کنترل های امنیتی 20 گانه توسط موسسه امنیت اطلاعات ارائه شده است. این کنترل ها راهنمایی کلیدی و جامع برای استقرار کنترل های داخلی در حوزه امنیت اطلاعات می باشد. در این بخش کنترل بیستم یعنی تست نفوذ و عملیات تیم قرمز توصیف می شود.
شرح کنترل
سیاست، رویه ها و ساز و کارهای امنیتی سازمان همواره براساس طراحی های صورت گرفته، اجرا نمی شوند. از این رو کمابیش شکافی بین طراحی های مطلوب و پیاده سازی و اقدامات اجرایی وجود دارد. چنین شکافی عمدتا توسط هکرها سواستفاده قرار می گیرد. به عنوان مثال ممکن است پیکره بندی های امنیتی طراحی شده برای یک تجهیز در عمل به درستی پیاده نشود، فرآیند مدیریت رخداد نتواند به درستی نسبت به رخدادهای امنیتی واکنش نشان دهد. یا اینکه از زمان شناسایی یک تهدید امنیتی تا به روزرسانی نرم افزارها و نصب وصله های مذکور مسیر مشخصی طی نشده و واکنش به موقع انجام نشود. تمامی این موارد باعث می شوند کنترل های امنیتی مختلفی که در سازمان تعبیه شده اند به درستی عمل نکرده و تهدیدها بتوانند موثر واقع شوند. اثربخشی این کنترل ها در واقع نشان دهنده میزان استحکام و قدرت توان دفاعی سازمان است.
توان دفاعی قوی رمز پایداری سازمان در مقابل تهدیدها است. برای اینکه سازمان نسبت به مناسب بودن توان دفاعی خود و آمادگی مطلوب اطمینان حاصل کند، باید به صورت دوره ای آزمون های لازم انجام شود. خصوصاً زمانی که فناوری به سرعت در حال تغییر است، چنین آزمون هایی از اهمیت بیشتری برخوردار می باشد. تست نفوذ یکی از این آزمون ها می باشد.
تست نفوذ با شناسایی نقاط آسیب پذیر سازمان آغاز می شود. نقاطی که در سازمان با آسیب پذیری جدی روبرو هستند در این آزمون ها شناسایی شده و مورد ارزیابی قرار می گیرند. نتایج تست ها مشخص می سازد که کنترل های تعبیه شده تا چه حد در حفاظت از سازمان در مقابل آسیب پذیری ها موثر هستند.
عملیات تیم قرمز نیز با ارزیابی و بهبود همه جانبه سیاست ها، رویه ها و ساز و کارهای امنیتی در سازمان انجام می شود. طی این عملیات با انجام ارزیابی های مختلف، فرصت های بهبود امنیت اطلاعات در سازمان شناسایی شده و افراد برای تحقق چنین بهبودهایی آموزش های لازم را می گذرانند. این تیم ها می توانند به صورت مستقل و خارج از سازمان بوده تا بتوانند بدون جانبداری و با حفظ بی طرفی از وضعیت موجود ارزیابی دقیقی داشته باشند.
آزمون های کنترل
- آیا برنامه مشخصی برای انجام تست نفوذ در سازمان وجود دارد؟
- آیا تست نفوذ توسط تیم حرفه ای و با سناریوهای کامل در حوزه های زیرساختی و سیستمی انجام می شود؟
- آیا نتایج تست نفوذ به درستی تحلیل و ارزیابی شده و براساس آن ضعف های موجود جبران می گردد؟
- آیا برنامه مشخصی برای عملیات تیم قرمز در نظر گرفته شده است؟