مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ میدهد. برای داشتن یک SOC کامل و کارآمد، باید تیمهای متخصصی را با تواناییهای لازم در زمینه شناسایی، جمع آوری، تحلیل و پاسخ به تهدیدات سایبری جذب کرد. همچنین، به دنبال برخورداری از ابزارهای مناسب برای شناسایی و پیگیری حملات سایبری از جمله SIEM و همچنین آموزش کارکنان در خصوص روشهای مبارزه با تهدیدات سایبری بود. داشتن یک SOC به صورت 24 ساعته از ضروریات امنیت سایبری هر سازمان است.
فناوری اصلی مورد استفاده در SOC، ابزار FORTRESS SIEM است. این سامانه وظیفه ذخیرهسازی تمامی رویدادهایی را برعهده دارد که در محیط شبکه سازمان تولید شده است و این امکان را برای کارشناسان SOC فراهم میکند تا هر تهدیدی علیه سازمان را شناسایی و تجزیه و تحلیل کنند.
اجزا SOC
هر SOC از سه عنصر کلیدی تشکیل شده است: فناوری، افراد و فرآیندها.
✔ فناوری
طیف گستردهای از ابزارها، راهحلها و فناوریهای امنیتی مانند سیستمهای مدیریت اطلاعات و رویدادهای امنیتی، سیستمهای تشخیص نفوذ و پیشگیری، ابزارهای EDR و سیستمهای مدیریت گزارش و تیکتینگ در SOC وجود دارد.
ویژگیهای محصول FORTRESS SIEM به عنوان قلب خدمات SOC در امن گستران فرزان ایرانیان، به قرار زیر است:
✔ تجمیع کننده Log با قابلیت افزودن هر نوع کاربرد یا تجهیز جدید خاص به سامانه در صورت تولید لاگ
✔ ذخیره رویدادها با قابلیت دریافت گزارش های مختلف از آنها به صورت لحظه ای و دوره ای و زمانبندی شده
✔ موتور همبستگی سنجی با قابلیت تولید و پیرایش امضاها و قوانین شخصی سازی شده
✔ پایش جریان ترافیک دادههای شبکه با قابلیت آنالیز ترافیک شبکه و یادگیری ماشین
✔ ارائه هشدار با استفاده از Fortress-alert با ارسال هشدارهای مربوطه از طریق پیامک و ایمیل
✔ سیستم Ticketing با قابلیت پیگیری گردش Ticket
✔ تطابق با الزامات و استانداردها با قابلیت تعریف Rule بر اساس الزامات افتا و MITRE ATT@CK
✔ افراد
مراکز SOC نیازمند منابع انسانی فنی با توانایی و تخصص در زمینه امنیت سایبری میباشند که در زمان حمله به رویداد امنیتی با قدرت پاسخ میدهند و در عین حال تأثیر حمله را بر کسب و کار سازمان به حداقل میرسانند. جدول نقش های SOC در ادامه ارائه شده است.
نقش
توضیح
مدیر SOC
مدیریت مرکز SOC که بر تمام جنبه های SOC، منابع انسانی و عملیات آن نظارت دارد.
تحلیلگر امنیتی سطح 1 - تریاژ
رویدادهای امنیتی را دسته بندی و اولویت بندی و در صورت لزوم آنها را به تحلیلگران سطح 2 ارجاع میکند.
تحلیلگر امنیتی سطح 2 - پاسخ دهنده به رویداد امنیتی
رویدادهای امنیتی ارجاع شده را بررسی کرده و پاسخ میدهد. سیستم های آسیب دیده و دامنه حمله را شناسایی و از هوشمندی اطلاعات تهدید برای کشف دشمن استفاده میکند.
تحلیلگر امنیتی سطح 3 - شکارچی تهدید
به طور فعال رفتارهای مشکوک را جستجو کرده، وضعیت امنیتی شبکه را آزمایش و ارزیابی میکند تا تهدیدات پیشرفته و بخشهای آسیبپذیر را شناسایی کند.
معمار امنیت
سیستمهای امنیتی و فرآیندهای مختلف SOC را طراحی و یکپارچه میکند.
✔ فرآیندها
مجموعهای از رویهها و شیوههایی هستند که توسط تیمهای SOC برای شناسایی، پیشگیری، شناسایی، پاسخگویی و بازیابی تهدیدات امنیتی استفاده میشوند. برخی از فرآیندهای SOC عبارتند از:
✔ پایش مداوم شبکه و سیستمها
✔ مدیریت پاسخگویی به رویدادهای امنیتی
✔ آگاهی رسانی امنیتی (Security awareness)
در SOC فرآیندها بر اساس نیازمندیهای سازمان و فرآیندهای موجود آن شناسایی شده و KPI مناسب برای اندازهگیری کیفیت اجرای آنها و بهبود مستمر فرآیندها تعریف و پیادهسازی میشود.
مزایا
مزایای داشتن یک مرکز عملیات امنیت به شرح زیر است:
✔ نظارت فعالانه مستمر: تیم SOC به طور مداوم شبکه را رصد و فعالیت های مشکوک را بررسی می کنند تا در اولین فرصت شناسایی شوند.
✔ کاهش زمان پاسخگویی به حوادث: تیم SOC با تسریع فرآیند شناسایی نشانههای حمله، بررسی فعالیتهای مرتبط و ازبینبردن آن باعث کاهش زمان پاسخگویی به نفوذ میشود که میتواند تاثیر بهسزایی بر کاهش حداقلی تاثیرات نفوذ در سازمان داشته باشد.
✔ رویکرد متمرکز: تیم SOC در صورت وجود هرگونه رویداد و هشدار امنیتی، رهبری را بر عهده می گیرد و با به کارگیری منایع انسانی، فرآیندها وفناوری به روز خود به شکل یکپارچه، سازمان را از بلاتکلیفی برای نحوه واکنش به رویداد امنیتی باز میدارد.
✔ آگاه نگهداشتن کسب و کار از ریسکهای امنیتی: ارتباط موثر و همگام شدن با کسب و کار سازمان برای آگاهی از خطرات و ریسکهای موجود در انواع دارایی از اهداف مهم SOC است. گزارشهای مختلف SOC میتواند به شکلدهی نقشه راه آینده سازمان از دیدگاه امنیتی کمک کرده و در جهت محاسبه بهتر ریسک مالی ناشی از تهدیدات سایبری یاری رساند.
یک ضرب المثل معروف وجود دارد. "پیشگیری بهتر از درمان است". مهم نیست چقدر هزینه باید متحمل شوید، شرکت شما باید یک تیم SOC داشته باشد.
خدمات
✔ راهاندازی و پشتیبانی SOC به شکل کامل
✔ راهاندازی SOC شامل نصب نرمافزار Fortress SIEM، نصب حسگرهاريال جمعآوری لاگ و امنسازی
✔ پشتیبانی SOC شامل پایش و مانیتور دائم سیستمها و شبکه در SOC
✔ ارزیابی بلوغ SOC و ارائه راهکار جهت افزایش سطح بلوغ
✔ طراحی و پیادهسازی Use-Case به صورت عمومی و سفارشی ویژه سازمان مقصد
✔ ارائه خدمات SOC به طور کامل در قالب SOC-as-a-Service
✔ ارائه خدمات آگاهی رسانی امنیتی (Security awareness) در سطح مختلف مورد نیاز سازمان
مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از دادهها هستند. مدیریت حساب به فرآیند نظارت و کنترل حسابهای کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیتهایی مانند ایجاد حسابهای کاربری، اعطا یا لغو امتیازات دسترسی، اجرای سیاستهای رمز عبور و نظارت بر فعالیت کاربر است. مدیریت موثر حساب برای حفظ امنیت و یکپارچگی سیستمها و دادههای یک سازمان بسیار مهم است. از سوی دیگر، سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس و اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن آن است. ISMS چارچوبی را برای ایجاد، پیادهسازی، بهرهبرداری، نظارت، بررسی، حفظ و بهبود امنیت اطلاعات یک سازمان فراهم میکند. وقتی صحبت از مدیریت حساب در چارچوب ISMS میشود، تمرکز بر اجرای کنترلها و فرآیندهای مناسب برای مدیریت ایمن حسابهای کاربری است. این شامل اقداماتی مانند: تامین کاربر (User provisioning): ایجاد فرآیندهایی برای ایجاد و اصلاح حسابهای کاربری بر اساس نقشها و مسئولیتهای تعریف شده. کنترل دسترسی (Access control): اجرای مکانیسمهایی برای اعطای امتیازات دسترسی مناسب به کاربران بر اساس نقش آنها و اجرای اصل کمترین امتیاز. احراز هویت قوی (Strong authentication): استفاده از رمزهای عبور قوی، احراز هویت چند عاملی (MFA) یا سایر مکانیسمهای احراز هویت برای تأیید هویت کاربران. نظارت کاربر (User monitoring): اجرای مکانیسمهایی برای نظارت بر فعالیتهای کاربر، تشخیص رفتار مشکوک و پاسخ به حوادث امنیتی. حذف حساب (Account deprovisioning): ایجاد فرآیندهایی برای غیرفعال کردن یا حذف حسابهای کاربری در زمانی که دیگر نیازی به آنها نیست یا زمانی که یک کارمند سازمان را ترک میکند. ممیزی و بازبینی منظم (Regular audits and reviews): انجام ممیزی و بررسی دورهای حسابهای کاربری برای اطمینان از انطباق با خط مشیها و شناسایی هرگونه شکاف یا خطر امنیتی. ادغام شیوههای مدیریت حساب در چارچوب ISMS برای اطمینان از امنیت کلی داراییهای اطلاعاتی سازمان مهم است. با انجام این کار، سازمانها میتوانند به طور موثر چرخه عمر حسابهای کاربری را مدیریت کنند، خطرات مرتبط با دسترسی غیر مجاز را کاهش دهند و از اطلاعات حساس در برابر افشای غیر مجاز یا دستکاری محافظت کنند.
هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیشبینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولتها و سازمانها تبدیل شده است. اما آینده AI در امنیت سایبری با چالشهایی نیز مواجه است؛ به عنوان مثال گرچه AI به سازمانها، امکان ساخت دفاع قویتری میدهد، اما ابزارهای متعددی نیز برای انجام حملات پیچیده و پنهانی در اختیار مهاجمان و هکرها قرار داده است. در این مطالعه به بررسی تاثیر AI روی امنیت سایبری از اوایل ۲۰۰۰ پرداخته میشود. AI در امنیت سایبری: موج اول (2010 – 2000) در آغاز هزارهی جدید، گامهای ابتدایی دیجیتالی شدن، زندگیهای شخصی و حرفهای ما را تحت تأثیر قرار داد. در بیشتر سازمانها، کارمندان از کامپیوترها و لپتاپها به همراه مراکز داده درون سازمانی که زیرساخت IT سازمان را تشکیل میدادند، استفاده میکردند. تهدیدات سایبری در این زمان، به شکل عمده بر ایجاد هرج و مرج تمرکز داشته و در جستجوی کسب شهرت بودند. دهه اول هزارهی جدید، شاهد ظهور نرمافزارهای مخربی همچون ILOVEYOU، Melissa و MyDoom بود که در اینرنت آن زمان دنیا اختلالات مهمی ایجاد کردند. در میانه دهه اول ۲۰۰۰، کسب سود مالی منجر به افزایش فیشینگ و بدافزارهای مختلف مالی شد. تروجان بانکی Zeus ظاهر شد که بهطور پنهانی اطلاعات ورود به حساب بانکی کاربران را میدزدید. در آن زمان، سازمانها تنها بر کنترلهای امنیتی پایه، مانند آنتی ویروس مبتنی بر امضا و فایروال تکیه داشتند. از این رو مفهوم امنیت شبکه با ورود سیستمهای تشخیص نفوذ (IDS) شروع به تکامل کرد. احراز هویت دو عاملی (2FA) در این زمان محبوبیت پیدا کرد و لایهی اضافی امنیت برای سیستمها و دادههای حساس اضافه شد. در همین زمان بود که AI، ارزش خود را در دفاع از سازمان نشان داد. زیرا در این زمان، حجم ایمیلهای اسپم و ناخواسته حاوی بدافزار، که بار کاری زیادی به سرورهای ایمیل تحمیل میکردند، و همچنین کاربران را با فریبهای گوناگون، وادار به افشای اطلاعات شخصی ارزشمند میکردند، افزایش یافت. AI ابزاری ایدهآل برای تشخیص سریع و مسدود کردن پیامهای مخرب بود و کمک شایانی به کاهش ریسک کرد. هوش مصنوعی در این زمان، هنوز در مراحل نخستین خود بود اما برای دفاع از سازمانها در برابر تهدیداتی که به سرعت و در مقیاس گسترده در حال رشد بودند، پتانسیل زیادی نشان داد. AI در امنیت سایبری: موج دوم (2020 – 2010) با ورود به دههی دوم هزارهی جدید، زیرساخت IT تغییرات قابل توجهی را تجربه کرد. انفجار نرمافزارهای Software-as-a-Service، رایانش ابری و سیاستهای Bring-Your-Own-Device، دامنه فناوری اطلاعات را پویاتر از هر زمان دیگری کرد و در عین حال، سطوح حمله در برابر تهدیدات سایبری را به طور بیسابقه گسترش داد. عوامل تهدید به مراتب پیچیدهتر شدند و هدفهای حمله بالقوه به شدت گسترش یافت؛ سرقت مالکیت معنوی، خرابکاری در زیرساختها و کسب سود از طریق حملات در مقیاس بزرگ، به شدت رواج یافتند. سازمانها از تهدیدهای امنیتی کلان بین حکومتها آگاه شدند که از حمایت مالی و تکنیکی فراوان دولتها بهره میبردند. این امر، به دفاعهای پیچیدهای با امکان یادگیری خودکار و سریع منجر شد. حوادت امنیتی همچون Stuxnet که هدف آن تأثیرگذاری بر تاسیسات هستهای کشور ما، ایران بود و همچنین حملات ویرانکننده علیه شرکتهای معروف مانند Target و Sony Pictures رخ دادند و بر خطرات فزاینده سایبری، مهر تایید زدند. در همان زمان، آسیبپذیری زنجیرههای تأمین به شدت مورد توجه قرار گرفت؛ به عنوان مثال افشا اطلاعات SolarWinds، برای دهها هزار سازمان در کل دنیا تبعاتی مخرب داشت. همچنین حملاتی مانند WannaCry و NotPetya خسارات فراوانی در سراسر جهان به بار آوردند. گرچه حملات اخیر، نسبتاً به آسانی قابل شناسایی بودند، اما حجم تهدیدات و نشانههای آنها، نیازمند دفاع با سطحی از سرعت و دقت بود که از توان تحلیلی نیروی انسانی خارج است. در این دوره، AI به ابزار ضروری برای تیم دفاعی تبدیل شد. شرکت Cylance، که در سال ۲۰۱۲ تأسیس شد، با هدف جایگزینی آنتیویروسهای پیچیده با مدلهای سبک یادگیری ماشین آغاز به کار کرد. مدلهای کامپیوتری آموزش داده شدند تا به سرعت و با بهرهوری زیاد، بدافزارها را شناسایی و متوقف کنند. بدین ترتیب AI در امنیت سایبری گسترش بیشتری یافت و تکنیکهای یادگیری ماشین برای تشخیص آنومالیها، الگوهای یا رفتارهای غیرعادی نشاندهنده یک حمله پیچیده، و تحلیلهای پیشبینیکننده برای شناسایی و جلوگیری از مسیرهای حمله ممکن، به کار گرفته شد.
مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را
انواع SOAR در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود. سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از: SOAR محصول محور SOAR گسترده Next-Gen SOAR SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به حوادث، ارکستراسیون، اتوماسیون و مدیریت اطلاعات تهدید را در یک پلتفرم ترکیب کرده است. اما برخی از قابلیتهای ارکستراسیون و اتوماسیون در فناوریهای امنیتی دیگر مانند EDR نیز وجود دارد. لذا این نوع از SOAR که همه قابلیتهای گفته شده رادر یک ابزار مجرد ارائه میدهد، محصول محور نامیده میشود. SOAR گسترده: «رویکرد بهترین ابزار(Best-of-breed approach)» یا «بهترین ابزار در دسته» به معنی استفاده از بهترین و کارآمدترین ابزارها یا راهکارهای موجود در هر دستهای از فناوری یا صنعت است. به طور معمول، «رویکرد بهترین ابزار» به این معناست که به جای استفاده از یک راهکار یکپارچه از ابزارهای یک فروشنده، بهتر است از مجموعهای از بهترین ابزارها و راهکارهای موجود در بازار استفاده شود، حتی اگر این ابزارها از فروشندگان مختلف باشند. بدین ترتیب سازمان میتواند بر اساس نیازهای خاص خود، بهترین گزینه را انتخاب کند و آنها را با یکدیگر یا با سایر سیستمها و ابزارها ادغام کنند تا یک اکوسیستم امن و کارآمد بسازند. از این رو، اکثر تیمهای امنیتی در سازمان و همچنین درMSSP نیازمند SOAR گسترده هستند زیرا از مجموعه متنوعی از ابزارهای امنیتی استفاده میکنند. SOAR گسترده اتوماسیون و ارکستراسیون بین صدها ابزار مختلف برقرار کرده و انعطافپذیری و یکپارچگی فراهم میکند. حتی به شرکتهایی که به تعداد کمی از فروشندگان وابسته هستند، نیز توصیه میشود که پلتفرم SOAR گسترده را انتخاب کنند، زیرا این امکان را به آنها میدهد که ابزارهای مختلف را به آسانی به یکدیگر متصل کنند. Next-Gen SOAR: نوع پیشرفتهتری از SOAR گسترده است که سعی در برطرف کردن نواقص مشاهده شده در پلتفرم قبلی دارد. این نوع از SOAR، مشکلاتی مانند وابستگی به اتصالات و یا کدنویسی پیچیده برای ایجاد و استقرار پلیبوک در SOAR را حل میکند. همچین امکاناتی مانند اتصال به ابزار سازنده یا سفارشیسازی از طریق رابطهای برنامه نویسی REST را فراهم میکند. به علاوه، ممکن است فروشندگان قابلیتهای ویژه دیگری نیز به برنامه بیفزایند؛ به عنوان مثال ابزارهایی که برای اتوماسیون پاسخگویی به رویدادهای امنیتی پیچیده کاربرد دارند. و یا از اطلاعات MITRE ATT&CK برای تجزیه و تحلیل، واکنش و جستجوی پیشرفته استفاده میکند.
امنیت عامل انسانی – قسمت اول ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی مقدمه امنیت سایبری در محیطهای سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با همگرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این معنی است که سازمانها، شرکتها، صنایع و کارخانههای صنعتی از برقراری امنیت پایدار اطلاعات صنعتی خود استقبال میکنند. پارادایمهای اینترنت اشیا (IIoT) به زیرساختهای فناوری اطلاعات، استانداردها و فناوریهای باز و اینترنت متکی هستند. بنابراین این پلتفرمها در محیط های صنعتی در معرض تهدیدات سایبری، آسیبپذیری ها و حملات در سیستمهای ICS (سیستمهای صنعتی خودکار) کنترل، نظارت و مدیریت فرآیندهای صنعتی قرار دارند. عملکردهای اساسی یک ICS عبارتند از: عملیات اندازهگیری توسط سنسورها کنترل سختافزاری برای محرکها (فشارشکنها، سوئیچ و…) رابط انسان و ماشین (HMI) ابزارهای تشخیص و کنترل از راه دور و تعمیر و نگهداری ICS مدرن و روندهای توسعه آن، سودآوری تجاری و عملیاتی با کیفیت را در صنعت ممکن میسازد و در مقابل مجموعهای اجتنابناپذیر از حساسیتهای امنیتی را نیز به وجود می آورد که قابلیت امنیت و اطمینان از عملکرد صحیح عملیات را تهدید میکند. در حوزه صنعتی طی سالهای گذشته، افزایش تهدیدهای امنیتی سایبری در حوزه صنعتی باعث به همریختگی تمرکز صنعتگران و نگرانیهایی در این بخش گردیده است. تهدیدات و حملات علیه ICS در سطح جهانی، چشمانداز حمله علیه ICSE ها با الگوریتمهای هوشمند، امنیت سایبری صنعتی، امنیت SCADA و غیره، کلمات مهیجی هستند که اخیرا به موضوعات رایج گفتگو در میان کاربران روزمره فناوریهای صنعتی تبدیل شدهاند. الزامات و اولویت بندی تهدیدات امنیتی سایبری در شبکه صنعتی برخلاف فناوری اطلاعات و در اکثر موارد امنیتی ICS دارای خطرات جبران ناپذیری هستند و پیامدها و اثرات فیزیکی مرتبط با آنها اغلب شدیدتر و ناگهانیتر از حوزه فناوری اطلاعات هستند. مسائل و مشکلات امنیتی در محیط ICS اغلب به شکل خرابی های تعمیر و نگهداری معمول و سایر ناهنجاریهای فرآیند ظاهر میشوند که تشخیص و حل مسائل را دشوار میکند. دلایل اصلی دشواری مدیریت امنیت ICSE شامل موارد زیر هستند: داراییهای پراکنده و بسیار زیاد الزامات دسترسی از راه دور اجباری و مکرر فناوری کنترل و ناوبری سنتی برنامههای نامناسب امنیتی مانند آنتی ویروسها و فایروالها که در صورت به وجود آمدن مشکل امنیت سایبری، این مشکل می تواند در دسترس بودن سیستم را تحت تاثیر قرار دهد که برای ICS به عنوان یک سیستم در دسترسپذیری بالا قابل قبول نیست. عدم امکان ارتقاء ICSهای قدیمیتر به دلیل باز نبودن و عدم دسترسی به سورسهای نرمافزارهای صنعتی. توجه به هوشمندی امنیتی نیروی انسانی یکی از شگردهای دشمنان برای دسترسی به اهداف خرابکاریهای سایبری در سطح صنعت، سوءاستفاده از پرسنل ناآگاه و غیرماهر و فریب آنها برای انجام عملیاتهای خرابکاری میباشد. همچنین اپراتورها و کاربران سیستمهای ICS بیاطلاع و آموزش ندیده، به راحتی به انجام اقدامات و فعالیتهایی میپردازند که میتواند به مهاجمان برای دسترسی آسان به ظرفیتهای اطلاعاتی مهم برای اجرای مقاصد مخرب خود کمک کند و اینگونه رخدادها اغلب تا زمانی که آسیب ها و ناهنجاریهای جدی ظهور نکنند، توسط سیستمهای هشدار امنیتی نیز قابل شناسایی نیستند. تشدید حملات سایبری، نگرانی سازمانها برای نحوه واکنش به رخدادهای امنیتی که صنعت را مورد تهدید قرار می دهند بسیار زیاد کرده است. با توجه به رقابتهای شدید فعلی در ارتباط تجاری و عملیاتی در صنایع، تهدیدهای سایبری در صنعت، میتواند برای اعتبار و ارتباطات تجاری هم مشکل آفرین باشد و سوءاستفاده و بهره برداری از عامل انسانی می تواند راه حل موثری برای نفوذهای سایبری صنعتی باشد. در واقع عدم دانش و مهارت های فنی و امنیتی عناصر انسانی، می تواند دسترسی به داراییهای صنعتی و حیاتی امنیتی سایبری را به یک هدف اصلی برای سودجویان تبدیل کند. عملکردهای صنعتی بدون وقفه و در یک محیط پویا در حال تغییر هستند و امنیت سایبری در اینگونه محیطها می تواند الزامی باشد. برای تعریف امنیت سایبری می توانیم به متن زیر اشاره کنیم: «قابلیت هماهنگی افراد، فرآیندها و فناوریها برای ایمن سازی و کنترل دسترسی غیرقانونی، اختلال، تخریب یا اصلاح سیستم های محاسباتی الکترونیکی (سخت افزار، نرم افزار و شبکهها)، دادهها و اطلاعاتی که در اختیار دارند را امنیت سایبری در نظر می گیریم» با این حال، اکثر راه حل های امنیتی موقتی هستند و الزامی است که به صورت مستمر مورد بازبینی و ارزیابی قرار گیرند. نرم افزارهای امنیتی تنها کسری از مشکلات امنیت سایبری را حل می کنند، افراد (نیروی کار) که نرم افزار را توسعه و (یا) راه اندازی و به کارگیری می کنند، و فرآیند(های) طراحی و ساختار یافته برای استفاده از آن تعریف می نمایند می توانند نقش موثری در برقراری امنیت سایبری داشته باشند. به عنوان مثال، فرض کنید آقای اکبری یک مهندس فرآیند است که دارایی ایستگاه کاری مهندسی یک ICS را اداره و از فناوری آن استفاده می کند. فایروال “A” و فناوری “B” سیستم تشخیص نفوذ (IDS) برای محافظت از ایستگاه کاری او در برابر خطرات امنیتی هستند. با فرض اینکه آقای اکبری بیاطلاع است و قادر به تشخیص اَشکال و امضاهای مختلف طرح های حمله مهندسی اجتماعی نیست، علی به عنوان یک مهاجم باهوش و با نقشه از پیش تعیین شده، از یک ابزار فریبنده “نیزه فیشینگ” استفاده می کند که برای آقای اکبری ناشناخته است. و از این طریق او را فریب می دهد تا روی پیوندها یا پیوست هایی بر روی ایستگاه کاری او کلیک کند که به معنای واقعی کلمه، یک درب پشتی (نقطه ورودی) را فعال میکند. لذا به سیستم و شبکه آقای اکبری از طریق یک دسترسی مستقیم از راه دور با وجود قابلیت های ویژه امنیتی سخت افزاری و نرم افزاری فایروال”A” و فناوری”B” و از طریق سوءاستفاده از ناآگاهی امنیتی آقای اکبری، نفوذ می شود. سناریوی نظری بالا اهمیت عوامل انسانی در تضمین امنیت سایبری ICSE را برجسته می کند، به ویژه با تاکید بر اهمیت دانش امنیتی (آگاهی) و مهارت های عملی پرسنلی که در فرآیندهای صنعتی مشغول هستند. تاکید می کنیم که عامل انسانی به همان اندازه مهم است که دستگاه ها و فناوری های فنی در امنیت ICSE ، و سناریوهای واقعی نیز این دیدگاه را تثبیت میکنند. احتمالاً عوامل حمله استاکسنت در سال 2013 چالش نفوذ به شبکه نیروگاه هستهای ایران را داشته است، زیرا شبکه دارای ویژگی های مربوط به نفوذ سخت افزاری از بیرون از نیروگاه نبوده است. بنابراین، مهاجمان از تکنیک حمله از
مدیریت ریسک مدیریت ریسک مستمر برای دستیابی به اهداف تجاری در سازمانها امری غیر قابل اجتناب است. ریسکهای موجود میتواند شامل ریسک مالی، خطر خرابی تجهیزات و خطر ایمنی پرسنل و … باشد. سازمانها باید فرآیندهایی را برای ارزیابی ریسکهای