آموزش تهدیدات سایبری با استفاده از ابزارهای شبیه سازی شده

آموزش تهدیدات سایبری با استفاده ابزارهای شبیه سازی شده

تیم‌های امنیتی که مسئولیت واکنش به تهدیدات و حوادث را بر عهده دارند باید همواره آمادگی مقابله با چالش های امنیت سایبری را داشته باشند. یکی از روش های کارآمد در این خصوص، استفاده از ابزارهای شبیه‌ سازی نفوذ و حمله (BAS) است.

معمولاً گروه‌های امنیتی از پلتفرم‌های BAS جهت بررسی کنترل‌های امنیتی در برابر انواع نفوذهای اطلاعاتی استفاده می‌کنند. بر اساس نتایج بررسی های تیم امنیت شرکت IBM، از این پلتفرم می توان برای اجرای آموزش‌های لازم جهت ایجاد آمادگی در برابر حملات واقعی استفاده کرد. در واقع پلتفرم های BAS به تحلیلگران این امکان را می‌دهند که خودشان را برای شناسایی و مقابله با نفوذهای اطلاعاتی و سایر رخنه های امنیتی آماده کنند.

بنا بر اظهارات یکی از تحلیلگران، BAS به سازمان ها امکان می دهد که همزمان هم مدافع و هم مهاجم باشند. در حال حاضر گزارش‌ها و الگوهای جدیدی از تهدیدات سایبری وجود دارد که قبلاً امکان دسترسی به آنها نبود. در این مطلب از فراست، به مزایای این شیوه آموزشی می‌پردازیم.

دسترسی به آمار رویدادها و حوادث واقعی

در گذشته، آموزش مستمر تیم‌های امنیت سایبری و کارشناسان هوش تهدید نیاز به استفاده از روش‌های آموزشی به سبک کلاس درس داشت. هر یک از اعضای تیم برای ارتقای توانایی‌ها و دریافت گواهینامه باید دوره‌های آموزشی امنیت را می گذراند. همچنین این کارشناسان برای کسب اطلاعات درباره تهدیدات سایبری جدید و نحوه واکنش به آنها می بایست گزارش های به دست آمده از سازمان های مختلف (از جمله تیم واکنش به حوادث IBM) را مطالعه می کردند. علاوه بر این، در گذشته جهت ارزیابی سطح دانش و اطلاعات کارشناسان امنیتی آنها باید تمرین های زیادی را حل نموده و در آزمون های مختلف موفق می شدند.

با این حال، به ندرت امکان شبیه ‌سازی حملات واقعی برای آنها به وجود می آمد. از آنجا که معمولاً تیم‌های امنیتی امکان مواجه با جدیدترین حملات یا اطلاع از هشدارها را به صورت منظم ندارند به همین خاطر این قابلیت از اهمیت بسیار بالایی برخوردار است. بسیاری از سیستم‌های مشتریان شرکت‌های امنیت سایبری با به کارگیری روش های اصولی درس پس داده از بروز رخنه‌های امنیتی جلوگیری می‌کنند. در سایر موارد نیز آسیب های امنیتی رخ می دهند و حتی ممکن است خود این مشتریان متوجه وقوع آنها نشده و نشانه های نفوذ (IOC) را هم نتوانند شناسایی کنند. برای اینکه تیم‌های امنیتی تجربه لازم را به دست آورند، بهتر است آنها را به صورت واقعی با حملات و رخنه‌های امنیتی که تاکنون با آن مواجه نشده اند، رو در رو کرد.

شبیه ‌سازی حملات

SafeBreach که شرکتی پیشگام در ارایه پلتفرم‌های BAS است، ده‌ها هزار کتابچه حاوی اطلاعات مربوط به نشت های اطلاعاتی، الگوهای حمله، عملکرد مهاجمان و آزمون‌های مختلف دارد که به تیم‌های امنیت این امکان را می‌دهد که حتی پیچیده‌ ترین حملات را به سرعت شبیه‌سازی کنند.

در واقع SafeBreach یک ابزار آموزشی انعطاف پذیر است که  اطلاعات بسیار زیادی دارد. به دلیل آنکه دسترسی به این کتابچه ها راحت است همه می‌توانند از آن برای شبیه‌سازی سریع حملات استفاده کنند. تیم‌های امنیت سایبری می‌توانند با استفاده از SafeBreach اطلاعات لازم را به دست آورده و با رخنه‌های اطلاعاتی و سایر حملات نوظهور و جدید مقابله کنند.

IBM برای کمک به اجرای این فرایند، امکان ادغام پلتفرم BAS را با سایر ابزارها از جمله پلتفرم تحلیل امنیتی QRadar، ابزارهای بازرسی و ثبت گزارش و ماشین‌های مجازی مخصوص لینوکس و ویندوز فراهم کرده است. تیم‌های امنیتی با کمک این ابزار می توانند از شبیه ‌سازی‌های ویژه خودشان که به زبان پایتون نوشته شده هم استفاده کنند. همچنین آنها قادر به مشاهده و بررسی کل مراحل حمله از جمله مراحل نفوذ، حرکت جانبی در شبکه، فعال سازی باج‌افزار یا استخراج اطلاعات می شوند. در نهایت اینکه امکان تولید و بررسی یک گزارش جامع برای مقایسه رویدادهایی که در زمان حملات مختلف رخ داده نیز وجود دارد.

گروه‌هایی که این آموزش را می بینند می‌توانند آموزش دهنده گروه‌های بعدی باشند. البته به زودی قابلیت‌های یادگیری ماشینی هم به این فرایند اضافه خواهد شد. بنابراین این تمرین ها علاوه بر آموزش تحلیلگران، به سیستم‌های یادگیری برای شناسایی عمیق، تحلیل و ارایه هر چه بهتر راهکارهای مقابله با حملات هم کمک می کنند.

درس گرفتن از محیط شبیه‌سازی پیشرفته IBM

IBM پس از ایجاد پلتفرم، انجام یکپارچه سازی ها و بررسی های لازم به این نتیجه رسیده که تیم های امنیتی به منظور شناسایی فعالیت های مخرب باید سیاست های بازرسی خود را افزایش داده و آنها را بهبود بخشند. همچنین زمانی که هشدارها ایجاد و برای سامانه مدیریت رویدادها و اطلاعات امنیتی (SIEM) ارسال شدند، معمولاً قوانین مورد استفاده برای تحلیل امنیتی در اغلب موارد ناقص بوده اند.

تحلیلگران می‌توانند از این راهکار در برنامه های آموزشی خود استفاده کنند. از این رو آنها خواهند توانست در خصوص جدیدترین و مهمترین تهدیدات امنیتی اطلاعات لازم را کسب کرده و از دانش به دست آمده، در وظایف شغلی شان بهره ببرند. افزایش سطح مهارت تحلیلگران، به نفع مشتریان نهایی نیز خواهد بود.

به تازگی تیم IBM موفق به شناسایی یک حمله که به نظر می رسد مربوط به فرایند تست نفوذ باشد بر روی سیستم یکی از مشتریان خود شده است. پس از انجام بررسی های لازم، فرض این تیم امنیتی درست بود. با توجه به اینکه بسیاری از مشتریان، این تست ها را اجرا می کنند تا توانایی تیم های امنیتی شان را ارزیابی کنند بنابراین بهتر است که آنها از قدرت تشخیص لازم برخوردار باشند.

هم اکنون شرکت IBM به نتایج ارزشمندی از برنامه‌های آموزشی خود دست یافته است. از هر پنج برگزار کننده این طرح، 3 مورد از آنها تبدیل به معمار آن طرح شده‌اند. در نهایت این معمارها می توانند خودشان آموزش دهنده شده، دستورالعمل های آموزشی را طراحی نموده و کلاس های آموزش بعدی را اجرا کنند.

با توجه به اینکه سال های بسیار زیادی است که روش مشاهده، اقدام و آموزش برای متخصصانی مثل پزشکان به نتایج خوبی رسیده است، امیدوار هستیم که این رویکرد نیز در حوزه آموزش امنیت سایبری نتایج امیدوار کننده‌ای را در پی داشته باشد.

 

منبع: securityintelligence

 

خروج از نسخه موبایل