کارشناسان آیتی از ابزارهای مختلف برای جمعآوری اطلاعات کاربردی و به موقع درباره مهاجمان و اجرای روشهای پیشگیرانه جهت مقابله با حملات سایبری متنوع و پیشرفته استفاده میکنند. پلتفرم تحلیل امنیت یکی از همین ابزارهای کلیدی برای کمک به تیمهای امنیت سایبری است.
در این مطلب شما را با این ابزارها، اهمیت آنها، کاری که انجام میدهند، نحوه ارزیابیشان و همچنین فهرست محصولات کاربردی در این حوزه آشنا میکنیم.
پلتفرم تحلیل امنیتی چیست؟
در پلتفرمهای تحلیل تهدیدات امنیت سایبری ساده، از ابزارهای نظارت بر ترافیک شبکه و تحلیل وقایع که با استفاده از خط لولهها به اجزای شبکه متصل میشوند استفاده میشود. این فناوری، ترافیک شبکه را که از دستگاههای مختلف عبور کرده بررسی و دادههای مربوط به ترافیک را جمعآوری میکند و آنها را با قوانین و سایر پارامترهای ذخیره شده در سیستم مقایسه میکند. اگر بستههای داده مشکوکی شناسایی شوند، این ابزار از طریق پیامهای داشبورد سیستم و هشدارها، ناهنجاریها را نشانگذاری میکند.
سطح بعدی تحلیل امنیت سایبری، SIEM[1] است که از الگوریتمهای قدرتمند و سایر ابزارها برای ارزیابی هر چه بیشتر ترافیک مشکوک استفاده میکند. سیستمهای SIEM بر اساس پیامهای برنامهنویسی شدهای که با تحلیل ترافیک ارائه میشوند، توصیههای لازم را مطرح میکنند. پلتفرم تحلیل امنیت در بالاترین سطح ابزارهای ارزیابی تهدیدات سایبری قرار دارد. این ابزارها با استفاده از هوش مصنوعی و یادگیری ماشینی، کارهای دیگری مثل تحلیل رفتار کاربر (UEBA[2]) را انجام میدهند تا در رابطه با رفتار تهدیدات و منابعشان و همچنین کاری که ممکن است یک تهدید در مرحله بعد انجام دهد، به تحلیلگران امنیت سایبری اطلاعات بیشتری بدهند. بعلاوه پلتفرمهای تحلیل امنیت بر اساس تجزیه و تحلیل رفتار هم توصیههایی را ارائه میدهند مثل اقدامات لازم برای کاهش سطح حمله و کاهش شدت رویداد در صورت وقوع حمله.
تقریباً امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه شبکهای وجود دارد. در شکل 1، این ابزارها به یک فایروال، روتر و سوئیچ شبکه وصل شدهاند. میتوان این ابزارها را طوری برنامهنویسی کرد تا بر ترافیک نظارت داشته و ناهنجاری را بر اساس پایگاه داده داخلی که از مسیرهای حمله دارند، نشانگذاری کنند. با توجه به نیاز به فرایندهای مدیریت حادثه و دادههای بیشتر، میتوان سیستم SIEM را به عنوان لایهای روی سیستم پایه قرار داد.
اگر شدت و تعداد حملات افزایش پیدا کند، میتوان پلتفرم تحلیل امنیتی را اضافه کرد. ابزار تحلیل امنیتی، اطلاعات را از دو سطح دیگر جمعآوری کرده و با استفاده از هوش مصنوعی تحلیلهای پیشرفتهتری را انجام میدهد تا دادهها را بررسی و توصیهها و بینش مفصلتری ایجاد کند. بسیاری از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه میدهند.
ابزارهای تحلیل امنیتی چه اهمیتی دارند؟
مدیریت امنیت سایبری، مثل یک بازی موش و گربه ادامهدار است. توسعهدهندگان نرمافزار دائماً در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آنها ارائه دهند. همزمان، مهاجمان به صورت پیوسته تکنیکهای بدافزاری و کدهای مخرب جدیدی تولید میکنند تا فایروالها و سایر سازوکارهای دفاعی شبکه را دور زده و به دادهها، سیستمها و شبکههای داخلی آسیب وارد کنند.
حفاظت از دادههای ارزشمند و حیاتی برای کسبوکارها و همچنین اطلاعات شخصی و هویتی امری ضروری است. سرمایهگذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از مهمترین هزینههایی است که بخش آیتی برای سال 2023 و فراتر از آن صرف خواهد کرد. شاید برای مشاغل کوچک، هزینههای یک ابزار تحلیل امنیت عاملی بازدارنده باشد اما سازمانهای بزرگ نباید به فعالیت خود بدون چنین ابزارهایی ادامه دهند.
کاربردهای پلتفرم تحلیل امنیتی
ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شدهاند. این ابزارها، دادههای امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر هوش مصنوعی، بررسی میکنند. یکی از مهمترین عملکردهای این ابزارها، تحلیل رفتار است که دادههای رویدادها را در شرایط مختلف بررسی میکنند تا چنین مواردی را شناسایی کند:
- الگوهای خاصی که در نحوه اجرای حملات مشاهده میشوند؛
- منابع و روش حملهای که مورد هدف قرار گرفتهاند؛
- شناسایی ردپاهایی که پس از حمله وجود دارند و میتوانند اطلاعات بیشتری درباره مهاجم فراهم کنند.
پلتفرمهای تحلیل امنیتی از هوش مصنوعی استفاده میکنند تا توصیههای لازم را برای اصلاح دستگاهها و سیستمهای آسیبپذیر و پیشگیری از حملات آینده ارائه دهند.
سایر کارهایی که پلتفرمهای تحلیل امنیتی میتوانند انجام دهند، عبارتند از:
- اسکن و ارزیابی آسیبپذیری
- تست نفوذ و شکار تهدید
- فعالیتهای پاسخ به حوادث سایبری
- ارزیابی رعایت استانداردها و قوانین
- تشخیص و واکنش برای نقاط پایانی
چگونه یک پلتفرم تحلیل امنیتی کارآمد را انتخاب کنیم؟
سازمانهای بزرگ معمولاً از فناوریهای پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده میکنند. ممکن است سازمانهایی با ابزارهای تحلیل امنیت ساده، بر اساس تعداد و شدت حملاتی که آنها را هدف میگیرند، به دنبال ارتقا به یک گزینه قدرتمندتر باشند.
توصیه میشود از پلتفرمی استفاده کنید که مجهز به قابلیتهای ساده است و میتوان به راحتی اجزای قدرتمندتری به آن اضافه کرد. احتمال دارد جابجایی بین محصولات شرکتهای مختلف، کار شما را برای آشنایی با ابزار مد نظر سختتر کند. مشابه سایر سرمایهگذاریها در حوزه آیتی در این زمینه هم گامهای زیر را باید طی کنید:
- شرایط را مشخص کنید. برای مثال آیا سیستم موجود نیاز به ارتقا دارد؟
- با تیم مدیریت درباره نیاز به تهیه ابزار تحلیل امنیت گفتگو کنید و تأیید و سرمایه لازم را به دست آورید.
- در رابطه با بازار و محصولات و خدمات موجود تحقیق کنید. مدل استقرار (درون سازمانی، در محیط ابر یا سرویس مدیریت شده) را انتخاب کنید.
- گزینههای کاندید را که شامل محصولات انعطافپذیری هستند، با استانداردها همخوانی دارند و میتوان آنها را در زیرساختهای موجود ادغام کرد، انتخاب کنید.
- گزینهها را از لحاظ قیمت بررسی کنید. محصولات معمولاً یک ساختار قیمت انعطافپذیر بر اساس حجم دادهای که در ماه تحلیل میکنند دارند. برخی محصولات دارای هزینههای اولیهای به همراه هزینههای نگهداری و استفاده بک-اند هستند.
- قابلیتهای سیستم کاندید را بر اساس نیازهای جاری و پیشبینی شده خود ارزیابی کنید.
- به آموزشهای احتمالی مورد نیاز برای کارمندانتان دقت کرده و از فروشنده بپرسید که آموزش ارائه میدهد یا خیر.
- حجم دادهها و گزارشهایی که در داشبورد مدنظر نمایش داده میشود را بررسی کنید.
- سطح تحلیلی که محصول انجام میدهد، نوع گزارشات تولید شده و سایر قابلیتهایی که ممکن است ارزش افزوده داشته باشند را در نظر بگیرید.
- مشخص کنید که کاربران چگونه میتوانند با سیستمها تعامل داشته باشند به ویژه مواردی که مبتنی بر ابر هستند.
- سایر خدمات ارائه شده توسط فروشنده را بررسی کنید مثل تست نفوذ و آسیبپذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری.
- به دنبال سرویسهایی باشید که مطابقت محصول انتخابی با استانداردهای امنیت سایبری را ارزیابی میکنند.
- در مراحل برنامهریزی و پیادهسازی، از چرخه حیات توسعه سیستمها استفاده کنید.
- آموزشها و مستندات ارائهشده را به همراه امکان پیادهسازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید.
معرفی 10 پلتفرم تحت امنیتی
به سازمانهایی با هدف افزایش حداکثری توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری توصیه میشود از یک ابزار تحلیل امنیت استفاده کنند. این ابزارها معمولاً قابلیتهای SIEM و مدیریت گزارش وقایع را در قالب یک پلتفرم امنیتی واحد ترکیب کرده و سایر قابلیتهای تحلیلی امنیتی را هم در قالب یک افزونه دارند.
ابزارهای تحلیل امنیتی بیشترین قابلیت تحلیل و گزارشدهی را اما با بالاترین قیمت دارند. ابزار مناسب، امکان نظارت بیشتر بر شبکه را فراهم کرده و اتلاف زمان و تشخیصهای کاذب را به حداقل میرساند.
10 ابزار و پلتفرم امنیت سایبری که قابلیتهای تحلیل امنیت را دارند، عبارتند از:
- Splunk Enterprise Security یک پلتفرم SIEM که امکانات پیشرفته زیادی دارد. این ابزار به همراه نسخه سازمانی اسپلانک و همچنین پلتفرم ابر اسپلانک ارائه میشود.
- مزایا: سیستم قدرتمند، داشبورد و امکانات مختلف
- معایب: سختی و پیچیدگی در یادگیری کار با ابزار
- ابزار مدیریت رویدادهای امنیتی سولارویندز که یک نرمافزار SIEM است.
- مزایا: گردآوری کارآمد دادهها، گزارشهای جامع و داشبوردها
- معایب: سختی و پیچیدگی در یادگیری کار با ابزار
- IBM Security Guardium یک پلتفرم حفاظت از داده که برای شبکههای سازمانی بزرگ طراحی شده است.
- مزایا: امکانات تحلیل امنیتی، داشبوردها و قابلیتهای نظارت بر رعایت قوانین و استانداردها
- معایب: سختی و پیچیدگی در یادگیری کار با ابزار
- LogRhythm SIEM یک پلتفرم SIEM که یک لایه تحلیل امنیتی دارد.
- مزایا: قابلیتهای تحلیلی پیشرفته، داشبوردها
- معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقا
- Securonix Next-Gen SIEM که مجهز به قابلیتهای پیشرفته است از جمله قابلیتهای تحلیل امنیتی
- مزایا: پشتیبانی از تحلیل امنیتی، داشبورد، گزارشدهی
- معایب: مشخص نشده
- Exabeam Fusion یک پلتفرم SIEM با قابلیتهای پیشرفته از جمله تحلیل امنیتی
- مزایا: قابلیتهای تحلیل امنیتی، دارای نسخه تحت ابر و درون سازمانی
- معایب: مشخص نشده
- ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور ([1]ATP) جایگزین ابزار تحلیل تهدیدات پیشرفته شده و یک پلتفرم تحت ابر و درون سازمانی با قابلیتهای تحلیل امنیتی پیشرفته است که امکان تحلیل و بررسی ناهنجاریهای امنیتی به صورت سرتاسری را دارد.
- مزایا: قابلیتهای تحلیل امنیتی، اپلیکیشنهای سازمانی، امکان نصب درون سازمان و در محیط ابر، رسیدگی به مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP
- معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقا، هزینههای اضافه
- Sumo Logic Platform with Cloud SIEM and Cloud SOAR یک پلتفرم تحت ابر با امکانات SIEM و هماهنگ سازی، اتوماسیون و واکنش امنیتی است.
- مزایا: قابلیتهای تحلیل امنیتی، مقیاسپذیری، گزارشدهی
- معایب: مشخص نشده
- Forcepoint Behavioral Analytics پلتفرمی که قابلیتهای UEBA را دارد.
- مزایا: قابلیتهای تحلیل امنیت پیشرفته
- معایب: مشخص نشده
- Rapid7 InsightIDR یک پلتفرم SIEM تحت ابر با قابلیتهای UEBA
- مزایا: قابلیتهای تحلیل امنیتی، داشبورد و گزارشدهی
- معایب: مشخص نشده
- Nemasis – Pro پلتفرم پیکربندی اسکن قدرتمند و انعطافپذیر با قابلیت ارزیابی امنیتی و گزارشهای متنوع
-
- مزایا: اسکن نامحدود داراییها، ارائه طیف وسیعی از IPها برای اسکن آنها با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت SNMP، اسکنهای احراز هویت SMB، اسکنهای احراز هویت SSH، اسکنهای احراز هویت ESXi، انجام انواع مختلفی از اسکنرهای شبکه مانند TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارشهای دقیق از آسیبپذیریها بر اساس CVSS، ارائه داشبوردهای تعاملی و نماهای تخصصی از شبکه در یک واسط کاربری قدرتمند از طریق تنظیم و کشیدن و رها کردن همراه با دادههای زمان واقعی، ارائه سناریوی ریسک کلی برای هر کار، امکان ردیابی سریع ارزیابی انطباق شبکه و زیرساخت بر اساس استانداردهای صنعتی و PCI DSS، شناسایی شکافهای امنیتی زیرساخت شبکه، شناسایی و اولویتبندی خطر، ایجاد گزارش آسیبپذیری بر اساس گزینههای مختلف مانند CVSS، Scan plugins، Port، اشتراک گزارشها با تیم یا سازمان از طریق ایجاد گزارشها در قالبهای مختلف ایجاد کنید (به عنوان مثال، CSV، PDF، TXT، XML، فرمت Compliance)
[1] Advanced Threat Protection
[1] Security Information and Event Management
[2] user entity behavior analytics
منبع: techtarget
