تیمهای امنیتی که مسئولیت واکنش به تهدیدات و حوادث را بر عهده دارند باید همواره آمادگی مقابله با چالش های امنیت سایبری را داشته باشند. یکی از روش های کارآمد در این خصوص، استفاده از ابزارهای شبیه سازی نفوذ و حمله (BAS) است.
معمولاً گروههای امنیتی از پلتفرمهای BAS جهت بررسی کنترلهای امنیتی در برابر انواع نفوذهای اطلاعاتی استفاده میکنند. بر اساس نتایج بررسی های تیم امنیت شرکت IBM، از این پلتفرم می توان برای اجرای آموزشهای لازم جهت ایجاد آمادگی در برابر حملات واقعی استفاده کرد. در واقع پلتفرم های BAS به تحلیلگران این امکان را میدهند که خودشان را برای شناسایی و مقابله با نفوذهای اطلاعاتی و سایر رخنه های امنیتی آماده کنند.
بنا بر اظهارات یکی از تحلیلگران، BAS به سازمان ها امکان می دهد که همزمان هم مدافع و هم مهاجم باشند. در حال حاضر گزارشها و الگوهای جدیدی از تهدیدات سایبری وجود دارد که قبلاً امکان دسترسی به آنها نبود. در این مطلب از فراست، به مزایای این شیوه آموزشی میپردازیم.
دسترسی به آمار رویدادها و حوادث واقعی
در گذشته، آموزش مستمر تیمهای امنیت سایبری و کارشناسان هوش تهدید نیاز به استفاده از روشهای آموزشی به سبک کلاس درس داشت. هر یک از اعضای تیم برای ارتقای تواناییها و دریافت گواهینامه باید دورههای آموزشی امنیت را می گذراند. همچنین این کارشناسان برای کسب اطلاعات درباره تهدیدات سایبری جدید و نحوه واکنش به آنها می بایست گزارش های به دست آمده از سازمان های مختلف (از جمله تیم واکنش به حوادث IBM) را مطالعه می کردند. علاوه بر این، در گذشته جهت ارزیابی سطح دانش و اطلاعات کارشناسان امنیتی آنها باید تمرین های زیادی را حل نموده و در آزمون های مختلف موفق می شدند.
با این حال، به ندرت امکان شبیه سازی حملات واقعی برای آنها به وجود می آمد. از آنجا که معمولاً تیمهای امنیتی امکان مواجه با جدیدترین حملات یا اطلاع از هشدارها را به صورت منظم ندارند به همین خاطر این قابلیت از اهمیت بسیار بالایی برخوردار است. بسیاری از سیستمهای مشتریان شرکتهای امنیت سایبری با به کارگیری روش های اصولی درس پس داده از بروز رخنههای امنیتی جلوگیری میکنند. در سایر موارد نیز آسیب های امنیتی رخ می دهند و حتی ممکن است خود این مشتریان متوجه وقوع آنها نشده و نشانه های نفوذ (IOC) را هم نتوانند شناسایی کنند. برای اینکه تیمهای امنیتی تجربه لازم را به دست آورند، بهتر است آنها را به صورت واقعی با حملات و رخنههای امنیتی که تاکنون با آن مواجه نشده اند، رو در رو کرد.
شبیه سازی حملات
SafeBreach که شرکتی پیشگام در ارایه پلتفرمهای BAS است، دهها هزار کتابچه حاوی اطلاعات مربوط به نشت های اطلاعاتی، الگوهای حمله، عملکرد مهاجمان و آزمونهای مختلف دارد که به تیمهای امنیت این امکان را میدهد که حتی پیچیده ترین حملات را به سرعت شبیهسازی کنند.
در واقع SafeBreach یک ابزار آموزشی انعطاف پذیر است که اطلاعات بسیار زیادی دارد. به دلیل آنکه دسترسی به این کتابچه ها راحت است همه میتوانند از آن برای شبیهسازی سریع حملات استفاده کنند. تیمهای امنیت سایبری میتوانند با استفاده از SafeBreach اطلاعات لازم را به دست آورده و با رخنههای اطلاعاتی و سایر حملات نوظهور و جدید مقابله کنند.
IBM برای کمک به اجرای این فرایند، امکان ادغام پلتفرم BAS را با سایر ابزارها از جمله پلتفرم تحلیل امنیتی QRadar، ابزارهای بازرسی و ثبت گزارش و ماشینهای مجازی مخصوص لینوکس و ویندوز فراهم کرده است. تیمهای امنیتی با کمک این ابزار می توانند از شبیه سازیهای ویژه خودشان که به زبان پایتون نوشته شده هم استفاده کنند. همچنین آنها قادر به مشاهده و بررسی کل مراحل حمله از جمله مراحل نفوذ، حرکت جانبی در شبکه، فعال سازی باجافزار یا استخراج اطلاعات می شوند. در نهایت اینکه امکان تولید و بررسی یک گزارش جامع برای مقایسه رویدادهایی که در زمان حملات مختلف رخ داده نیز وجود دارد.
گروههایی که این آموزش را می بینند میتوانند آموزش دهنده گروههای بعدی باشند. البته به زودی قابلیتهای یادگیری ماشینی هم به این فرایند اضافه خواهد شد. بنابراین این تمرین ها علاوه بر آموزش تحلیلگران، به سیستمهای یادگیری برای شناسایی عمیق، تحلیل و ارایه هر چه بهتر راهکارهای مقابله با حملات هم کمک می کنند.
درس گرفتن از محیط شبیهسازی پیشرفته IBM
IBM پس از ایجاد پلتفرم، انجام یکپارچه سازی ها و بررسی های لازم به این نتیجه رسیده که تیم های امنیتی به منظور شناسایی فعالیت های مخرب باید سیاست های بازرسی خود را افزایش داده و آنها را بهبود بخشند. همچنین زمانی که هشدارها ایجاد و برای سامانه مدیریت رویدادها و اطلاعات امنیتی (SIEM) ارسال شدند، معمولاً قوانین مورد استفاده برای تحلیل امنیتی در اغلب موارد ناقص بوده اند.
تحلیلگران میتوانند از این راهکار در برنامه های آموزشی خود استفاده کنند. از این رو آنها خواهند توانست در خصوص جدیدترین و مهمترین تهدیدات امنیتی اطلاعات لازم را کسب کرده و از دانش به دست آمده، در وظایف شغلی شان بهره ببرند. افزایش سطح مهارت تحلیلگران، به نفع مشتریان نهایی نیز خواهد بود.
به تازگی تیم IBM موفق به شناسایی یک حمله که به نظر می رسد مربوط به فرایند تست نفوذ باشد بر روی سیستم یکی از مشتریان خود شده است. پس از انجام بررسی های لازم، فرض این تیم امنیتی درست بود. با توجه به اینکه بسیاری از مشتریان، این تست ها را اجرا می کنند تا توانایی تیم های امنیتی شان را ارزیابی کنند بنابراین بهتر است که آنها از قدرت تشخیص لازم برخوردار باشند.
هم اکنون شرکت IBM به نتایج ارزشمندی از برنامههای آموزشی خود دست یافته است. از هر پنج برگزار کننده این طرح، 3 مورد از آنها تبدیل به معمار آن طرح شدهاند. در نهایت این معمارها می توانند خودشان آموزش دهنده شده، دستورالعمل های آموزشی را طراحی نموده و کلاس های آموزش بعدی را اجرا کنند.
با توجه به اینکه سال های بسیار زیادی است که روش مشاهده، اقدام و آموزش برای متخصصانی مثل پزشکان به نتایج خوبی رسیده است، امیدوار هستیم که این رویکرد نیز در حوزه آموزش امنیت سایبری نتایج امیدوار کنندهای را در پی داشته باشد.
منبع: securityintelligence