پاسخ خودکار و هماهنگ به رخدادهای سایبری با ابزار جدید Magnet Forensics
عدم واکنشهای سریع به نفوذهای اطلاعاتی یا سایر حوادث امنیت سایبری ممکن است منجر به هدر رفتن زمان و داراییهای سازمان شده و اعتبار آن را هم دچار خدشه کند. به تازگی شرکت Magnet Forensics که در زمینه جرایم دیجیتالی تحقیق میکند، یک نرمافزار جدید تحت عنوان Magnet Automate Enterprise طراحی و عرضه نموده است. این نرمافزار امکان تحلیل و بررسی خودکار درباره نفوذهای امنیتی و قابلیت واکنش سریع به حوادث سایبری را برای سازمانها ایجاد نموده و اقدامات لازم جهت تشخیص و واکنش به حادثه را با ابزارهای شخص ثالث همگامسازی میکند.
Automate Enterprise توسط Magnet Forensics و به صورت اختصاصی برای سازمانها طراحی شده و امکان بازیابی شواهد مربوط به حوادث سایبری را از شبکههای سازمانی و نقاط پایانی دور دست برای آنها فراهم میکند. مرکز Magnet Forensics نیز در زمینه طراحی نرمافزارهای تحقیق و تحلیل برای پردازش شواهد به دست آمده از کامپیوترها، دستگاههای همراه، تجهیزات اینترنت اشیا و سرویسهای ابر فعالیت دارد. بسیاری از مؤسسات دولتی و نهادهای قانونگذار جزو مشتریان این مرکز هستند.
تمرکز نرمافزار Automate Enterprise بر روی رفع تأخیرات بسیار زیادی است که معمولاً در زمان واکنش به یک حادثه امنیت سایبری مشاهده شده و در اثر مواردی مثل تغییر شیفت کارمندان، تعطیلات آخر هفته یا غیره به وجود میآیند.
همگامسازی فناوریهای EDR، SIEM و ابزارهای جرمشناسی دیجیتال
ابزار Automate Enterprise جهت انجام خودکار اقدامات ساده و تکراری به صورت شبانهروزی و بدون مداخله انسان طراحی شده و دارای قابلیتهای بسیار زیادی مثل ادغام با ابزارهای تشخیص و واکنش نقاط پایانی (EDR[1])، مدیریت رویداد و اطلاعات امنیتی (SIEM[2]) و ابزارهای تحلیل پس از حادثه است. هدف از ارایه چنین ابزاری، فعالسازی خودکار واکنش به حوادث امنیتی و هماهنگسازی اکتساب شواهد از دستگاههای مختلف، محیطهای کامپیوتری و سرویسهای ارتباطی است.
برای مثال ابزارهای تشخیص و واکنش به حادثه میتوانند ایمیلهای فیشینگی را که به شبکه سازمانی ارسال شده و در انتظار کلیک کاربر جهت دانلود یک نرمافزار مخرب از منبعی دیگر هستند شناسایی کنند. در غیر این صورت نتیجه عدم شناسایی چنین تلاشهای مخربی منجر به نصب بدافزارها بر روی سیستم قربانیان و رمزنگاری دادهها میشود.
Adam Belsher مدیرعامل Magnet Forensics میگوید: «تحلیلگران امنیت سایبری با استفاده از رابط کاربری شهودی و قابل درک میتوانند جریانهای کاری اختصاصی ایجاد نموده و در اسرع وقت به حوادث امنیت سایبری واکنش نشان دهند. همچنین با توجه به وابستگی سازمانها به بکارگیری راهکارهای امنیتی که متعلق به چندین شرکت مختلف هستند، امکان ادغام روان و آسان Automate Enterprise با سایر محصولات موجود در حوزه امنیت سایبری و جرمشناسی دیجیتال وجود دارد».
بنا به گفته Blesher: «امکان ادغام کلیه نرمافزارهایی که دارای یک بخش خط فرمانی یا API هستند در یک جریان کاری اختصاصی در Automate Enterprise وجود دارد. ایجاد و اجرای یک جریان کاری اختصاصی با ابزارهای EDR، SIEM و ابزارهای جرمشناسی دیجیتال و با استفاده از روش کشیدن و رها کردن[3] (به انگلیسی: Drag-and-Drop) قابل انجام است».
شرکتها با استفاده از Automate Enterprise میتوانند دادههای مرتبط با امنیت را که از کامپیوترها، گوشیهای هوشمند و محیطهای ذخیره ابری مثل وب سرویسهای آمازون و مایکروسافت آژور و همچنین سرویسها و ابزارهای ارتباطی از جمله مایکروسافت تیمز (به انگلیسی: Teams) و اسلک (به انگلیسی: Slack) به دست میآورند به صورت همزمان پردازش کنند.
تأثیر اتوماسیون جریان کار بر روی روند تحقیق درباره حوادث
قابلیت Watch Folder در Automate Enterprise امکان تحقیق و واکنش به حادثه را میسر میکند. Watch Folderها تصاویری از سیستم هستند که از طریق ابزارهای اکتساب شواهد ایجاد میشوند. این ابزارها ممکن است حتی رابط خط فرمانی هم نداشته باشند (مثل نرمافزارهای GrayKey، F-Response و Tableau TX1 Forensic Imager).
Watch Folderها همچنین به کاربران امکان میدهند که از طریق یک ابزار تولید محتوا بصری، یک فایل یا مسیر شبکه را که به محل ذخیره تصاویری که توسط ابزار اکتساب ایجاد میشوند اشاره دارد پیکربندی کنند. کاربران نیز با استفاده از امکانات تریاژ (یا اولویتبندی) و جهت افزایش سرعت انجام کار میتوانند فقط یک محدوده خاص از دیسک را اسکن کنند. علاوه بر این امکان استفاده کاربران از Watch Folderها جهت تنظیم جریانهای کاری خودکار، همگامسازی تحلیلها، ایجاد محرک و هشدار برای نرمافزارهای امنیتی مختلف وجود دارد.
Belsher میگوید: «در یک جریان کاری معمولاً ابتدا ابزارهای SIEM هشدارهای لازم در رابطه با یک تهدید بالقوه را به تیمهای امنیت سایبری میدهند. سپس یک اسکن تریاژ جهت شناسایی نقاط پایانی که تحت تأثیر این تهدید قرار دارند، شروع شده و در نهایت یک تحلیل جرمشناسی دیجیتال برای بررسی آسیب اجرا میگردد. همچنین در بین هر مرحله یک رسیدگی دستی وجود دارد که منجر به ایجاد تأخیر در زمان واکنش میشود».
یک ابزار کاربردی در محیطی با پیچیدگیهای روزافزون
پیچیدگیهای زیرساخت سازمانها همواره رو به افزایش بوده و همین مسئله منجر به بروز آسیبپذیری آنها در برابر حملات و حوادث سایبری میشود. ابزار Automate Enterprise که توسط Magnet Forensics ارایه شده قابلیتهای بسیار زیادی دارد. وقتی سازمانها در حال تلاش برای مقابله با آسیبهای ناشی از حملات سایبری هستند، افزایش سرعت واکنش و زمان بازیابی از اهمیت ویژهای برخوردار میشود.
Gary McAlum تحلیلگر ارشد شرکت TAG Cyber میگوید: «تیمهای امنیتی مدعیاند که راهکارهای اتوماسیون و خودکارسازی منجر به افزایش سرعت جریان کاری چند وجهی و انجام واکنشهای به موقع به حوادث میشود. امروزه ابزارهای امنیتی بسیار زیاد و متنوعی جهت انجام واکنشهای خودکار به حوادث امنیتی در بازار وجود دارند. از این رو بکارگیری رویکردها و قابلیتهای نوین مثل تحلیل مقایسهای جامع و مقیاسپذیری توسط Magnet Forensics در Automate Enterprise منجر به تمایز این راهکار با سایر ابزارهای موجود در بازار میشود».
McAlum میگوید: «بسیاری از ابزارهای واکنشی خودکار فقط قابلیت کار در محیطهای کوچک را داشته و در شرایط بحرانی پیچیده کارایی چندان مؤثری ندارند. انتظار داریم که ابزار خودکار Automate Enterprise توانایی پوشش رویدادهایی با مقیاس عظیم بخصوص در محیطهای فناوری اطلاعات ناهمگن که دادهها و سیستمها در آن بر روی محیطهای ابر و درون سازمانی مختلف توزیع شدهاند را داشته باشد».
[1] end-point detection and response
[2] security information and event management
[3] عملیات کشیدن و رها کردن شامل گرفتن یک شیء مجازی مثل یک فایل پیدیاف، ورد، عکس و غیره در محیط رایانه و جابهجا کردن آن است.
منبع: csoonline