تأثیر افراد در مراکز عملیات امنیت (SoC)

در این مطلب از فراست می خواهیم به بررسی مهمترین بخش یک مرکز عملیات امنیتی (SoC[1]) یعنی افراد آن بپردازیم. این مطلب، به طور ویژه برای شاغلان حوزه امنیت سایبری از جمله اشخاصی که تازه وارد این حوزه شده‌اند و همچنین مدیرانی که برای پیدا کردن تعادل مناسب بین برون‌سپاری و درون‌سپاری فرایندهای کاری با چالش‌های زیادی مواجه هستند، نوشته شده و سعی داریم با تشریح مشکلات مربوط به نیروی انسانی، راهکارهای قابل استفاده ای را برای حل آنها ارایه کنیم.

 

امروزه ما در مرحله جدیدی از تحول دیجیتال قرار داریم که در آن لبه‌های شبکه به اندازه ای توسعه یافته‌اند که حالا با دنیای فیزیکی در هم تنیده شده و منجر به شکل‌گیری محیط‌های چندابری شده‌اند. قاعدتاً این شرایط نیاز به تجدیدنظر درباره مدل مورد استفاده برای تأمین نیروی کار مرکز عملیات امنیت را تشدید کرده و این پرسش‌ها مطرح می‌شود که کارآمدترین روش برای بیشترین استفاده از زمان صرف شده توسط کارشناسان مرکز عملیات امنیت چیست؟ آیا امکان رشد و تکامل مدل SoC قدیمی و تنظیم آن برای پاسخ به نیازهای امروزی وجود دارد یا اینکه کلاً زمان استفاده از یک رویکرد جدید فرا رسیده است؟

ریشه‌های مدل کار مرکز عملیات امنیت امروزی به کارشناسان بخش پشتیبانی فناوری اطلاعات (میز امداد) برمی‌گردد. این کارشناسان تنها نقطه تماس میان یک سازمان و مشتریان آن هستند و هدف آنها ارایه خدمات مؤثر به مشتریان سازمان است. این رویکرد در اثر استفاده از روش خط مونتاژ سلسله مراتبی در عصر صنعتی شکل گرفت که در آن مسایل از خط اول به خط دوم و از خط دوم به خط بعدی و به همین ترتیب تا آخر ارسال می‌شدند. چنین مدلی برای آن زمان مناسب و کافی بود چرا که تراکم فناوری کم بود و امکان حل مشکلات از طریق تعامل‌های رودورو و با حداقل هزینه وجود داشت.

به دلیل محدود بودن تعداد مشکلات بالقوه و وجود روش‌های عیب‌یابی گام‌به‌گام و دقیق، استخدام کارمندان مبتدی اقدام توجیه پذیری بود و انتظار بازده بالا از آنها وجود داشت. در این مدل، امکان تعویض تعداد زیادی از کارمندان خط اول (همان کارشناسان پشتیبان) وجود داشت و بدون اینکه خود کارمندان نیاز به قضاوت و تصمیم‌گیری داشته باشند می‌توانستند کارهای تکراری را انجام دهند.

کمبودها و نواقص استفاده از این رویکرد برای رویدادهای امنیتی باعث شد همه اشخاصی که در مراکز عملیات امنیتی مدرن کار می‌کنند به این نتیجه برسند که در خط اول، تعداد ساعات کاری (یا تخصص) لازم برای رسیدگی به تمام مشکلات وجود ندارد. تداوم استفاده از روش‌های قدیمی میز کمک در مرکز عملیات امنیت منجر به ایجاد سه مجموعه چالش مختلف می‌شود:

مراکز عملیات امنیت قادر نیستند مدیریت هر رویداد را به یک تحلیلگر خاص انتساب دهند. مدل کارشناسان پشتیبان (یا میز امداد)، مقیاس‌پذیری مناسبی ندارد؛ در نتیجه ممکن است هر روز یکسری از رویدادها در مرکز عملیات امنیت نادیده گرفته شده و از آنها غفلت شود.

چالش اصلی خط اول تحلیل، پیدا کردن نشانه های کلیدی در منبعی پرهیاهو و شلوغ است. این کار، نظم و روال مشخصی ندارد. در نتیجه نمی‌توان آن را به یک سیستم ماشینی یا به نیروهای تازه‌کارتر محول کرد. برخلاف ابزارک‌‌های[2] موجود در خط تولید باید رویدادهای امنیتی را با توجه به شرایط، مورد تحلیل و بررسی قرار داد. از جمله این شرایط می‌توان به قابلیت‌های تهدیدها و اهداف آنها و همچنین اهمیت اشخاص یا دارایی‌های تحت تأثیر این تهدیدها بر عملکرد کسب‌وکار اشاره کرد.

قضاوت درست تنها با داشتن تجربه ممکن است. با این وجود در مراکز عملیات امنیت امروزی اشخاصی با کمترین سطح تجربه، بیشترین حجم تماس‌های مستلزم قضاوت را دریافت می‌کنند. بدتر نیز اینکه تصمیم‌گیری‌ها صرفاً به این دلیل انجام می‌شوند که پاسخگویی باید بر اساس زمان مشخص شده در توافقنامه سطح خدمات (SLA[3]) انجام گرفته و تیکت باز شده ظرف یک مدت زمان مشخص بسته شود. ممکن است هزینه اجبار به تصمیم گیری ظرف 2 دقیقه، نفوذ به سیستم‌ها و شبکه‌های سازمان باشد.

در حال حاضر، تحلیلگران سطح یک مرکز عملیات امنیت با وجود داشتن کمترین سطح مهارت‌های تحلیلی و بازرسی، بیشترین تماس‌های نیازمند قضاوت را دریافت می‌کنند. در مقابل، تحلیلگران سطح 3 که بیشترین مهارت را دارند، کمترین نیاز به قضاوت و تصمیم گیری را دارند.

رشد و تحول نیروی کار مرکز عملیات امنیت: مهارت به جای سطح و رده‌بندی

محیط‌های کار امروزی فرصتی برای شکل‌گیری یک مدل کار جدید و ایجاد مراکز عملیات امنیتی مدرن را فراهم کرده‌اند که در آن بررسی‌های اولیه توسط اعضای مجرب‌تر تیم انجام می‌شود. شاید چنین مدلی هم با چالش‌هایی مثل کمبود نیروی ماهر، هزینه‌های بازدارنده و ایجاد انبوهی از هشدارهای نیازمند بررسی روبرو شود اما با برقراری توازن مطلوب بین خودکارسازی و مهارت‌ها آنچه که غیرممکن به نظر می‌رسد، ممکن خواهد شد.

یک مدل کاری که برای یک کاربرد کاملاً متفاوت طراحی شده، مثال خوبی برای توضیح این موضوع است. این مدل، «تفکیک عملیاتی نیروهای ویژه آلفا» نام دارد که به آن «تیم A» هم گفته می‌شود. این تیم که عنصر عملیاتی اصلی یک سازمان بزرگتر محسوب می‌شود، متشکل از افرادی با مهارت‌های لازم برای اجرای هرگونه عملیات تاکتیکی به صورت خودکار است.

رهبر این گروه، هماهنگ کننده وظایف اعضای تیم است و مسئولیت نهایی موفقیت یا شکست مأموریت بر عهده وی قرار دارد. هر عضو تیم باید از جایگاه و تأثیر تاکتیک‌های خویش در اهداف راهبردی کلی‌تر و سطح بالاتر (تا سطح ملی) مطلع باشد. داشتن این درک به اعضای تیم امکان می‌دهد طرح‌ها را به صورت منظم اجرا کرده و در صورت روبرو شدن با تغییرات سریع و گسترده در محیط عملیاتی، باز هم به اهداف عملیاتی پایبند باشند.

این مدل به ما کمک می‌کند تا درباره نقش‌های تخصصی مورد نیاز در مراکز عملیات امنیت امروزی بهتر فکر کنیم. با توجه به چالش‌های ناشی از کمبود فرصت و تخصص (که بسیار واقعی هستند)، حداقل مجموعه مهارت‌ها، دانش و صلاحیت‌های لازم برای تشخیص اهداف مخرب و انجام اقدام فوری چیست؟ به بیان دیگر، تیم A مرکز عملیات امنیت چه ویژگی‌هایی دارد؟

تیم A مرکز عملیات امنیت باید درک جامعی از اهداف و رسالت سازمان و نقش سیستم‌های دیجیتال در حفظ توجه و علاقه سهام داران داشته باشد. همچنین نیاز به تخصص در دو حوزه (مثلاً نقاط انتهایی و شبکه یا سیستم‌ها و برنامه‌های کاربردی) و دو بعد (داخلی و بیرونی) وجود دارد تا تیم A مرکز عملیات امنیت بتواند کارایی خود را حفظ کند.

طرح اول: دستگاه‌های رایانشی

صلاحیت‌های لازم در این طرح، شامل درک تدریجی سیستم عامل‌های مورد استفاده در سازمان، مصورسازی و کانتینرسازی است.

بعد داخلی، شامل درک روش‌های استقرار، پیکربندی و نگهداری از دستگاه‌های رایانشی توسط بخش فناوری اطلاعات و کنترل‌های امنیتی قابل اعمال به این دستگاه‌ها است.

بعد خارجی، مربوط به این موضوع است که مهاجمان سایبری که قصد و توانایی آسیب رساندن به سازمان را دارند چگونه از این دستگاه‌ها (و کنترل‌های امنیتی) سوءاستفاده می‌کنند. همزمان، امنیت برنامه‌های کاربردی و امنیت سیستم‌ها و پلتفرم‌ها هم به بخش‌های مجزایی منطبق با استعدادهای مختلف تقسیم می‌شود.

طرح دوم: ترافیک شبکه

در این قسمت، تحلیلگران باید دانش کاملی از ویژگی‌ها، لایه‌ها و پروتکل‌های شبکه داشته باشند. آنها باید قابلیت خواندن، درک و فیلتر کردن سرفصل بسته‌های شبکه در سطح بایت را داشته باشند.

بعد داخلی، نیازمند داشتن درک کلی از کنترل‌های امنیتی مبتنی بر شبکه، به همراه دانش کاملاً امروزی درباره چگونگی اعمال این کنترل‌ها در سازمان است.

بعد خارجی، مستلزم داشتن اطلاعات درباره جدیدترین فنون و روش‌های مورد استفاده مهاجمان، بر اساس چشم‌انداز تهدیدات مربوط به سازمان است.

در حالت ایده آل، اعضای تیم A مرکز عملیات امنیت در طول دوره کاری شان به صورت چرخشی در این چهار سمت کار می‌کنند. رهبر تیم باید بسیار فعال و پاسخگو بوده و نباید صرفاً نقش مدیر پروژه را ایفا کند. رهبر تیم، اولین خط دفاعی است و باید از طریق هماهنگی و بازبینی، کار تحقیق و بازرسی را مدیریت کند. از نظر شناسایی، بررسی و واکنش، تیم A مرکز عملیات امنیت مستلزم تغییری ترکیبی در حداقل 5 نقش و سمت خاص است:

1. نقاط انتهایی داخلی
2. شبکه داخلی
3. نقاط انتهایی بیرونی
4. شبکه بیرونی
5. رهبر تیم

سازمان‌ها باید همزمان با تفکر درباره تراکم مهارت در هر یک از این چهار حوزه، ابعاد و پیچیدگی شبکه‌هایشان را هم در نظر داشته باشند. با این حال، سؤال اساسی این است که آیا برون‌سپاری چنین نقش‌هایی می‌تواند چالش‌های استخدام و حفظ کارمندانی با چنین مهارت‌های تخصصی را برطرف کند؟

سازمان‌هایی که تصمیم به برون‌سپاری کارهای تشخیص و واکنش به تهدیدات سایبری می‌گیرند باید به دنبال همکاری باشند که به جای رده‌بندی جایگاه‌ها، مهارت‌های مطلوب را تأمین کند. با این وجود، سازمان‌هایی که تصمیم به عدم برون‌سپاری کامل کارهای تشخیص و واکنش می‌گیرند باید به فکر برون‌سپاری ظرفیت‌ها باشند نه قابلیت‌ها. قابلیت ها شامل مهارت‌های اصلی، دانش و صلاحیت در هر یک از چهار حوزه گفته شده، علاوه بر رهبری تیم است.

ظرفیت نیز بیانگر تراکم مهارت‌های لازم برای توزیع جغرافیایی یا زمانبندی شبانه روزی کارهای مرکز عملیات امنیت است. در واقع، مرکز عملیات امنیت برای هر قابلیت، نیازمند تخصص داخلی است تا امکان انتخاب و مدیریت ظرفیت مورد نظر در صورت نیاز به برون‌سپاری آن وجود داشته باشد. در کمترین حالت، مرکز عملیات امنیت ترکیبی باید در هر یک از این چهار حوزه، به شکلی که در ادامه مشخص شده است، توانایی‌ها و صلاحیت‌های لازم را داشته باشد:

نقاط انتهایی داخلی: 1 کارمند تمام وقت داخلی، X کارمند تمام وقت برون سپاری شده

شبکه داخلی: 1 کارمند تمام وقت داخلی، X کارمند تمام وقت برون سپاری شده

دانش مورد نیاز شاغلان این حوزه برای کارآمد واقع شدن در هر چهار سمت تخصصی بیان شده، بسیار عمیق و وسیع است. در سطح مبتدی، برای هر حوزه نیاز به حداقل آموزش تخصصی وجود دارد. مراکز عملیات امنیت نیاز به جذب نیروی کار و یک راهبرد برای توسعه دارند. این راهبرد باید به پرسش‌های زیر پاسخ دهد:

برنامه ریزی برای تأمین استعدادها

• چه استعدادهایی در بازار وجود دارد؟
• ما به دنبال جذب چه مهارت‌هایی، به چه میزان و با چه ترکیبی هستیم؟
• مهارت‌هایی که قرار است توسط نهادهای شخص سوم تأمین شوند (برون سپاری)، چه مهارت‌هایی هستند؟

جذب استعدادها

• برنامه و فرایند استخدام ما به چه صورت است؟
• برنامه سایبری خودمان را چگونه تدوین و ارایه کنیم تا بتوانیم اشخاص مورد نیاز را برای مرکز عملیات امنیت جذب کنیم؟

توسعه نیروی کار

• حداقل مجموعه مهارت‌ها، دانش و صلاحیت‌های لازم برای هر یک از سمت‌های مرکز عملیات امنیت چیست؟
• چگونه می‌توانیم تبحر نیروی کارمان را برای هر یک از این مهارت‌ها تأیید کنیم؟
• آیا خودمان برنامه اهدای گواهینامه را اجرا می‌کنیم یا آن را به یک شرکت شخص سوم واگذار کنیم؟

حفظ استعدادها

• برای حفظ رضایت و مشارکت تحلیلگران، رشد و توسعه آنها و ایجاد ارزش برای فرایندهای کاری مرکز عملیات امنیت چه کارهایی را می‌توان انجام داد؟

رابطه پیچیده بین تأمین نیروی مرکز عملیات امنیت و خودکارسازی

پرسش اصلی که مطرح می شود این است که چگونه می‌توان تیم A مرکز عملیات امنیت که تازه تشکیل شده است را توانمندسازی کرد تا بتواند تمرکز بر هشدارهای معنادار داشته و در دریایی از شلوغی و همچنین نشانه های کم اولویت و هشدارهای مثبت کاذب غرق نشود؟

خودکارسازی از طریق فرایندهای تعریف‌ شده و با استفاده از فناوری «خودکارسازی هماهنگ و واکنش امنیتی» (SOAR[4]) می‌تواند به افزایش بهره‌وری کارمندان مرکز عملیات امنیت کمک کند. در نهایت، فناوری SOAR و سایر ابزارهای خودکارسازی می‌توانند نقش تقویت‌کننده جایگاه افراد را بازی کنند نه جایگزین آنها را.

متأسفانه خودکارسازی و هماهنگ‌سازی، مثل تحلیل و یادگیری ماشینی بیشتر به یک ابزار تبلیغاتی تبدیل شده‌اند. این روزها از کارشناسان مرکز عملیات امنیت انتظار می‌رود با کمترین ابزارها بیشترین کار را انجام دهند و معمولاً مدیران هم خودکارسازی را ابزاری برای کاهش نیروی SoC می‌دانند.

در نتیجه همیشه شاهد شنیدن چنین جمله‌هایی هستیم که «چرا باید این کارشناس تمام وقت را حفظ کنیم در حالی که می‌توانیم با خودکارسازی، همان کار را با قیمت بسیار کمتری انجام دهیم؟». این موضوع واقعیت دارد که خودکارسازی به تدریج امکان انجام کارهای تحلیلگران سطح یک را پیدا می‌کند و با ارایه داده‌های مختلف از طریق یک پنل واحد به آنها کمک می‌کند در زمینه تحقیق و بازرسی بهتر عمل کنند.

همچنین خودکارسازی می‌تواند کارهای تکراری را با بهره‌وری بیشتری نسبت به تحلیلگران انجام دهد. نکته مهمی که معمولاً در استفاده از خودکارسازی و توجه به پیامدهای آن بر کارشناسان مرکز عملیات امنیت نادیده گرفته می‌شود این است که خودکارسازی تصمیم گیری‌ها برای مواقع ممکن و مناسب است.

فراهم بودن امکان خودکارسازی یک فرایند خاص در مرکز عملیات امنیت به معنای آن نیست که حتماً باید این کار را انجام دهید. هر سازمانی باید مشخص کند تا چه حد به پذیرش مخاطرات در اثر خطاهای خودکارسازی که نیازمند تنظیم و تغییر هستند، تمایل دارد.

تجدیدنظر درباره ساختار مرکز عملیات امنیتی مدرن و در نظر گرفتن مهارت‌ها به جای رده‌بندی‌ها به همراه تمرکز ویژه بر خودکارسازی می‌تواند کمک چشمگیری به کاهش خلاء مهارتی و کمبود نیرو در فضای امنیت سایبری امروزی کند. شاید همواره خلاء بین منابع انسانی و اقدامات لازم برای بررسی و ارسال هشدار باقی بماند اما خبر خوب این است که می‌توان از طریق توانمندسازی فناوری محور، این شکاف را پر کرد تا منجر به افزایش بهره‌وری، ماندگاری نیروها و ایجاد حس دستاورد و موفقیت در بین کارکنان مرکز عملیات امنیت شود.

بعد از تصمیم‌گیری درباره پیاده‌سازی خودکارسازی، چه اقداماتی لازم است انجام شود؟

وقتی سازمان‌ها وارد مسیر خودکارسازی می‌شوند، ممکن است کاربردهای خاصی وجود داشته باشد که نیاز به توانمندسازی، خودکارسازی و گزینش در آن زمینه‌ها احساس شود.

برای مثال، تیم مرکز عملیات امنیت یک سازمان متوجه وجود یک دامنه مخرب شده که عضوی از یک کمپین هکری است و در حال هدف گیری صنعتی است که سازمان در آن حوزه فعالیت دارد. حالا هدف، شناسایی کاربران و نقاط انتهایی شبکه است که با آن دامنه تعامل داشته‌اند، اطلاعات اعتبارنامه دیجیتال را با آن دامنه تبادل کرده‌اند و احتمالاً از آن دامنه، بدافزار دانلود نموده اند.

پاسخ به این پرسش‌ها نیازمند بررسی‌های کند و پیچیده بر روی انبوهی از داده‌های امنیتی است که از منابع مختلفی استخراج می‌شوند. همچنین انجام این کار نیازمند مشخص کردن ارتباط این داده‌ها با کاربران، دارایی‌ها و چشم‌انداز تهدیدات سایبری است.

در این مثال، سیستم نام دامنه (DNS) می‌تواند اطلاعاتی درباره منابعی که با دامنه مورد نظر ارتباط برقرار کرده‌اند را فراهم کند اما باید داده‌های پروکسی وب و سایر گزارش‌ها را هم بررسی کرده تا مشخص شود آیا اطلاعات اعتبارنامه‌های دیجیتال ارسالی و فایل‌های مهمی دانلود شده‌اند یا خیر.

متأسفانه نام میزبان در همه فایل‌های گزارش موجود نیست بنابراین ابتدا باید با استفاده از داده‌های پروتکل پیکربندی میزبان پویا (DHCP[5])، آدرس آی‌پی منبع را به نام میزبان تبدیل کرده و برای هر یک از تجهیزات شبکه که احتمال آلودگی آنها وجود دارد گزارش‌های طولانی و غنی اما پیچیده تهیه کنید. همچنین سیستم‌های تشخیص و واکنش در نقاط انتهایی هم باید مورد بررسی قرار گیرند تا مشخص شود که آیا مراحل دیگری نیز برای تکمیل زنجیره کشتار طی شده است یا خیر.

اینها تنها یک خلاصه از مراحل کار متداولی است که تبدیل به یکسری سلسله‌ مراتب پیچیده و کند، با انواع اقدامات فرعی و عملگرهای الحاقی در سیستم مدیریت رویدادها و اطلاعات امنیتی (SIEM[6]) یا ابزارهای مدیریت گزارش شده است. انجام این کارهای روزمره، نیاز به تحلیلگران رده دو یا سه دارد که سطح تخصص بسیار بالایی داشته، کمیاب و معمولاً نیز پرمشغله هستند.

توانمندسازی

با توجه به مباحث مطرح شده، آیا ممکن است راهکار تحلیل امنیتی مورد استفاده شما از قبل به تفکیک و توانمندسازی پرداخته باشد؟ در چنین حالتی از داده‌های DHCP به شکل خودکار و پیوسته استفاده می‌شود تا ارتباط بین آی‌پی منابع (منابعی از شبکه که به دامنه‌های آلوده وصل شده‌اند) با نام میزبان و رویدادها در منابع مختلف مرتبط با رویداد (اما حاوی اطلاعات متفاوت) را ترکیب و تبدیل به یک منبع واحد غنی کنند که به زبان ساده نوشته شده است.

هم اینک کافی است در دامنه مدنظر جستجو کرده تا فهرستی از رویدادهای قابل درک و مرتب شده را مشاهده کنید؛ بدون اینکه نیاز به انجام اقدامات پیچیده و یادگرفتن نحوه نوشتن دستورات را داشته باشید.

خودکارسازی

می‌توان یک گام جلوتر رفته و این ارتباط‌دهی منابع هوش تهدید را به شکل خودکار اجرا کرد. در چنین حالتی نیاز نیست که اعضای تیم مرکز عملیات امنیت به صورت دستی (یا زمانبندی شده) منابع هوش تهدید را انتخاب کنند و در زمان محدودی ارتباط آنها با منابع داده خاص را بررسی و شناسایی نمایند.

بدون شک تغییر شرایط محیط کار با استفاده از توانمندسازی و خودکارسازی می‌تواند به افزایش چشمگیر بهره‌وری مرکز عملیات امنیت کمک کند چون تحلیلگران، نیاز به نوشتن استنباط های جدید برای تطبیق هوش تهدید با دارایی‌ها و کاربران را ندارند. مهمتر هم اینکه با وجود قابلیت ارتباط‌دهی خودکار و منبع غنی الگوهای آماده پیشنهادی، نوشتن و تفسیر قوانین تشخیص برای سناریوهای تهدید بسیار پیچیده، به میزان قابل توجهی راحت‌تر خواهد بود. در عین حال باید توجه داشت که تأثیر این خودکارسازی، وابستگی زیادی به ارزیابی مداوم هوش معنادار و کاربردی دارد.

وارد و خارج شدن زباله (داده‌های بی استفاده) یکی دیگر از عوامل بازدارنده در مرکز عملیات امنیت است. بیشتر شدن فیدهای هوش تهدید لزوماً به معنای بهتر شدن سطح حفاظت نیست و این موضوع در شرایط فعلی که مراکز عملیات امنیت باید بودجه و بازگشت سرمایه را برای سهامداران توجیه کنند، از اهمیت بسیار ویژه‌ای برخوردار است.

گزینش

سومین فرصت برای توانمندسازی مبتنی بر فناوری، گزینش است که به ایجاد دیدگاه چندبعدی، به هم پیوسته و مبتنی بر شرایط گفته می‌شود که برای تحقیق و شکار تهدیدات امنیتی، طراحی و بهینه سازی شده است.

منظور از این رویکرد، فراهم شدن قابلیت اشاره و کلیک بر روی ابعاد تحلیلی مختلف از جمله دارایی‌ها، تهدیدها و کاربران، بدون نیاز به نوشتن هرگونه استنباطی است. در این روش فرض بر این است که عملیات بر روی مدل داده، غنی‌سازی‌ شده و ارتباط داده‌ای که پیش از این درباره آن صحبت کردیم، انجام می‌شود.

هدف گزینش، جایگزین کردن روش نوشتن کدهای دستوری سخت با عکس های گرافیکی قابل درک است. نتیجه مطلوب، افزایش بهره‌وری با قرار دادن امکانات تحقیق و شکار تهدید در دست همه تحلیلگران است.

استفاده از روش تیم A چه فوایدی دارد؟

با مشخص شدن این کاربردهای ابتدایی، تیم مرکز عملیات امنیت می‌تواند به موضوعات چالش برانگیزتر در حوزه خودکارسازی بپردازد.

برای رفع مشکلات ناشی از نقص عملکرد یک اسکریپت خودکار و از دسترس خارج شدن کل سیستم‌های محیط تولیدی چه اقداماتی می‌توان انجام داد؟ منظور از اینکه فرایند اعتبارسنجی خودکارسازی برای تأیید اینکه کل سازمان (نه فقط SoC) مخاطرات خودکارسازی کارهای حساس‌تری مثل غیرفعال کردن حساب‌های کاربری که ممکن است بر کاربران تأثیرگذار باشد را پذیرفته‌اند، به چه صورت است؟

نکته‌ای که وجود دارد این است که اسکریپت‌های خودکار، هر چند وقت یک بار باید بازبینی و تنظیم می‌شوند چون بدون شک همواره منابع داده‌ای جدیدی ایجاد و اضافه می‌شود. با پدیدار شدن این حوزه‌های خاکستری و نامشخص، مراکز عملیات امنیت می‌توانند با تحلیلگران ارشدتر (تیم A مرکز عملیات امنیت) تماس بگیرند تا دانش سازمانی لازم مثل شرایط کسب‌وکار، فرایندهای تریاژ و تحقیقات صورت پذیرفته و همچنین چشم‌انداز تهدیدات نوظهور را در اختیار آنها قرار دهند تا سطح خودکارسازی مورد پذیرشی را بر اساس تحمل خطای سازمان مشخص کنند.

روش طبقه‌ای فعلی باعث کاهش میزان نیاز به قضاوت توسط تحلیلگران، همزمان با افزایش سطح تخصص فنی آنها می‌شود. فناوری، تحلیلگران را توانمند می‌کند تا در قضاوت‌هایشان کارآمدتر و معنادارتر عمل کنند. همچنین داشتن تخصص مناسب همزمان با خودکارسازی، زمینه مناسبی را برای قضاوت و تصمیم‌گیری فراهم می‌کند.

از طرفی دیگر در صورت استقرار درست خودکارسازی، این اقدام به تیم A مرکز عملیات امنیت کمک می‌کند تا متمرکز بر حوزه تخصصی خود شود (یعنی نقاط انتهایی درونی/بیرونی، شبکه درونی/بیرونی).

در واقع یک تیم مجرب می‌تواند نقش مربی تیم A مرکز عملیات امنیت را داشته باشد تا در بررسی‌های تحلیلی عمیق‌تر، شرایط و زمینه‌های مناسبی در نظر گرفته شود. همچنین مدیر تیم، اولین رابطی است که اطلاعات زمینه‌ای لازم که در خودکارسازی وجود ندارد را ارایه می‌دهد.

تیم A مرکز عملیات امنیت می‌تواند با استفاده از تجربه و آموزش‌های تخصصی خود، دانش موضوعی لازم را در اختیار مرکز عملیات امنیت قرار دهد تا فرایندهای خودکارسازی جدید این مرکز، با اطمینان کامل پیاده‌سازی شوند (مثلاً آیا بهره‌وری تاکتیکی حاصل از نصب این اسکریپت نسبت به مخاطرات بالقوه آن برای سازمان بیشتر است؟) این کارشناسان با پشتیبانی از رایانش قوی و پرسرعت می‌توانند هشدارهای کاذب را حذف کرده و در عین حال اطمینان دهند که رویدادهای کلیدی حاوی اطلاعات مفید درباره تهدیدهای بالقوه، به موقع شناسایی و گزارش داده شوند. از طرف دیگر نیز پیامدهای تهدیدات بالقوه برای کسب‌وکار سازمان به خوبی شناسایی می شوند.

هر مرکز عملیات امنیت، یک مرکز ترکیبی است.

وقتی تیم A مرکز عملیات امنیت شما برحسب مهارت، سازماندهی شده باشد و نه سطوح، مهارت‌هایی هستند که مهم و ضروری تلقی می‌شوند اما ممکن است امکان پیدا کردن آنها با مقیاس مناسب وجود نداشته باشد.

برای مثال تعداد کمی از مراکز عملیات امنیت، یک مهندس معکوس بدافزار را استخدام می‌کنند. با این حال مراکز عملیات امنیت همواره با بدافزارهایی روبرو می‌شوند که نیاز به تحلیل دارند. به طور مشابه، هر چند وجود یک کارشناس ماهر در حوزه هوش تهدید و ارزیابی تهدید برای تشکیل یک مرکز عملیات امنیت خوب ضروری است ولی ممکن است امکان استخدام چنین فردی در سازمان وجود نداشته باشد.

معمولاً در چنین شرایطی سازمان‌ها باید بین خدمات امنیتی مدیریت شده (MSSP[7]) موجود در بازار، یک گزینه را انتخاب کنند. گزینه‌های در دسترس سازمان‌ها شامل حفظ مرکز عملیات امنیت موجود در سازمان یا برون‌سپاری آن به یک ارایه‌دهنده خدمات امنیتی مدیریت شده است.

این حوزه در اواخر دهه 1990 میلادی به شدت سیاه و سفید بود اما امروزه ما در دنیایی زندگی می‌کنیم که گزینه‌های بسیار زیادی برای برون‌سپاری کارهای امنیتی وجود دارد. ارایه نرم‌افزار به صورت سرویس (SaaS[8])، ابزارهایی با مدل مدیریت مشترک، MSSP، ابزارهای تشخیص و واکنش مدیریت شده (MDR[9])، EDR مدیریت شده و مدل‌های مختلف تقویت نیروی کار، همگی در حال رقابت برای جلب توجه سازمان‌ها هستند.

بنابراین با توجه به فهرست طولانی کارها و تنوع شرکت های شخص سوم، تصمیم‌گیری درباره این اقدام سخت است و مسیر راه آشکاری برای مقابله با این مشکل وجود ندارد. با توجه به اینکه امکان از بین بردن کامل مشکل کمبود تحلیلگر در مرکز عملیات امنیت وجود ندارد، به تدریج مدل‌های ترکیبی رشد و توسعه پیدا می‌کنند. توجه داشته باشید که بعضی از سازمان‌هایی که نیروی داخلی قوی و کارآمدی دارند هم از این مدل‌ها استفاده می‌کنند. به همین خاطر نمی‌توان آنها را به صورت کامل، مدل درون‌سازمانی یا برون‌سپاری شده دانست.

مهارت‌هایی که بهتر برون‌سازی می‌شوند.

خدمات مرکز عملیات امنیت که بیشتر برون‌سپاری می‌شوند، عبارتند از:

• موشکافی جزیی‌تر بدافزارها
• هوش تهدید

معمولاً سازمان‌ها برای کار با ابزارهای زیر نیازمند کمک هستند:

• مدیریت و تنظیم ابزارهایی مثل SIEM، EDR و سایر ابزارهای مشابه
• تحلیل کاربردها و تنظیم ابزارهای مرکز عملیات امنیت

در نهایت، برخی سازمان‌ها سرویس‌های مدیریت شده را برای انجام بهتر مواردی همچون شکار تهدید مدیریت شده، با یکدیگر ترکیب می‌کنند.

البته ممکن است برون‌سپاری وظایفی که ارتباط نزدیکی با کسب‌وکار شما و چشم‌انداز آن دارد، کار سختی باشد. الزامات سازمانی نقش مهمی در تعیین محدوده برون‌سپاری داشته و محدوده برون‌سپاری می‌تواند از صفر تا صددرصد باشد. صرف نظر از نوع مدل انتخابی، نکته‌های مربوط به مدل تیم A همچنان برقرار هستند؛ یعنی وجود کارشناس فنی و بسیار ماهر (که معمولاً در بازار بسیار کمیاب است) برای همکاری با یکدیگر و درک مخاطرات اساسی که می توانند سازمان شما را تحت تأثیر قرار دهند.

صرف نظر از اینکه بعضی از جنبه‌های امنیت امکان برون‌سپاری ندارند، معمولاً خود مشتری تا حدودی مسئول پیامدهای کار باقی می‌ماند. از این رو باید تقسیم‌بندی وظایف را بین شرکت و اشخاص سوم مختلف، به صورت واضح و صریح تعریف کرد. برای انجام این کار باید وظایف و کارها را به صورت خاص تعریف کرده و از به کار بردن پیام‌های مبهم خودداری کنید.

یکی از ملاحظات کلیدی این است که محصولات بعضی شرکت‌ها انعطاف پذیری بیشتری دارند ولی بعضی دیگر خیر (مثل راهکارهای MSSP سنتی). این موضوع نقش مهمی در تصمیم‌گیری دارد چون استفاده از یک سرویس غیرانعطاف‌پذیر برای کاری که نیازمند چابکی و انعطاف‌پذیری است منجر به افزایش هزینه‌ها و در بدترین حالت نیز موجب شکست پروژه می‌شود.

همچنین برون‌سپاری کارهایی که قابل سفارشی‌سازی نبوده یا وابسته به یکی از ویژگی‌های خاص کسب‌وکار شما نیستند، راحت‌تر است. برای مثال، برون‌سپاری نظارت بر وب سایت جهت تشخیص حملات سایبری نسبت به نظارت بر دسترسی کاربران داخلی به برنامه‌های کاربردی بسیار راحت‌تر است.

یکی دیگر از اصولی که برای سازمان‌های بزرگ اهمیت دارد، برون‌سپاری ظرفیت‌ها به جای قابلیت‌ها است. انجام این کار، متکی بر این واقعیت است که برای برون‌سپاری یک کار، وجود یک درجه تخصص خاص در خود سازمان جهت قضاوت عملکرد ارایه‌دهنده خدمات هم در ابتدای کار و هم به مرور زمان اهمیت زیادی دارد. از این رو برای موفقیت برون‌سپاری، حداقل به مقداری تخصص در آن حوزه نیاز دارید.

درس گرفتن از برون‌سپاری

آماده درس گرفتن از شرکتی که برای برون‌سپاری انتخاب شده است بوده و تیم A خودتان را بهتر و پیشرفته‌تر کنید. ممکن است راهکارهای MSSP یا MDR مورد استفاده شما فرایندها و تاکتیک‌هایی برای ارتقای عملکرد داشته باشند. توجه داشته باشید که انتقال دانش، یک فرایند دوطرفه است؛ یعنی ممکن است شما درباره تهدیدات سایبری اطلاعات کسب کنید و آنها هم درباره اینکه چطور می‌توانند کسب‌وکاری شبیه کسب‌وکار شما را امن سازی کنند، اطلاعات به دست آورند.

تصمیم گیری برای استفاده از راهکارهای یک شرکت شخص سوم معمولاً ساده به نظر می‌رسد اما در عمل می‌تواند بسیار سخت باشد. تنها در صورتی این کار را انجام دهید که شرکت انتخابی شما کار مورد نظر را سریع‌تر، بهتر یا با هزینه‌ای کمتر از خود شما انجام می‌دهد. این یعنی مشتری که قرار است مرکز عملیات امنیت را بسازد باید تخصص کافی در همه حوزه‌ها داشته باشد تا قادر به تشخیص روش‌های خوب از بد باشد.

خلاصه اینکه آماده استفاده از خدمات شرکت‌های شخص سوم برای پر کردن خلاء مهارتی در سازمان تان باشید. سپس آماده مدیریت ترکیب دانش کارشناسان درون سازمان و کارکنان شرکت پیمانکار بوده و استدلال «قابلیت به جای ظرفیت» را همواره در نظر داشته باشید.

نتیجه گیری

ریشه‌های مدل نیرو کار مرکز عملیات امنیت امروزی به کارشناسان بخش پشتیبانی فناوری اطلاعات برمی‌گردد اما این مدل و طرز تفکر، دیگر برای مرکز عملیات امنیتی مدرن مناسب نبوده و حتی آسیب رسان است. بنابراین مرکز عملیات امنیت مدرن باید بر مبنای اصولی متفاوت ایجاد شود.

در حال حاضر امکان انتساب هر رویداد به یک تحلیلگر انسانی وجود ندارد. چنین مدلی قابلیت افزایش مقیاس برای رفع نیاز کسب‌وکارها، فناوری اطلاعات و تهدیدات امروزی را نداشته و این موضوع یعنی اینکه نیاز به برون‌سپاری و خودکارسازی فعالیت های کاری وجود دارد.

برخلاف ابزارک‌های موجود در خط تولید، رویدادهای امنیتی باید با توجه به زمینه و شرایط، مورد تحلیل و بررسی قرار گیرند. این مسأله به معنای آن است که مدل‌های خام بررسی به ازای هر مدل مثل مدل «SoC به صورت یک قیف» دیگر کارایی چندانی ندارند.

برای حل این مشکل باید متمرکز بر بهبود کارایی فعالیت‌های تریاژ اولیه شد و نه استفاده از نیروهای تازه کار. تا جایی که ممکن است باید فرایندها و تصمیم‌گیری‌های تکراری را خودکارسازی کرده و تریاژ اولیه انسانی توسط اعضای مجرب‌تر تیم که مجهز به ابزارهای مرتبط بوده و مجموعه مهارت‌های مطلوب را در سطح قابل قبولی داشته باشند، انجام شود.

یکی از یافته‌های کلیدی بسیاری از اپراتورها و مدیران مراکز عملیات امنیت امروزی این است که چنین مراکزی در نهایت تبدیل به مدل ترکیبی می‌شوند و یک یا چند مورد از کارهای آنها به اشخاص سوم برون‌سپاری می‌شود. در حالت ایده آل و در صورت داشتن یک راهبرد کارآمد برای نیروی کار، این نوع تقسیم وظایف مسایل مربوط به ظرفیت را حل می‌کند نه قابلیت.

تجدیدنظر درباره مدل SoC مدرن و پرداختن به مهارت به جای رده بندی، در کنار تمرکز ویژه بر خودکارسازی می‌تواند به رفع کمبود مهارت و نیروی گسترده‌ای که امروزه با آن روبرو هستیم، کمک کند.

 

[1] Security Operations Center

[2] Widgets

[3] Service-Level Agreement

[4] Security Orchestration Automation and Response

[5] Dynamic Host Configuration Protocol

[6] Security Information Event Management

[7] Managed Security Service Provider

[8] Software as a Service

[9] Managed Detection and Response