با توجه به حجم، پیچیدگی و آسیبهای ناشی از حملات، تیمهای امنیت سایبری باید تمام تلاش خودشان را برای شناسایی حملات و رخنههای احتمالی به کار ببندند. در حالت ایدهآل، این تلاش شامل بررسی همه نشانیهای درج شده در کلیه ایمیلهای مسدودی، فایلهایی که در وب سایتهای مسدود شده میزبانی میشوند و درخواستهای ورود مسدود یا اجرا شده و غیره است.
به طور میانگین، سازمانها از دهها ابزار امنیتی که معمولاً متعلق به چندین شرکت است، استفاده میکنند. معمولاً این راهکارها روزانه هزاران هشدار ایجاد میکنند که نیاز به بررسی دارند. عموماً این ابزارها نیز به شکل منفرد کار میکنند، به همین خاطر دنبال کردن این هشدارها معمولاً نیازمند مشخص کردن ارتباط بین رویدادها از طریق کنسولهای مدیریتی مختلف است. در نتیجه این پیچیدگی، تیمهای امنیتی زمان کافی برای انجام بررسی های لازم را نداشته و ممکن است متوجه حملات در حال اجرا نشده و واکنش تیمهای امنیتی به هشدارها به کندی انجام شود.
به این ترتیب جای تعجب نیست که حدود نیمی از مدیران امنیت سازمانها پیچیدگی محیط را یکی از چالش برانگیزترین جنبههای امنیت میدانند. همچنین بیش از سه چهارم سازمانها اعتراف کردهاند که معماری امنیتی آنها به دلیل استفاده از محصولات امنیتی غیریکپارچه، دچار از هم گسیختگی شده است. علاوه بر این با توجه به اینکه در حال حاضر بیشتر سازمانها فعالیت شان را در فضای دیجیتال گسترش دادهاند، زمان و تخصص کافی برای بررسی همه رویدادها و هشدارها را ندارند.
مزایای استفاده از راهکارهای تشخیص و واکنش گسترده (XDR[1])
یکی از مفاهیم جدید در حوزه امنیت سایبری که توجه کارشناسان را به خود جلب کرده، راهکارهای تشخیص و واکنش گسترده (XDR) هستند. مؤسسه گارتنر، راهکار XDR را یک ابزار تشخیص و واکنش به تهدیدات سایبری بر مبنای مدل خدمات نرمافزاری تعریف کرده که محصولات امنیتی مختلف را در یک سیستم عملیات امنیتی جامع ترکیب میکند.
چالشی که بیشتر راهکارهای امنیتی با آن مواجه هستند این است که هر چند چنین راهکارهایی در حوزه خودشان کارایی لازم را دارند اما قابلیتهای آنها تا حدودی محدود است. مثلاً ممکن است عملکرد یک فایروال در سطح کلاس جهانی باشد ولی فقط بتواند تصویر لحظهای ترافیکی که از یک نقطه خاص از شبکه عبور میکند را فراهم کند. در حالی که محافظت در برابر تهدیدات پیچیده امروزی نیازمند داشتن یک دید جامع و همچنین وجود کنترلهایی است که بر روی کل شبکه توزیع شده گسترش پیدا میکنند.
XDR، نشان دهنده شکل گیری یک رویکرد امنیتی جدید است که در آن کنترلهای امنیتی مختلف میتوانند به عنوان بخشی از یک پلتفرم امنیتی هماهنگ شده عمل کرده و دادههای مختلف را مشاهده، به اشتراکگذاری و ارتباط دهی کنند. به این ترتیب قابلیت تشخیص تهدیدات سایبری افزایش یافته و میتوان پاسخهای هماهنگی ارایه کرد که کل سطح حمله را پوشش می دهد.
اگرچه ممکن است پیاده سازی چنین سیستمی کار سادهای به نظر برسد اما قطعاً انجام این کار با چالشهایی همراه است که در ادامه این مطلب از فراست به بررسی آنها میپردازیم.
چالشهای راهکارهای XDR
ایده فعال کردن فناوریهای مختلف برای همکاری با هم به صورت یک سیستم واحد و یکپارچه، مزایای قابل توجهی برای تشخیص و واکنش به حملات سایبری دارد. به همین دلیل بسیاری از شرکتها به این سمت حرکت کردهاند. با این حال بیشتر راهکارهای XDR دچار یکی از سه چالش زیر هستند:
- اول از همه اینکه بسیاری از شرکتها تنها یک (یا در بهترین حالت تعداد محدودی) مسیر حمله (یعنی نقاط انتهایی، ایمیل، شبکه یا محیط ابر) را تحت پوشش قرار میدهند اما قابلیت اصلی XDR، کمک به همکاری راهکارهای مختلف با یکدیگر است. بنابراین ارزش XDR کاملاً به شرکتهای دیگری بستگی دارد که این فناوریها را ارایه کرده و آنها را توسعه میدهند. این موضوع یعنی اینکه ممکن است حوزه عملکرد راهکار XDR شما فقط محدود به بخشی از سازمان و سطح حمله آن باشد.
- دوماً احتمال دارد شرکتهایی که بستههای امنیتی را به شکل کامل ارایه میکنند، برای ارایه یک راهکار XDR کارآمد با چالشهایی روبرو باشند. اینکه یک شرکت چندین محصول مختلف ارایه میکند لزوماً به معنای آن نیست که برای تهیه منابع لازم جهت ادغام و یکپارچه سازی آنها سرمایه گذاری کافی کرده است. به ویژه وقتی بخشهایی از این راهکار از طریق اکتسابهای بزرگ به دست آمده باشند. در چنین شرایطی، ممکن است الزامات ایجاد شده در اثر نصب انبوه این راهکارها مانع از تخصیص منابع لازم برای توسعه آنها شده و باعث جلوگیری از اعمال تغییرات مورد نیاز برای ادغام شود. در چنین مواقعی راهکارهای XDR صرفاً به عنوان راهی برای جبران این واقعیت عمل میکنند که این ابزارها با یکدیگر در تعامل نیستند و محدودیتهای قابل توجهی در عملکرد آنها وجود دارد که میتواند چالشهایی جدی برای تیمهای فناوری اطلاعات ایجاد کند.
- سوم اینکه بیشتر فروشندگان، متمرکز بر ارایه راهکار تشخیص و واکنش توسعه یافته هستند و مراحل میانی یعنی تحقیق و اعتبارسنجی را نادیده میگیرند. در نتیجه، کارشناسان امنیت باز هم با زحمت و کار زیادی مواجه هستند (به خصوص با توجه به ادامه افزایش تعداد هشدارها و تهدیدات سایبری).
برای کارآمد واقع شدن راهکارهای XDR، نیاز به پوشش گسترده سطح حمله، ادغام و یکپارچه سازی عمیق و تمرکز بر هر سه مرحله تشخیص، تحقیق و واکنش دارید.
انتخاب راهکار XDR مناسب
هنگام انتخاب یک راهکار XDR باید سه عملکرد مهم و اصلی آن را ارزیابی کرد که عبارتند از:
- تشخیص گسترده: راهکار XDR باید قادر به جمع آوری دادهها از منابع مختلف در سطح سازمان بوده، سپس ارتباط آنها را مشخص و تحلیل کند تا بتواند انبوه دادههای خام را تبدیل به جزییات مهم و دقیق درباره حوادث احتمالی کند. هر چقدر در خصوص روش های حمله اطلاعات بیشتری کسب کنید، احتمال اینکه قادر به شناسایی یک تهدید فعال باشید نیز بیشتر می شود. البته جمع آوری اطلاعات، نیمی از راه پیش روی شما است. همچنین ابزارهای تحلیلی مورد استفاده برای تشخیص حوادث، عملکرد راهکار XDR و تشخیصهای آن باید به شکل دقیق مورد ارزیابی قرار گیرند.
- تحلیل گسترده: پس از تشخیص یک حادثه احتمالی باید درباره آن تحقیق کرده و مشخص نمود که آیا واقعاً تهدیدی وجود داشته یا فقط یک تشخیص مثبت کاذب است؟ آیا این حادثه نشان دهنده وجود یک تهدید بزرگتر است؟ در این صورت، حوزه تهدید چقدر است؟ امروزه بیشتر حملات سایبری چندمرحلهای هستند و اجزای مختلف آنها پس از انجام کار مدنظرشان ناپدید میشوند. اینکه قادر به مشاهده نشانه های مخاطره ای که موجب فعال شدن یک هشدار شدهاند نیستید، هرگز به معنای امن بودن سازمان و بروز اشتباه در تشخیص نیست.
- واکنش گسترده: بررسی و اعتبارسنجی باید منجر به اجرای واکنش مناسب برای مقابله با حادثه شود. اولاً این سیستم باید بتواند بیشترین منابع ممکن را هدایت کند تا پاسخی کارآمد و هماهنگ شده، متناسب با میزان گستردگی حمله ایجاد شود. همچنین این سیستم باید به خوبی از قبل تعریف شده و قابل تکرار باشد تا علاوه بر افزایش کارایی برای شناسایی حملات، قادر به مداخله در همه مراحل پیشرفت حمله نیز باشد. نکته سوم هم اینکه این سیستم باید بتواند خلاء موجود در چارچوب امنیت فعلی که امکان اجرای حمله را فراهم کرده است، برطرف کند.
بیشتر راهکارهای XDR، کار بررسی و تحقیقات را به تیم امنیت (انسانها) واگذار میکنند اما با توجه به انبوه هشدارها و محدودیتهای موجود از نظر تخصص و منابع انسانی، بسیاری از تیمهای امنیت سایبری قادر به ردیابی یکایک حوادث احتمالی نیستند. یک کارشناس امنیتی مجرب باید ابتدا احتمال وقوع حادثه را بررسی کرده و آن را تأیید کند تا آنگاه بتواند گامهای لازم برای مقابله با تهدید و بازگشت به شرایط امن قبلی را بردارد. انجام این کار زمان میبرد و بسیاری از سازمانها زمان و تخصص کافی برای انجام آن را ندارند.
در نتیجه سازمانها باید به دنبال یک راهکار XDR باشند که با هوش مصنوعی مخصوصی که برای بررسی خودکار هشدارها آموزش های لازم را دیده است، همراه شوند. این سیستم باید قادر به تشخیص زمینه و شرایط وقوع حادثه، انجام تحقیقات کامل، مشخص کردن ماهیت و گستردگی حمله و تولید اطلاعات کافی برای سرعت بخشیدن به واکنش باشد (یک سیستم هوش مصنوعی که خوب آموزش دیده باشد میتواند این کار را ظرف چند ثانیه انجام دهد. مقیاس پذیری چنین سیستمی نیز راحتتر انجام شده و میتواند جایگزین منابع انسانی کمیاب شود).
همه راهکارهای XDR شبیه به هم نیستند، پس با دقت انتخاب کنید.
XDR گام مهمی برای افزایش قابلیت شناسایی، تحقیق و واکنش به حملات سایبری محسوب میشود. با این حال، این فناوری هم مثل هر فناوری جدیدی با اغراق و بزرگنماییهای تبلیغاتی همراه شده است. در نتیجه خریداران باید به شدت مراقب باشند. واقعیت این است که تمام راهکارهای XDR شبیه به هم نیستند.
اولین پرسشی که باید از خودتان بپرسید این است که آیا چنین راهکاری منجر به ارتقای شرایط امنیتی سازمان شما میشود؟ تصمیم گیری درست برای خرید، مستلزم داشتن درک کاملی از عملکرد راهکار مورد نظر و قابلیتها و نواقص آن است. دومین پرسش مهم این است که چنین سیستمی چقدر به کاهش سربار کمک میکند؟ برای پاسخ به این سؤال میتوانید قابلیتهای راهکار مدنظرتان، الزامات آن و همچنین فناوریها و منابع موجود در سازمان را بررسی کنید.
در نهایت، آخرین پرسش این است که آیا این راهکار قابلیت پشتیبانی از توسعه های آتی شبکه سازمان شما را دارد؟ باید مشخص کنید که آیا در صورت انجام کارهایی مثل افزودن پلتفرمهای ابری جدید، گسترش زیرساخت SD-WAN و نصب دستگاههای جدید در لبه شبکه تان، راهکار مورد نظر باز هم قادر به پشتیبانی از سیستمهای شما خواهد بود یا خیر؟
توجه به این پرسشها و پرسشهای مشابه، بهترین راه اطمینان از انتخاب راهکار جامع و مناسبی است که به شما برای پیشگیری از وقوع حملات و همچنین شناسایی سریع تهدیدهای امنیتی در دنیای پیچیده و پرچالش امروزی امنیت سایبری کمک میکند.
[1] Extended Detection and Response
منبع: csoonline