تماس با مرکز داده
۰۲۵-۳۲۱۲۳۰

پژوهشی مقایسه‌ای از مدل‌های ارزیابی ریسک امنیت اطلاعات برای سیستم‌های رایانش ابری

پژوهشی مقایسه‌ای از مدل‌های ارزیابی ریسک امنیت اطلاعات برای سیستم‌های رایانش ابری

The 6th International Symposium on Frontiers in Ambient and Mobile Systems – FAMS 2016

Comparative Study of Information Security Risk
Assessment Models for Cloud Computing systems

چکیده

این مقاله روش‌های نوین ارزیابی ریسک امنیت سایبری را از سیستم‌های رایانش ابری بررسی می‌کند. ما با جزئیات مدل‌های ارزیابی ریسک امنیتی کمی ارائه‌شده برای یا استفاده‌شده مخصوصاً درزمینه سیستم رایانش ابری را انتخاب و بررسی می‌کنیم. ما بررسی انجام می‌دهیم و سپس مدل‌های موجود را ازلحاظ مواردی همچون مراحل مدیریت ریسک؛ مفاهیم مدیریت ریسک کلیدی؛ و منابع داده‌های احتمالی  تحلیل می‌نماییم. بر اساس این تحلیل، مقایسه‌ای رابین این مدل‌ها برای انتخاب محدودیت‌ها و مزایای هر مدل مطرح‌شده معرفی می‌کنیم.

کلمات کلیدی: رایانش ابری؛ امنیت سایبر؛ مدل‌های ارزیابی ریسک کمی؛ ارزیابی ریسک امنیتی؛ مقایسه مدل‌های ارزیابی ریسک.

  1. مقدمه

اهمیت ملاحظات امنیتی در مورد توسعه و استفاده از سیستم‌های اطلاعاتی هیچ‌وقت از رشد باز‌نمی‌ماند. در حقیقت، سیستم‌های اطلاعاتی امروزه در همه‌جا توسط افراد، سازمان‌ها، دولت‌ها و سیستم‌ها مورداستفاده قرار می‌گیرند و واضح است که این امر منجر به از دست دادن مقادیر زیادی پول، زمان و سایر منابع می‌شود. درنتیجه، سازمان‌ها ممکن است نه‌تنها میلیون‌ها دلار صرف تجهیزات امنیتی‌ای همچون دیواره آتش ، سیستم‌های تشخیص نفوذ (IDS-ها) و ابزارهای رمزنگاری برای محافظت از آن‌ها در برابر تهدیدات نمایند، بلکه با مشکلات زیادی برای ارزیابی بررسی‌های فناوری امنیتی مواجه هستند. به‌علاوه، این شرکت‌ها موارد امنیتی سیستم‌های آن‌ها را نقض می‌کنند چراکه سازمان‌هایی که بهتر ریسک‌های سایبری را مدیریت می‌کنند، از سوی بازار رقابتی موردتقدیر قرار خواهند گرفت.

از سوی دیگر، کاربران سازمانی یا فردی انتظار دارند که سیستم‌های اطلاعاتی ایمن باشند و قادر به‌پیش بینی ریسک آن‌ها و استراتژی‌های آن‌ها در کاهش این ریسک‌ها باشند. هدایت اطلاعات سازمانی ایمن منجر به نیاز به توسعه بهتر معیارهای برای درک وضعیت نگرش امنیتی سازمان شده است.

موسسه ملی استاندارد و فناوری (NIST) مدیریت ریسک را به‌صورت ” فرانید شناسایی ریسک، ارزیابی ریسک، و طی مراحلی برای کاهش ریسک به سطحی قابل‌قبول ” تعریف می کند. NIST ارزیابی ریسک را به‌صورت فرایند شناسایی، تخمین و اولویت‌بندی ریسک‌های امنیت اطلاعات تعریف می‌کند که نیازمند تحلیل دقیقی از تهدیدها و اطلاعات آسیب‌پذیری برای تعیین میزانی است که در آن شرایط یا رویدادها می‌توانستند تأثیر معکوسی بر سازمان و احتمال اینکه چنین شرایط یا رویدادهایی رخ دهند، داشته باشند .

مدل‌های ارزیابی ریسک امنیت کمی ابزاری مؤثر برای ارزیابی و اندازه‌گیری سطوح امنیتی سیستم‌ها، محصولات، فرایندها و آمادگی پرداختن به مسائل امنیتی‌ای هستند که با آن‌ها مواجه می‌شوند. معیارها همچنین می‌توانند به شناسایی آسیب‌پذیری‌های سیستم و ارائه راهنمایی برای اولویت‌دهی به اعمال اصلاحی کمک کنند.به‌علاوه، معیارها می‌توانند برای تأیید  و جهت دهی بررسی‌های امنیتی آتی مورداستفاده قرار گیرند.

معیارهای امنیتی کمی نشان دهنده ابزارهایی برای مقداردهی به ریسک‌ها برای مقداردهی ریسک‌ها ازلحاظ پولی به صورتی است که تصمیم‌گیری منطقی را امکان‌پذیر نماید.از روی ادبیات موضوعی ارزیابی ریسک،تعدادی از معیارها شامل ارزیابی  ریسک‌های امنیتی می‌باشند. در حقیقت، دو نوع معیار داریم: معیارهای کیفی و کمی.

در این مقاله ما بر مدل‌های ارزیابی ریسک امنیتی کمی برای سیستم‌های رایانش ابری تمرکز داریم. در حقیقت، رایانش ابری نشان دهنده یک فناوری جدید برای تحویل منابع رایانشی به‌عنوان یک خدمت و برحسب تقاضا می‌باشد اما محدودیت‌های متعددی همچون امنیت دارد که آن را به‌عنوان مانع اصلی پذیرش رایانش ابری می‌شناسیم.

مدل‌های کمی اندکی وجود دارند که مدل‌های ریسک امنیت را برای سیستم‌های CC تخمین می‌زنند، ازجمله MFC، MFCE، MFCext, MFCint و M2FC3, 5, 7, 8, 10. در این کار علاقه‌مند به بررسی جزئی مدل‌های ارزیابی ریسک امنیتی کمی هستیم و سپس مقایسه‌هایی رابین این مدل‌ها هستیم. این کار پژوهشی جزئی‌ از مدل‌های ارزیابی ریسک امنیت اطلاعات برای سیستم‌های رایانش ابری می‌باشد. این نتیجه قابل‌مقایسه خواهد بود و تحلیلی مهم از آن مدل‌ها و مفاهیم مهم آن‌ها خواهد بود.

باقی مانده این مقاله به شرح زیر سازمان‌دهی شده است:

در بخش ۲، مشکل مطرح شده در این مقاله را بیان می‌کنیم. بخش ۳، مباحث پیش‌زمینه‌ای را در مورد اینکه سیستم‌های رایانش ابری چیست‌ا و در مورد مشکلات ریسک پیش روی آن‌ها، مطرح می‌کنند. در بخش ۴،  مدل‌های ارزیابی ریسک امنیتی کمی را برای سیستم‌های CC بررسی می‌کنیم. بخش ۵ تحلیل جزئی و مقایسه‌ای از مدل‌های مطرح‌شده را ارائه می‌کند. ما نتیجه‌گیری‌هایی را در بخش ۶ ترسیم می‌کنیم.

  1. بیان مسئله

محرک‌هایی قوی برای پرداختن به ارزیابی ریسک امنیتی در دیدگاهی جدید ، مخصوصاً برای مدیریت ریسک امنیت اطلاعات وجود دارند. در حقیقت، فاکتورهای مشخصی وجود  دارند که موجب تحریک تغییرات در شرکت می‌شود. برای مثال، استفاده از فناوری‌های جدید، فشار نوآوری و فشاری برای کاهش هزینه‌ها، شرکت‌ها را مجبور به در نظر گرفتن این جنبه‌ها می‌کند و صرف‌نظر از این فاکتورهای می‌تواند بر شهرت و اعتمادبه‌نفس مشتری تأثیر بگذارد.

ارزیابی ریسک امنیت اطلاعات کاری مشکل و پرهزینه است. در حقیقت، اگر یک آسیب‌پذیری جدید یا یک ویروس جدید شناخته شود، این نتایج ممکن است بسیار هزینه‌بر باشند. علاوه بر این، برای فراهم آوری پاسخی سریع و مناسب به حوادث امنیتی و محافظت از دارایی‌هایی آن‌ها، سازمان‌ها نیاز به یک رویکرد ارزیابی ریسک امنیتی نظام‌مند دارند. به‌علاوه، کاربران سازمانی یا فردی انتظار دارند که سیستم‌های اطلاعاتی ایمن باشند و قادر به‌پیش بینی ریسک آن‌ها باشند و استراتژی‌های آن‌ها این ریسک‌ها را کاهش دهد. هدایت اطلاعات سازمانی ایمن منجر به توسعه معیارهای بهتری برای درک وضعیت نگرش امنیتی سازمان شده است. از سوی دیگر، ارزیابی ریسک یکی از مؤلفه‌های پایه‌ای یک فرایند مدیریت ریسک سازمانی است. مبتنی بر معیارهای امنیتی برای ارزیابی ریسک‌های امنیتی می‌باشد.

  1. سیستم‌های رایانش ابری و چالش‌های امنیت سایبری

رایانش ابری را به‌صورت فناوری جدیدی در نظر می‌گیریم که موجب نوآوری برای تعداد فزاینده‌ای سازمان شده است. امکان بهبود قابلیت‌های رایانش ابری را به‌عنوان بخشی از فرایند نوآوری، برای ارائه محصولات و خدمات و تنوع و برای رشد و تکامل سازمانی کلی می‌دهد.

رایانش ابری روشی نوظهور در رایانش ابری است که جای رایانش را به‌صورت یک کالای شخصی با رایانش به‌عنوان یک ابزار عمومی جایگزین می‌کند. ممکن است آن را به‌عنوان تحویل منابع رایانشی برحسب تقاضا بر روی اینترنت بر اساس پرداخت به میزبان استفاده تعریف کنیم. این منابع (ازجمله زمان محاسبه پردازنده و ذخیره‌سازی داده‌ها) به صورتی پویا وابسته به اینترنت هستند و برای مشترکان آن‌ها بر اساس استفاده از منابع رایانشی صورت‌حساب صادر می‌شود.

تعاریف متعددی برای رایانش ابری وجود دارند.برای مثال، موسسه ملی استانداردها و فناوری، رایانش ابری را به‌صورت “مدلی که راحتی،   دسترسی شبکه برحسب تقاضا را برای مخزنی اشتراکی از منابع رایانشی قابل تنظیم را تضمین می‌کند که می‌تواند به‌سرعت مشروط باشد و با تلاش‌های مدیریت حداقل یا تعامل تأمین کننده خدمات منتش شود” ، تعریف می‌کند.

رایانش ابری خدمات خود را در سه لایه از خدمات ارائه می‌کند که منابع زیرساختی، بستر کاربردی و نرم‌افزار به‌صورت خدماتی برای مشتری ارائه می‌کند.لایه زیرساخت به‌عنوان سرویس (IaaS) زیرساخت رایانشی ابتدایی‌ای از سرویس‌دهنده‌ها، پردازش، قدرت و شبکه‌ها خدمت‌رسانی می‌کند. لایه بستر به‌عنوان سرویس (PaaS) لایه‌ای ارائه می‌کند که در آن کاربران می‌توانند برنامه‌های کاربردی خود را راه‌اندازی و مستقر نمایند. نرم‌افزار به‌عنوان سرویس(SaaS) برنامه‌های کاربردی‌ای را از طریق مرورگر وب به هزاران مشتری بدون نیاز به نصب آن‌ها بر روی کامپیوترهایشان ارائه می‌کند.

رایانش ابری، همه مزایای یک سیستم تسهیلاتی عمومی را ازلحاظ مقیاس اقتصادی، انعطاف‌پذیری و راحتی ارائه می‌کند اما مشکلات زیادی همچون از دست دادن کنترل و از دست دادن امنیت را ایجاد می‌کند. اما همچنان که اطلاعات بیشتر و بیشتری از  شرکت‌ها و افراد بر روی ابر قرار می‌گیرد، مشکلاتی به‌ویژه در مورد امنیت  شروع به رشد می‌کنند. در حقیقت، برون‌سپاری داده‌های کاربران  پشتیبانی از حفظ یکپارچگی و حریم خصوصی را سخت می‌کند که موجب به وجود آمدن مشکلات جدی‌ای می‌شود.

امنیت چالش بزرگی در سیستم‌های رایانش ابری است. در حقیقت، بر اساس یک بررسی انجام‌شده توسط سازمان گروه داده بین‌المللی (IDG) در ۲۰۱۴، امنیت شدیداً بزرگ‌ترین مشکل برای CC می‌باشد. در حقیقت، از ۶۱% در سال ۲۰۱۴، و سازمان‌های مالی بزرگ‌تر (۷۸%)، ۶۷% از سازمان‌ها در مورد امنیت راه‌حل‌های رایانش ابری ابراز نگرانی کرده‌اند.چالش‌های بیشتری نیز در همین حوزه برای تصمیم‌گیرنده‌ها به وجود آمده است؛ فقط ۴۳% نگران یکپارچگی و پس‌ازآن توانایی راه‌حل‌های رایانش ابری برای برآورده نمودن استانداردهای صنعتی و/یا سازمانی (۳۵%) بوده‌اند. با در نظر گرفتن مشکلات امنیتی بالای آن‌ها، سازمان‌ها استراتژی‌ها و ابزارها (همانند مدیریت امنیت ابر و ابزارهای نظارتی) را برای کاهش این چالش‌ها در طول ماه‌های آتی یکپارچه‌سازی می‌کنند.

  1. مدل‌های ارزیابی ریسک امنیت اطلاعات

در این بخش مدل‌های ارزیابی ریسک امنیتی ابتدایی را برای سیستم رایانش ابری معرفی می‌کنیم. در حقیقت، این مدل‌ها امنیت سیستم رایانش ابری را با متغیری تصادفی مقداردهی می‌کنند که برای هر ذینفع ، مقدار زیانی را که ناشی از تهدیدات امنیتی و آسیب‌های سیستمی است نشان می‌دهد. ازاین‌رو پنج مدل برای مقداردهی مسائل امنیتی برای برنامه کاربردی رایانش ابری نمایش می‌دهیم.

۱٫۴٫ SecAgreement: یک مدل ارزیابی ریسک امنیتی

Hale و همکاران مدلی بانام SecAgreement را برای توانمندسازی تأمین‌کننده‌های خدمات ابری جهت قرار دادن احتمال فزاینده‌ای معرفی می‌کنند که از خدماتشان استفاده خواهند کرد. این رویکرد الگوریتم تطبیقی خدمات ابری‌ای را برای ارزیابی و رتبه دهی SecAg SLA ارتقا یافته با ریسک آن‌ها تعریف می‌کند. که به سازمان‌ها اجازه مقداردهی ریسک، شناسایی هر تطبیق سیاسی، شکاف‌های که ممکن است وجود داشته باشند می‌دهد و درنتیجه خدمات ابری‌ای را انتخاب می‌کنند که بهتر به نیازهای امنیتی آن‌ها جواب می‌دهد.

۲٫۴٫ هزینه خرابی متوسط (MFC)

Ben Aissa و همکاران ، معیار امنیتی سایبری‌ای بانام هزینه خرابی متوسط (MFC)  معرفی می‌کنند که به امنیت سیستم رایانشی با میانه آماری متغیر تصادفی مقداردهی می‌کند که برای هر ذینفع، مقدار زیانی را که ناشی از تهدیدات امنیتی و آسیب‌های سیستمی است، نشان می‌دهد.  MFC برحسب ذینفع تغییر می‌کند و واریانس شرایطی را که ذینفع در برآورده سازی هر نیاز امنیتی نیاز دارد را در نظر می‌گیرد. این زیرساخت موردنظر، مقادیری را منعکس می‌کند که ذینفعان در هر نیاز امنیتی، وابستگی نیازهای امنیتی در عملیات مؤلفه‌های معماری و تأثیر آن تهدیدات امنیتی بر این مؤلفه‌ها دارند.

فرایند MFC در چهار مرحله دنبال می‌شود:

تولید ماتریس مخاطرات: فرض کنید ST(S,R) ماتریس مخاطرات با بعد (i*j) باشد که در آن S نشان دهنده ذینفعان سیستم و R نشان دهنده نیازهای این سیستم می‌باشد. سلول A(Si,Rj) نشان دهنده هزینه‌ای است که ذینفع Si در صورت خرابی سیستم در پاسخگویی به نیازهای امنیتی Rj از دست خواهد داد.

تولید ماتریس وابستگی: ماتریس وابستگی نشان می‌دهد که چگونه این احتمال را تخمین بزنیم که یک نیاز امنیتی مشخص در دوره عملکرد سیستم برای یک بازه زمانی مشخص، نقض می‌شود.

ایجاد ماتریس تأثیر: این معماری سیستم ممکن است نشان دهنده مؤلفه‌هایی باشد که در اثر خرابی‌های امنیتی ناشی از فعالیتی مخربانه، به‌درستی عمل نمی‌کنند. درنتیجه، باید مجموعه‌ای از تهدیدات مرتبط با این سیستم را مشخص کنیم. این ماتریس مشخص می‌کند که کدام تهدیدها بر کدام مؤلفه‌ها تأثیر می‌گذارند و احتمال موفقیت هر تهدید را در زیر نور رفتار مخربانه و شمارش معیارهای احتمالی ارزیابی می‌کند.

تولید بردار تهدید: بردار تهدید نشان دهنده این احتمال است که یک تهدید در طول بازه متحد تحقق می‌یابد.

۳٫۴٫ متوسط خرابی هزینه خارجی (MFCex) و متوسط خرابی هزینه داخلی (MFCint)

Jouini و همکاران یک مدل جدید برای مقداردهی به ریسک‌های تهدیدات امنیتی با در نظر گرفتن یک طبقه‌بندی از تهدیدات شناسایی‌شده معرفی کرده‌اند: MFC (MFCext) درونی و MFC (MFCint) خارجی. در حقیقت، تهدیدات با استفاده از منابعشان برای شناخت منبع تهدید سیستم‌های اطلاعاتی  شکل‌گرفته و مخصوصاً سیستم‌های رایانش ابری برای توسعه استراتژی‌های مناسبی جهت ممانعت یا غلبه بر تأثیرات آن‌ها، طبقه‌بندی می‌شوند. در حقیقت ما مبتنی بر ابعاد منابع هستیم تا منبع تهدیدات را پیدا کنیم. این مدل در نظر می‌گیرد که نفوذ فضای تهدید امنیتی به فضاهای فرعی برای یک مدل از دو بعد برچسب‌گذاری شده داخلی و خارجی تقسیم می‌شود.

این طبقه‌بندی به ما امکان معرفی دو نوع افزونه جدید از بردار تهدید (PT) از معیار MFC را می‌دهد. درنتیجه، دو معیار افزونه از هزینه خطای میانگین (MFC) وجود خواهد داشت. می‌توانیم هزینه خرابی میانه خارجی (MFCext) و هزینه خرابی میانه داخلی (MFCint) را برحسب بردار فضای حمله AS که نشان دهنده احتمالی است که تهدید داخلی یا خارجی می‌باشد، محاسبه کنیم.

این افزونه‌های جدید مدل MFC تحلیل آسیب‌پذیری این سیستم را بهبود می‌بخشد. آن‌ها امکان مشخص نمودن ماهیت راه‌حل امنیتی‌ای را فراهم می‌کنند که هزینه خرابی میانگین را حداقل سازی می‌کند.

۴٫۴٫ مدل افزونه MFC (MFCE)

Jouini و همکاران پیشنهاد می‌کنند که میانگین افزونه هزینه خرابی(MFCE) معیار امنیتی سایبری جدیدی برای سیستم‌های اطلاعاتی و به‌ویژه محیط رایانشی ابر می‌باشد. این مدل مبتنی بر یک مدل طبقه‌بندی تهدید بانام مدل طبقه‌بندی ترکیبی (HTC) می‌باشد. HTC یک مدل عمومی است که چندین معیار تهدید یا ویژگی همانند منبع تهدید، عاملان تهدید، انگیزه‌ها، هدف، نتایج تهدیدات را ترکیب می‌کند.

مدل MFCE بر پالایش تخمین از ماتریس تأثیر IM و بردار تهدید PT از مدل هزینه خرابی متوسط (MFC) معرفی‌شده در بخش قبلی تمرکز می‌کند. این مدل، امکان مطالعه تأثیر یک کلاس کلی از تهدیدات را فراهم می‌کند تا اینکه بر صرفاً تهدید تمرکز کند. به‌علاوه، تهدیدات متغیرهایی  در راه‌حل‌های امنیتی و زمانی هستند که در طول زمان تغییر می‌کنند.

برای ماتریس تأثیر IM، دو معیار جدید تولیدشده بود: ماتریس تأثیر IMC و ماتریس کلاس‌های تهدید CM. ماتریس ICM نشان دهنده این احتمال است که یک مولفه CK در صورت تحقق کلاس Clr  خراب می‌شود و ماتریس CM نشان دهنده احتمال داشتن کلاس تهدید Clr درزمانی است که تهدید Tq رخ دهد.

مدل MFCE یک معیار امنیتی سایبر را به‌صورت تکنیک تصمیم‌گیری برای محیط رایانش ابری جهت استخراج تصمیمات راه‌حل‌های امنیتی مربوطه نشان می‌دهد. این معیار تصمیم‌گیری کمی، امکان انتخاب اقدامات متقابل به ازای هر کلاس تهدید را نسبت به یک تهدید برای مطالعه بهتر و شناسایی تهدیدات امنیتی  را فراهم می‌کند.

۵٫۴٫ مدل هزینه خرابی میانگین چندبعدی (M2FC)

Jouini و همکاران ، رویکرد چندبعدی‌ای را برای ارزیابی تهدیدات امنیتی معرفی می‌کنند. آن‌ها یک مدل جدید برای ارزیابی هزینه خرابی امنیتی یک سیستم اطلاعات معرفی می‌کنند که ابعاد تهدیدات را در نظر می‌گیرد تا ریسک تهدیدات را بهتر ارزیابی کند. این مدل را هزینه خرابی میانگین چندبعدی (M2FC) می‌نامیم و فرض می‌کند که دنیای تهدید به چند دیدگاه تهدیدی تقسیم می‌شود که هر یک ابعاد متعامدی دارند. در حقیقت، هر تهدید امنیتی‌ای نشان دهنده چند جنبه است، که آن‌ها را دیدگاه می‌نامیم که سطح ریسک پی روی یک سیستم را افزایش می‌دهد. این دیدگاه‌ها می‌توانند این فضا را به بخش‌هایی بانام ابعاد تجزیه کنند.

برای تجزیه، این مدل یک بعد اصلی را برای تمرکز بیشتر بر یک بعد نسبت به ابعاد کل تهدیدات،  در نظر می‌گیرد.برای مثال، برای ارزیابی هزینه خرابی میانگین برای هر مولفه معماری، ما ابعاد مؤلفه‌ها را اصلی در نظر می‌گیریم. در شرایط دیگر، دوست داریم نه‌فقط بر مؤلفه‌ها بلکه بر سایت‌های استقرار شرکت نیز تمرکز می‌کنیم؛ سپس هزینه خرابی میانگین را به ازای هر مکان‌داریم.

مدل M2FC ارزیابی ذینفعان هزینه مرتبط با نیازها را با در نظر گرفتن عناصر دوبعدی در نظر می‌گیرد. درنتیجه، این مدل مجموعه H از ذینفعان را در نظر می‌گیرد و مجموعه  R از نیازهای آن‌ها را از مجموعه‌ای از ابعاد مهم و مجموعه‌ای از سایر ابعاد مربوطه  تفکیک می‌کند (زمان، مولفه سیستم، …).

  1. مطالعه مقایسه‌ای

هدف از مطالعه چهار مدل تحلیل ریسک امنیتی کمیتی برای سیستم‌های CC مقایسه جزئی‌تر سه روش متفاوت و نمایش محدودیت‌ها و مزایای هر مدل می‌باشد.

مدل SecAgreement روشی کمی است که از آن برای مقایسه بین تأمین‌کننده‌های ابر برای انتخاب بهترین موارد بر اساس محاسبه فاکتور ریسک هر یک استفاده می‌شود و ریسک‌ها را به دلیل نقایص امنیتی برای محیط رایانش ابری تخمین نمی‌زند

مدل هزینه خرابی میانگین (MFC) مزایای متعددی دارد. در حقیقت، مقدار امنیت یک سیستم را ازلحاظ مالی به‌ویژه ازلحاظ مقداری که ذینفع در نتیجه خریانی ناشی از تهدیدات امنیتی و آسیب‌های سیستمی متقبل می‌شود را مشخص می‌کند. به‌علاوه، این معیار بر اساس مخاطراتی که هر ذینفع در غلبه بر هر نیاز امنیتی دارد، تغییر می‌کند. بااین‌حال، نشان دهنده چند نقص می‌باشد. پس از مطالعه و تحلیل تهدیدات امنیتی و معیار MFC، به محدودیت‌های زیر پی بردیم:

  • تهدیدات امنیتی در طول زمان تکاملی و متغیر و دارای ویژگی‌های متعدد هستند و در بردار PT، هیچ ساختار سلسله مراتبی یا منطقی‌ای بین تهدیدات فهرست شده وجود ندارد چراکه آن‌ها مبتنی بر ویژگی مشخصی برای طبقه‌بندی نیستند.
  • دست‌کم گرفتن MFC: در حقیقت، در بردار تهدید PT، عبارت استفاده‌شده برای تعریف تهدید می‌تواند ابهام‌آمیز باشد؛ می‌تواند منجر به هم‌پوشانی بین تهدیدات مختلف شود، یعنی هر تهدید ممکن است متعلق به چند کلاس همزمان باشد و درنتیجه بارها پردازش شود، بنابراین تخمین کمینه‌ای از هزینه خرابی میانگین داریم.
  • کاربرانی که ممکن است ازاین‌روش برای استخراج تهدید استفاده کنند ممکن است نتایج کاملاً متفاوتی داشته باشند.
  • مدیران نمی‌تواند منبع ریسک‌های تهدیدات را شناسایی کنند تا اقدامات متقابلی را پیشنهاد نمایند.
  • MFC در مورد ساختار و ابعاد تهدیدات امنیتی ، کور است. فرض می‌کند که هر خرابی به دلیل تهدید، خرابی‌ای با در نظر گرفتن کل مشخصات می‌باشد. اما ذینفعان ممکن است مخاطرات متفاوتی در ابعاد تهدیدات امنیتی و دیدگاه‌هایی داشته باشند که در MFC منعکس نشده‌اند.

MFCext و MFCint فضای تهدیدی مهمی را برای کمک به مدیران برای اتخاذ اقدامات مناسب فراهم می‌کنند. آن‌ها تحلیل آسیب‌پذیری سیستم را بهبود می‌دهند. آن‌ها نوع راه‌حل را برای حداقل سازی هزینه متوسط خرابی مشخص می‌کنند.در حقیقت، با استفاده از بعد طبقه‌بندی تهدید، آن‌ها امکان شناسایی منبع فضای تهدیدات (چه منبع داخلی باشد چه خارجی) را فراهم می‌کنند تا به مدیران اجازه تمرکز بر فضای نفوذ را که دارای هزینه‌های خرابی میانگین بالاتر هستند بدهند. بااین‌حال، همه ویژگی‌های تهدیدی را در نظر نمی‌گیرد و فقط یک معیار را در نظر می‌گیرد که دقیقاً یک تهدید را توصیف نمی‌کند (همانند منبع)، بنابراین آن‌ها مقادیر دقیقی را در مورد هزینه خرابی امنیتی ارائه نمی‌کنند. علاوه بر این، معیار موردنظر (منبع) مبتنی بر طبقه‌بندی (داخلی یا خارجی) هستند درحالی‌که منابع تهدیدی ممکن است حاوی سه زیر کلاس باشند.

مدل تعمیم یافته هزینه خرابی میانگین  طبقه‌بندی تهدید را بر اساس مدلی از طبقه بندی تهدیدات در نظر می‌گیرد و یک راه‌حل تهدید را توسط کلاس فراهم می‌کند، این مدل نشان دهنده هزینه‌بر اساس ابعاد یا چشم اندازهای تهدیدات امنیتی نیست. همچنین، اشاره می‌کنیم که مدل طبقه‌بندی تهدیدات استفاده‌شده ازلحاظ اندازه مدل  کاملی نیست. علاوه براین، اگر مدیران بخواهند معیار یا ابعاد مهمی را که بر مقادیر هزینه خرابی امنیتی تأثیر می‌گذارند را بدانند، نمی‌توانند آن‌ها را با استفاده از این مدل‌ها تعیین کنند. بنابراین، باید معیاری را ایجاد کنیم که دقیقاً نقایص امنیتی را تخمین بزند و ابعاد مهم سیاست‌های مدیریت امنیتی بهتری را در سازمان‌ها ارائه کنند. بنابراین، اگر تصمیم‌گیرنده‌ها بخواهند ابعاد یا معیار مهمی داشته باشند که بر اعمال هزینه خرابی امنیت تأثیر بگذارند، نمی‌توانند با استفاده از این مدل‌ها، آن‌ها ا تعیین کنند.

درنهایت، این M2FC بهبود یافته هزینه خرابی میانگین (MFC) می‌باشد. این مدل از سوی ذینفعان متفاوت است و واریانس نقایصی را که ذینفع در برآورده سازی نیازهای امنیتی دارد را در نظر می‌گیرد اما دیدگاه‌های تهدیدی و ابعاد را در نظر نمی‌گیرد. به‌علاوه، این را به‌صورت چندبعدی در نظر می‌گیریم که تهدیدی است که حاوی چند بعد است، دیدگاه‌های تهدیدات را برای کاهش ریسک امنیتی برای هر سیستم در نظر می‌گیرید و تغییرات در سیستم‌ها را همانند تغییرات در استقرار، مؤلفه‌ها و تغییرات در سیاست‌های دسترسی کاربر تغییر می‌دهد. درنتیجه، ابعاد تهدیدات و جنبه دیدگاه‌ها را در نظر می‌گیرد و امکان شناسایی ابعاد مهمی را که بیشترین هزینه‌ها را ایجاد می‌کنند، فراهم می‌کند.

  1. نتیجه‌گیری

ارزیابی ریسک، مکانیزمی مهم در چرخه مدیریت امنیت اطلاعات است. برای شرکت‌ها جهت پذیرش یک فرایند به‌خوبی ساختاریافته و نظام‌مند جهت ارزیابی ریسک‌های امنیت اطلاعات جهت ارزیابی آن، اهمیت دارد. هدف اصلی این پژوهش، بررسی و مقایسه و مدل ریسک امنیت کمیتی برای سیستم‌های رایانش ابری است چراکه این سیستم‌ها نشان دهنده فناوری مربوطه برای شرکت‌هایی است که هزینه را کاهش و نام تجاری سازمان را ارتقا می‌دهند. مقایسه حاصل، به تصمیم‌گیرنده‌ها برای انتخاب مدل‌های مناسب جهت ارزیابی ریسک‌های امنیتی برای محیط CC و درواقع برای سایر سیستم‌های اطلاعاتی  کمک می‌کند. در حقیقت، به ارزیابی مدل‌های قابل‌استفاده برای سازمان و نیازهای ویژه آن‌ها کمک می‌کند.

مطالب مرتبط


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *