رویکردی مبتنی بر استانداردهای بینالمللی برای ارتقاء امنیت سایبری
📌 شرکت مدانت – ارائهدهنده راهکارهای جامع امنیت اطلاعات
در عصر دیجیتال که تهدیدات سایبری روزبهروز پیچیدهتر و گستردهتر میشوند، حفظ امنیت اطلاعات، زیرساختها و دادههای سازمانی به یکی از اولویتهای اصلی کسبوکارها بدل شده است.
CIS Controls یا «کنترلهای امنیتی مرکز امنیت اینترنت»، مجموعهای از اقدامات استاندارد، عملی و اولویتبندیشده برای مدیریت و کاهش ریسکهای امنیتی محسوب میشوند.
شرکت مدانت، به عنوان ارائهدهنده خدمات حرفهای در حوزه امنیت سایبری، این کنترلها را به عنوان یکی از مؤثرترین چارچوبها در پیادهسازی سیاستهای امنیتی سازمانی معرفی میکند.
تعریف کنترلهای CIS
CIS Controls مجموعهای از ۱۸ گروه کنترلی است که توسط مرکز امنیت اینترنت (Center for Internet Security) تدوین شدهاند. هدف اصلی این کنترلها، کمک به سازمانها در شناسایی و کاهش آسیبپذیریها، مقابله با تهدیدات رایج و حفظ یکپارچگی اطلاعاتی است.
این کنترلها در سه سطح اجرایی بنام IG تقسیمبندی میشوند:
- IG1: مناسب سازمانهای کوچک یا تازهکار در حوزه امنیت
- IG2: برای سازمانهای متوسط با سطح تهدید متوسط
- IG3: مخصوص سازمانهای بزرگ و دارای اطلاعات حساس
IG (Implementation Guidance) در کنترلهای CIS به معنای راهنمای پیادهسازی است. این راهنما شامل دستورالعملها، توضیحات، و بهترین شیوههایی است که سازمانها میتوانند برای پیادهسازی هر کدام از ۱۸ کنترل امنیتی CIS در سیستمهای خود بهکار گیرند. هدف اصلی IG کمک به سازمانها برای اجرای مؤثر و استاندارد کنترلها با توجه به نیازهای خاص آنها است. این راهنما بهطور دقیق شرح میدهد که چگونه هر کنترل باید پیادهسازی شود تا بهترین نتایج حاصل گردد. علاوه بر این، IG معمولاً شامل مثالها و ابزارهایی است که سازمانها میتوانند برای ارزیابی و نظارت بر فرآیندهای امنیتی خود استفاده کنند. با استفاده از IG، سازمانها میتوانند اطمینان حاصل کنند که اقدامات امنیتی آنها با الزامات و استانداردهای بینالمللی همراستا است.
سناریو کاربردی: تجربه یک شرکت نرمافزاری
شرکت نرمافزاری ایکس، که در حوزه توسعه اپلیکیشنهای مالی فعالیت میکند، طی سالهای اخیر تمرکز خود را بر توسعه سریع محصول و جذب بازار گذاشته بود، اما از پیادهسازی اصول امنیتی غافل مانده بود. سیستمهای عامل و نرمافزارهای سروری بهروزرسانی نشده بودند، و حسابهای کاربری با دسترسیهای وسیع و بدون کنترل متمرکز در محیط باقی مانده بودند.
در یکی از روزهای کاری، یک بدافزار از طریق یک پیوست ایمیل وارد شبکه داخلی شد و بهسرعت، به دلیل نبود سامانههای کنترل دسترسی و مدیریت وصلهها، در سراسر سرورها گسترش یافت. مهاجم توانست از طریق این بدافزار به پایگاه داده مشتریان دسترسی پیدا کند و اطلاعات مالی، شماره تماس و مشخصات هویتی هزاران مشتری به بیرون نشت کرد.
علاوه بر خسارت شدید اعتباری، شرکت با شکایتهای قانونی و جریمههای مالی مواجه شد. بررسیهای بعدی نشان داد که اگر تنها چند کنترل اولیه CIS مانند Inventory Control، Patch Management، Access Control و Malware Defense فعال میبودند، این حمله تا حد زیادی قابل پیشگیری بود.
تحلیل کارشناسی نشان میدهد که عدم اجرای حداقل کنترلهای پایه CIS، عامل اصلی این رخداد بوده است. با استفاده
از مهمترین کنترلهای CIS
| عنوان کنترل | شرح مختصر |
|---|---|
| شناسایی و کنترل داراییها | ثبت و مدیریت کلیه تجهیزات و سیستمهای فعال در سازمان |
| پیکربندی امن سیستمها و نرمافزارها | استفاده از تنظیمات پیشفرض امن به جای تنظیمات کارخانهای یا آسیبپذیر |
| مدیریت دسترسی کاربران | تعیین دسترسیها بر اساس اصل «حداقل دسترسی مورد نیاز» |
| مدیریت گزارشهای سیستمی (Log Management) | فعالسازی، ذخیرهسازی و تحلیل لاگهای سیستم جهت تشخیص رخدادهای مشکوک |
| دفاع در برابر بدافزارها | استقرار ابزارهای مقابله با ویروسها، باجافزارها و بدافزارهای ناشناخته |
خدمات مدانت در حوزه پیادهسازی کنترلهای CIS
شرکت مدانت با بهرهگیری از تیم متخصص، توانایی پیادهسازی دقیق، مرحلهبهمرحله و متناسب با نوع سازمان را دارد. ما با ارزیابی سطح امنیت موجود و نیازهای خاص هر مشتری، کنترلهای مناسب را انتخاب کرده و فرآیند امنسازی را بهصورت مستند و قابلپایش اجرا میکنیم.
شرکت مدانت با بهرهگیری از تجربیات گسترده در پیادهسازی کنترلهای CIS، بهطور خاص تمرکز خود را بر یکپارچهسازی این کنترلها با فرآیندهای ITIL و ابزارهای قدرتمند ManageEngine قرار داده است. ما به کمک این ابزارها، فرآیندهایی همچون مدیریت داراییها، پیکربندی امن، کنترل دسترسی و شناسایی آسیبپذیریها را بهصورت دقیق و کارآمد پیادهسازی میکنیم. این رویکرد جامع نهتنها امنیت سازمان شما را بهطور قابلملاحظهای تقویت میکند، بلکه با استفاده از فرآیندهای استاندارد ITIL، به شما این امکان را میدهد که خدمات فناوری اطلاعات خود را بهینه و پایدار مدیریت کنید. مدانت با ارائه راهکارهای مستند و قابلپایش، همواره در کنار شماست تا بهراحتی امنیت سایبری را در سازمان خود به سطح بالاتری برسانید.
| عنوان کنترل CIS | خدمات مدانت در پیادهسازی | ارتباط با ITIL | ابزار ManageEngine |
|---|---|---|---|
| Inventory and Control of Enterprise Assets | شناسایی و مدیریت داراییهای سازمان با استفاده از ابزارهای خودکار و مستند. | Asset Management | ManageEngine AssetExplorer |
| Inventory and Control of Software Assets | نظارت و مدیریت نرمافزارهای نصبشده و اطمینان از استفاده مجاز از نرمافزارها. | Software Asset Management | ManageEngine Software Asset Management |
| Secure Configuration of Enterprise Assets | پیادهسازی پیکربندیهای امن برای کاهش ریسکهای امنیتی در سطح شبکه و سرورها. | Configuration Management | ManageEngine ServiceDesk Plus |
| Access Control Management | ایجاد و مدیریت فرآیندهای دسترسی برای کاربران و نقشها، بر اساس سیاستهای امنیتی. | Access Management | ManageEngine ADManager Plus |
| Account Management | مدیریت چرخه حیات حسابهای کاربری از ایجاد تا حذف، بهمنظور جلوگیری از دسترسی غیرمجاز. | Identity and Access Management | ManageEngine ADManager Plus |
| Continuous Vulnerability Management | شناسایی و مدیریت آسیبپذیریها در سامانهها و شبکهها بهصورت مستمر. | Risk Management | ManageEngine Vulnerability Manager |
| Malware Defenses | استفاده از ابزارهای ضدویروس برای شناسایی و حذف تهدیدات بدافزاری. | Security Management | ManageEngine Endpoint Central |
| Data Recovery | ایجاد و نگهداری از نسخههای پشتیبان و فرآیندهای بازیابی دادهها برای افزایش تداوم خدمات. | Service Continuity Management | ManageEngine DataBackup |
| Security Awareness and Skills | آموزش کارکنان در زمینه تهدیدات سایبری و بهترین شیوهها برای حفظ امنیت اطلاعات. | Training & Awareness | ManageEngine OpManager (برای نظارت و هشدارها) |
توصیههای کلیدی از تیم فنی مدانت
- فرآیند پیادهسازی را از کنترلهای پایه آغاز کنید (شماره ۱ و ۲)
- لاگبرداری مناسب، کلید تحلیل حملات سایبری است
- کنترلها را بهصورت دورهای بازبینی و بهروزرسانی کنید
- استفاده از خدمات ارزیابی امنیتی و تست نفوذ را در برنامه سالانه خود قرار دهید
سطحبندی کنترلهای CIS بر اساس گروه اجرایی (IG1، IG2، IG3)
| شماره کنترل | عنوان کنترل (CIS Control) | IG1 ✅ | IG2 ✅ | IG3 ✅ |
|---|---|---|---|---|
| 1 | Inventory and Control of Enterprise Assets | ✅ | ✅ | ✅ |
| 2 | Inventory and Control of Software Assets | ✅ | ✅ | ✅ |
| 3 | Data Protection | ✅ | ✅ | ✅ |
| 4 | Secure Configuration of Enterprise Assets | ✅ | ✅ | ✅ |
| 5 | Account Management | ✅ | ✅ | ✅ |
| 6 | Access Control Management | ✅ | ✅ | ✅ |
| 7 | Continuous Vulnerability Management | ✅ | ✅ | ✅ |
| 8 | Audit Log Management | ✅ | ✅ | ✅ |
| 9 | Email and Web Browser Protections | ✅ | ✅ | ✅ |
| 10 | Malware Defenses | ✅ | ✅ | ✅ |
| 11 | Data Recovery | ✅ | ✅ | ✅ |
| 12 | Network Infrastructure Management | ✅ | ✅ | |
| 13 | Security Awareness and Skills Training | ✅ | ✅ | |
| 14 | Security Operations Center | ✅ | ||
| 15 | Incident Response Management | ✅ | ✅ | |
| 16 | Application Software Security | ✅ | ✅ | |
| 17 | Penetration Testing | ✅ | ||
| 18 | Security Management Controls | ✅ | ✅ |
📌 سطوح اجرایی:
- IG1 (سطح پایه): مناسب برای کسبوکارهای کوچک یا دارای منابع محدود. تمرکز بر محافظت از دادههای رایج در برابر تهدیدات متداول.
- IG2 (سطح میانی): مناسب برای سازمانهای متوسط با پیچیدگی بیشتر، تیم IT داخلی و نیاز به امنیت گستردهتر.
- IG3 (سطح پیشرفته): ویژه سازمانهایی با اطلاعات حساس، الزامهای قانونی و تهدیدات هدفمند پیشرفته.
کنترلهای امنیتی CIS با توضیح فارسی، مثال و ابزار
| عنوان کنترلر | عنوان فارسی | مثال | ابزارهای پیشنهادی |
|---|---|---|---|
| Inventory and Control of Enterprise Assets | شناسایی و کنترل داراییهای سازمانی | ثبت فهرست همه لپتاپها و سرورها با اطلاعات سریال و IP | ServiceDesk Plus، Endpoint Central, SCCM |
| Inventory and Control of Software Assets | شناسایی و کنترل نرمافزارها | شناسایی نصب نرمافزارهای غیرمجاز روی سیستمها | CrowdStrike، JAMF، Endpoint Central |
| Data Protection | حفاظت از دادهها | رمزگذاری پایگاهداده مشتریان و ایجاد سطحبندی دسترسی به فایلها | DATA Security، Endpoint Central، Microsoft DLP |
| Secure Configuration of Enterprise Assets | پیکربندی امن تجهیزات سازمانی | غیرفعالسازی Remote Desktop و USB برای کاربران غیرمجاز | CIS Benchmarks، Ansible، Endpoint Central |
| Account Management | مدیریت حسابهای کاربری | غیرفعالسازی خودکار حساب کارکنانی که سازمان را ترک کردهاند | Active Directory، ADManager Plus |
| Access Control Management | مدیریت کنترل دسترسی | ایجاد نقشهای مشخص (Role-based Access) برای بخش مالی و IT | Azure AD، Endpoint Central، CyberArk |
| Continuous Vulnerability Management | مدیریت پیوسته آسیبپذیریها | اسکن هفتگی شبکه برای شناسایی آسیبپذیریهای نرمافزاری | Endpoint Central، OpenVAS، Qualys |
| Audit Log Management | مدیریت گزارشهای سیستمی | فعالسازی لاگ در فایروال و تحلیل ورودهای مشکوک به سیستم | ELK Stack، Splunk، Graylog |
| Email and Web Browser Protections | ایمنسازی ایمیل و مرورگر | فیلتر کردن فایلهای ضمیمه مشکوک و بلاک کردن افزونههای مخرب مرورگر | Endpoint Central، Cisco Umbrella، Proofpoint |
| Malware Defenses | دفاع در برابر بدافزار | نصب آنتیویروس بر روی تمام دستگاهها و بهروزرسانی خودکار آن | ESET، Endpoint Central، Windows Defender |
| Data Recovery | بازیابی اطلاعات | تهیه نسخه پشتیبان روزانه از سرورها و تست بازیابی در بازههای منظم | Veeam، Acronis، Synology NAS |
| Network Infrastructure Management | مدیریت زیرساخت شبکه | تقسیم شبکه به VLAN برای واحدهای مختلف سازمان | Cisco Tools، Fortinet، MikroTik |
| Security Awareness and Skills Training | آموزش آگاهی و مهارتهای امنیتی | برگزاری دوره آگاهیبخشی امنیتی برای کارکنان در مورد حملات فیشینگ | KnowBe4، Infosec IQ، حملات فیشینگ شبیهسازیشده |
| Security Operations Center (SOC) | مرکز عملیات امنیت | پایش لحظهای لاگها برای شناسایی حملههای احتمالی | SIEM، Splunk، AlienVault |
| Incident Response Management | مدیریت واکنش به رخداد | تعریف فرآیند مشخص برای گزارش و پاسخ سریع به نفوذ اطلاعاتی | RTIR، TheHive، JIRA + ServiceDesk Plus |
| Application Software Security | امنیت نرمافزارهای کاربردی | بررسی کدهای برنامهها برای جلوگیری از تزریق SQL | SonarQube، OWASP ZAP، Burp Suite |
| Penetration Testing | تست نفوذ | استخدام تیم Red Team برای بررسی نقاط ضعف امنیتی از دید مهاجم | Metasploit، Cobalt Strike، Kali Linux |
| Security Management Controls | کنترلهای مدیریتی امنیت | تدوین سیاست امنیت اطلاعات، تعیین مسئول امنیت، تدوین برنامه مدیریت ریسک | ISO 27001 Framework، NIST SP 800-53 |
کنترلهای امنیتی CIS، یکی از کاربردیترین چارچوبهای جهانی برای مقابله با تهدیدات سایبری محسوب میشود. بهرهگیری از این کنترلها نهتنها موجب ارتقای سطح امنیت میگردد، بلکه گامی مؤثر در راستای انطباق با استانداردهای بینالمللی نظیر ISO 27001 و NIST نیز خواهد بود.
شرکت مدانت آماده است تا با ارائه مشاوره، طراحی و پیادهسازی کنترلهای CIS، همراهی مطمئن برای سازمانها در مسیر ایمنسازی اطلاعات و داراییهای دیجیتال باشد.
..
جدول ارتباطی CIS Controls و تمرینات ITIL4
جدول زیر ارتباط میان کنترلهای CIS و تمرینات کلیدی ITIL 4 را نشان میدهد. که کمک میکند تا سازمانها بدانند هر کنترل امنیتی چگونه با فرآیندهای ITSM در ITIL4 همراستا است و چگونه میتوانند امنیت اطلاعات را با مدیریت خدمات فناوری اطلاعات یکپارچه کنند.
| عنوان کنترلر به انگلیسی | عنوان کنترلر به فارسی | تمرین مرتبط در ITIL 4 | توضیح ارتباط |
|---|---|---|---|
| Inventory of Enterprise Assets | موجودیگیری از داراییهای سازمان | IT Asset Management | شناسایی و مدیریت داراییها پیشنیاز کنترلهای امنیتی و مدیریت خدمات است. |
| Inventory of Software Assets | موجودیگیری از داراییهای نرمافزاری | Software Asset Management | کنترل استفاده مجاز از نرمافزارها در تطابق با سیاستهای امنیتی و مالی. |
| Secure Configuration | پیکربندی امن داراییها | Change Enablement / Configuration Management | تضمین میکند که تغییرات در محیط، منطبق با استانداردهای امنیتی اعمال شوند. |
| Access Control Management | مدیریت کنترل دسترسی | Information Security Management | اختصاص دسترسی به کاربران با توجه به نقش و نیاز، مطابق اصل "کمترین دسترسی". |
| Account Management | مدیریت حسابهای کاربری | Information Security Management | مدیریت چرخه حیات حسابها برای جلوگیری از سوءاستفاده یا دسترسی غیرمجاز. |
| Continuous Vulnerability Management | مدیریت مستمر آسیبپذیریها | Monitoring and Event Management / Risk Management | شناسایی، ارزیابی و کاهش آسیبپذیریها در راستای کاهش ریسک. |
| Malware Defenses | دفاع در برابر بدافزار | Information Security Management | مقابله با تهدیدات رایج با استفاده از ابزارهای آنتیویروس و EDR. |
| Data Recovery | بازیابی دادهها | Service Continuity Management / Backup and Restore | اطمینان از حفظ دادهها در صورت رخداد یا حمله، با تداوم سرویس. |
| Security Awareness and Skills | آگاهی و آموزش امنیتی کارکنان | Workforce and Talent Management / Training & Awareness | آموزش پرسنل برای ارتقاء آگاهی نسبت به تهدیدات و کاهش خطای انسانی. |
