کنترل امنیت شماره ۱۷: آموزش امنیتی؛ چیزی که ابزار جای آن را نمی‌گیرد

تاریخ انتشار: آخرین بروزرسانی:

امنیت فقط با ابزار درست نمی‌شود. فایروال، EDR، WAF و SIEM لازم‌اند، ولی اگر کاربر فیشینگ را تشخیص ندهد، تیم فنی تغییرات را بدون بکاپ انجام دهد یا مدیر پروژه ریسک دسترسی اضافه را نفهمد، ابزارها همیشه دیرتر از خطای انسانی می‌رسند.

مبنای این مطلب: SANS Critical Security Control 17: Security Skills Assessment and Appropriate Training to Fill Gaps، یعنی «ارزیابی و آموزش مهارت‌های امنیتی» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

کنترل شماره ۱۷ درباره آموزش و ارزیابی مهارت امنیتی است. منظورش کلاس نمایشی و اسلایدهای طولانی نیست. آموزش باید به کار واقعی افراد وصل باشد.

همه یک آموزش نمی‌خواهند

کاربر مالی، نیروی منابع انسانی، ادمین شبکه، برنامه‌نویس و مدیرعامل با ریسک‌های یکسان روبه‌رو نیستند. آموزش عمومی خوب است، ولی کافی نیست. هر گروه باید همان چیزهایی را یاد بگیرد که در کار خودش احتمال خطا دارد.

  • کاربران عمومی: فیشینگ، رمز، MFA، فایل پیوست، اشتراک‌گذاری داده.
  • تیم فنی: تغییر امن، بکاپ، لاگ، مدیریت دسترسی، hardening.
  • توسعه‌دهنده‌ها: خطاهای رایج وب، مدیریت secret، وابستگی‌های ناامن.
  • مدیران: تصمیم‌گیری بر اساس ریسک، نه فقط سرعت انجام کار.

آموزش باید کوتاه و تکرارشونده باشد

یک جلسه سه‌ساعته در سال اثر کمی دارد. آموزش بهتر است کوتاه، تکرارشونده و نزدیک به مثال‌های واقعی باشد. مثلا یک ایمیل فیشینگ واقعی را بدون اطلاعات محرمانه بررسی کنیم، یا نشان دهیم یک دسترسی اضافه چطور می‌تواند مسیر نفوذ بسازد.

ارزیابی مهم‌تر از حضور در کلاس است

اینکه افراد در جلسه حاضر بوده‌اند کافی نیست. باید بفهمیم رفتار تغییر کرده یا نه. نرخ کلیک روی تست فیشینگ، تعداد گزارش‌های درست کاربران، کیفیت تغییرات تیم فنی و کاهش خطاهای تکراری می‌تواند معیار بهتری باشد.

البته ارزیابی نباید تبدیل به مچ‌گیری شود. هدف این است که آدم‌ها زودتر خطر را ببینند و راحت‌تر گزارش کنند. اگر گزارش دادن باعث سرزنش شود، دفعه بعد کسی چیزی نمی‌گوید.

تیم فنی هم آموزش می‌خواهد

گاهی تصور می‌شود آموزش امنیتی فقط برای کاربران عادی است. در عمل، تیم فنی هم به آموزش نیاز دارد: تنظیم درست VPN، مدیریت certificate، خواندن لاگ، امن‌سازی سرویس‌ها، طراحی دسترسی و واکنش به رخداد. این بخش مستقیم به کیفیت اجرای کنترل‌های دیگر وصل است.

در اجرای کنترل امنیت شماره ۱۷ چه چیزی مهم‌تر است؟

آموزش امنیتی خوب، کوتاه، واقعی و قابل سنجش است. اگر بعد از آموزش، کاربر سریع‌تر ایمیل مشکوک را گزارش کند و تیم فنی تغییرات را با ریسک کمتر انجام دهد، آن آموزش ارزش داشته است. امنیت باید وارد عادت روزانه شود، نه فقط فرم امضا شده.

برچسبها
مطالب مرتبط
کنترل امنیت شماره ۱۵: کنترل دسترسی بی‌سیم؛ وای‌فای را جدی بگیریمکنترل امنیت شماره ۱۵: کنترل دسترسی بی‌سیم؛ وای‌فای را جدی بگیریم
28 views
کنترل امنیت شماره ۱۳: حفاظت از داده‌ها؛ وقتی فایل مهم‌تر از سرور استکنترل امنیت شماره ۱۳: حفاظت از داده‌ها؛ وقتی فایل مهم‌تر از سرور است
25 views
مقابله با SYN Flood در روتر Cisco با TCP Interceptمقابله با SYN Flood در روتر Cisco با TCP Intercept
3,082 views
SegmentSmack؛ آسیب‌پذیری TCP در کرنل لینوکس و ریسک DoSSegmentSmack؛ آسیب‌پذیری TCP در کرنل لینوکس و ریسک DoS
2,078 views
راهنمای خواندن دیتاشیت فایروال؛ چرا اعداد کارایی همیشه واقعی نیستند؟راهنمای خواندن دیتاشیت فایروال؛ چرا اعداد کارایی همیشه واقعی نیستند؟
624 views
تبدیل کانفیگ FortiGate به Juniper با Python؛ تجربه یک مهاجرت واقعی فایروالتبدیل کانفیگ FortiGate به Juniper با Python؛ تجربه یک مهاجرت واقعی فایروال
52 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.