security

تهدیدات امنیتی نوظهور

تهدیدات امنیتی نوظهور

در طی سال آینده، پنج تهدید مجزا یک تاثیر عمده را به همراه خواهند داشت: نرخ نفوذهای امنیتی را افزایش خواهند داد. این دیدگاه انجمن امنیتی اطلاعات یا همان ISF است، این شرکت یک شبکه‌ی بین‌المللی از بیش از ۱۰ هزار متخصص امنیت است. این پنج تهدید اصلی برای امنیت سایبری عبارت‌اند از: تکامل مستمر…

تهدیدات امنیتی نوظهور

در طی سال آینده، پنج تهدید مجزا یک تاثیر عمده را به همراه خواهند داشت: نرخ نفوذهای امنیتی را افزایش خواهند داد. این دیدگاه انجمن امنیتی اطلاعات یا همان ISF است، این شرکت یک شبکه‌ی بین‌المللی از بیش از ۱۰ هزار متخصص امنیت است.
این پنج تهدید اصلی برای امنیت سایبری عبارت‌اند از:
  1. تکامل مستمر انجام جرایم سایبری به عنوان یک سرویس (انجام اقدامات مجرمانه‌ی سایبری در ازای دریافت پول توسط مجرمان سایبری)
  2. تاثیر خطرات مدیریت‌نشده‌ی اینترنت اشیاء
  3. پیچیدگی مقررات
  4. زنجیره‌ی تامین
  5. عدم تطابق بین انتظارات و توان امنیتی
اِستیو ، مدیرعامل شرکت ISF توضیح داد: «بزرگترین نگرانی خود من تاثیر رو به رشد انجام جرایم سایبری به عنوان یک سرویس است. این مسأله یکی از نتایج طبیعتِ به طور فزاینده حرفه‌ایِ جرایم سایبری سازمان‌یافته است.»
اِستیو گفت: «انجام جرایم سایبری به عنوان یک سرویس بسیار متداول شده است، و تشکیلات مخربی وجود دارند که برای مجرمان سایبری مبتدی امکان دسترسی آسان را فراهم می‌کنند. من فکر می‌کنم ما در سال آینده حملاتی خواهیم دید که بسیار پیشرفته‌تر و هدفمندتر هستند. یکی از مشکلاتی که با آن‌ها روبه‌رو هستیم این است که مجرمان سایبری در به اشتراک‌گذاری اطلاعات بسیار خوب عمل کرده و قادر به انجام کارهایی هستند که شاید خیلی ها نتوانند به خوبی از پس آن‌ها برآیند.»
او می‌گوید:‌ «دلیل اصلی این عملکرد خوب این است که جرایم سازمان‌یافته به وب تاریک منتقل شده‌اند، که به نظر من جایی شبیه یک شرکت بسیار بزرگ است.»
وی افزود: «یک سازمان پوششی وجود دارد که ما آن‌را جرایم سایبری می‌نامیم. تحت این سازمان ما گروه‌های بسیار بزرگی را می‌بینیم که به صورت حرفه‌ای به جرایم سایبری (جرایم سازمان‌یافته) می‌پردازند، و به وضوح به دنبال جذب نیروی تازه‌ و توسعه اقدامات خود هستند، و به راحتی می‌توانند محصولات و سرویس‌های خود را به دیگران بفروشند. وقتی من می‌گویم که مجرمان سایبری در برقراری ارتباط بسیار بهتر شده‌اند، منظور من این است که این مجرمان مانند شرکت‌های بسیار خوب عمل می‌کنند: آن‌ها برنامه‌های بازاریابی دارند؛ برنامه‌های تبلیغاتی دارند؛ همچنین در ارتباط با برخی سرویس‌ها هستند که به عنوان بخشی از انجام جرایم سایبری به عنوان یک سرویس در دسترس هستند. آن‌ها روش‌ها و کیت‌های بهره‌برداری خود را به اندازه‌ای به اشتراک می‌گذارند که رقبا نتوانند از آن‌ها استفاده کنند. در سطوح بسیار پیشرفته‌تر، جرایم سایبری بسیار شبیه به کسب‌وکارهای حرفه‌ای عمل می‌کنند.»
استیو  می‌گوید: «چند گروه جرایم سایبری سازمان‌یافته به نام «مگا» وجود دارند که از چند گروه کوچک و بسیار توانمند تشکیل شده‌اند، این گروه‌ها از دولت‌های کشور شوروی سابق به وجود می‌آمدند. اما چیزی که بیشتر باعث نگرانی می‌شود این است که گروه‌هایی تظاهرگر سازمان‌نیافته‌ای نیز اقدام به انجام جرایم سایبری به عنوان یک سرویس عمل می‌کنند. این گروه‌ها باعث خرابکاری و بدتر شدن وضع موجود می‌شود؛ باج‌افزارها نمونه‌ای از این گروه‌ها هستند.»
او توضیح داد: «می‌دانیم که هدف مجرمان سایبری از توزیع باج‌افزارها به دست آورن پول است. یک بازی وجود داشت که هر کسی نقش خودش را می‌دانست. مجرمان سایبری بدفزارهایی را در سامانه‌ها قرار می‌دادند تا ما نتوانیم به اطلاعات خود دسترسی داشته باشیم، بنابراین مجرمان یک مقدار مشخصی پول از قربانیان دریافت می‌کردند.»
او ادامه داد: «این کار به اندازه‌ی کافی برای مجرمان سایبری سودآور بود، اما از آن‌جایی که قربانیان نمی‌خواستند یا نمی‌توانستند باج درخواست‌شده را پرداخت کنند، آن‌ها سود زیادی را به دست نمی‌آوردند. آنچه ‌که ما اکنون شاهد آن هستیم این است که نسخه‌هایی از باج‌افزارها از این قوانین پیروی نمی‌کنند. به عنوان مثال، پس از پرداخت باج‌افزار کلیدهای رمزگشایی اطلاعات در اختیار قربانیان قرار نمی‌گیرند؛ و این باعث نگرانی می‌شود زیرا قوانین بازی عوض شده است. به طور خلاصه، ارائه‌ی محصولات جرایم سایبری از طریق انجام جرایم سایبری به عنوان یک سرویس دچار هرج‌ومرج و بی‌قانونی می‌شود، و این مسأله باعث می‌شود برنامه‌ریزی یک وضعیت برای مدافعان سخت شود، و جرایم سایبری سازمان‌یافته نتوانند سازمان‌یافته باقی بمانند.»
وی افزود: «جالب خواهد بود که ببینیم آیا اقداماتی برای تنظیم مقررات جرایم سایبری ظهور خواهد کرد یا خیر. ممکن است برخی از گروه‌های سایبری بزرگتر به این نتیجه برسند که مجرمان سایبری در حال ظهور برای کسب‌وکار آن‌ها بد هستند و تصمیم بگیرند که در این رابطه اقداماتی انجام دهند.»
تهدید دوم مربوط اینترنت اشیاء است، و از دو جهت نگران‌کننده است. اول این‌که دستگاه‌های خانگی ناامن هستند، گذرواژه‌های پیش‌فرض همیشه عوض نمی‌شوند، و مردم در خانه کار می‌کنند. اما چیزی که واقعا موجب نگرانی استیو  می‌شود وجود اینترنت اشیاء در زیرساخت حیاتی است. او گفت: «قوانین و مقررات کار خواهند کرد اگر ما از یک تکه کاغذ خالی شروع کنیم، اما ما این کار را نمی‌کنیم. ما سال‌هاست که نصب دستگاه‌های تعبیه‌شده را در زمینه‌ی تولید انجام می‌دهیم. در آن زمان تولیدکنندگان مسأله‌ی امنیت را مورد توجه قرار ندادند، و سازمان‌ها دید واضحی نسبت به دستگاه‌هایی که مورد استفاده قرار می‌دهند، ندارند.»
او یک شرکت عضو سازمان که در فهرست Forbes Global 2000 نیز بود را مثال زد که کارخانه‌ی خود را بست. وی گفت: «در خلال این تعطیلی، برخی از ماشین‌آلات دوباره شروع به کار کردند، زیرا در آن کارخانه چند دستگاه اینترنت اشیاء برخط وجود داشت که آن‌ها از وجود این دستگاه‌ها اطلاع نداشتند. این شرکت بخش‌هایی از اینترنت اشیاء خود را فراموش کرده بود؛ اما همان بخش ها توانستند خودسر این ماشین‌آلات را دوباره راه‌اندازی کنند.»
سومین تهدید در حال ظهور زحمت و پیچیدگی روزافزای نظارت است. اگرچه این مسأله برای بهبود امنیت طراحی شده است، اما استیو نگران است که این مقررات باعث شود که توجه و منابع از ابتکارات امنیتی مهم دور شود. مقررات حفاظت از اطلاعات عمومی (GDPR) یک مثال عالی برای پیچیدگی مقررات و عدم درک سهام‌داران است. اما بعید است که GDPR تنها مقررات جدیدی باشند که به اجرا درمی‌آیند، و او نگران است که افزایش زحمت و پیچیدگی نظارت و اختلاف قانون‌گذارها در حوزه‌ی قضایی باعث افزایش بار مسئولیت کسب‌وکارهای چند ملیتی و کسب‌وکارهایی که تجارت‌های بین‌المللی انجام می‌دهند، شود.
چهارمین و پنجمین تهدید در حال ظهور که زنجیره‌ی تامین، و یک عدم تطابق بین انتظارات مدیران و قابلیت‌های امنیتی هستند، واقعا مانند دو روی یک سکه هستند. با این‌که مدیران ارشد به طور فزاینده‌ای درباره‌ی امنیت نگران بوده و همچنین به طور فزاینده‌ای در برابر امنیت شرکت مسئول هستند، اما آن‌ها هنوز دقیق نمی‌دانند که گروه امنیتی آن‌ها چه کاری انجام می‌دهد یا حتی این گروه قادر به انجام چه کارهایی است. این مسأله همچنین درباره‌ی سازمان‌های مرتبط با شخص ثالث، شخص چهارم و بالاتر (زنجیره‌ی تامین) نیز صادق است. اما اگر مدیران واقعا توانایی‌های امنیتی خود را درک نکنند، درباره‌ی امنیت زنجیره‌ی تامین حتی درک کمتری خواهند داشت؛ و این یک بردار تهدید است که به‌واسطه‌ی رایانه‌ای شدن کسب وکارها به سرعت در حال رشد است.
استیو معتقد است تنها راه‌حل می‌تواند این باشد که میان تمام اشخاص،گروهی سازمان یافته پدید آید  و گروه امنیتی به جای این‌که یک بخش مجزا باشد به یک مفهوم یکپارچه تبدیل شود. او گفت:‌ «من اغلب درباره‌ی روزی صحبت می‌کنم که سازمان‌ها اطلاعات زیادی از امنیت دارند و امنیت به طور کامل با عملکردهای کسب‌وکار یکپارچه شده است . امنیت باید در طراحی سازمان قرار بگیرد. ما راه طولانی را برای رسیدن به آن نقطه در پیش داریم.»
شاید تنها زمانی که قرار گرفتن امنیت در طراحی شرکت‌ها به واقعیت تبدیل شود، می‌توان پنج تهدیدی که توسط ISF مطرح شده‌اند را تحت کنترل درآورد. در عین حال، استیو  فکر می‌کند که نفوذها افزایش خواهند یافت، و چشم‌انداز امنیتی پیش از آن‌که بهتر شود، بدتر خواهد شد.

شاید این مطالب نیز برای شما جالب باشد

مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند

مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند

مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند مدیران ارشد امنیت اطلاعات (CISO) برای ایمن سازی...

بررسی و بهبود استراتژی های بنیادی امنیت سایبری

بررسی و بهبود استراتژی های بنیادی امنیت سایبری

بررسی و بهبود استراتژی های بنیادی امنیت سایبری کتاب بیگ بنگ دیجیتال (The Digital Big Bang) پس از بررسی های گسترده توسعه اینترنت و نقاط ضعف امنیتی...

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد سوفوس در گزارش سه ماهه سوم 2019 The Forrester Wave™: Endpoint Security Suites لقب پیشگام...

افزایش ریسک با افزایش اپلیکیشن ها و حساب های کاربری

افزایش ریسک با افزایش اپلیکیشن ها و حساب های کاربری

امروزه برای تمام نیازها اپلیکیشن های مختلفی در دسترس کاربران قرار دارد. بر اساس آمار بدست آمده از اپلیکیشن های موبایل، هر فرد به طور...

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نوشته چارلز آرتور

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نوشته چارلز آرتور

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نویسنده :  چارلز آرتور این کتاب به شکلی غیرفنی و کاملاً قابل فهم به...

ارسال دیدگاه
مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند

مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند

مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند مدیران ارشد امنیت اطلاعات (CISO) برای ایمن سازی...

بررسی و بهبود استراتژی های بنیادی امنیت سایبری

بررسی و بهبود استراتژی های بنیادی امنیت سایبری

بررسی و بهبود استراتژی های بنیادی امنیت سایبری کتاب بیگ بنگ دیجیتال (The Digital Big Bang) پس از بررسی های گسترده توسعه اینترنت و نقاط ضعف امنیتی...

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد

سوفوس در گزارش Endpoint Forrester Wave سال 2019 لقب پیشگام را به خود اختصاص داد سوفوس در گزارش سه ماهه سوم 2019 The Forrester Wave™: Endpoint Security Suites لقب پیشگام...

اپلیکیشن های Cloud-Native به Cloud نیازی ندارند!

اپلیکیشن های Cloud-Native به Cloud نیازی ندارند!

قبل از هر چیزی لازم به ذکر است که کلود نیتیو (Cloud-Native)، بر خلاف نامش نیازی به کلود ندارد. این نام از یک رویکرد معماری ساخت اپلیکیشن گرفته شده...

افزایش ریسک با افزایش اپلیکیشن ها و حساب های کاربری

افزایش ریسک با افزایش اپلیکیشن ها و حساب های کاربری

امروزه برای تمام نیازها اپلیکیشن های مختلفی در دسترس کاربران قرار دارد. بر اساس آمار بدست آمده از اپلیکیشن های موبایل، هر فرد به طور...

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نوشته چارلز آرتور

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نوشته چارلز آرتور

مروری بر کتاب «جنگ های سایبری: هک هایی که دنیای کسب و کار را شوکه کرد» نویسنده :  چارلز آرتور این کتاب به شکلی غیرفنی و کاملاً قابل فهم به...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز