نقطه عطفی برای امنیت سایبری متعارف

به‌طور متوسط، سازمان‌ها در سال ۲۰۲۱، ۱۵ درصد بیشتر از سال ۲۰۲۰ حوادث امنیت سایبری را تجربه کردند. علاوه بر این نقض‌های مادی که به عنوان ضرر زیادی ایجاد می‌کنند، بسیاری از رکورد‌ها را به خطر می‌اندازند، یا تأثیر قابل‌توجهی بر عملیات تجاری دارند ۲۴.۵ درصد افزایش یافت.

چهار علت اصلی مهم‌ترین نقض‌های گزارش‌شده توسط سازمان‌های آسیب‌دیده عبارت بودند از:

- خطای انسانی
- تنظیمات اشتباه
- نگهداری ضعیف/عدم رعایت امنیت سایبری
- دارایی‌های ناشناخته

ران آبرامسون، تحلیلگر اطلاعات تهدید، آزمایشگاه تحقیقاتی اسکای‌باکس، می‌گوید: آنچه در این فهرست قابل توجه است این است که همه این شرایط ناشی از اشتباهات یا فرآیند‌های دستی در داخل سازمان‌ها هستند - به این معنی که در اصل همه آن‌ها قابل اجتناب هستند. پیامد واضح این است که، هر چقدر هم که تهدیدات خارجی مخرب تبدیل شده اند، تیم‌های امنیت سایبری همچنان قدرت دفع آن‌ها را دارند و این خبر خوب است: با شیوه‌ها و ابزار‌های مناسب - از جمله اتوماسیون برای به حداکثر رساندن کارایی و حداکثر استفاده از کارکنان محدود - می‌توان از تخلفات جلوگیری کرد.

رویکرد مبتنی بر ریسک از تخلفات جلوگیری می‌کند

این مطالعه مدیران را مورد بررسی قرار داد و سرمایه‌گذاری‌ها، شیوه‌ها و عملکرد ۱۲۰۰ شرکت و سازمان بخش عمومی در ۱۶ کشور و طیف وسیعی از صنایع را در زمینه امنیت سایبری تحلیل کرد. این بزرگترین مطالعه سنجش امنیت سایبری با تصمیم گیرندگان سطح C است که تاکنون انجام شده است. یافته‌های تحقیق نشان می‌دهد که رویکرد‌های متعارف امنیت سایبری کوتاه‌مدت هستند و سازمان‌هایی که به استراتژی‌های مدرن و مبتنی بر ریسک روی می‌آورند در پیشگیری از نقض‌ها موفق‌تر هستند.

اگرچه سازمان‌ها به‌طور متوسط ​​در دو سال گذشته شاهد افزایش قابل‌توجهی در حوادث و نقض‌های مادی بوده‌اند، اما زیرمجموعه‌ای مجزا دارای تخلفات اندکی بوده یا اصلاً نقض نشده است. بنابراین، چه چیزی این سازمان‌های استثنایی را متمایز می‌کند؟ محققان دریافتند که شرکت‌هایی که تخلفات کمتری داشتند از دو جنبه اساسی با بقیه شرکت‌ها متفاوت بودند:

۱. سازمان‌هایی که از رخنه‌ها جلوگیری می‌کردند، در پیشرفت امنیت سایبری بر اساس چارچوب NIST رتبه‌بندی بالاتری داشتند. این چارچوب که توسط NIST ایجاد شده است، دستورالعمل‌هایی را ارائه می‌کند که به شرکت‌ها کمک می‌کند بلوغ امنیت سایبری خود را در فعالیت‌هایی مانند شناسایی و پاسخ به حوادث ارزیابی و بهبود بخشند.

۲. فراتر از چارچوب NIST، سازمان‌هایی که هیچ تخلفی نداشتند، آنچه را که محققان «رویکرد مبتنی بر ریسک» به امنیت سایبری می‌نامند، اتخاذ کردند. چهل و هشت درصد از سازمان‌هایی که در سال ۲۰۲۱ هیچ تخلفی نداشتند، استراتژی‌های مدیریت امنیت سایبری مبتنی بر ریسک را اجرا کرده بودند. آن‌ها همچنین در معیار‌های کلیدی امنیت سایبری عملکرد بهتری داشتند: ۴۶ ٪ عملکرد‌های برتر در زمان پاسخگویی به نقض و ۵۰ ٪ عملکرد‌های برتر در زمان پاسخگویی داشتند.

با نگاهی دقیق‌تر به اجزای یک رویکرد مبتنی بر ریسک و شیوه‌های خاصی که سازمان‌های ریسک محور را از همتایان کمتر ماهرشان متمایز می‌کند، این مطالعه معیار نشان داد که رهبران مبتنی بر ریسک در حوزه‌های کلیدی فراتر از چارچوب NIST، از جمله:حمله به دید سطح و زمینه - شبیه سازی حمله - تجزیه و تحلیل نوردهی - امتیازدهی ریسک - ارزیابی‌های آسیب پذیری - تحقیق (هوش تهدید) - ارزیابی و ادغام فناوری - تأثیر مدیریت موفقیت آمیز امنیت مبتنی بر ریسک - در مقابل رویکرد قدیمی وضعیت موجود، شناسایی و پاسخ - در این تحقیق اندازه گیری می‌شود. با پیشگیری یا کاهش تخلفات، روش‌های مبتنی بر ریسک می‌توانند سالانه میلیون‌ها دلار صرفه‌جویی در شرکت‌ها داشته باشند و از آسیب‌های بی‌شمار به شهرت، اعتماد مشتری، روحیه شرکت و جایگاه بازار جلوگیری کنند.

مدیر عامل و بنیانگذار Skybox Security گفت: برای جلوگیری از نقض، CISO‌ها باید یک تغییر استراتژیک از بازی سنتی شناسایی آسیب پذیری‌ها و صرفاً رعایت چارچوب‌های امنیت سایبری  به سمت اتخاذ دیدگاه استراتژیک مبتنی بر ریسک برای کاهش مواجهه واقعی انجام دهند.