آیا سازمان شما هم به خودکارسازی فرایندهای امنیتی نیاز دارد؟
در خردادماه 1396 یک حمله بدافزاری بر ضد شرکت Møller-Maersk که بزرگترین شرکت خوشهای حملونقل در سطح جهان محسوب می شود باعث توقف تمام فعالیت های کسب و کاری آن شد. بر اثر این فاجعه که از آن به عنوان یکی از ویرانگرترین حملات سایبری تاریخ نیز یاد میشود صفحه نمایش همه رایانههای این شرکت بزرگ، یکی پس از دیگری به رنگ سیاه درآمده و اطلاعات موجود در آنها از دسترس کاربران خارج شد!
کل اطلاعات دیجیتالی این شرکت مطرح بین المللی در عرض چشم بر هم زدنی رمز شد. متأسفانه در آن زمان هیچ سازوکار دفاعی که قادر به مقابله با چنین حملهای باشد وجود نداشت. واقعیت تلخ و غیرقابل باور این بود که حمله NotPetya بر ضد شرکت Møller-Maersk با هزینهای بین 250 تا 300 میلیون دلار، کاملاً به صورت خودکار انجام شده بود.
خودکارسازی عملیات های امنیتی: مزایا و بازگشت سرمایه
هنگامی که مخاطره ای دادهها و اطلاعات شما را در معرض تهدید قرار دهد، سرعت عمل از اهمیت بسیار ویژهای برخوردار است. در چنین شرایطی به ویژه زمانی که بحث اطلاعات مالی یا خصوصی زیادی مطرح باشد حتی چند دقیقه جلوتر بودن هم میتواند کمک زیادی در مقابله به موقع با تهدیدات امنیتی و جلوگیری از وقوع فاجعه داشته باشد. باید توجه داشت که جذب نیروی حرفهای در زمینه امنیت سایبری هزینه کمی ندارد. وقتی به طور میانگین، سازمانهای بزرگ آمریکایی روزانه با حداقل 10 هزار هشدار امنیتی مواجه میشوند، پس چندان دور از انتظار نیست اگر هزینههای مربوط به عملیات امنیتی نیز افزایش یابد.
خودکارسازی فرایندها می تواند سرعت تیم امنیتی شما را به صورت قابل ملاحظهای افزایش داده و میانگین زمان واکنش به تهدید را از 30 دقیقه به 5 دقیقه کاهش دهد. این کار همچنین باعث صرفهجویی در بیش از 80 درصد از زمان شما نیز میشود. البته ارزش ایجاد شده توسط خودکارسازی فقط مربوط به کاهش ساعتهای کاری یا افزایش کارایی برای مقابله با آسیب (که میتواند صدها میلیونها تومان ارزش داشته باشد) نیست. رو به رو شدن با حجم بیشماری از رویدادهای امنیتی در هر روز موجب میشود تیمهای عملیات امنیتی به خستگی ناشی از بررسی این هشدارها دچار شوند. این موضوع می تواند قابلیت کارمندان شما را برای مقابله با تهدیدات امنیتی به شدت کاهش دهد. خودکارسازی منجر به افزایش دقت کارکنان، به صورت قابل ملاحظهای شده و به آنها برای کار کردن با منابع بیشتر کمک به سزایی میکند.
بعضی از اقدام های پیچیدهای که توسط تحلیلگران امنیتی به صورت دستی انجام میشوند، شامل موارد زیر هستند:
- بررسی دستی اخطارهای امنیتی که باید بر همه شواهد موجود در آنها به صورت دقیق نظارت کرد.
- ارسال اعلانهای بیشمار به کاربرانی که در معرض آسیبپذیریهای امنیتی قرار دارند.
- اولویتبندی هشدارهای امنیتی، زمانی که حجم روزانه آنها به شدت افزایش یابد.
- نصب پیدرپی و پیکربندی ابزارهای جدید که موجب ایجاد سربار عملیاتی برای سازمان میشوند.
- کار کردن با سازوکارهای امنیتی پیچیده که امکان برقراری ارتباط ابزارها با یکدیگر را فراهم میکنند.
هماهنگسازی، خودکارسازی و واکنش امنیتی خودکار (SOAR[1])
مؤسسه Ponemon به این نتیجه رسیده که حدود 70 درصد از سازمانهای آمریکایی آمادگی لازم را برای واکنش دفاعی کارآمد و مناسب به حملات سایبری ندارند. یکی از راهکارهای امنیتی پیشرفته، بهره گیری از رویکرد SOAR می باشد که از ابزارهای اصولی و سازگار با یکدیگر تشکیل شده است. این راهکار، دادههای امنیتی را از منابع مختلف جمع آوری کرده، آنها را مرتب نموده و واکنش به آنها را بدون نیاز به کمک نیروهای انسانی خودکارسازی میکند.
بنا بر اعلام مؤسسه گارتنر چنین پیشبینی میشود که ارزش بازار SOAR از 275 میلیون دلار در سال 2018 به 553 میلیون دلار در سال 2023 میلادی برسد که این رقم، نرخ رشد مرکب سالانه 14.9 درصدی را نشان میدهد. ابزارهای هماهنگسازی امنیتی میتوانند با به کار بردن ترکیبی بسیار کارآمد از انسان و قدرت ماشین، بهرهوری فعالیتهای شما را برای واکنش مناسب به رخدادها افزایش داده و از بار کاری متخصصان عملیات امنیتی به شدت بکاهند. بنابراین این ابزارها موجب صرفهجویی در زمان متخصصان امنیتی شما خواهند شد. در چشمانداز کنونی تهدیدات سایبری دیگر زمانی برای صرف وقت ارزشمند نیروهای امنیتی تیم شما برای انجام کارهای دستی تکراری یا هشدارهای کاذب وجود ندارد.
استفاده از عملیات امنیتی خودکار، به ساده کردن کارهای زیر کمک میکند:
- جمعآوری و متمرکزسازی دادههای تهدید
- ارسال دادهها به پلتفرمهای هوش تهدید
- هماهنگسازی دادهها بر روی پلتفرمهای مختلف
- ارسال پیوستها به پلتفرمهای سندباکس جهت بازبینی آنها
- اطلاعرسانی بلادرنگ به کاربرانی که در معرض آسیبپذیری قرار دارند.
- قرنطینه کردن دستگاههای آلوده.
ایجاد یک محیط امنیتی یکپارچه و 360 درجه
اگرچه وجود SOAR و راهکارهای مدیریت لاگ (همچون SIEM) ضروری است اما این ابزارها حکم نوک یک کوه یخ را دارند. این ابزارها قطعاً به خودکارسازی اقدامات امنیتی تکراری کمک میکنند ولی این کار مثل خرید یک لامبورگینی برای رفتن از محل کار به منزل است در حالی که میتوان کارهای خیلی بیشتری با آن انجام داد. اگر تمام این ابزارها را با یکدیگر ادغام کنید حتی میتوانید کارهای بسیار بیشتری نیز انجام دهید.
سازمانهایی که تیمهای امنیتی بزرگی برای بررسی رویدادهای امنیتی دارند در جریان هستند که ابزار هماهنگسازی فقط یکی از سلاحهای مورد نیاز برای مقابله با انواع بدافزارها و نرمافزارهای مخرب است. اگر شما نتوانید همه دادههای به دست آمده از منابع مختلف را با هم ترکیب و ادغام کنید، هیچ نرمافزاری قادر نیست مقاومت لازم را در برابر تهدیدات امنیتی فاجعه بار ایجاد کند. از این رو شما باید همه سلاحهایتان را با یکدیگر ادغام نموده و محیط امنیتی یکپارچه 360 درجه[2] غیرقابل نفوذی را بسازید.
کاربردهای رایج خودکارسازی امنیت
از مهمترین کاربردهای خودکارسازی فرایندهای امنیتی می توان به موارد زیر اشاره کرد:
- تحلیل هوشمند بدافزار
- متوقف کردن حملات اجرا شده بر روی نقاط انتهایی
- جلوگیری از حملات فیشینگ
- مدیریت مجوزهای SSL
- تشخیص ورودهای مشکوک (مثلاً چندین بار تلاش ناموفق برای ورود، استفاده از دستگاههای ناشناس و غیرمرسوم و همچنین ورود از موقعیتهای جغرافیایی دوردست)
- شکار نشانههای نفوذ
- مدیریت آسیبپذیری ها.
ادغام ابزارهای مدیریت لاگ با امنیت خودکار
وجود ابزارهای مدیریت لاگ برای رسیدگی کارآمد و مؤثر به انبوه دادههای خام لاگ که پایه و اساس SOAR را تشکیل میدهند، امری ضروری است. امروزه ادغام مدیریت لاگ در یک پلتفرم SOAR به راحتی قابل انجام میباشد. در ادامه به این موضوع میپردازیم که ثبت لاگ به صورت متمرکز چگونه با افزایش بهرهوری و کارایی عملیاتی، به ارتقای بهرهوری سیستم امنیتی خودکار کمک میکند.
ارتقای عمق تشخیص و تحلیل تهدیدات
کار ابزار جمعآوری لاگ، دریافت و پردازش لاگها برای تبدیل آنها به قالبی استاندارد است که شامل اطلاعاتی همچون اطلاعات مبدأ/مقصد و اطلاعات کاربر غنی شده با هوش تهدید، لیست داراییها، موقعیت جغرافیایی و سایر اطلاعات مفید می باشد. پس از تحلیل تمامی این اطلاعات، موتور ارتباطدهی فعال میشود تا در صورت نیاز بتواند هشدارهای لازم را ایجاد کرده و به افراد مجاز ارسال نماید. این موضوع، نقطه شروع ادغام است.
راهکار SOAR، به صورت منظم هشدارها را بررسی میکند تا هشدارهای جدید با پارامترهای مشخص (مثل نام، میزان جدی بودن و غیره) را استخراج نموده و سپس جریان کار را آغاز نماید. وقتی این جریان کاری آغاز شود میتوان از ابزار تولید لاگ کوئری گرفته تا لاگهای جدیدی با جزئیات بیشتر برای بررسی خودکار تولید شوند.
ابزار مدیریت لاگ را میتوان به گونهای تنظیم کرد که همه دادههای جمعآوری شده از محیط سازمان را در یک محدوده متمرکز قرار دهد. SOAR نیز بر اساس دستور کار از پیش مشخص شده اجرا شده و همه مراحل لازم برای بستن اخطار را طی میکند. پس از انجام این کار، یک تحلیلگر هشدارهای موجود در پلتفرم SOAR را مشاهده کرده، یک فیلد از هشدار را در نظر گرفته (نام کاربری، آیپی یا نام میزبان) و از مدیر لاگ برای تحقیق بیشتر درباره کاربر مدنظر و کارهای انجام شده توسط وی کمک میگیرد.
دسترسی به اطلاعات بیشتر باعث میشود متخصصان امنیت اطلاعات تصویر واضحتری از تهدیدات واقعی را در اختیار داشته باشند. هر چقدر اطلاعات آنها بیشتر باشد احتمال موفقیتشان برای شناسایی افراد مخرب، درک رفتار آنها، تحلیل دلایل ریشه ای، ایجاد رویکردهای دفاعی برای مقابله و کاهش مخاطره و شناسایی آسیبپذیریها بیشتر میشود.
مشخص کردن چارچوب خطر برای جلوگیری از مسدود شدن ارتباطات مجاز
مسدود کردن خودکار به غیر از صرفهجویی در وقت تحلیلگران، مزایای دیگری هم دارد. دسترسی به هوش تهدید مناسب و صحیح به شما برای شناسایی ورودیهای انجام شده از طریق دستگاهها یا مکانهای غیرعادی و مقابله با تلاش مهاجمان برای دسترسی به داراییها، سیستمها و شبکهتان کمک میکند.
با این حال، بسیاری از فعالان این حوزه نگران آن هستند که ممکن است واکنش خودکار به تهدید موجب مسدود شدن ترافیک مجاز شود. راهکار این مسأله، تنظیم محدوده مسدودسازی خودکار است. شما با جمعآوری همه لاگها میتوانید قوانین چندلایهای تعریف کرده تا بتوانید تهدیدات را بهتر تشخیص دهید. همچنین میتوانید قوانینی تعریف نمایید که مشخص کنند برای ارسال هشدار، چه رویدادهایی باید رخ داده و به هم ارتباط داده شوند تا تلاشی ساده از سمت یک کاربر مجاز، هیچ وقت مسدود نشود.
موتور ارتباطدهی لاگ میتواند به جای ارسال رویداد در یک زمان، هشدارهای آگاهانهتری ایجاد کرده، تعداد تشخیصهای مثبت کاذب را کاهش داده و تنها زمانی که هشداری با اولویت بالا به وقوع بپیوندد، درخواست تحقیق و بررسی بیشتر را ارسال کند.
ادغام هوش تهدید
راهکارهای هماهنگسازی و امنیت خودکار تنها هنگامی کارآمد هستند که متکی بر مجموعه قوانین درستی باشند. برای اینکه به یک سیستم اعلام کنیم چه کاری باید انجام دهد، نیاز به استفاده از فیدهای هوش تهدید وجود دارد. هر چه این اطلاعات جامعتر و قابل اعتمادتر باشند، فرایند واکنش خودکار نیز کارایی بیشتری خواهد داشت. دسترسی به هوش تهدید مناسب برای به حداقل رساندن احتمال ورود به مسیر نادرست و هشدار کاذب ضروری است.
مدیریت کارآمد لاگ باعث میشود یک SOAR یا SIEM، منابعتان را با تولید هشدار درباره رویدادهای بیضرر هدر ندهد. همچنین با استفاده از روشهای مختلف می توانید لاگهای وارد شده به سیستم مدیریت لاگ را غنیسازی نموده و سپس آنها را در فیدهای هوش تهدید ادغام کنید. مثلاً به این فایلها میتوان برچسب جغرافیایی داد تا پلتفرم SOAR توانایی تشخیص سریع رویدادهای مربوط به ورود به سیستم از کشوری متفاوت را داشته باشد. این ابزار تولید لاگ را میتوان به فیدهای هوش تهدید مختلف متصل نمود. بنابراین دادههای بیشتری در این لاگها جمع آوری شده و امکان تصمیمگیری بهتر در سیستم SOAR فراهم خواهد شد.
نمونههایی از ادغام SOAR و ابزار مدیریت لاگ
- تشخیص یک آدرس آیپی مخرب از طریق هوش تهدید، به نحوی که این آدرس به صورت خودکار به فهرست مسدودیهای فایروال اضافه شود.
- تشخیص حمله جستجوی فراگیر، پس از یک رویداد ایجاد حساب کاربری. در صورت شناسایی تهدید، حساب کاربری مورد نظر تا زمانی که مدیر سیستم شرایط را بررسی کند، غیرفعال می شود.
- تشخیص بدافزارهای شناخته شده از طریق الگوریتم هش MD5 و همچنین ایزوله سازی و خارج کردن میزبان از شبکه.
خودکارسازی امنیت یک ضرورت است، نه یک ابزار کمکی
حملات باج افزاری NotPetya این درس مهم را به ما داد تا زمانی که روش ادغام خودکارسازی را در راهکارهای امنیتی سازمانی یاد نگیریم نمیتوانیم با سرعت چشمانداز تهدیدات همگام شویم. وقتی امکان آلودگی یک سیستم، جمعآوری اعتبارنامههای دیجیتال، حرکت عرضی در شبکه و به خطر انداختن امنترین سازمانها وجود دارد پس برای مقابله با این تهدیدات خودکار هم باید از ابزارها و روشهای خودکار استفاده نمود.
[1] Security Orchestration, Automation and Response
[2] محیطی که در آن همه بخشها بررسی شده و تحت نظارت قرار دارند.