بخش شصت
آموزش رایگان سکیوریتی پلاس، مدیریت ریسک چیست و چرا مهم است؟
بخش بزرگی از تامین امنیت اطلاعات به توانایی ارزیابی ریسک‌های پیرامون دارایی‌های سازمان و شناسایی تکنیک‌هایی است که باید برای کاهش این خطرات استفاده کرد. بر همین اساس ضروری است با فرآیند تجزیه و تحلیل ریسک و نحوه انجام ارزیابی ریسک آشنا شوید. درک خوب این مفاهیم کمک می‌کند به سوالات ارزیابی ریسک در آزمون سکیوریتی پلاس بدون مشکل پاسخ دهید.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

بررسی اجمالی تحلیل ریسک

داشتن دانش برای انجام تجزیه و تحلیل ریسک، یا ارزیابی، یک مهارت مهم برای یک متخصص امنیتی است، زیرا تعدادی از مفاهیم امنیتی مختلف از ارزیابی ریسک به عنوان نقطه شروع استفاده می‌کنند. به عنوان مثال، ارزیابی امنیتی معمولاً با انجام ارزیابی ریسک شروع می‌شود تا بتوانید منابعی را که به امنیت نیاز دارند شناسایی کنید. همچنین، اجرای طرح تداوم کسب و کار شامل انجام یک تحلیل نوع ریسک به‌نام تحلیل تاثیر تجاری (BIA) سرنام business impact analysis  است.

هدف کلی از تجزیه و تحلیل ریسک، شناسایی دارایی‌های درون سازمان و ارزش آن‌ها است تا بتوانید تهدیدات پیرامون دارایی‌ها را شناسایی کنید. پس از شناسایی تهدیدات، نحوه اتخاذ اقدامات متقابل برای غلبه بر این تهدیدات نقش مهمی در حفظ امنیت دارد و در عین حال اطمینان می‌دهد که اقدام متقابل هزینه جانبی زیادی به سازمان وارد نمی‌کند. این یک نکته کلیدی در ارتباط با تجزیه و تحلیل ریسک است، زیرا صرف چند ده میلیون تومان تنها برای یک راه‌حل به منظور کاهش مخاطرات پیرامون یک دارایی که شاید ارزش آن به چند میلیون تومان نمی‌رسد، منطقی نیست.

قبل از این‌که شما را با فرآیند تحلیل ریسک آشنا کنم، می‌خواهم عباراتی را که در بحث تحلیل ریسک استفاده می‌شوند، فهرست کنم. شما باید با اصطلاحات مربوط به تجزیه و تحلیل ریسک زیر برای آزمون سکیوریتی پلاس آشنا باشید:

  • دارایی (Asset): منبعی که سازمان شما برای عملکرد به آن نیاز دارد.
  •  آسیب‌پذیری (Vulnerability): ضعف در پیکربندی سخت‌افزار یا نرم‌افزار.
  • تهدید (Threat): رویدادی که می‌تواند به دارایی آسیب برساند.
  • بردار تهدید (Threat vector): ابزار یا مکانیزمی است که هکر برای سوء استفاده از یک ضعف در یک سیستم استفاده می‌کند.
  • عامل تهدید (Threat actor): شخصی (هکر) که از بردار تهدید برای به خطر انداختن سیستم استفاده می‌کند.
  • هدف تهدید (Threat target): سیستم یا دستگاه مورد حمله.
  • ریسک (Risk): زمانی که تهدید یک دارایی می‌تواند به سازمان آسیب برساند که معمولاً منجر به زیان مالی می‌شود.
  • تجزیه و تحلیل ریسک (Risk analysis): شناسایی و برنامه‌ریزی تکنیک‌هایی برای کاهش ریسک و مدیریت آن‌ها در سازمان.

فرآیند تحلیل ریسک (Risk Analysis Process)

  • مهم است که هنگام انجام تجزیه و تحلیل ریسک، فرآیندی را دنبال کنید تا مطمئن شوید که تمام تهدیدات و خطرات مرتبط با دارایی‌های خود را شناسایی می‌کنید. پیروی از فرآیند تجزیه و تحلیل ریسک به شما امکان می‌دهد تکنیک‌های درستی را برای کاهش خطرات به کار ببرید. بر همین اساس مهم است با روند تجزیه و تحلیل ریسک و فرآیندهای مختلف آن آشنا شوید.

شناسایی دارایی‌ها (Identify Assets)

اولین مرحله از انجام تجزیه و تحلیل ریسک که به عنوان ارزیابی ریسک نیز شناخته می‌شود، شناسایی دارایی‌های درون سازمان و ارزش آن دارایی‌ها است. این مرحله به عنوان شناسایی دارایی نیز شناخته می‌شود. به عنوان مثال، اگر یک شرکت از طریق فروش محصولات به صورت آنلاین درآمد کسب کند، سرور وب میزبان وب‌سایت تجارت الکترونیک به عنوان دارایی شرکت در نظر گرفته می‌شود.

در طول این مرحله، مطمئن شوید که به جای نگرانی در مورد مواردی مثل تهدیدهایی که پیرامون دارایی‌ها وجود دارد، روی شناسایی دارایی‌ها تمرکز کرده‌اید. تنها با تمرکز بر آن‌چه که دارایی‌ها در نظر گرفته می‌شوند، قادر به شناسایی همه دارایی‌های ارزشمند سازمانی هستید. فهرستی از دارایی‌هایی که در همه سازمان‌ها وجود دارد به شرح زیر است:

  • سخت‌افزار و نرم‌افزار
  • اطلاعات و داده‌های سازمان
  • ساختمان(ها)
  • موجودی و پول نقد
  • پرسنل
  • شهرت و نام تجاری سازمان
  • سیستم‌ها و خدمات رایانه‌ای

 هنگام شناسایی دارایی‌های خود، مراقب دارایی‌های پنهان باشید. برای مثال، وب‌سایت تجارت الکترونیک شما که روزانه هزاران دلار درآمد دارد، معمولاً یک سرور پایگاه داده دارد که فهرست محصولات و جزئیات هر یک از محصولات فروخته شده را در خود نگه می‌دارد.

شناسایی تهدیدات پیرامون هر دارایی (ارزیابی تهدید)

هنگامی که دارایی‌های سازمان را شناسایی کردید، تمرکز خود را به ارزیابی تهدید معطوف کنید که شامل شناسایی تهدیدات پیرامون هر یک از دارایی‌های شناسایی شده در مرحله اول است. در ادامه مثال قبل، یک وب‌سایت تجارت الکترونیک شرکت با تهدیدات بالقوه مختلفی روبرو است. برای مثال، سیستم را می‌توان از طریق یک اکسپلویت سرریز بافر یا یک حمله تزریق SQL هک کرد. سرور وب همچنین ممکن است با خرابی هارد دیسک مواجه شود که می‌تواند باعث از کار افتادن سیستم برای مدت طولانی و در نتیجه از دست رفتن درآمد شود.

هنگام انجام ارزیابی تهدید، شناسایی تهدیدها از منابع مختلف یا انواع مختلف بلایا مثل تهدیدات محیطی، تهدیدات شخصی و تهدیدات داخلی و خارجی مهم است. انواع مختلف تهدیدات که به عنوان خطرات جدی در نظر گرفته می‌شوند به شرح زیر هستند:

  • محیطی (Environmental): یک تهدید ‌محیطی ناشی از محیط یا مکانی است که کسب‌وکار شما در آن فعالیت می‌کند. تهدیدهای محیطی شامل سیل، سونامی، زلزله، فوران آتشفشانی، گردباد، کولاک، طوفان رعد و برق و طوفان هستند.
  • تهدید شخصی (Person-made): تهدیدی است که به‌طور طبیعی وجود ندارد، بلکه در نتیجه اعمال انسان، خواه عمدی یا غیرعمدی است. نمونه‌هایی از تهدیدات انسانی ویروس‌ها، آتش‌سوزی، سرقت و خرابکاری است.
  • داخلی و خارجی (Internal and external): توجه به این نکته مهم است که تهدیدها می‌توانند داخلی یا خارجی باشند. یک تهدید داخلی از سوی شخصی در داخل سازمان می‌آید. این مورد می‌تواند تهدیدی مانند حذف عمدی داده‌های مشتری توسط کارمند ناراضی یا حذف تصادفی فایل توسط کارمند باشد. شما باید از دارایی‌ها در مقابل هر دو نوع تهدید محافظت کنید. یک تهدید خارجی که منشا فراسازمانی دارد ممکن است شخصی در اینترنت باشد که سعی می‌کند سرور ایمیل یا وب‌سایت شما را هک کند.
  • سیستم‌های قدیمی (Legacy systems): تهدید یا خطر اتصال یک سیستم قدیمی به شبکه این است که سیستم قدیمی ممکن است دیگر توسط فروشندگان سخت‌افزار یا نرم‌افزار سیستم پشتیبانی نشود. به عنوان مثال، ممکن است فروشنده دیگر برای سیستم قدیمی وصله‌های امنیتی ایجاد نکند و سیستم در برابر حملات آسیب‌پذیر کند. اگر نیاز دارید که سیستم‌های قدیمی در خط تولید باقی بمانند، به دنبال قرار دادن آن‌ها در بخش‌های محافظت شده باشید.
  • چند جانبه (Multiparty): خطر یا تهدید چند جانبه خطری برای افراد یا شرکت‌های متعدد است. به عنوان مثال، اگر خودرویی را اجاره می‌کنید، به عنوان مالک اجاره خودرو نگران مخاطرات پیرامون آن هستید، اما در عین حال شرکت لیزینگ و شرکت بیمه نیز نگران هستند.
  • سرقت آی‌پی (IP theft): یکی دیگر از تهدیدها یا خطرات رایج برای سازمان‌ها، سرقت مالکیت معنوی (IP) است. نمونه‌ای از این تهدید می‌تواند ناشی از یک کارمند در سازمان باشد که به اطلاعات محرمانه شرکت دسترسی داشته و زمانی‌که شرکت را ترک می‌کند، بر مبنای آدرس آی‌پی که قادر به ورود به شبکه است، اطلاعات را با خود می‌برد. شما می‌توانید با اجرای سیاست‌های رمزگذاری و کنترل دسترسی، خطر سرقت اطلاعات از طریق آدرس IP را کاهش دهید.
  • انطباق نرم‌افزار/مجوز (Software compliance/licensing): یکی دیگر از خطرات عمده سازمانی مجوز نرم‌افزارها و انطباق است. سازمان‌های بزرگ به راحتی مجوزهای موردنیاز برای کار با نرم‌افزارهای کاربردی را از دست بدهند، بنابراین انجام ممیزی‌های منظم برای اطمینان از این‌که شرکت با خطر ابطال مجوزها روبرو نیست، ضروری است. در برخی کشورها، سازمان‌هایی که نسبت به این مسئله بی تفاوت هستند با عواقب قانونی و جریمه مواجه می‌شوند.

درک این نکته مهم است که بسیاری از تهدیدها از این واقعیت ناشی می‌شوند که نقاط ضعف یا آسیب‌پذیری در دارایی‌های سازمان وجود دارد. به عنوان مثال، آسیب‌پذیری می‌تواند سیستمی باشد که به درستی محافظت نشده است که منجر به تهدید سیستم از طریق هک می‌شود. از آسیب‌پذیری‌های رایج که ممکن است در سامانه‌ها وجود داشته باشند به موارد زیر باید اشاره کرد:

  • عدم ایمن‌سازی سیستم (No system hardening): درک این نکته ضروری است که سیستمی که به درستی ایمن نشده با تهدید جدی مثل هک شدن روبرو می‌شود.
  • عدم امنیت فیزیکی (No physical): عدم وجود امنیت فیزیکی می‌تواند منجر به بروز تهدیدات بالقوه‌ای مثل سرقت دارایی یا نقض محرمانگی داده‌ها شود.
  • عدم کنترل‌های امنیتی روی داده‌ها ( No security controls on data): نداشتن کنترل‌های امنیتی روی داده‌ها به این معنی است که تهدیدهایی در ارتباط با محرمانگی و دستکاری داده‌ها وجود دارد.
  • بدون کنترل مدیریتی (No administrative controls): به کنترل مدیریتی روی یک خط‌مشی یا رویه اشاره دارد. نداشتن خط‌مشی‌ها و رویه‌ها می‌تواند منجر به این تهدید شود که شما با مقررات یا استانداردها هماهنگ نیستید.

انواع مختلفی از تهدیدها ممکن است پیرامون دارایی‌های یک سازمان وجود داشته باشند. تهدیدها ممکن است ماهیت فنی یا رفتاری داشته باشند. در زیر لیستی از نمونه‌های رایج تهدیدات آمده است:

  • سرقت (Theft): تهدید یک چالش امنیتی بزرگ است، زیرا شما نه تنها با سرقت فیزیکی دارایی‌ها بلکه با سرقت دیجیتالی دارایی‌های اطلاعاتی سروکار دارید.
  • سیستم از داخل هک شد (System hacked from inside): ممکن است سیستم‌ها یا سرویس‌های حیاتی در شبکه توسط یک کارمند داخلی به خطر بیفتد، خواه عمدی یا غیرعمدی.
  • سیستم از خارج هک شده است (System hacked from outside): ممکن است سرورهای عمومی مانند وب، FTP و SMTP توسط شخصی خارج از شبکه شما (اینترنت) به خطر بیفتد.
  • بلایای طبیعی (Natural disasters): بلایای طبیعی مانند سیل، طوفان، و گردباد نمونه‌هایی از تهدیدات پیرامون کسب‌وکارهایی هستند که به فعالیت‌های خود ادامه می‌دهند.
  • شکست‌های سخت‌افزاری (Hardware failures): هنگام پیاده‌سازی سرورهایی که داده‌ها یا عملکردهای حیاتی را در خود نگه می‌دارند، شناسایی خرابی‌های سخت‌افزاری که ممکن است رخ دهد مهم است. سخت‌افزار می‌تواند هارد دیسک، کارت شبکه یا حتی ماشین‌آلات یک کارخانه تولید باشد.
  • تقلب (Fraud): شناسایی این موضوع کمی پیچیده‌تر است، اما مراقب تهدیدات کلاهبرداری باشید، زیرا ممکن است کارمندان اطلاعات یا فرآیندهای شرکت را دستکاری کنند تا منفعت مالی کسب کنند.

آزمون سکیوریتی پلاس از شما انتظار دارد که خطرات مرتبط با فناوری‌هایی مانند رایانش ابری و فناوری مجازی‌سازی را بدانید. رایانش ابری از نظر مفهومی عالی است، اما به این معنی است که شخص دیگری میزبان خدمات است که می‌تواند منجر به نقض محرمانگی شود. به عنوان مثال، اگر ایمیل خود را در سیستم یک ارائه‌دهنده میزبانی می‌کنید، نمی‌دانید چه کسی به آن سیستم دسترسی دارد و آیا آن‌ها به نامه‌های شرکت شما دسترسی دارند یا خیر. در چنین محیط‌هایی حتما سطوح بالایی از حسابرسی را اجرا کنید.

با فناوری مجازی‌سازی، شما این خطر را دارید که وقتی سیستم میزبان از کار می‌افتد، تمام ماشین‌های مجازی در حال اجرا بر روی آن سیستم را از دست خواهید داد. خوشه‌بندی میزبان‌های فیزیکی که ماشین‌های مجازی را اجرا می‌کنند به این معنی است که در صورت خرابی فیزیکی، حداقل یک سرور فیزیکی دیگر در خوشه دارید که توانایی سرویس‌دهی به ماشین‌های مجازی را داشته باشد.

اگر مدیر در حال انجام برخی تعمیرات در سیستم عامل میزبان باشد، می‌تواند برنامه‌ریزی کند که ماشین‌های مجازی را به سیستم میزبان دیگری منتقل کند. فروشندگان راه‌حل‌های مجازی‌سازی همواره راه‌حل جایگزینی در هنگام تغییرات برنامه‌ریزی شده دارند در اختیار مصرف‌کنندگان قرار می‌دهند. از جمله این راه‌حل‌ها باید به VMware’s vSphere vMotion  و Microsoft’s Hyper-V live migration اشاره کرد.

تحلیل تاثیرگذاری

مرحله بعدی در تحلیل ریسک، تحلیل تاثیر است. هدف از تجزیه و تحلیل تاثیر این است که شناسایی کنید که اگر تهدیدی رخ داد چه تاثیری بر کسب و کار خواهد داشت. به عنوان مثال، اگر وب‌سایت تجارت الکترونیکی شرکت با حمله انکار سرویس (DoS) روبرو شود، تأثیر آن این است که سرور ممکن است برای روزها از کار بیفتد و در نتیجه درآمد خود را از دست بدهد.

هنگام وقوع تهدید باید به دنبال شناسایی دو نوع تأثیر باشید: تأثیرات محسوس و ناملموس. تأثیر ملموس شامل زیان مشهود برای شرکت است. به عنوان مثال، شرکت به دلیل عدم تولید درآمد ضرر می‌کند. فهرست زیر تأثیرات مشهود مشترک را نشان می‌دهد:

  • از دست دادن درآمد یا فرصت تجاری (Loss of revenue or business opportunity): تأثیر رایج این است که شرکت فرصت تولید درآمد را در صورت وقوع تهدید از دست می‌دهد، زیرا دارایی در معرض خطر قرار گرفته و در دسترس نیست.
  • از دست دادن پول به دلیل هزینه تعمیر (Loss of money due to cost to fix): یکی دیگر از تأثیرات بسیار قابل مشاهده، از دست دادن نقدینگی به دلیل هزینه تعمیر دارایی پس از وقوع تهدید است. این مشکل مازاد بر از دست دادن درآمد است.
  • از دست دادن تولید (Loss of production): تأثیر مستقیمی است که بهره‌وری را کاهش داده و باعث ضعیف شدن عملکرد تجهیزات می‌شود.
  • ایمنی کارکنان (Employee safety): برخی از تهدیدها ممکن است مستقیماً منجر به از دست دادن درآمد نشوند، اما منجر به یک مشکل ایمنی برای کارکنان شوند.

برای امتحان سکیوریتی پلاس باید با نمونه‌هایی از تأثیرات ملموسی که می‌تواند بر کسب‌وکارها تأثیر بگذارد، آشنا باشید.

تأثیر همه تهدیدها همیشه چندان قابل مشاهده نیست و گاهی اوقات تأثیر وقوع تهدید تا مدتی پس از وقوع تهدید دیده نمی‌شود. این نوع تاثیرات به عنوان تاثیرات نامشهود شناخته می‌شوند. فهرست زیر برخی از تأثیرات نامشهود رایج را نشان می‌دهد:

  • شهرت شرکت (Company reputation): یکی از رایج‌ترین تأثیرات نامشهود این است که وقتی تهدیدی رخ می‌دهد، می‌تواند شهرت شرکت را از بین ببرد، که هرگز برای تجارت خوب نیست!
  • عدم پیروی از مقررات (Failure to follow regulations): وقوع تهدید ممکن است این تأثیر را داشته باشد که شرکت شما نتواند از مقررات یا استانداردها پیروی کند. رویکرد فوق می‌تواند منجر به اقدام قانونی علیه شرکت یا حتی گاهی اوقات از دست دادن بیمه شود.
  • از دست دادن اعتماد مشتریان (Loss of customers’ confidence): اگر وب‌سایت تجارت الکترونیک شرکت هک شود و این اطلاعات عمومی شود، ممکن است اعتماد مشتریان (یا سهامداران) خود را از دست بدهید و آن‌ها ممکن است به دلیل ترس از اعتبار دیگر تمایلی به خرید اقلام آنلاین نداشته باشند.

برای آزمون گواهینامه، باید در مورد نمونه‌هایی از اثرات نامشهود یک تهدید اطلاعات کافی داشته باشید که شامل کاهش اعتبار شرکت، از دست دادن اعتماد مشتریان و عدم رعایت مقررات می‌شود.

تهدیدها را اولویت‌بندی کنید

هنگامی که تمام تهدیداتی را که ممکن است علیه هر دارایی رخ دهد شناسایی کردید، باید تهدیدها را بر اساس تأثیر و احتمال وقوع آن‌ها (که به عنوان احتمال وقوع نیز شناخته می‌شود) اولویت‌بندی کنید تا بتوانید ابتدا با تهدیدات جدی‌تر مقابله کنید.

نحوه اولویت‌بندی تهدیدات به نوع تحلیل ریسک بستگی دارد. به‌عنوان مثال، اگر در حال انجام یک تحلیل کیفی هستید، مقادیری را بر اساس نوعی مقیاس به هر تهدید اختصاص دهید (مانند کم، متوسط و زیاد)، و ابتدا روی تهدیدات سطح بالا تمرکز کنید.

ثبت ریسک

ثبت ریسک ابزاری است که برای ترسیم توصیفی از تهدیدات مختلف به همراه تأثیر و احتمال آن‌ها استفاده می‌شود. این ابزار می‌تواند چیزی به سادگی یک صفحه گسترده باشد که جزئیات خطر را همراه با تأثیر و احتمال فهرست می‌کند یا می‌تواند یک برنامه نرم‌افزاری شخص ثالث باشد. ثبت ریسک معمولاً دسته‌ای را که ریسک به آن اعمال می‌شود، توصیفی از تهدید، تأثیر (شاید یک عدد از 1 تا 5)، احتمال (دوباره، شاید یک عدد از 1 تا 5)، امتیاز ریسک (ضریب تأثیر) ترسیم می‌کند. امتیاز ریسک به شما کمک می‌کند تا تهدیدات را اولویت‌بندی کنید. در اینجا یک مثال از یک ثبت ریسک آورده شده است:

ارزیابی زنجیره تامین (supply Chain Assessment)

زنجیره تامین منابع و فرآیندهایی را در بر می‌گیرد که برای رساندن محصول یا خدمات یک شرکت از تامین‌کنندگان قطعات آن، از طریق تولید، به درب منزل مشتری مورد نیاز است. عوامل زیادی در زنجیره تامین دخیل هستند، از تهیه مواد اولیه گرفته تا فرآیند تولید تا پرسنل بسته‌بندی و تحویل محصول.

ارزیابی زنجیره تامین شامل شناسایی هر گونه خطر در زنجیره تامین و کاهش آن خطرات است. به عنوان مثال، در فرآیند ارزیابی ممکن است مشخص شود در صورت کمبود مواد خام یا آتش‌سوزی در کارخانه تولید چه باید کرد. همه این تهدیدها می‌توانند برای کسب و کار شما خطرآفرین باشند.

آزمایش کردن

هنگام ارزیابی تهدیدات علیه دارایی‌های سازمان، انجام انواع مختلف آزمون‌ها مهم است. می‌توانید یک تست آسیب‌پذیری، که به عنوان اسکن آسیب‌پذیری نیز شناخته می‌شود، انجام دهید تا بررسی کنید که آیا سیستم‌های شما در برابر سوءاستفاده‌ها و ضعف‌های مختلف آسیب‌پذیر هستند یا خیر. همچنین می‌توانید نوع فعال‌تری از آزمایش به نام تست نفوذ را انجام دهید، جایی که تستر سعی می‌کند کنترل‌های امنیتی را دور بزند و به یک سیستم دسترسی پیدا کند.

تعدادی روش‌های دیگر آزمایش‌ها وجود دارد که می‌توانند اجرا شوند، اما لزوما مرتبط با فناوری نیستند. به عنوان مثال، سازمان شما باید تمرینات آتش‌نشانی را به‌طور منظم انجام دهد. همچنین می‌توانید فرآیندهای کسب‌وکار خود را با آزمایش انعطاف‌پذیری تحویل تامین‌کننده و سطوح موجودی با آزمایش سفارش‌های عجله‌ای آزمایش کنید. اگر در صنعت خدمات هستید، می‌توانید خدمات مشتری را با استفاده از خریداران مرموز آزمایش کنید.

مدیریت تغییر

پس از آزمایش سیستم‌های خود با اسکن آسیب‌پذیری یا تست نفوذ، ممکن است متوجه شوید که برای ایمن‌تر کردن سیستم‌ها باید تغییراتی در پیکربندی سیستم‌ها ایجاد کنید. هنگام ایجاد تغییرات در پیکربندی سیستم، مطمئن شوید که فرآیند مدیریت تغییر که سازمان شما تعیین کرده است را دنبال کنید. این فرآیند معمولاً شامل اعمال تغییر در سیستم‌های آزمایشی، پشتیبان‌گیری از سیستم تولید قبل از ایجاد تغییر، اعمال تغییر و سپس تأیید عملکرد صحیح سیستم پس از تغییر است.

کلید مدیریت تغییر، مستندسازی است. به عنوان مثال، هنگام برنامه‌ریزی برای تغییرات، باید تغییرات مورد نظر را مستند کنید، مستندسازی کنید که اگر تغییرات طبق برنامه پیش نرود، چه کاری باید انجام دهید (به این طرح بازگشت به عقب می‌گویند)، و سپس نتایج عملیات تغییر را خلاصه کنید.

Identify Mitigation Techniques

هنگامی که تهدیدها را شناسایی کردید و آن‌ها را اولویت‌بندی کردید، می‌دانید که روی کدام راه‌حل های تهدید تمرکز کنید یا حداقل چگونه می‌توانید خطر وقوع تهدید را کاهش دهید. رویکرد فوق به عنوان کاهش تهدید شناخته می‌شود. کاهش تهدید معمولاً مستلزم صرف پول برای راه‌حلی است که یک کنترل امنیتی برای محافظت از دارایی در برابر خطر اجرا می‌کند. می‌توانید فناوری‌های تحمل‌پذیر خطا، فایروال‌ها، رمزگذاری یا سیستم‌های کنترل دسترسی را اجرا کنید. پس از اجرای تکنیک کاهش تهدیدات، همیشه ریسک باقی مانده را ارزیابی کنید.

 

برای مطالعه بخش بعد اینجا کلیک کنید. 

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟