انتشار شده در تاریخ 1399/06/19 - 21:20

بررسی سطوح آسیب‌پذیری‌های امنیتی شرکتی

سطوح آسیب‌پذیری‌های امنیتی شرکتی بدتر از چیزی است که تصور می‌شود.

به گزارش کارگروه بین‌الملل سایبربان؛ ولکان سایبر (Vulcan Cyber)، شرکت امنیت سایبری اسرائیلی نتایج یک پروژه تحقیقاتی را برای سنجش بهتر تکامل برنامه‌های مدیریت آسیب‌پذیری شرکتی اعلام کرد.

به‌طور شگفت‌آور، 84 درصد پاسخ دهندگان احساس می‌کردند برنامه‌هایشان کامل است، اما به گفته شرکت، یک بررسی عمیق‌تر، تفاوت عمده بین درک و واقعیت را نشان داد. ولکان سایبر گفت که بیش از 100 رهبر امنیتی و فناوری اطلاعات، وضعیت فعلی مدیریت آسیب‌پذیری را در شرکت‌های آنها بررسی و نتایج را با مدل کامل اصلاح آسیب‌پذیری مقایسه کرده که برای کمک به شرکت‌ها در رفع آسیب‌پذیری‌ها و کاهش ریسک تجارت توسعه یافته است.

یانیف باردایان (Yaniv Bar-Dayan)، مؤسس و مدیرعامل شرکت اسرائیلی اعلام کرد :

«ما می‌دانیم که اکثر برنامه‌های مدیریت آسیب‌پذیری سازمانی نابالغ هستند. ما این موضوع را هر روز در این زمینه مشاهده می‌کنیم. ما نتایج نظرسنجی را با توجه به مدل تکامل خود ترسیم كردیم تا به رهبران فناوری اطلاعات كمك كنیم تمركز خود را از مدیریت ساده آسیب‌پذیری‌ها به اصلاح واقعی تغییر دهند. موضوعی که ما را غافلگیر کرد این بود که اکثر پاسخ دهندگان معتقد بودند که برنامه‌های آنها کامل بودند. با توجه به میزان نقض ناشی از آسیب‌پذیری‌های شناخته شده و غیرصحیح، ما یک قطع ارتباط شگفت‌آور را کشف کردیم که شایسته بررسی دقیق‌تری است.»

ولکان سایبر با شرکت آمریکایی پالس (Pulse) همکاری و از پلتفرم تحقیقات اجتماعی مدیران ارشد اطلاعات و مدیران ارشد امنیت اطلاعات و دیگر رهبران فناوری برای بررسی آمادگی برنامه‌های مدیریت آسیب‌پذیری شرکت استفاده کرد.

این بررسی نشان داد که کامل‌ترین عنصر برنامه‌های مدیریت آسیب‌پذیری سازمانی، اسکن آسیب‌پذیری (72 درصد) و به دنبال آن استفاده مؤثر از ابزارهای رفع آسیب‌پذیری (49 درصد) و اولویت‌بندی آسیب‌پذیری (44 درصد) است؛ به گفته شرکت اسرائیلی، 3 عنصر کمتر بالغ ترمیم شده، اصلاح مشارکتی (48 درصد)، اصلاح مداوم و خودکار (48 درصد) و همسویی تجاری با اهداف بهداشت سایبری (31 درصد) هستند.

همچنین 89 درصد تیم‌های امنیتی و فناوری اطلاعات حداقل مدت لازم را برای رفع آسیب‌پذیری‌ها با تیم‌های متقابل اعلام کردند : 42 درصد گزارش دادند که هر هفته زیاد یا بیش از حد (7 درصد) و 83 درصد شرکت‌ها نیز گفتند که زمان زیادی را برای همکاری با تیم‌های دیگر دارای 500 تا 1000 کارمند صرف می‌کنند.

براساس نظرسنجی انجام شده، تقریباً 50 درصد تیم‌های امنیتی و فناوری اطلاعات، مسئولیت عملکردهای اصلی اصلاح را بر عهده دارند و این نشان دهنده فرصتی برای تسهیل همکاری موثرتر و کارآمدتر با تعریف صحیح تقسیم کار است.

باردایان اظهار داشت :

«اولویت‌بندی و اسکن آسیب‌پذیری عملکردهای اساسی هستند، اما برنامه‌های بالغ محسوب نمی‌شوند. از نظر ما، تنگناهای برنامه بیشتر در چرخه اصلاح قرار دارند و این ناشی از همکاری بین تیمی ناکارآمد است. تغییر وضعیت موجود، سازمان‌ها را ملزم می‌کند تا فرآیندهای اصلاح خود را به‌روز و خودکار کنند. این یک کار سنگین است، اما یکی از برنامه‌های مدیریت آسیب‌پذیری را به سطح قدرتمندی برای کاهش بدهی‌های امنیتی و تقویت وضعیت امنیتی شرکتی تبدیل می‌کند.»