مقالات امنیت سایبری

آیا سازمان شما هم به خودکارسازی فرایندهای امنیتی نیاز دارد؟

در خردادماه 1396 یک حمله بدافزاری بر ضد شرکت Møller-Maersk که بزرگترین شرکت خوشه‌ای حمل‌ونقل در سطح جهان محسوب می شود باعث توقف تمام فعالیت های کسب و کاری آن شد. بر اثر این فاجعه که از آن به عنوان یکی از ویرانگرترین حملات سایبری تاریخ نیز یاد می‌شود صفحه نمایش همه رایانه‌های این شرکت بزرگ، یکی پس از دیگری به رنگ سیاه درآمده و اطلاعات موجود در آنها از دسترس کاربران خارج شد!

کل اطلاعات دیجیتالی این شرکت مطرح بین المللی در عرض چشم بر هم زدنی رمز شد. متأسفانه در آن زمان هیچ سازوکار دفاعی که قادر به مقابله با چنین حمله‌ای باشد وجود نداشت. واقعیت تلخ و غیرقابل باور این بود که حمله NotPetya بر ضد شرکت Møller-Maersk با هزینه‌ای بین 250 تا 300 میلیون دلار، کاملاً به صورت خودکار انجام شده بود.

خودکارسازی عملیات های امنیتی: مزایا و بازگشت سرمایه

هنگامی که مخاطره ای داده‌ها و اطلاعات شما را در معرض تهدید قرار دهد، سرعت عمل از اهمیت بسیار ویژه‌ای برخوردار است. در چنین شرایطی به ویژه زمانی که بحث اطلاعات مالی یا خصوصی زیادی مطرح باشد حتی چند دقیقه جلوتر بودن هم می‌تواند کمک زیادی در مقابله به موقع با تهدیدات امنیتی و جلوگیری از وقوع فاجعه داشته باشد. باید توجه داشت که جذب نیروی حرفه‌ای در زمینه امنیت سایبری هزینه کمی ندارد. وقتی به طور میانگین، سازمان‌های بزرگ آمریکایی روزانه با حداقل 10 هزار هشدار امنیتی مواجه می‌شوند، پس چندان دور از انتظار نیست اگر هزینه‌های مربوط به عملیات امنیتی نیز افزایش یابد.

خودکارسازی فرایندها می تواند سرعت تیم امنیتی شما را به صورت قابل ملاحظه‌ای افزایش داده و میانگین زمان واکنش به تهدید را از 30 دقیقه به 5 دقیقه کاهش دهد. این کار همچنین باعث صرفه‌جویی در بیش از 80 درصد از زمان شما نیز می‌شود. البته ارزش ایجاد شده توسط خودکارسازی فقط مربوط به کاهش ساعت‌های کاری یا افزایش کارایی برای مقابله با آسیب (که می‌تواند صدها میلیون‌ها تومان ارزش داشته باشد) نیست. رو به رو شدن با حجم بی‌شماری از رویدادهای امنیتی در هر روز موجب می‌شود تیم‌های عملیات امنیتی به خستگی ناشی از بررسی این هشدارها دچار شوند. این موضوع می تواند قابلیت کارمندان شما را برای مقابله با تهدیدات امنیتی به شدت کاهش دهد. خودکارسازی منجر به افزایش دقت کارکنان، به صورت قابل ملاحظه‌ای شده و به آنها برای کار کردن با منابع بیشتر کمک به سزایی می‌کند.

بعضی از اقدام های پیچیده‌ای که توسط تحلیلگران امنیتی به صورت دستی انجام می‌شوند، شامل موارد زیر هستند:

  • بررسی دستی اخطار‌های امنیتی که باید بر همه شواهد موجود در آنها به صورت دقیق نظارت کرد.
  • ارسال اعلان‌های بی‌شمار به کاربرانی که در معرض آسیب‌پذیری‌های امنیتی قرار دارند.
  • اولویت‌بندی هشدارهای امنیتی، زمانی که حجم روزانه آنها به شدت افزایش یابد.
  • نصب پی‌درپی و پیکربندی ابزارهای جدید که موجب ایجاد سربار عملیاتی برای سازمان می‌شوند.
  • کار کردن با سازوکارهای امنیتی پیچیده که امکان برقراری ارتباط ابزارها با یکدیگر را فراهم می‌کنند.

هماهنگ‌سازی، خودکارسازی و واکنش امنیتی خودکار (SOAR[1])

مؤسسه Ponemon به این نتیجه رسیده که حدود 70 درصد از سازمان‌های آمریکایی آمادگی‌ لازم را برای واکنش دفاعی کارآمد و مناسب به حملات سایبری ندارند. یکی از راهکارهای امنیتی پیشرفته، بهره گیری از رویکرد SOAR می باشد که از ابزارهای اصولی و سازگار با یکدیگر تشکیل شده است.‌ این راهکار، داده‌های امنیتی را از منابع مختلف جمع آوری کرده، آنها را مرتب نموده و واکنش به آنها را بدون نیاز به کمک نیروهای انسانی خودکارسازی می‌کند.

بنا بر اعلام مؤسسه گارتنر چنین پیش‌بینی می‌شود که ارزش بازار SOAR از 275 میلیون دلار در سال 2018 به 553 میلیون دلار در سال 2023 میلادی برسد که این رقم، نرخ رشد مرکب سالانه 14.9 درصدی را نشان می‌دهد. ابزارهای هماهنگ‌سازی امنیتی می‌توانند با به کار بردن ترکیبی بسیار کارآمد از انسان و قدرت ماشین، بهره‌وری فعالیت‌های شما را برای واکنش مناسب به رخدادها افزایش داده و از بار کاری متخصصان عملیات امنیتی به شدت بکاهند. بنابراین این ابزارها موجب صرفه‌جویی در زمان متخصصان امنیتی شما خواهند شد. در چشم‌انداز کنونی تهدیدات سایبری دیگر زمانی برای صرف وقت ارزشمند نیروهای امنیتی تیم شما برای انجام کارهای دستی تکراری یا هشدارهای کاذب وجود ندارد.

استفاده از عملیات امنیتی خودکار، به ساده کردن کارهای زیر کمک می‌کند:

  • جمع‌آوری و متمرکزسازی داده‌های تهدید
  • ارسال داده‌ها به پلتفرم‌های هوش تهدید
  • هماهنگ‌سازی داده‌ها بر روی پلتفرم‌های مختلف
  • ارسال پیوست‌ها به پلتفرم‌های سندباکس جهت بازبینی آنها
  • اطلاع‌رسانی بلادرنگ به کاربرانی که در معرض آسیب‌پذیری قرار دارند.
  • قرنطینه کردن دستگاه‌های آلوده.

ایجاد یک محیط امنیتی یکپارچه و 360 درجه

اگرچه وجود SOAR و راهکارهای مدیریت لاگ (همچون SIEM) ضروری است اما این ابزارها حکم نوک یک کوه یخ را دارند. این ابزارها قطعاً به خودکارسازی اقدامات امنیتی تکراری کمک می‌کنند ولی این کار مثل خرید یک لامبورگینی برای رفتن از محل کار به منزل است در حالی که می‌توان کارهای خیلی بیشتری با آن انجام داد. اگر تمام این ابزارها را با یکدیگر ادغام کنید حتی می‌توانید کارهای بسیار بیشتری نیز انجام دهید.

سازمان‌هایی که تیم‌های امنیتی بزرگی برای بررسی رویدادهای امنیتی دارند در جریان هستند که ابزار هماهنگ‌سازی فقط یکی از سلاح‌های مورد نیاز برای مقابله با انواع بدافزارها و نرم‌افزارهای مخرب است. اگر شما نتوانید همه داده‌های به دست آمده از منابع مختلف را با هم ترکیب و ادغام کنید، هیچ نرم‌افزاری قادر نیست مقاومت لازم را در برابر تهدیدات امنیتی فاجعه بار ایجاد کند. از این رو شما باید همه سلاح‌هایتان را با یکدیگر ادغام نموده و محیط امنیتی یکپارچه 360 درجه[2] غیرقابل نفوذی را بسازید.

کاربردهای رایج خودکارسازی امنیت

از مهمترین کاربردهای خودکارسازی فرایندهای امنیتی می توان به موارد زیر اشاره کرد:

  • تحلیل هوشمند بدافزار
  • متوقف کردن حملات اجرا شده بر روی نقاط انتهایی
  • جلوگیری از حملات فیشینگ
  • مدیریت مجوزهای SSL
  • تشخیص ورودهای مشکوک (مثلاً چندین بار تلاش ناموفق برای ورود، استفاده از دستگاه‌های ناشناس و غیرمرسوم و همچنین ورود از موقعیت‌های جغرافیایی دوردست)
  • شکار نشانه‌های نفوذ
  • مدیریت آسیب‌پذیری ها.

ادغام ابزارهای مدیریت لاگ با امنیت خودکار

وجود ابزارهای مدیریت لاگ برای رسیدگی کارآمد و مؤثر به انبوه داده‌های خام لاگ که پایه و اساس SOAR را تشکیل می‌دهند، امری ضروری است. امروزه ادغام مدیریت لاگ در یک پلتفرم SOAR به راحتی قابل انجام می‌باشد. در ادامه به این موضوع می‌پردازیم که ثبت لاگ به صورت متمرکز چگونه با افزایش بهره‌وری و کارایی عملیاتی، به ارتقای بهره‌وری سیستم امنیتی خودکار کمک می‌کند.

ارتقای عمق تشخیص و تحلیل تهدیدات

کار ابزار جمع‌آوری لاگ، دریافت و پردازش لاگ‌ها برای تبدیل آنها به قالبی استاندارد است که شامل اطلاعاتی همچون اطلاعات مبدأ/مقصد و اطلاعات کاربر غنی شده با هوش تهدید، لیست دارایی‌ها، موقعیت جغرافیایی و سایر اطلاعات مفید می باشد. پس از تحلیل تمامی این اطلاعات، موتور ارتباط‌دهی فعال می‌شود تا در صورت نیاز بتواند هشدارهای لازم را ایجاد کرده و به افراد مجاز ارسال نماید. این موضوع، نقطه شروع ادغام است.

راهکار SOAR، به صورت منظم هشدارها را بررسی می‌کند تا هشدارهای جدید با پارامترهای مشخص (مثل نام، میزان جدی بودن و غیره) را استخراج نموده و سپس جریان کار را آغاز نماید. وقتی این جریان کاری آغاز شود می‌توان از ابزار تولید لاگ کوئری گرفته تا لاگ‌های جدیدی با جزئیات بیشتر برای بررسی خودکار تولید شوند.

ابزار مدیریت لاگ را می‌توان به‌ گونه‌ای تنظیم کرد که همه داده‌های جمع‌آوری شده از محیط سازمان را در یک محدوده متمرکز قرار دهد. SOAR نیز بر اساس دستور کار از پیش مشخص شده اجرا شده و همه مراحل لازم برای بستن اخطار را طی می‌کند. پس از انجام این کار، یک تحلیلگر هشدارهای موجود در پلتفرم SOAR را مشاهده کرده، یک فیلد از هشدار را در نظر گرفته (نام کاربری، آی‌پی یا نام میزبان) و از مدیر لاگ برای تحقیق بیشتر درباره کاربر مدنظر و کارهای انجام شده توسط وی کمک می‌گیرد.

دسترسی به اطلاعات بیشتر باعث می‌شود متخصصان امنیت اطلاعات تصویر واضح‌تری از تهدیدات واقعی را در اختیار داشته باشند. هر چقدر اطلاعات آنها بیشتر باشد احتمال موفقیت‌شان برای شناسایی افراد مخرب، درک رفتار آنها، تحلیل دلایل ریشه ای، ایجاد رویکردهای دفاعی برای مقابله و کاهش مخاطره و شناسایی آسیب‌پذیری‌ها بیشتر می‌شود.

 

مشخص کردن چارچوب خطر برای جلوگیری از مسدود شدن ارتباطات مجاز

مسدود کردن خودکار به غیر از صرفه‌جویی در وقت تحلیلگران، مزایای دیگری هم دارد. دسترسی به هوش تهدید مناسب و صحیح به شما برای شناسایی ورودی‌های انجام شده از طریق دستگاه‌ها یا مکان‌های غیرعادی و مقابله با تلاش مهاجمان برای دسترسی به دارایی‌ها، سیستم‌ها و شبکه‌تان کمک می‌کند.

با این حال، بسیاری از فعالان این حوزه نگران آن هستند که ممکن است واکنش خودکار به تهدید موجب مسدود شدن ترافیک مجاز شود. راهکار این مسأله، تنظیم محدوده مسدودسازی خودکار است. شما با جمع‌آوری همه لاگ‌ها می‌توانید قوانین چندلایه‌ای تعریف کرده تا بتوانید تهدیدات را بهتر تشخیص دهید. همچنین می‌توانید قوانینی تعریف نمایید که مشخص کنند برای ارسال هشدار، چه رویدادهایی باید رخ داده و به هم ارتباط داده شوند تا تلاشی ساده از سمت یک کاربر مجاز، هیچ وقت مسدود نشود.

موتور ارتباط‌دهی لاگ می‌تواند به جای ارسال رویداد در یک زمان، هشدارهای آگاهانه‌تری ایجاد کرده، تعداد تشخیص‌های مثبت کاذب را کاهش داده و تنها زمانی که هشداری با اولویت بالا به وقوع بپیوندد، درخواست تحقیق و بررسی بیشتر را ارسال کند.

ادغام هوش تهدید

راهکارهای هماهنگ‌سازی و امنیت خودکار تنها هنگامی کارآمد هستند که متکی بر مجموعه قوانین درستی باشند. برای اینکه به یک سیستم اعلام کنیم چه کاری باید انجام دهد، نیاز به استفاده از فیدهای هوش تهدید وجود دارد. هر چه این اطلاعات جامع‌تر و قابل اعتمادتر باشند، فرایند واکنش خودکار نیز کارایی بیشتری خواهد داشت. دسترسی به هوش تهدید مناسب برای به حداقل رساندن احتمال ورود به مسیر نادرست و هشدار کاذب ضروری است.

مدیریت کارآمد لاگ باعث می‌شود یک SOAR یا SIEM، منابع‌تان را با تولید هشدار درباره رویدادهای بی‌ضرر هدر ندهد. همچنین با استفاده از روش‌های مختلف می توانید لاگ‌های وارد شده به سیستم مدیریت لاگ را غنی‌سازی نموده و سپس آنها را در فیدهای هوش تهدید ادغام کنید. مثلاً به این فایل‌ها می‌توان برچسب جغرافیایی داد تا پلتفرم SOAR توانایی تشخیص سریع رویدادهای مربوط به ورود به سیستم از کشوری متفاوت را داشته باشد. این ابزار تولید لاگ را می‌توان به فیدهای هوش تهدید مختلف متصل نمود. بنابراین داده‌های بیشتری در این لاگ‌ها جمع آوری شده و امکان تصمیم‌گیری بهتر در سیستم SOAR فراهم خواهد شد.

نمونه‌هایی از ادغام SOAR و ابزار مدیریت لاگ

  1. تشخیص یک آدرس آی‌پی مخرب از طریق هوش تهدید، به نحوی که این آدرس به صورت خودکار به فهرست مسدودی‌های فایروال اضافه شود.
  2. تشخیص حمله جستجوی فراگیر، پس از یک رویداد ایجاد حساب کاربری. در صورت شناسایی تهدید، حساب کاربری مورد نظر تا زمانی که مدیر سیستم شرایط را بررسی کند، غیرفعال می شود.
  3. تشخیص بدافزارهای شناخته شده از طریق الگوریتم هش MD5 و همچنین ایزوله سازی و خارج کردن میزبان از شبکه.

 

خودکارسازی امنیت یک ضرورت است، نه یک ابزار کمکی

حملات باج افزاری NotPetya این درس مهم را به ما داد تا زمانی که روش ادغام خودکارسازی را در راهکارهای امنیتی سازمانی یاد نگیریم نمی‌توانیم با سرعت چشم‌انداز تهدیدات همگام شویم. وقتی امکان آلودگی یک سیستم، جمع‌آوری اعتبارنامه‌های دیجیتال، حرکت عرضی در شبکه و به خطر انداختن امن‌ترین سازمان‌ها وجود دارد پس برای مقابله با این تهدیدات خودکار هم باید از ابزارها و روش‌های خودکار استفاده نمود.

[1] Security Orchestration, Automation and Response

[2] محیطی که در آن همه بخش‌ها بررسی شده و تحت نظارت قرار دارند.

 

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0