مربوط به دقت، انتخاب و استفاده از اندازه ها را مورد بحث قرار می دهد.


تفاوت Metric و Measure

معیار (Metric) و اندازه گیری (Measure) دو مفهوم جداگانه در اندازه گیری عملکرد است.
اندازه ها، ویژگی های محدوده و مشخص هستند مانند درصد وصله نمودن سیستم ها و یا آسیب پذیری هستند، در حالی که معیارها، ویژگی هایی خاص مانند امنیت سیستم و یا موثر بودن پاسخ به تهدیدات خارجی هستند.
سازمانها باید معیار ها و اقداماتی را که آنها را پشتیبانی می کنند را شناسایی کنند، با چندین سطح معیار را که بر روی بخش های مختلف بررسی شوند.
معیارهای سطح پایین در اقدامات عملیاتی موثر است، در حالی که معیارهای سطح بالاتر برای تصمیمات استراتژیک مناسب تر هستند. معیارهای های سطح پایین اغلب به عنوان ورودی برای معیارهای سطح بالا استفاده می شوند.
سازمان باید معیارهای خود را شناسایی کرده و مناسب ترین معیارها را برای جمع آوری داده ها تعیین کند. اندازه‌گیری‌های خودکار دقیق‌تر هستند و می‌توان آن‌ها را هر چند وقت یکبار نسبت به جمع‌آوری آن اقدام کرد.
سازمان ها باید از منابع داده های موجود و مکانیسم های جمع آوری خودکار برای کاهش هزینه ها استفاده کنند.
تجزیه و تحلیل معیارها و ادندازه ها را می توان بر اساس موقعیت جغرافیایی، تقسیم بندی نوع سیستم یا اهمیت سیستم انجام داد.
برخی از محصولات معیارها را در قالب داشبورد امنیتی ارائه می دهند که به کاربران امکان می دهد تغییرات را در طول زمان مشاهده کنند.

ویژگی های یک معیار (Metric) مناسب

دقت یک Metric به دقت اندازه هایی است که معیار را تشکیل می دهند.
سازمان‌ ها با مشکلات متعددی در ارتباط با دقت اندازه‌گیری‌ها از جمله تعاریف نادرست، مسائل اصطلاحات و روش‌های اندازه‌گیری ناسازگار مواجه هستند.
اندازه گیری هایی که به طور غیر دقیق تعریف می شوند، مانند درصد سیستم هایی که به طور کامل وصله شده اند یا تعداد اسکن پورت های انجام شده. علاوه بر این، هر سیستم تشخیص نفوذ (IDS) از الگوریتم‌های اختصاصی خود برای شناسایی اسکن‌های پورت استفاده می‌کند که باعث ناهماهنگی در اندازه‌گیری می‌شود.
به عنوان مثال، یک سازمان ممکن است از چندین فاکتور متفاوت به جای یک اندازه گیری استفاده کند که هر اندازه گیری با دیگری متفاوت باشد.
برای پرداختن به این مسائل، سازمان ها باید عواملی را در نظر بگیرند که باید در هنگام تعریف اقدامات خود در نظر بگیرند، نه اینکه برای هر یک از معیارها یک تعریف واحد ارائه دهند. بهترین تعریف برای یک سازمان به اهداف آنها بستگی دارد، مانند اطمینان از اینکه برنامه های کاربردی مهم وصله شده اند. مثلا نرم افزار مدیریت وصله به درستی کار می کند.
معیارهای کیفی به دلیل نداشتن مقیاس ها یا واحدهای اندازه گیری کاملاً مشخص،می توانند نادرست باشند. به عنوان مثال، درخواست از کاربر برای ارزیابی قابلیت اطمینان رایانه خود در مقیاس ۱ تا ۵ می تواند ذهنی و مبهم باشد. با این حال، مقیاس های عینی می توانند دقیق تر و عینی تر باشند.

برخی از معیارهای کیفی شمارش مطلق را بدون زمینه، هنجار یا هدف ارائه می کنند. زمینه برای اندازه‌گیری‌ها و معیارها بسیار مهم است، زیرا بیشتر معیارها به‌طور جداگانه معنای کمی دارند. برای تعیین اهمیت واقعی آنها، ممکن است یک معیار واحد در زمینه سایر اقدامات و رویدادهای جداگانه، مانند تغییرات کنترل امنیتی و روندهای خارجی، تحلیل شود.

علاوه بر این، به دلیل ماهیت پویای فناوری سایبری، معنای معیارها و معیارها در طول زمان تغییر می کند. به عنوان مثال، یک معیار ممکن است افزایش حملات موفقیت آمیز در سال گذشته را نشان دهد، اما میزان موفقیت در سال جاری به افزایش خود ادامه می دهد، احتمالاً به دلیل تکنیک های حمله بهبود یافته، فناوری های ضد فیشینگ پیکربندی نادرست، کاربران آموزش ناکافی، یا عوامل دیگر.

مشکلات انتخاب اندازه ها

سازمان ها اغلب اقدامات امنیتی متعددی مانند نرم افزار آنتی ویروس، IDS ها، فایروال ها، سیستم های مدیریت پچ و اسکنرهای آسیب پذیری دارند که اندازه گیری هایی که هر یک از موارد ذکر شده انجام می دهد می تواند غیر دقیق باشد.با این حال، سازمان‌ها همچنین می‌توانند اقدامات اضافی در زمینه اندازه گیری انجام دهد اما این می‌تواند پرهزینه باشد.

برخی از سازمان ها بسیاری از اقدامات را بدون ارزیابی سودمندی و داشتن برنامه ای برای استفاده از آنها جمع آوری می کنند که باعث اتلاف وقت و منابع می شود.
علاوه بر این، اگر اقدامات به درستی انتخاب و سازماندهی نشود، تجزیه و تحلیل ممکن است نتایج گمراه کننده ای ایجاد کند. جمع آوری اقدامات بیش از حد نیز می تواند باعث شود مردم احساس کنند که تلاش اتلاف وقت است.

منابع امنیتی در زمینه جمع آوری داده موارد منعددی را توصیه کرده اند، اما تحقیقات کمی برای تعیین ارزش آنها در محیط های عملیاتی دنیای واقعی انجام شده است. با مطالعه و تجزیه و تحلیل عملیات دنیای واقعی، ممکن است بتوان یک متریک را با استفاده از چند معیار انتخاب شده به دقت تقریب زد.

مشکلات استفاده از اندازه ها

سازمان ها در اندازه گیری دقت، انتخاب و ترکیب اندازه ها در یک متریک با چالش هایی روبرو هستند. اینها شامل حصول اطمینان از اینکه اندازه های انتخاب شده از متریک انتخاب شده پشتیبانی می کنند، ترکیب اندازه ها با واحدها، مقیاس ها و دقت مختلف و تعیین وزن اندازه ها است.

تحقیقات تجربی می تواند مبنایی واقعی برای سنجش وزن ارائه دهد. با گذشت زمان، سازمان‌ها باید اندازه ها و معیارهای خود را با تغییر وضعیت امنیتی خود تغییر دهند. برای مثال، سازمان‌های نابالغ ممکن است بر روی کنترل‌های امنیتی اساسی تمرکز کنند، اما با بلوغ کنترل‌های امنیتی، معیارها و معیارهای جدیدی ممکن است ایجاد شوند.

 

در مقاله بعدی سعی می کنیم اطلاعاتی در خصوص موارد ذیل را فراهم بیاوریم
۱- تعیین KPI در متریک
۲- ویژگی ها و نحوه انتخاب KPI
۳- OKR چیست و چه تفاوتی با KPI دارد
۴- ارائه KPI های حوزه امنیت

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

آخرین مطالب

ایده های خود را با ما به اشتراک بگذارید

keyboard_arrow_up