به گفته Skybox Security، رویکردهای امنیتی سنتی که بر اقدامات واکنشی، شناسایی و پاسخ و فرآیندهای دستی خسته کننده تکیه دارند، نمیتوانند با حجم، تنوع و سرعت تهدیدات فعلی همگام شوند. در نتیجه، ۲۷ درصد از کل مدیران اجرایی و ۴۰ درصد از سازمانها میگویند که آنها برای تغییر سریع چشمانداز تهدید امروز آمادگی خوبی ندارند
نقطه عطفی برای امنیت سایبری متعارف
بهطور متوسط، سازمانها در سال ۲۰۲۱، ۱۵ درصد بیشتر از سال ۲۰۲۰ حوادث امنیت سایبری را تجربه کردند. علاوه بر این نقضهای مادی که به عنوان ضرر زیادی ایجاد میکنند، بسیاری از رکوردها را به خطر میاندازند، یا تأثیر قابلتوجهی بر عملیات تجاری دارند ۲۴.۵ درصد افزایش یافت.
چهار علت اصلی مهمترین نقضهای گزارششده توسط سازمانهای آسیبدیده عبارت بودند از:
- خطای انسانی
- تنظیمات اشتباه
- نگهداری ضعیف/عدم رعایت امنیت سایبری
- داراییهای ناشناخته
ران آبرامسون، تحلیلگر اطلاعات تهدید، آزمایشگاه تحقیقاتی اسکایباکس، میگوید: آنچه در این فهرست قابل توجه است این است که همه این شرایط ناشی از اشتباهات یا فرآیندهای دستی در داخل سازمانها هستند - به این معنی که در اصل همه آنها قابل اجتناب هستند. پیامد واضح این است که، هر چقدر هم که تهدیدات خارجی مخرب تبدیل شده اند، تیمهای امنیت سایبری همچنان قدرت دفع آنها را دارند و این خبر خوب است: با شیوهها و ابزارهای مناسب - از جمله اتوماسیون برای به حداکثر رساندن کارایی و حداکثر استفاده از کارکنان محدود - میتوان از تخلفات جلوگیری کرد.
رویکرد مبتنی بر ریسک از تخلفات جلوگیری میکند
این مطالعه مدیران را مورد بررسی قرار داد و سرمایهگذاریها، شیوهها و عملکرد ۱۲۰۰ شرکت و سازمان بخش عمومی در ۱۶ کشور و طیف وسیعی از صنایع را در زمینه امنیت سایبری تحلیل کرد. این بزرگترین مطالعه سنجش امنیت سایبری با تصمیم گیرندگان سطح C است که تاکنون انجام شده است. یافتههای تحقیق نشان میدهد که رویکردهای متعارف امنیت سایبری کوتاهمدت هستند و سازمانهایی که به استراتژیهای مدرن و مبتنی بر ریسک روی میآورند در پیشگیری از نقضها موفقتر هستند.
اگرچه سازمانها بهطور متوسط در دو سال گذشته شاهد افزایش قابلتوجهی در حوادث و نقضهای مادی بودهاند، اما زیرمجموعهای مجزا دارای تخلفات اندکی بوده یا اصلاً نقض نشده است. بنابراین، چه چیزی این سازمانهای استثنایی را متمایز میکند؟ محققان دریافتند که شرکتهایی که تخلفات کمتری داشتند از دو جنبه اساسی با بقیه شرکتها متفاوت بودند:
۱. سازمانهایی که از رخنهها جلوگیری میکردند، در پیشرفت امنیت سایبری بر اساس چارچوب NIST رتبهبندی بالاتری داشتند. این چارچوب که توسط NIST ایجاد شده است، دستورالعملهایی را ارائه میکند که به شرکتها کمک میکند بلوغ امنیت سایبری خود را در فعالیتهایی مانند شناسایی و پاسخ به حوادث ارزیابی و بهبود بخشند.
۲. فراتر از چارچوب NIST، سازمانهایی که هیچ تخلفی نداشتند، آنچه را که محققان «رویکرد مبتنی بر ریسک» به امنیت سایبری مینامند، اتخاذ کردند. چهل و هشت درصد از سازمانهایی که در سال ۲۰۲۱ هیچ تخلفی نداشتند، استراتژیهای مدیریت امنیت سایبری مبتنی بر ریسک را اجرا کرده بودند. آنها همچنین در معیارهای کلیدی امنیت سایبری عملکرد بهتری داشتند: ۴۶ ٪ عملکردهای برتر در زمان پاسخگویی به نقض و ۵۰ ٪ عملکردهای برتر در زمان پاسخگویی داشتند.
با نگاهی دقیقتر به اجزای یک رویکرد مبتنی بر ریسک و شیوههای خاصی که سازمانهای ریسک محور را از همتایان کمتر ماهرشان متمایز میکند، این مطالعه معیار نشان داد که رهبران مبتنی بر ریسک در حوزههای کلیدی فراتر از چارچوب NIST، از جمله:حمله به دید سطح و زمینه - شبیه سازی حمله - تجزیه و تحلیل نوردهی - امتیازدهی ریسک - ارزیابیهای آسیب پذیری - تحقیق (هوش تهدید) - ارزیابی و ادغام فناوری - تأثیر مدیریت موفقیت آمیز امنیت مبتنی بر ریسک - در مقابل رویکرد قدیمی وضعیت موجود، شناسایی و پاسخ - در این تحقیق اندازه گیری میشود. با پیشگیری یا کاهش تخلفات، روشهای مبتنی بر ریسک میتوانند سالانه میلیونها دلار صرفهجویی در شرکتها داشته باشند و از آسیبهای بیشمار به شهرت، اعتماد مشتری، روحیه شرکت و جایگاه بازار جلوگیری کنند.
مدیر عامل و بنیانگذار Skybox Security گفت: برای جلوگیری از نقض، CISOها باید یک تغییر استراتژیک از بازی سنتی شناسایی آسیب پذیریها و صرفاً رعایت چارچوبهای امنیت سایبری به سمت اتخاذ دیدگاه استراتژیک مبتنی بر ریسک برای کاهش مواجهه واقعی انجام دهند.