امنیت سایبری تداوم کسب و کار تیم آبی تیم بنفش

مدیران ارشد امنیت (CISO) باید در مورد توانمندی تیم‌های خود در برخورد با حملات سایبری برنامه‌ریزی مجدد کنند؛ ۵۷٪ رخدادها هرگز تمرین نشده‌اند!

تیم روزصفر۲۴ مهر, ۱۴۰۴

1,782 خواندن این مطلب 3 دقیقه زمان میبرد

بسیاری از سازمان‌ها تمایل دارند برای سناریوهای شناخته‌شده مانند حملات باج‌افزاری آماده باشند، اما وقتی با سناریوی غیرقابل پیش‌بینی روبه‌رو می‌شوند، آمادگی لازم را ندارند.

در دنیای امنیت سایبری، بسیاری از سازمان‌ها از تمرینات میز تمرینی (tabletop exercises) به عنوان یکی از ابزارهای آماده‌سازی برای مقابله با حملات استفاده می‌کنند. اما گزارش تازه‌ای نشان می‌دهد که ۵۷٪ از رخدادهای امنیتی مهم از نوع حملاتی بوده‌اند که تیم امنیتی سازمان هرگز برایشان تمرینی انجام نداده است — یعنی دقیقا همان سناریویی که باید آماده‌اش می‌شدند، مورد حمله قرار گرفته است.

به گزارش روز صفر این آمار هشدار بزرگی برای رؤسای ارشد امنیت اطلاعات (CISO) است: نه ‌تنها باید تمرین‌های میز تمرینی را بازنگری کنند، بلکه باید مطمئن شوند این تمرینات به اندازه کافی واقعی، متنوع و منعطف‌اند تا بر تهدیدات نوظهور نیز پوشش داشته باشند.

چرا تمرین‌های فعلی پاسخگوی نیاز سازمان‌ها نیست؟

طبق گزارش «وضعیت مدیریت واکنش به رخدادهای سایبری ۲۰۲۵» (Cytactic CIRM)، بسیاری از سازمان‌ها تمایل دارند برای سناریوهای شناخته‌شده مانند حملات باج‌افزاری آماده باشند، اما وقتی با سناریوی غیرقابل پیش‌بینی روبه‌رو می‌شوند، آمادگی لازم را ندارند.

به تعبیر گزارش، مزیت واقعی در توان طراحی تمریناتی است که متناسب با خطر، صنعت، ساختار سازمانی و پروفایل تهدیدها باشند. تمرین‌هایی که صرفا اسکلت کلی دارند یا تنها به سناریوهای بزرگ و رسانه‌ای می‌پردازند، نمی‌توانند تیم امنیت و کل سازمان را کاملاً آماده کنند.

یکی از نکات انتقادی که مشاوران امنیتی مطرح می‌کنند این است که برخی تمرینات میز تمرینی بیش از حد «خیالی یا آرمانی» هستند و از واقعیت فاصله دارند. در یک نمونه، در جریان تمرینی، برای اعضای تیم «تلفن‌های موقتی» (burner phone) تهیه شده بود تا در صورتی که حمله‌کننده بتواند ارتباطات معمول را شنود کند، بتوانند از تلفن جایگزین استفاده کنند. اما در اجرای تمرین، برخی اعضا نمی‌دانستند تلفن جایگزین کجا قرار گرفته یا چگونه باید از آن استفاده کنند.

مثالی دیگر این بود که در یک تمرین، فهرستی از افرادی که باید در زمان حمله تماس گرفته شوند تهیه شده بود. اما وقتی تیم مجبور شدند واقعاً تماس یا پیام ارسال کنند، معلوم شد بسیاری از شماره‌ها غیرفعال یا منسوخ هستند

ویلیام تونسند تحلیلگر ارشد موسسه Moor Insights & Strategy آقای Will Townsend می‌گوید: «ممکن است بهترین برنامه را داشته باشید، اما وقتی ایمیل برگشت می‌خورد یا تلفن‌ها پیدا نمی‌شود، همه چیز به هم می‌ریزد.»

پیشنهاد: تمرکز بر حملات کوچک و واقعی‌تر

یکی از پیشنهادهای قابل تامل در مقاله این است که به جای تمرکز بر سناریوهای بزرگ و چشم‌گیر، باید تمرینات میز تمرینی را به سمت حملات کوچک، تدریجی و واقعی‌تر هدایت کرد.

وینسنت استوفر (Vincent Stoffer)، مدیر ارشد فناوری یکی از شرکت‌های امنیتی، معتقد است که تمرین‌ها باید منعطف‌تر باشند و تمرکز بیشتری بر تاکتیک‌های ظریف مانند حرکت جانبی (lateral movement) یا استخراج داده آرام (quiet data exfiltration) داشته باشند که اغلب کمتر در تمرین‌ها شبیه‌سازی می‌شوند.

به گفته وی، مهاجمان معمولاً از روش‌هایی استفاده می‌کنند که کمتر قابل‌رویت‌اند—مثلاً بافاصله‌گرفتن از آلارم‌ها، استفاده از تکنیک‌های آشنا یا بهره‌برداری از نقاط ضعف ناشناخته. بنابراین تمریناتی که صرفاً بر اعلان آلارم یا تشخیص بدافزار تمرکز دارند، ممکن است کمکی به افزایش آمادگی واقعی تیم نکنند.

جف پولارد (Jeff Pollard)، تحلیلگر ارشد Forrester، نکته‌ای دیگر را مطرح می‌کند: در بسیاری از تمرینات، موضوع چگونگی تماس با افراد کلیدی در لحظات بحرانی نادیده گرفته می‌شود؛ مثلاً اگر CISO در آن لحظه در سفر باشد، چه کسی و چگونه باید با مشتریان، مدیر عامل، شرکا تماس بگیرد؟ آیا امکان استفاده از مدیر ارشد عملیاتی (COO) وجود دارد؟

پولارد همچنین هشدار می‌دهد که تمرینات نباید بیش از حد گسترده باشند، بلکه باید بر جزئیات حیاتی تمرکز کنند: “ما تلفن‌های جایگزین خریده‌ایم، ولی آیا آن‌ها شارژ شده‌اند؟ آیا اعضا شماره‌شان را می‌دانند؟ آیا در صورت قطعی کامل سیستم، نسخه کاغذی اطلاعات حیاتی وجود دارد؟”

چگونه میز تمرینی را آینده‌نگر کنیم؟

مشاوران امنیتی راهکارهایی ارائه می‌دهند تا تمرینات میز تمرینی واقع‌بینانه‌تر و اثربخش‌تر شوند:

از تیم داخلی یا شرکا استفاده کنید تا سناریوهایی را شبیه‌سازی کنند که به پروفایل تهدید سازمان شما نزدیک‌تر باشد.
مشارکت با دانشگاه‌ها یا مراکز پژوهشی تهدیدپژوهی برای طراحی تهدیدات تخیلی و ولی دارای قابلیت وقوع.
تمرکز بر تهدیدهای نوظهور مثل حملات بدون تعامل کاربر (drive-by compromises)، حملات DDoS کوتاه‌مدت (high-speed bursts) یا DDoS پراکنده (carpet-bombing) که ممکن است کمتر پیش‌بینی شوند.
طراحی سناریوهایی که فرض می‌کنند مقصد حمله سازمان‌های شریک است، نه الزاماً خود شما؛ این کار دید استراتژیک جدیدی به تیم می‌دهد.
قبول اینکه تمرینات میز تمرینی نمی‌توانند همه سناریوها را پوشش دهند؛ اما هر سناریویی که تمرین شود، «حافظه عضلانی» (muscle memory) ایجاد می‌کند و واکنش تیم به شرایط اضطراری را بهبود می‌بخشد.

بریان لوین (Brian Levine)، مدیر سازمان «FormerGov»، می‌گوید: «تمرین‌ها ممکن است بیشتر واکنشی باشند تا پیشگیرانه، چون ما نمی‌توانیم تمام حملات ممکن را پیش‌بینی کنیم، اما با تمرین برخی از سناریوها، عضله واکنش ایجاد می‌کنیم.»

برچسب ها