بر اساس آمار به دست آمده و نتایج تحقیقات صورت گرفته، حدود 30 درصد از سازمانها در سطح جهان روزانه حداقل یک حمله سایبری را تجربه میکنند. از این رو مسأله انتخاب یک راهکار مناسب برای تشخیص حمله بر ضد کسبوکارها مورد توجه مدیران امنیت و فناوری اطلاعات سازمانها قرار گرفته است.
در این مطلب از فراست، دیدگاه تعدادی از کارشناسان امنیتی را درباره این موضوع گردآوری کردهایم. شما با مطالعه آنها و مشورت با تیم امنیتی سازمانتان میتوانید راهکار متناسب با کسبوکار خود را انتخاب کنید.
David Batty، مهندس ارشد شرکت FireEye
هیچ محصولی به تنهایی قادر به تشخیص راهکار مورد نیاز برای دفاع در برابر تهدیدات گسترده فعلی نیست. یک محصول جامع برای مقابله با تهدیدات سایبری نیازمند فناوری، تخصص و هوش است و توانایی تشخیص را در هنگام شروع حمله دارد. این محصول نباید متشکل از فناوریهای مجزا باشد که قابلیت همکاری با یکدیگر را برای شناسایی و مقابله با تهدیدات ندارند. فناوریهای مورد استفاده در محصول مورد نظر باید بتوانند انعطاف پذیری خود را در برابر مهاجمانی که از منابع زیاد برخوردار هستند، افزایش دهند. همچنین مهاجمان پس از اجرای حملات، خودشان را در قالب کارمندان عادی جا میزنند تا تشخیص رویدادهای مجاز از غیرمجاز در نقاط انتهایی شبکه سختتر شود.
در این مرحله، تخصص و هوش ارزش فوقالعادهای برای شناسایی فعالیتهای مخرب در سازمان دارند. قابلیت تشخیص حضور مهاجمان و اقدام بعدی آنها اهمیت ویژهای دارد. اگرچه بسیاری از راهکارها ادعا میکنند در برابر تهدیدات پیشرفته مقاوم هستند اما باید مشخص شود که فروشنده چنین راهکاری چقدر تخصص داشته و این تخصص را چگونه در محصول خود پیادهسازی کرده است.
Nick Ellsmore، مدیر ارشد خدمات مشاوره و حرفهای Trustwave
برای پیادهسازی راهکار تشخیص حمله، روش های مختلفی از جمله سیستمهای تشخیص نفوذ[1]، سیستمهای جلوگیری از نفوذ[2]، سیستم مدیریت رویداد و اطلاعات امنیتی (SIEM[4]) و غیره وجود دارد. کلید موفقیت برای انتخاب راهکاری مناسب، مشخص کردن ویژگیهای لازم برای هدف مدنظر است. موارد زیر به شما کمک میکند تا نیازهایی را که محصول انتخابی تان باید برآورده کند، تشخیص دهید:
- کاربرد مورد نظر را مشخص نمایید: شما باید تعیین کنید که در صورت وقوع حمله، راهکار مدنظرتان برای چه اشخاصی و در کدام بخشها هشدار صادر کند. همچنین دریافت کننده هشدار باید چه اقدامی را بر اساس اطلاعات به دست آمده انجام دهد. اگر دریافت کننده قادر به انجام کاری نباشد باید از روش دیگری استفاده شود که تصمیمگیری را به دیگران محول کند.
- به معماری و کاربردها توجه داشته باشید: راهکارهای شبکه محور معمولاً توسط مدل دورکاری و اتصال مستقیم، به چالش کشیده میشوند. در نتیجه به روشی برای کنترل نقاط انتهایی شبکه نیاز خواهید داشت.
- دشمن خودتان را بشناسید: شما باید مشخص کنید احتمال وقوع حمله از طریق چه روشی بیشتر است. مثلاً اگر تهدید داخلی مهمترین دغدغه شما است، استفاده از راهکارهای تحلیل رفتار کاربر گزینه مناسبی می باشد. اگر احتمال میدهید هدف اصلی، برنامههای کاربردی تحت وب شما هستند در این صورت چنین راهکاری دیگر چندان مفید نخواهد بود.
- محدوده پوشش راهکار انتخابی خودتان را مشخص کنید: اگر به دنبال پوشش کاملی در مواجهه با مخاطرات و تهدیدات سایبری هستید، در این صورت نیاز به استفاده از چندین راهکار دارید. به منظور جلوگیری از ایجاد نقاط کور باید آشنایی کامل با هر یک از این راهکارها داشته باشید.
Christopher Fielder، مدیر بازاریابی محصولات Arctic Wolf
به ندرت میتوان راهکاری پیدا کرد که برای همه بخشهای سازمان مناسب باشد. ابتدا شما باید وضعیت نیروهای انسانی خود را بررسی نموده و نقاط قوت و ضعف امنیتی سازمانتان را بشناسید. شما باید مشخص کنید آیا در موقعیتی هستید که بتوانید هر تهدیدی را به صورت دستی شناسایی کرده و به آن واکنش مناسب نشان دهید یا اینکه مایل هستید به یک محصول خودکار اعتماد کرده تا کار تشخیص را برای شما انجام دهد.
Wolf توصیه میکند محصولی انتخاب کنید که دارای قابلیتهای تشخیصی مختلف است و امکان تنظیم و سفارشیسازی آن وجود دارد. شما میتوانید به راحتی محصول مورد نظرتان را بر اساس محیط سازمان خودتان ارزیابی نمایید. از آنجا که داشتن ویژگی نظارت یکپارچه و جامع یک امر ضروری است به همین خاطر اقدام کلیدی بعدی شما باید اطمینان از قابلیت های آن محصول برای پوشش کل معماری سازمان باشد. محصولی که فقط تعدادی از سیستم عاملها یا بخشی از شبکه شما را پوشش می دهد احتمال دارد امکان تشخیص بعضی از تهدیدها و حملات را نداشته باشد.
در نهایت می بایست بررسی کنید که این محصول چگونه با فناوریهای فعلی شما کار میکند. بنابراین محصولی را انتخاب کنید که با ابزارهای فعلی شما همخوانی کامل داشته باشد. به این ترتیب میتوانید داده ها و منابع اطلاعاتی مختلف را به آن وارد کرده تا فرایندهای بررسی و تشخیص آسانتر شوند.
Anuj Goel، مدیرعامل Cyware
میزان هشدارهای تهدیدآمیزی که امروزه سازمانها به صورت روزانه دریافت میکنند به قدری زیاد است که یک کارمند یا تیم امنیتی دیگر به تنهایی قادر به کنترل و مدیریت آنها نیست. کلید موفقیت در پیادهسازی یک طرح امنیتی، یافتن محصولی است که اطلاعات مختلف را با یکدیگر ترکیب نموده و امکان همکاری در زمینه واکنش به تهدید را داشته باشد. برای افزایش بهرهوری تحلیلگران امنیتی می توانید از خودکارسازی فرایندها نیز استفاده نمایید.
سازمانها باید به دنبال محصولی باشند که امکانات زیر را در اختیارشان قرار دهد:
- یک مرکز ادغام سایبری: بسیاری از راهکارها فرایندهای هماهنگسازی، خودکارسازی و واکنش امنیتی (SOAR[3]) را به صورت ابزاری مجزا ارایه میدهند. سازمانهایی که به دنبال بیشترین بهرهوری از راهکارهای امنیتیشان هستند باید محصولی را انتخاب کنند که قابلیتهای مدیریت یکپارچه تهدیدات مثل مدیریت رخدادها، SOAR، ایجاد هشدار لحظهای در ترکیب با خودکارسازی تهدید را داشته باشد. چنین ابزارهایی نظارت کاملتری در مقایسه با عملیات امنیتی داشته و امکان به اشتراکگذاری اطلاعات بین مشتریان و پیمانکاران را برای سرعت بخشی به فرایند واکنش به تهدیدات فراهم میکنند.
- خودکارسازی هوش تهدید: با رشد و افزایش تعداد حملات و تهدیدات، تحلیلگران هوش تهدید هم بسیار پرمشغلهتر شده و وقت خودشان را صرف انجام کارهای تکراری میکنند. بهره گیری از امکانات خودکارسازی در راهکارهای امنیتی به تیمها امکان میدهد تا منابع موجود را صرف انجام اقدامات حیاتیتری همچون تشخیص حادثه و امنیت برنامههای کاربردی شان کنند.
- ابزارهای همکاری جهت به اشتراکگذاری تهدید: همکاری در جامعه امنیت سایبری جزو راهبردهای اثبات شده برای مقابله با حملات است. سازمانها باید چارچوبهایی را انتخاب کنند که علاوه بر امکان همکاری با سایر شرکا و پیمانکاران امکان نظارت کامل بر تهدیدات را نیز در اختیارشان قرار دهد.
Tim Junio، مدیر ارشد محصولات Palo Alto Networks
تیمهای امنیت به چارچوبی برای تشخیص و واکنش به حملات نیاز دارند که تمام مراحل عملیات امنیتی را از شکار تهدید گرفته تا تشخیص، اولویت بندی (تریاژ)، بررسی و واکنش آسانتر کند. راهکار ایدهآل باید از قابلیتهایی پشتیبانی کند که با همکاری نیروی انسانی و با هماهنگی آن به کاهش مخاطرات و آسانتر شدن عملیات کمک نماید. تعدادی از این قابلیتها شامل موارد زیر هستند:
- پیشگیری از تهدید: این راهکارها باید قابلیت پیشگیری از تهدیدات پیشرفته را داشته باشند. در این صورت با بیش از 99 درصد از حملات، به صورت خودکار مقابله خواهد شد. تیمهای امنیت سایبری با در اختیار داشتن بهترین راهکارهای پیشگیری از تهدید میتوانند بر تشخیص و متوقف نمودن تهدیدات پنهانی متمرکز شوند (نه بر ردیابی حملات فرصت طلبانهای که راهکارهای دفاعی آنها را دور زدهاند).
- دادههای غنی و جامع: تشخیص و مقابله با تهدید، به نظارت کامل بر بخشهای مختلف سازمان (از جمله کل شبکه، نقاط انتهایی و داراییهای مستقر در بستر ابر) نیاز دارد.
- هوش مصنوعی و یادگیری ماشینی: برای تشخیص تهدیدات ناشناخته و همگام ماندن با فنون حمله که به سرعت رشد و توسعه مییابند، چارچوبهای تشخیص و واکنش باید از فناوریهای تحلیلی و یادگیری ماشینی برای شناسایی بهتر تهدیدات پشتیبانی کنند. یادگیری ماشینی، ویژگیهای خاص فایلهای مخرب را مدلسازی نموده و رفتارهای مورد انتظار را جهت شناسایی حملات پیچیده و پیشرفته مشخص میکند.
- سادهسازی بازرسیها: تحلیلگران برای تشخیص سریع حمله نیاز به هشدارهای کاربردی دارند که حاوی جزئیات کامل باشند. با کنار هم قرار دادن دادههای شبکه و نقاط انتهایی، دلایل اصلی و علل ریشه ای هشدار ایجاد شده را میتوان تشخیص داد. مدیریت رخداد، یک تصویر جامع و کامل را ایجاد نموده و به تعیین محدوده حادثه برای تحلیلگران جهت تمرکز بر تهدیدات مهم کمک میکند.
سازمانها با در اختیار داشتن و یکپارچه سازی چنین قابلیت هایی میتوانند با حملات مقابله نموده و امنیت دادهها و کاربران شان را حفظ کنند.
Ed Martin، مدیر محصولات Secureworks
از آنجا که روشهای مورد استفاده مهاجمان همواره پیچیدهتر شده و قاعدتاً تشخیص آنها نیز سختتر می شود؛ بنابراین بسیاری از سازمانها برای تشخیص و واکنش به تهدیدات سایبری با مشکل مواجه هستند.
مدیریت حجم بزرگی از دادههایی که توسط ابزارهای قدیمی مثل ابزارهای مدیریت رویداد و امنیت اطلاعاتی ایجاد میشوند، فعالیت های اضافهای را برای تیمهای امنیت سایبری به وجود آورده و میتوانند نگرش آنها را نسبت به تهدیدات پیشرفته محدود کنند. بر اساس نتایج تحقیقات گروه راهبرد سازمانی (ESG[5])، حدود 30 درصد از کارشناسان امنیت سایبری و فناوری اطلاعات در صنایع مختلف معتقدند این ابزارها برای شناسایی تهدیدات ناشناس چندان کارآمد نیستند.
این موضوع باعث شده بسیاری از سازمانها به نقش تشخیص و واکنش توسعه یافته (XDR[6]) جهت بهبود راهکارهای امنیتی شان فکر کنند. ایده کلی این است که برخلاف SIEM که دادههایی انبوه را ادغام کرده و نیازمند صرف زمان طولانی برای شناسایی تهدیدات واقعی است XDR می تواند با فیلتر نمودن داده های زاید و اضافی، فرایند تشخیص را سریعتر کرده و امکان شناسایی مخاطرات مهم را فراهم نماید.
سازمان ها برای جلو افتادن از متخاصمان سایبری باید به دنبال راهکاری مقیاسپذیر و مبتنی بر فناوری ابر باشند تا کل زیست بوم سازمان شان (محیط ابر، نقاط انتهایی و شبکه) را تحلیل و بررسی کند. در نهایت پیدا کردن شرکتی که دارای محصول جامعی در زمینه امنیت سایبری باشد هم از اهمیت ویژهای برخوردار است. ترکیب هوش انسانی، یادگیری ماشینی و الگوریتمهای یادگیری عمیق همان چیزی است که برای پیشی گرفتن از حملات جدید و مقابله با تهدیدات آتی به آن نیاز داریم.
Ahmed Rubaie مدیرعامل Anomali
مهاجمان همواره در تلاش برای ایجاد اختلال در کسبوکارها، دسترسی به اطلاعات آنها و ارتکاب اعمال مجرمانه هستند. آشنایی با انگیزههای نفوذگران، تنها بخشی از این نبرد بی پایان است. راهکارهای کارآمد تشخیص حمله باید چندین قابلیت مهم داشته باشند که بعضی از آنها شامل موارد زیر هستند:
قابلیت نظارت: داشتن تصویری جامع از عملکرد مهاجمانی که در حوزه های مختلف فعالیت میکنند، بسیار ضروری است. راهکارهای امنیتی باید دریچه ای به دنیای وب تاریک و وب عمیق، تهدیدات مانای پیشرفته (APT) و حملات آسان تری که توسط مهاجمان و با استفاده از فیشینگ و سایر تکنیکهای ساده اجرا میشوند، باز کنند.
تشخیص: از آنجا که سرعت و دقت جزو مهمترین عوامل برای کاهش هزینههای نفوذ و حمله هستند، آگاهی سریع از وقوع یک حمله آن هم در همان لحظات آغازین اهمیت بسیار زیادی دارد.
ادغام: فرض کنید دقیقترین راهکار تشخیص حمله را در اختیار دارید اما هیچ ابزاری برای واکنش نشان دادن به آن ندارید. سازمانها به طور میانگین 45 راهکار امنیتی دارند که شامل فایروال، درگاههای امنیت ایمیل و غیره هستند. قابلیت ادغام با فناوریهای موجود به شما امکان میدهد واکنش به حملات را خودکارسازی نموده و احتمال نفوذ مهاجمان را کاهش دهید.
تشخیص و واکنش توسعه یافته: شاید تصور کنید ویژگیهای تشخیص و واکنش توسعه یافته چندان مهم نیستند. باید توجه داشته باشید که این پدیده منجر به شکلگیری عصر جدیدی در زمینه تشخیص و واکنش به تهدید شده است. بنابراین هر فناوری که برای آن سرمایهگذاری میکنید بایستی این روند را به رسمیت شناخته و از آن پیروی کند.
Tom Van de Wiele، مشاور ارشد امنیتی F-Secure
فرایند انتخاب راهکار تشخیص حمله برای همه سازمانها مشابه نیست و نیاز به کسب دانش درباره عملیات کسبوکار سازمان مربوطه، وابستگیهای آن، نقشه راه فنی سازمان، دارایی های ارزشمند نیازمند حفاظت آن و همچنین دشمنان احتمالی اش دارد. هر چقدر کسبوکارتان و نیازهای آن را بهتر بشناسید برای انتخاب و پیادهسازی سرویس تشخیص حمله تصمیمات آگاهانهتری خواهید گرفت. شما باید بدانید که حملات چگونه و در چه بخشهایی رخ میدهند و اینکه موفق شدن مهاجمان چه تأثیری بر کسبوکارتان دارد.
شما همچنین باید تعیین نمایید کدام کارها در خود سازمان قابل انجام هستند و تهیه فناوریهای لازم، ایجاد زیرساخت های مناسب و اجرای طرحهای آموزشی نسبت به انتخاب یک سرویس مدیریت شده یا همکاری راهبردی با یک شرکت دیگر چه مزایا و معایبی را برایتان به ارمغان خواهد آورد. شرکت های ارایه دهنده سرویسهای تشخیص حمله، ضمن برخورداری از کارشناسان خبره، زیرساختها و فناوریهایی را در اختیار دارند که ممکن است خرید آنها برای سایر سازمانها مقرون به صرفه نباشد.
انتخاب چنین سرویسی تنها بخشی از معادله است و به تنهایی باعث واکنش بهتر به حملات نمیشود. موفقیت نهایی بستگی به این موضوع دارد که راهکار شرکت منتخب شما چگونه در فرایندهای فعلیتان ادغام میشود. چنین مسأله ای نیازمند اختصاص زمان و آموزش مداوم است. این اقدام به همراه برگزاری مانورهای مدیریت بحران میتواند به موفقیت شما جهت مقاومت در برابر حملات واقعی و همچنین واکنش به موقع کمک کرده و پیامد و آسیب حملات سایبری را به شدت محدود کند.
[1] Intrusion Detection System
[2]Intrusion Prevention System
[3] Security Orchestration, Automation and Response
[4] Security Information and Event Management
[5] Enterprise Strategy Group
[6] Extended Detection & Response