آیا با اصول انتخاب یک راهکار تشخیص حملات سایبری آشنا هستید؟

بر اساس آمار به دست آمده و نتایج تحقیقات صورت گرفته، حدود 30 درصد از سازمان‌ها در سطح جهان روزانه حداقل یک حمله سایبری را تجربه می‌کنند. از این رو مسأله انتخاب یک راهکار مناسب برای تشخیص حمله بر ضد کسب‌وکارها مورد توجه مدیران امنیت و فناوری اطلاعات سازمان‌ها قرار گرفته است.

در این مطلب از فراست، دیدگاه تعدادی از کارشناسان امنیتی را درباره این موضوع گرد‌آوری کرده‌ایم. شما با مطالعه آنها و مشورت با تیم امنیتی سازمان‌تان می‌توانید راهکار متناسب با کسب‌وکار خود را انتخاب کنید.

 

David Batty، مهندس ارشد شرکت FireEye

هیچ محصولی به تنهایی قادر به تشخیص راهکار مورد نیاز برای دفاع در برابر تهدیدات گسترده فعلی نیست. یک محصول جامع برای مقابله با تهدیدات سایبری نیازمند فناوری، تخصص و هوش است و توانایی تشخیص را در هنگام شروع حمله دارد. این محصول نباید متشکل از فناوری‌های مجزا باشد که قابلیت همکاری با یکدیگر را برای شناسایی و مقابله با تهدیدات ندارند. فناوری‌های مورد استفاده در محصول مورد نظر باید بتوانند انعطاف پذیری خود را در برابر مهاجمانی که از منابع زیاد برخوردار هستند، افزایش دهند. همچنین مهاجمان پس از اجرای حملات، خودشان را در قالب کارمندان عادی جا می‌زنند تا تشخیص رویدادهای مجاز از غیرمجاز در نقاط انتهایی شبکه سخت‌تر شود.

در این مرحله، تخصص و هوش ارزش فوق‌العاده‌ای برای شناسایی فعالیت‌های مخرب در سازمان دارند. قابلیت تشخیص حضور مهاجمان و اقدام بعدی آنها اهمیت ویژه‌ای دارد. اگرچه بسیاری از راهکارها ادعا می‌کنند در برابر تهدیدات پیشرفته مقاوم هستند اما باید مشخص شود که فروشنده چنین راهکاری چقدر تخصص داشته و این تخصص را چگونه در محصول خود پیاده‌سازی کرده است.

 

Nick Ellsmore، مدیر ارشد خدمات مشاوره و حرفه‌ای Trustwave

برای پیاده‌سازی راهکار تشخیص حمله، روش های مختلفی از جمله سیستم‌های تشخیص نفوذ[1]، سیستم‌های جلوگیری از نفوذ[2]، سیستم مدیریت رویداد و اطلاعات امنیتی (SIEM[4]) و غیره وجود دارد. کلید موفقیت برای انتخاب راهکاری مناسب، مشخص کردن ویژگی‌های لازم برای هدف مدنظر است. موارد زیر به شما کمک می‌کند تا نیازهایی را که محصول انتخابی تان باید برآورده کند، تشخیص دهید:

• کاربرد مورد نظر را مشخص نمایید: شما باید تعیین کنید که در صورت وقوع حمله، راهکار مدنظرتان برای چه اشخاصی و در کدام بخش‌ها هشدار صادر کند. همچنین دریافت کننده هشدار باید چه اقدامی را بر اساس اطلاعات به دست آمده انجام دهد. اگر دریافت کننده قادر به انجام کاری نباشد باید از روش دیگری استفاده شود که تصمیم‌گیری را به دیگران محول کند.
• به معماری و کاربردها توجه داشته باشید: راهکارهای شبکه محور معمولاً توسط مدل دورکاری و اتصال مستقیم، به چالش کشیده می‌شوند. در نتیجه به روشی برای کنترل نقاط انتهایی شبکه نیاز خواهید داشت.
• دشمن خودتان را بشناسید: شما باید مشخص کنید احتمال وقوع حمله از طریق چه روشی بیشتر است. مثلاً اگر تهدید داخلی مهمترین دغدغه شما است، استفاده از راهکارهای تحلیل رفتار کاربر گزینه مناسبی می باشد. اگر احتمال می‌دهید هدف اصلی، برنامه‌های کاربردی تحت وب شما هستند در این صورت چنین راهکاری دیگر چندان مفید نخواهد بود.
• محدوده پوشش راهکار انتخابی خودتان را مشخص کنید: اگر به دنبال پوشش کاملی در مواجهه با مخاطرات و تهدیدات سایبری هستید، در این صورت نیاز به استفاده از چندین راهکار دارید. به منظور جلوگیری از ایجاد نقاط کور باید آشنایی کامل با هر یک از این راهکارها داشته باشید.

Christopher Fielder، مدیر بازاریابی محصولات Arctic Wolf

به ندرت می‌توان راهکاری پیدا کرد که برای همه بخش‌های سازمان مناسب باشد. ابتدا شما باید وضعیت نیروهای انسانی خود را بررسی نموده و نقاط قوت و ضعف امنیتی‌ سازمان‌تان را بشناسید. شما باید مشخص کنید آیا در موقعیتی هستید که بتوانید هر تهدیدی را به صورت دستی شناسایی کرده و به آن واکنش مناسب نشان دهید یا اینکه مایل هستید به یک محصول خودکار اعتماد کرده تا کار تشخیص را برای شما انجام دهد.

Wolf توصیه می‌کند محصولی انتخاب کنید که دارای قابلیت‌های تشخیصی مختلف است و امکان تنظیم و سفارشی‌سازی آن وجود دارد. شما می‌توانید به راحتی محصول مورد نظرتان را بر اساس محیط سازمان خودتان ارزیابی نمایید. از آنجا که داشتن ویژگی نظارت یکپارچه و جامع یک امر ضروری است به همین خاطر اقدام کلیدی بعدی شما باید اطمینان از قابلیت های آن محصول برای پوشش کل معماری سازمان باشد. محصولی که فقط تعدادی از سیستم‌ عامل‌ها یا بخشی از شبکه شما را پوشش می دهد احتمال دارد امکان تشخیص بعضی از تهدیدها و حملات را نداشته باشد.

در نهایت می بایست بررسی کنید که این محصول چگونه با فناوری‌های فعلی شما کار می‌کند. بنابراین محصولی را انتخاب کنید که با ابزارهای فعلی شما همخوانی کامل داشته باشد. به این ترتیب می‌توانید داده ها و منابع اطلاعاتی مختلف را به آن وارد کرده تا فرایندهای بررسی و تشخیص آسان‌تر شوند.

Anuj Goel، مدیرعامل Cyware

میزان هشدارهای تهدیدآمیزی که امروزه سازمان‌ها به صورت روزانه دریافت می‌کنند به قدری زیاد است که یک کارمند یا تیم امنیتی دیگر به تنهایی قادر به کنترل و مدیریت آنها نیست. کلید موفقیت در پیاده‌سازی یک طرح امنیتی، یافتن محصولی است که اطلاعات مختلف را با یکدیگر ترکیب نموده و امکان همکاری در زمینه واکنش به تهدید را داشته باشد. برای افزایش بهره‌وری تحلیلگران امنیتی می توانید از خودکارسازی فرایندها نیز استفاده نمایید.

سازمان‌ها باید به دنبال محصولی باشند که امکانات زیر را در اختیارشان قرار دهد:

• یک مرکز ادغام سایبری: بسیاری از راهکارها فرایندهای هماهنگ‌سازی، خودکارسازی و واکنش امنیتی (SOAR[3]) را به صورت ابزاری مجزا ارایه می‌دهند. سازمان‌هایی که به دنبال بیشترین بهره‌وری از راهکارهای امنیتی‌شان هستند باید محصولی را انتخاب کنند که قابلیت‌های مدیریت یکپارچه تهدیدات مثل مدیریت رخدادها، SOAR، ایجاد هشدار لحظه‌ای در ترکیب با خودکارسازی تهدید را داشته باشد. چنین ابزارهایی نظارت کامل‌تری در مقایسه با عملیات امنیتی داشته و امکان به اشتراک‌گذاری اطلاعات بین مشتریان و پیمانکاران را برای سرعت بخشی به فرایند واکنش به تهدیدات فراهم می‌کنند.
• خودکارسازی هوش تهدید: با رشد و افزایش تعداد حملات و تهدیدات، تحلیلگران هوش تهدید هم بسیار پرمشغله‌تر شده و وقت خودشان را صرف انجام کارهای تکراری می‌کنند. بهره گیری از امکانات خودکارسازی در راهکارهای امنیتی به تیم‌ها امکان می‌دهد تا منابع موجود را صرف انجام اقدامات حیاتی‌تری همچون تشخیص حادثه و امنیت برنامه‌های کاربردی شان کنند.
• ابزارهای همکاری جهت به اشتراک‌گذاری تهدید: همکاری در جامعه امنیت سایبری جزو راهبردهای اثبات شده برای مقابله با حملات است. سازمان‌ها باید چارچوب‌هایی را انتخاب کنند که علاوه بر امکان همکاری با سایر شرکا و پیمانکاران امکان نظارت کامل بر تهدیدات را نیز در اختیارشان قرار دهد.

 

Tim Junio، مدیر ارشد محصولات Palo Alto Networks

تیم‌های امنیت به چارچوبی برای تشخیص و واکنش به حملات نیاز دارند که تمام مراحل عملیات امنیتی را از شکار تهدید گرفته تا تشخیص، اولویت بندی (تریاژ)، بررسی و واکنش آسان‌تر کند. راهکار ایده‌آل باید از قابلیت‌هایی پشتیبانی کند که با همکاری نیروی انسانی و با هماهنگی آن به کاهش مخاطرات و آسان‌تر شدن عملیات کمک نماید. تعدادی از این قابلیت‌ها شامل موارد زیر هستند:

• پیشگیری از تهدید: این راهکارها باید قابلیت پیشگیری از تهدیدات پیشرفته را داشته باشند. در این صورت با بیش از 99 درصد از حملات، به صورت خودکار مقابله خواهد شد. تیم‌های امنیت سایبری با در اختیار داشتن بهترین راهکارهای پیشگیری از تهدید می‌توانند بر تشخیص و متوقف نمودن تهدیدات پنهانی متمرکز شوند (نه بر ردیابی حملات فرصت‌ طلبانه‌ای که راهکارهای دفاعی آنها را دور زده‌اند).
• داده‌های غنی و جامع: تشخیص و مقابله با تهدید، به نظارت کامل بر بخش‌های مختلف سازمان (از جمله کل شبکه، نقاط انتهایی و دارایی‌های مستقر در بستر ابر) نیاز دارد.
• هوش مصنوعی و یادگیری ماشینی: برای تشخیص تهدیدات ناشناخته و همگام ماندن با فنون حمله که به سرعت رشد و توسعه می‌یابند، چارچوب‌های تشخیص و واکنش باید از فناوری‌های تحلیلی و یادگیری ماشینی برای شناسایی بهتر تهدیدات پشتیبانی کنند. یادگیری ماشینی، ویژگی‌های خاص فایل‌های مخرب را مدل‌سازی نموده و رفتارهای مورد انتظار را جهت شناسایی حملات پیچیده و پیشرفته مشخص می‌کند.
• ساده‌سازی بازرسی‌ها: تحلیلگران برای تشخیص سریع حمله نیاز به هشدارهای کاربردی دارند که حاوی جزئیات کامل باشند. با کنار هم قرار دادن داده‌های شبکه و نقاط انتهایی، دلایل اصلی و علل ریشه ای هشدار ایجاد شده را می‌توان تشخیص داد. مدیریت رخداد، یک تصویر جامع و کامل را ایجاد نموده و به تعیین محدوده حادثه برای تحلیلگران جهت تمرکز بر تهدیدات مهم کمک می‌کند.

سازمان‌ها با در اختیار داشتن و یکپارچه سازی چنین قابلیت هایی می‌توانند با حملات مقابله نموده و امنیت داده‌ها و کاربران شان را حفظ ‌کنند.

 

Ed Martin، مدیر محصولات Secureworks

از آنجا که روش‌های مورد استفاده مهاجمان همواره پیچیده‌تر شده و قاعدتاً تشخیص آنها نیز سخت‌تر می شود؛ بنابراین بسیاری از سازمان‌ها برای تشخیص و واکنش به تهدیدات سایبری با مشکل مواجه هستند.

مدیریت حجم بزرگی از داده‌هایی که توسط ابزارهای قدیمی مثل ابزارهای مدیریت رویداد و امنیت اطلاعاتی ایجاد می‌شوند، فعالیت های اضافه‌ای را برای تیم‌های امنیت سایبری به وجود آورده و می‌توانند نگرش آنها را نسبت به تهدیدات پیشرفته محدود کنند. بر اساس نتایج تحقیقات گروه راهبرد سازمانی (ESG[5])، حدود 30 درصد از کارشناسان امنیت سایبری و فناوری اطلاعات در صنایع مختلف معتقدند این ابزارها برای شناسایی تهدیدات ناشناس چندان کارآمد نیستند.

این موضوع باعث شده بسیاری از سازمان‌ها به نقش تشخیص و واکنش توسعه یافته (XDR[6]) جهت بهبود راهکارهای امنیتی شان فکر کنند. ایده کلی این است که برخلاف SIEM که داده‌هایی انبوه را ادغام کرده و نیازمند صرف زمان طولانی برای شناسایی تهدیدات واقعی است XDR می تواند با فیلتر نمودن داده های زاید و اضافی، فرایند تشخیص را سریعتر کرده و امکان شناسایی مخاطرات مهم را فراهم نماید.

سازمان ها برای جلو افتادن از متخاصمان سایبری باید به دنبال راهکاری مقیاس‌پذیر و مبتنی بر فناوری ابر باشند تا کل زیست بوم سازمان شان (محیط ابر، نقاط انتهایی و شبکه) را تحلیل و بررسی کند. در نهایت پیدا کردن شرکتی که دارای محصول جامعی در زمینه امنیت سایبری باشد هم از اهمیت ویژه‌ای برخوردار است. ترکیب هوش انسانی، یادگیری ماشینی و الگوریتم‌های یادگیری عمیق همان چیزی است که برای پیشی گرفتن از حملات جدید و مقابله با تهدیدات آتی به آن نیاز داریم.

 

Ahmed Rubaie مدیرعامل Anomali

مهاجمان همواره در تلاش برای ایجاد اختلال در کسب‌وکارها، دسترسی به اطلاعات آنها و ارتکاب اعمال مجرمانه هستند. آشنایی با انگیزه‌های نفوذگران، تنها بخشی از این نبرد بی پایان است. راهکارهای کارآمد تشخیص حمله باید چندین قابلیت مهم داشته باشند که بعضی از آنها شامل موارد زیر هستند:

قابلیت نظارت: داشتن تصویری جامع از عملکرد مهاجمانی که در حوزه های مختلف فعالیت می‌کنند، بسیار ضروری است. راهکارهای امنیتی باید دریچه ای به دنیای وب تاریک و وب عمیق، تهدیدات مانای پیشرفته (APT) و حملات آسان تری که توسط مهاجمان و با استفاده از فیشینگ و سایر تکنیک‌های ساده اجرا می‌شوند، باز کنند.

تشخیص: از آنجا که سرعت و دقت جزو مهمترین عوامل برای کاهش هزینه‌های نفوذ و حمله هستند، آگاهی سریع از وقوع یک حمله آن هم در همان لحظات آغازین اهمیت بسیار زیادی دارد.

ادغام: فرض کنید دقیق‌ترین راهکار تشخیص حمله را در اختیار دارید اما هیچ ابزاری برای واکنش نشان دادن به آن ندارید. سازمان‌ها به طور میانگین 45 راهکار امنیتی دارند که شامل فایروال، درگاه‌های امنیت ایمیل و غیره هستند. قابلیت ادغام با فناوری‌های موجود به شما امکان می‌دهد واکنش به حملات را خودکارسازی نموده و احتمال نفوذ مهاجمان را کاهش دهید.

تشخیص و واکنش توسعه یافته: شاید تصور کنید ویژگی‌های تشخیص و واکنش توسعه یافته چندان مهم نیستند. باید توجه داشته باشید که این پدیده منجر به شکل‌گیری عصر جدیدی در زمینه تشخیص و واکنش به تهدید شده است. بنابراین هر فناوری که برای آن سرمایه‌گذاری می‌کنید بایستی این روند را به رسمیت شناخته و از آن پیروی کند.

 

Tom Van de Wiele، مشاور ارشد امنیتی F-Secure

فرایند انتخاب راهکار تشخیص حمله برای همه سازمان‌ها مشابه نیست و نیاز به کسب دانش درباره عملیات کسب‌وکار سازمان مربوطه، وابستگی‌های آن، نقشه راه فنی سازمان، دارایی های ارزشمند نیازمند حفاظت آن و همچنین دشمنان احتمالی اش دارد. هر چقدر کسب‌وکارتان و نیازهای آن را بهتر بشناسید برای انتخاب و پیاده‌سازی سرویس تشخیص حمله تصمیمات آگاهانه‌تری خواهید گرفت. شما باید بدانید که حملات چگونه و در چه بخش‌هایی رخ می‌دهند و اینکه موفق شدن مهاجمان چه تأثیری بر کسب‌وکارتان دارد.

شما همچنین باید تعیین نمایید کدام کارها در خود سازمان قابل انجام هستند و تهیه فناوری‌های لازم، ایجاد زیرساخت های مناسب و اجرای طرح‌های آموزشی نسبت به انتخاب یک سرویس مدیریت شده یا همکاری راهبردی با یک شرکت دیگر چه مزایا و معایبی را برایتان به ارمغان خواهد آورد. شرکت های ارایه دهنده سرویس‌های تشخیص حمله، ضمن برخورداری از کارشناسان خبره، زیرساخت‌ها و فناوری‌هایی را در اختیار دارند که ممکن است خرید آنها برای سایر سازمان‌ها مقرون به صرفه نباشد.

انتخاب چنین سرویسی تنها بخشی از معادله است و به تنهایی باعث واکنش بهتر به حملات نمی‌شود. موفقیت نهایی بستگی به این موضوع دارد که راهکار شرکت منتخب شما چگونه در فرایندهای فعلی‌تان ادغام می‌شود. چنین مسأله ای نیازمند اختصاص زمان و آموزش مداوم است. این اقدام به همراه برگزاری مانورهای مدیریت بحران می‌تواند به موفقیت شما جهت مقاومت در برابر حملات واقعی و همچنین واکنش به موقع کمک کرده و پیامد و آسیب حملات سایبری را به شدت محدود کند.

 

[1] Intrusion Detection System

[2]Intrusion Prevention System

[3] Security Orchestration, Automation and Response

[4] Security Information and Event Management

[5] Enterprise Strategy Group

[6] Extended Detection & Response