پاسخ خودکار و هماهنگ به رخدادهای سایبری با ابزار جدید Magnet Forensics

عدم واکنش‌های سریع به نفوذهای اطلاعاتی یا سایر حوادث امنیت سایبری ممکن است منجر به هدر رفتن زمان و دارایی‌های سازمان شده و اعتبار آن را هم دچار خدشه کند. به تازگی شرکت Magnet Forensics که در زمینه جرایم دیجیتالی تحقیق می‌کند، یک نرم‌افزار جدید تحت عنوان Magnet Automate Enterprise طراحی و عرضه نموده است. این نرم‌افزار امکان تحلیل و بررسی خودکار درباره نفوذهای امنیتی و قابلیت واکنش سریع به حوادث سایبری را برای سازمان‌ها ایجاد نموده و اقدامات لازم جهت تشخیص و واکنش به حادثه را با ابزارهای شخص ثالث همگام‌سازی می‌کند.

Automate Enterprise توسط Magnet Forensics و به صورت اختصاصی برای سازمان‌ها طراحی شده و امکان بازیابی شواهد مربوط به حوادث سایبری را از شبکه‌های سازمانی و نقاط پایانی دور دست برای آنها فراهم می‌کند. مرکز Magnet Forensics نیز در زمینه طراحی نرم‌افزارهای تحقیق و تحلیل برای پردازش شواهد به دست آمده از کامپیوترها، دستگاه‌های همراه، تجهیزات اینترنت اشیا و سرویس‌های ابر فعالیت دارد. بسیاری از مؤسسات دولتی و نهادهای قانونگذار جزو مشتریان این مرکز هستند.

تمرکز نرم‌افزار Automate Enterprise بر روی رفع تأخیرات بسیار زیادی است که معمولاً در زمان واکنش به یک حادثه امنیت سایبری مشاهده شده و در اثر مواردی مثل تغییر شیفت کارمندان، تعطیلات آخر هفته یا غیره به وجود می‌آیند.

همگام‌سازی فناوری‌های EDR، SIEM و ابزارهای جرم‌شناسی دیجیتال

ابزار Automate Enterprise جهت انجام خودکار اقدامات ساده و تکراری به صورت شبانه‌روزی و بدون مداخله انسان طراحی شده و دارای قابلیت‌های بسیار زیادی مثل ادغام با ابزارهای تشخیص و واکنش نقاط پایانی (EDR[1])، مدیریت رویداد و اطلاعات امنیتی (SIEM[2]) و ابزارهای تحلیل پس از حادثه است. هدف از ارایه چنین ابزاری، فعال‌سازی خودکار واکنش به حوادث امنیتی و هماهنگ‌سازی اکتساب شواهد از دستگاه‌های مختلف، محیط‌های کامپیوتری و سرویس‌های ارتباطی است.

برای مثال ابزارهای تشخیص و واکنش به حادثه می‌توانند ایمیل‌های فیشینگی را که به شبکه سازمانی ارسال شده و در انتظار کلیک کاربر جهت دانلود یک نرم‌افزار مخرب از منبعی دیگر هستند شناسایی کنند. در غیر این صورت نتیجه عدم شناسایی چنین تلاش‌های مخربی منجر به نصب بدافزارها بر روی سیستم قربانیان و رمزنگاری داده‌ها می‌شود.

Adam Belsher مدیرعامل Magnet Forensics می‌گوید: «تحلیلگران امنیت سایبری با استفاده از رابط کاربری شهودی و قابل درک می‌توانند جریان‌های کاری اختصاصی ایجاد نموده و در اسرع وقت به حوادث امنیت سایبری واکنش نشان دهند. همچنین با توجه به وابستگی سازمان‌ها به بکارگیری راهکارهای امنیتی که متعلق به چندین شرکت مختلف هستند، امکان ادغام روان و آسان Automate Enterprise با سایر محصولات موجود در حوزه امنیت سایبری و جرم‌شناسی دیجیتال وجود دارد».

بنا به گفته Blesher: «امکان ادغام کلیه نرم‌افزارهایی که دارای یک بخش خط فرمانی یا API هستند در یک جریان کاری اختصاصی در Automate Enterprise وجود دارد. ایجاد و اجرای یک جریان کاری اختصاصی با ابزارهای EDR، SIEM و ابزارهای جرم‌شناسی دیجیتال و با استفاده از روش کشیدن و رها کردن[3] (به انگلیسی: Drag-and-Drop) قابل انجام است».

شرکت‌ها با استفاده از Automate Enterprise می‌توانند داده‌های مرتبط با امنیت را که از کامپیوترها، گوشی‌های هوشمند و محیط‌های ذخیره ابری مثل وب سرویس‌های آمازون و مایکروسافت آژور و همچنین سرویس‌ها و ابزارهای ارتباطی از جمله مایکروسافت تیمز (به انگلیسی: Teams) و اسلک (به انگلیسی: Slack) به دست می‌آورند به صورت همزمان پردازش کنند.

تأثیر اتوماسیون جریان کار بر روی روند تحقیق درباره حوادث

قابلیت Watch Folder در Automate Enterprise امکان تحقیق و واکنش به حادثه را میسر می‌کند. Watch Folderها تصاویری از سیستم هستند که از طریق ابزارهای اکتساب شواهد ایجاد می‌شوند. این ابزارها ممکن است حتی رابط خط فرمانی هم نداشته باشند (مثل نرم‌افزارهای GrayKey، F-Response و Tableau TX1 Forensic Imager).

Watch Folderها همچنین به کاربران امکان می‌دهند که از طریق یک ابزار تولید محتوا بصری، یک فایل یا مسیر شبکه را که به محل ذخیره تصاویری که توسط ابزار اکتساب ایجاد می‌شوند اشاره دارد پیکربندی کنند. کاربران نیز با استفاده از امکانات تریاژ (یا اولویت‌بندی) و جهت افزایش سرعت انجام کار می‌توانند فقط یک محدوده خاص از دیسک را اسکن کنند. علاوه بر این امکان استفاده کاربران از Watch Folderها جهت تنظیم جریان‌های کاری خودکار، همگام‌سازی تحلیل‌ها، ایجاد محرک و هشدار برای نرم‌افزارهای امنیتی مختلف وجود دارد.

Belsher می‌گوید: «در یک جریان کاری معمولاً ابتدا ابزارهای SIEM هشدارهای لازم در رابطه با یک تهدید بالقوه را به تیم‌های امنیت سایبری می‌دهند. سپس یک اسکن تریاژ جهت شناسایی نقاط پایانی که تحت تأثیر این تهدید قرار دارند، شروع شده و در نهایت یک تحلیل جرم‌شناسی دیجیتال برای بررسی آسیب اجرا می‌گردد. همچنین در بین هر مرحله یک رسیدگی دستی وجود دارد که منجر به ایجاد تأخیر در زمان واکنش می‌شود».

یک ابزار کاربردی در محیطی با پیچیدگی‌های روزافزون

پیچیدگی‌های زیرساخت سازمان‌ها همواره رو به افزایش بوده و همین مسئله منجر به بروز آسیب‌پذیری آنها در برابر حملات و حوادث سایبری می‌شود. ابزار Automate Enterprise که توسط Magnet Forensics ارایه شده قابلیت‌های بسیار زیادی دارد. وقتی سازمان‌ها در حال تلاش برای مقابله با آسیب‌های ناشی از حملات سایبری هستند، افزایش سرعت واکنش و زمان بازیابی از اهمیت ویژه‌ای برخوردار می‌شود.

Gary McAlum تحلیلگر ارشد شرکت TAG Cyber می‌گوید: «تیم‌های امنیتی مدعی‌اند که راهکارهای اتوماسیون و خودکارسازی منجر به افزایش سرعت جریان کاری چند وجهی و انجام واکنش‌های به موقع به حوادث می‌شود. امروزه ابزارهای امنیتی بسیار زیاد و متنوعی جهت انجام واکنش‌های خودکار به حوادث امنیتی در بازار وجود دارند. از این رو بکارگیری رویکردها و قابلیت‌های نوین مثل تحلیل مقایسه‌ای جامع و مقیاس‌پذیری توسط Magnet Forensics در Automate Enterprise منجر به تمایز این راهکار با سایر ابزارهای موجود در بازار می‌شود».

McAlum می‌گوید: «بسیاری از ابزارهای واکنشی خودکار فقط قابلیت کار در محیط‌های کوچک را داشته و در شرایط بحرانی پیچیده کارایی چندان مؤثری ندارند. انتظار داریم که ابزار خودکار Automate Enterprise توانایی پوشش رویدادهایی با مقیاس عظیم بخصوص در محیط‌های فناوری اطلاعات ناهمگن که داده‌ها و سیستم‌ها در آن بر روی محیط‌های ابر و درون سازمانی مختلف توزیع شده‌اند را داشته باشد».

[1] end-point detection and response

[2] security information and event management

[3] عملیات کشیدن و رها کردن شامل گرفتن یک شیء مجازی مثل یک فایل پی‌دی‌اف، ورد، عکس و غیره در محیط رایانه و جابه‌جا کردن آن است.

منبع: csoonline