סקר סיכוני אבטחת מידע
השאירו פרטים כאן לקבלת מידע טלפוני אודות סקר סיכונים או התקשרו ל-03-7176281
סקר סיכונים – גישות ומתודולוגיות:
זיהוי הסיכונים לפגיעות בנכסי המידע הארגוניים, הוא תהליך ליבה בסיסי שנדרש להטמיע כאשר מבססים מערך לניהול אבטחת מידע.
יש מגוון גישות ומתודולוגיות לביצוע סקר סיכונים וחשוב להכיר את ההבדלים בין הגישות.
מהות סקר הסיכונים היא לזהות איומים על נכסי המידע הארגוניים, כדוגמת מידע פרטי של לקוחות, מאגרי מידע, מידע עסקי ומידע הנדסי. למעשה, כל מידע שזליגתו לגורמים לא מורשים יכול להזיק לפעילות הארגון או לבעלי העניין של הארגון.
בנוסף, סקר הסיכונים יזהה איומים על הפעילות העסקית והתפעולית של הארגון, ואת היכולות החיצוניות לשבש את רציפות הפעילות הארגונית. תחום אבטחת מידע כולל בתוכו רבדים רבים ותחומי פעילות שונים.
גישות לביצוע סקר סיכונים:
ניתן לחלק באופן פשוט את הנושא לשני צירים בולטים:
הציר הראשון הוא ציר הסייבר, כלומר כל מה שקשור להיבטים הטכנולוגיים של תשתיות הארגון – הגנת IT, OT, וכו'. בציר זה נזהה את הפגיעויות במגוון טכניקות של התקפה.
הציר השני מתייחס לארגון ושיטות, וכולל בתוכו מדיניות ארגונית, תהליכי עבודה ומודעות עובדים. מגוון שיטות חדירה לארגון מבוססות על "הנדסת אנוש" וניסיונות למניפולציה על הגורם האנושי בארגון.לכן, ארגון שמבקש לבצע סקר סיכונים יעיל ומקיף, חייב להתייחס לשני הצירים האלו, כיוון שהם משלימים אחד את השני ומהווים מכלול.
שיטות לביצוע סקרי סיכונים כגון: סריקת פגיעות (Vulnerability assessment), סקר איומים (Threat hunting) והערכת סיכוני אבטחת סייבר הן כולם פרקטיקות חשובות, המסייעות לארגונים להגן על המערכות והנתונים שלהם מפני איומי סייבר.
למרות שמושגים אלה עשויים להיראות דומים במבט ראשון, יש ביניהם הבדלים מובהקים ומשרתים מטרות שונות בתהליך הכולל של הגנה על נכסי הסייבר של הארגון.
סריקת פגיעויות (Vulnerability assessment) הוא תהליך זיהוי והערכה של נקודות התורפה הקיימות במערכות, רשתות ומכשירים של הארגון (כמו פאצים שאינם מותקנים/גרסאות תוכנה/מערכת הפעלה ישנות או קונפיגרציות לא מותאמות). ניתן לעשות זאת באמצעות כלי תוכנה מיוחדים הסורקים את נכסי הארגון לאיתור נקודות תורפה ידועות ומספקים דוח על הממצאים. סריקת פגיעות יכולה להתבצע על בסיס קבוע, כגון שבועי או חודשי, כדי להבטיח שכל פגיעות חדשה שהתגלתה מטופלת באופן מיידי.
סקר איומים (Threat hunting), לעומת זאת, כרוך בחיפוש פעיל וזיהוי איומים פוטנציאליים שאולי לא זוהו באמצעי אבטחה מסורתיים. זה יכול לכלול ניתוח תעבורת רשת ויומני מערכת, כמו גם שימוש בכלים מיוחדים לזיהוי חריגות או אינדיקטורים של שונים. סקר איומים הוא בדרך כלל גישה פרואקטיבית יותר לאבטחה, מכיוון שהוא כרוך בחיפוש פעיל אחר איומים במקום פשוט להגיב אליהם לאחר שהם זוהו.
הערכת סיכוני אבטחת מידע הינו תהליך של הערכת הסיכונים והפגיעויות הפוטנציאליות שעומדות בפני ארגון ופיתוח אסטרטגיות לצמצום או להעלים סיכונים אלו. זה יכול להיות כרוך בביצוע ניתוח יסודי של המערכות והנתונים של הארגון, כמו גם את האיומים הפוטנציאליים שהוא עלול להתמודד איתם. תהליך זה כולל לעתים קרובות בחינת תהליכים רחבה הכוללת ניהול IT, משאבי אנוש, רכש, רגולציה, ופיתוח תוכנה אשר שזורים יחד כדי לזהות ולתעדף סיכונים, ולפתח תוכנית לטפל בהם.
כל שלושת המושגים הללו חשובים להבטחת אבטחת המערכות ונכסי המידע של הארגון.
סריקת נקודות תורפה, לשם מה?
סריקת נקודות תורפה מסייעת לארגונים לזהות ולתקן נקודות תורפה במערכות שלהם לפני שניתן יהיה לנצל אותן על ידי תוקפים.
סקר איומים מסייע לארגונים לזהות ולטפל באיומים פוטנציאליים באופן יזום לפני שהם יכולים לגרום נזק.
הערכת סיכוני אבטחת סייבר ואבטחת מידע מסייעת לארגונים להבין ולהפחית את הסיכונים העומדים בפניהם, כך שהם יכולים להגן על עצמם טוב יותר מפני איומי סייבר.
שיטות העבודה הללו אינן סותרות זו את זו, לעתים קרובות ניתן להשתמש בהן בשילוב זה עם זה כדי לספק גישה מקיפה יותר לאבטחה.
לדוגמה, ארגון עשוי לערוך סריקות פגיעות רגילות כדי לזהות ולתקן פגיעויות במערכות שלו, תוך עיסוק בסקר איומים כדי לזהות ולטפל באיומים פוטנציאליים באופן יזום. זה יכול להיות חשוב במיוחד בנוף איומי הסייבר המתפתח יותר ויותר מורכב היום, שבו איומים חדשים צצים כל הזמן ואמצעי אבטחה מסורתיים עשויים שלא להספיק כדי להגן מפניהם.
בסופו של דבר, ההחלטה באיזו גישה לנקוט תהיה תלויה בצרכים ובמטרות הספציפיות של הארגון. ארגונים מסוימים עשויים לתת עדיפות לסריקת פגיעות והערכת סיכונים, בעוד שאחרים עשויים להתמקד יותר בסקר איומים ובזיהוי איומים יזום ואולי לבצע גם מבדק חדירות (Penetration test) מלא.
בכל מקרה, חשוב לארגונים לקבל הבנה מקיפה של הגישות השונות לאבטחת סייבר ולבחור את אלו שמתאימות בצורה הטובה ביותר לצרכים ולמטרות שלהם.
לא מספיק לזהות את הסיכונים, צריך לנהל אותם:
סקר סיכונים, ניהול סיכונים – לכאורה, מדובר על אותה פעילות. אולם, יש הבדל מהותי בין שני המושגים.
סקר סיכונים הוא פעילות נקודתית המתרחשת בתקופה מסוימת אשר ייעודה הוא "לצלם" תמונת מצב של הסיכונים להם הארגון חשוף. התוצר של תהליך כזה יהיה בדרך כלל דוח מפורט.
לעומת זאת, ניהול הסיכונים הוא התהליך ההמשכי של הסקר, וזהו תהליך רציף "חי" שמתמשך לאורך כל הפעילות. לאחר שזיהינו את הסיכונים, נידרש בתהליך הניהול להעריך את מידת ההשפעה של הסיכונים על פעילות הארגון, לנסח דרכים לצמצם את הסיכון ולשלב זאת בתכנית עבודה מסודרת.
תכנית העבודה תנוהל על פני השנה כולה, ובין השאר תכלול מנגנוני בקרה על הפעילות שהוגדרה לצמצום הסיכון.
ביצוע סקר ללא תהליך המשכי של ניהול פעילות צמצום הסיכון יהיה חסר ערך.
בסיכומו של עניין, לא מדובר על תהליך תבניתי סדור, אלא מתווה בדיקה שחייב להיות מאופיין בצורה מיטבית ע"י אנשי אבטחת מידע מומחים. אפיון הפרויקט חייב להתייחס מצד אחד לנכסי הארגון ותחום הפעילות, ומצד שני לדרישות הרגולטוריות החלות על הארגון.
רק לאחר זיהוי הגורמים האלו, תבוצע התאמה של אופן ביצוע הסקר ובחירה במתודולוגיה המתאימה לביצוע – לדוגמא NIST, ISO 27001, מתודולוגיית מערך הסייבר וכיוב'.
Gilad Beery
לכל המאמרים שלמעוניינים להתייעץ עם מומחי אבטחת המידע שלנו?
-
טלפון
-
Mordechai Rozanski 18
Rishon Lezion -
Sun - Thu
08:00-17:00