هزینه‌ی واقعی یک وضعیت امنیتی «به اندازه‌ی کافی خوب» چقدر است؟

اگر شما مطالب ما را به طور منظم مطالعه کرده باشید، ممکن است حدس زده باشید که روی‌کردهای مربوط به عملیات امنیتی و پاسخ‌گویی به رخدادها به شیوه‌ی راه‌بردی، جامع و تحلیلی، چیزی است که ما با شور و شوق به آن علاقه داریم. شاید تعجب‌آور نباشد که این موضوعی باشد که ما اغلب در مورد آن در سخن‌رانی‌ها، بحث‌ها و جلسات صحبت می‌کنم. گاهی اوقات ما بازخوردهایی و سخنانی را نظیر این‌ها می‌شنویم:
ما فکر می‌کنیم که هشتاد درصد از راه‌حل‌ها در اینجا خوب هستند.
ما وقت و منابع لازم برای ارزیابی راه‌بردی و بهبود برنامه‌ی امنیتی خود را نداریم.
ما ارزان‌ترین گزینه‌ی ممکن را انتخاب می‌کنیم.
بسیاری از شما می‌دانید که ما با پس‌زمینه‌ای از عملیات‌های امنیتی و پاسخ به رخدادها صحبت می‌کنیم. به همین دلیل ما درک می‌کنیم که ما در یک دنیای آرمانی زندگی نمی‌کنیم که همه‌ی عملیات‌ها و به ویژه عملیات‌های امنیتی سخت‌گیرانه باشند و بهبود آن‌ها تقریباً هرگز آسان نیست. بنابراین می‌توان گفت که ما هنوز هم معتقدیم که اتخاذ یک روی‌کرد راه‌بردی، جامع و تحلیلی، موضوعی است که می‌تواند به سازمان‌ها به طور فوق‌العاده‌ای به ویژه در محیط عملیاتی کمک کند. از جایگاهی که ما نگاه می‌کنیم، هنوز کارهای زیادی تقریباً در همه‌ی سازمان‌ها می‌تواند انجام شود.

راه حل هشتاد درصدی
آیا راه حل هشتاد درصدی قابل قبول است؟ قبل از این‌که در این مورد صحبت کنیم، به مثال‌های زیر توجه کنید که به شما کمک می‌کند تا درک کنید راه حل هشتاد درصدی به چه معناست:
– چهار ساعت و ۴۸ دقیقه خوردن آب آشامیدنی ناسالم در هر روز.
– چهار ساعت و ۴۸ دقیقه سر کردن بدون برق در روز.
– یکی از هر پنج خودرو در جاده بدون ترمز باشد.
– یکی از هر پنج هواپیما بازرسی ایمنی معمول را رعایت نکند.
– یکی از هر پنج نمونه از کار خوب نباشد.
ما می‌توانیم ساعت‌ها این مثال‌ها را ادامه دهیم، اما اعتقاد داریم که شما متوجه موضوع شده‌اید. حتی شاید شما از طنز ما در این نوشته‌ها سپاس‌گذاری کنید.
این مثال‌ها برای نشان دادن این موضوع است که هر چند که ممکن است دشوار باشد، هنگامی که به کاهش مخاطرات می‌رسیم ما باید بر راه‌حل‌های صحیح تمرکز کنیم. همواره محدودیت در منابع وجود دارد. اما اگر هدف ما برای رسیدن به راه حل هشتاد درصدی باشد، شاید ما خیلی پایین‌تر از این‌ها قرار بگیریم.
اکنون اجازه دهید تا یک مثال را برای شما ذکر کنیم. اگر شما در بازار باشید و بخواهید چیزی را که ۵ دلار قیمت دارد، به قیمت سه دلار بخرید، نباید قیمت سه دلار را بدهید. شاید بهتر باشد که شما با پیشنهاد قیمت یک دلار شروع کنید و سپس شروع به چانه‌زدن با فروشنده کنید.
امنیت نیز متفاوت از آن نیست. اگر ما خطری در پیش رو داشته باشیم که نیاز به کاهش آن باشد، باید با شکستن آن به اهداف و اولویت‌های دیگر که ما در بخش‌های قبلی توضیح داده‌ام شروع کنیم. ما باید هدف خود را برای یافتن افراد، فرآیندها و فن‌آوری‌های صحیح برای پوشش دادن همه‌ی اهداف و اولویت‌های خود قرار دهیم تا بتوانیم به درستی خطر را کاهش دهیم. البته که در این راه سازش‌ها، چالش‌ها و سرخوردگی‌هایی پیش خواهد آمد. اما این‌ها بدان معنی نیستند که ما باید هدف خود را از ابتدا «به اندازه کافی خوب» قرار دهیم. ما همواره باید هدف خود را بر آنچه که نیاز است قرار دهیم. شما ممکن است بارها هنگامی که به درستی و با روی‌کردی مناسب به اهداف خود رو کرده‌اید، شگفت‌زده شده باشید.

نداشتن زمان برای راه‌برد مناسب
ما با توجه به کارهای عملیاتی خود درک می‌کنیم که باید زمانی برای توقف پیدا کنیم و نگاهی طولانی، ژرف و صادقانه به برنامه‌های امنیتی خود در مقایسه با آن چیزی که باید باشند بیاندازیم. اما ما این را هم متوجه شده‌ایم که گاهی اوقات سازمان‌ها زمان خود را صرف فعالیت‌هایی می‌کنند که همیشه دارای ارزش نیستند. این یک چرخه‌ی معیوب است، سازمان‌ها نمی‌توانند درک کنند که چرا آن‌ها تا این حد سرشان شلوغ است چرا که آن‌ها بیش از حد مشغول هستند تا به بررسی این موضوع بپردازند.
اگر چه این کار می‌تواند مشکل باشد، یک نیاز قطعی برای ایجاد وقفه و تفکر وجود دارد. بله، در کوتاه مدت ممکن است که برخی از منابع از کارهای روزمره کنار گذاشته شوند. اما در طولانی مدت، کار به درستی پیش خواهد رفت، اتخاذ روی‌کرد راه‌بردی، جامع و تحلیلی به امنیت می‌تواند موجب شود که از آن منابع کنار گذاشته شده استفاده‌ی بهتری صورت گیرد و به سازمان‌ها اجازه خواهد داد تا وضعیت امنیت سازمان خود را به مراتب سریع‌تر و کارآمدتر از هر روش دیگری که می‌خواهند به کار ببرند، بهبود بخشند.

فکر کردن در مورد هزینه‌ی کلی
هنگامی که افراد می‌گویند: «ما می‌خواهم ارزان‌ترین گزینه را انتخاب کنم»، آنچه که ما اغلب از آن درک می‌کنیم این است که «ما می‌خواهیم ارزان‌ترین پیش‌پرداخت را انجام دهیم.»
هنگامی که سازمان‌ها در مورد هزینه‌ی یک راه حل فکر می‌کنند، آن‌ها باید در مورد هزینه‌ی کلی آن صحبت کنند. همان‌طور که شما ممکن است انتظار داشته باشید، این کار پیچیده‌تر از صرفاً هزینه‌ی اولیه به علاوه‌ی هزینه‌های تعمیر و نگهداری است.
همان‌طور که ما و بسیاری دیگر در این مورد قبلاً بحث کرده‌ایم، خود فن‌آوری یک راه‌حل نیست. راه‌حل‌ها عبارتند از ترکیب صحیحی از افراد، فرآیندها، و فن‌آوری‌ها. هیچ‌کدام از این سه عنصر اصلی نمی‌توانند به تنهایی راه‌حلی برای مشکل شما باشند. علاوه بر این، محاسبه‌ی هزینه‌ی کلی می‌تواند تا حدودی گول‌زننده باشد و حتی در برخی از موارد شخص را گمراه کند. منظور ما از این حرف چیست؟ بیایید یک نگاهی بیاندازیم.
هزینه‌ی کلی یک راه‌حل ارائه‌شده شامل برخی از هزینه‌های آشکار و ملموس نظیر این موارد هستند:
• املاک و مستغلات (هزینه‌های مکان و فضا)
• منابع انسانی برای کار روی راه‌حل‌ها و حفظ و نگه‌داری آن‌ها
• منابع انسانی برای استفاده از راه‌حل‌ها
• توان و نیرو
• هزینه‌ی وسایل فن‌آوری که برای انجام راه‌حل لازم است.
• منابع انسانی به منظور توسعه و پیگیری فرآیندهای پی در پی راه‌حل
• آموزش

این یک فهرست جامع نیست، اما برای این‌که خواننده منظور ما را از یک هزینه‌ی ملموس و واضح متوجه شود کافی است. اما هزینه‌های کمتر مشهود و ناملموس چه می‌شوند؟ در اینجا مثالهایی از این دسته آورده می‌شود:
• افراد، فرآیندها و فن‌آوری‌های دیگری که برای معرفی پیچیدگی‌های بیشتر به محیط عمل لازم هستند.
• منابع انسانی اضافی لازم برای غربال کردن اختلالاتی که توسط یک راه‌حل ضعیف و مشکل‌دار ایجاد شده‌اند.
• هزینه‌های عملیات و تعمیر و نگهداری مربوط به یک راه‌حل که نیاز به توجه بیشتر از حد انتظار و یا بودجه‌بندی بیشتری دارد.
• حوادثی چون نفوذهای طولانی مدت و هزینه‌های مالی آن‌ها که در اثر ناتوانی‌ از تشخیص نامناسب و ضعف کشف علائم اختلالات ایجاد می‌شوند.
• راه‌حل‌های اضافی که برای برآورده‌ کردن نیازهای عملیاتی لازم هستند و برای غلبه بر مشکلات ناشی از یک راه‌حل نامطلوب صورت می‌گیرند.

همچنان‌که می‌توانید ببینید، نگاه کردن به هزینه‌های اولیه به تنهایی می‌تواند گمراه‌کننده باشد. محاسبه‌ی هزینه‌ی کلی مالکیت TCO می‌تواند پیچیده باشد، اما این تمرینی است که مزایای زیادی برای سازمان‌هایی که محاسبات را به درستی انجام می‌دهند در بر دارد. تنها از طریق فهم صحیح TCO‌ می‌توان راه‌حل صحیح را برای سازمان انتخاب کرد.
بدیهی است که هر سازمانی محدودیت‌ها و گرفتاری‌های خاص خود را دارد. اما این بدان معنی نیست که باید صرفاً به سمت «به اندازه‌ی کافی خوب بودن» حرکت کنیم. به جای آن، یک سازمان همواره باید بر آنچه که متناسب با اهداف و اولویت‌های راه‌بردی آن سازمان است و به بهبود وضعیت امنیتی آن به شکلی مؤثر و کارآمد می‌پردازد، تمرکز کند. شما فکر می‌کنید که ما می‌گوییم این کار آسانی است؟‌ مطلقاً خیر. اما این بدان معنی نیست که ما نباید برای انجام آن تلاش کنیم. هزینه‌ی واقعی «به اندازه‌ی کافی خوب بودیم» به سادگی بیش از حدی که تصور می‌شود در مقابله با خطرات بالاست.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap