Cybereason راهکار DFIR را برای خودکارسازی پاسخ حادثه ایجاد می‌کند

شرکت Cybereason ارایه دهنده راهکارهای حفاظت از نقاط پایانی، یک راهکار جدید واکنش به حادثه یا IR (به انگلیسی: Incident Response) جهت کمک به هموارسازی و اتوماسیون تحقیقات IR ارایه کرده است. این ابزار تحت عنوان واکنش به حوادث جرم‌شناسی دیجیتال، از داده‌های مختلف جرم‌شناسی برای شکار تهدید استفاده نموده و به تحلیلگران امکان می‌دهد ظرف مدت چند دقیقه با تهدیدات امنیتی موجود مقابله و آنها را خنثی کنند. البته به تازگی براساس تحقیقات جدید، زمان مخفی ماندن حملات در سطح جهان در اثر ارتقای قابلیت‌های تشخیص و واکنش به حادثه توسط شرکت‌ها، کاهش یافته است.

راهکار Cybereason DFIR برای ایجاد اطلاعاتی ارزشمندتر از داده‌های جرم‌شناسی دیجیتال استفاده می‌کند

بنا به گفته شرکت Cybereason: «این ابزار جدید، امکان واکنش به حادثه بر اساس داده‌های جرم‌شناسی یا DFIR (به انگلیسی: forensic-driven incident response) را فراهم نموده و در نتیجه ارزش بیشتری برای مدافعان سایبری دارد». با ادغام موتور تشخیص MalOp این شرکت و اطلاعات به دست آمده از DFIR، تحلیلگران امنیت سایبری می‌توانند علت ریشه‌ای حوادث تأثیرگذار بر روی همه تجهیزات را از طریق یک نقطه مرکزی شناسایی کنند. بنابراین تیم‌های سایبری به سرعت منابع هوش تهدید را تحت نظر گرفته و در اسرع وقت تصمیمات لازم برای مقابله با مخاطرات را اتخاد می‌کنند».

Cybereason اعلام کرده که این راهکار شامل تحلیل داده‌های جرم‌شناسی، جستجوی زنده فایل‌ها و قابلیت‌های استقرار ابزارهای IR است. بنا به گفته Yonatan Striem-Amit بنیانگذار و مدیر ارشد فناوری Cybereason: «راهکار DFIR منجر به ارتقای عملکرد پلتفرم Cybereason XDR می‌شود و پیش از ایجاد آسیب‌های جدی توسط مهاجمان و در اثر وقوع حملات سایبری پیچیده، به تیم‌های تحلیلگر امنیتی برای تشخیص، شناسایی، تحلیل و واکنش به این حملات کمک می‌کند.  همچنین در صورت نیاز یک تحلیل و بررسی کامل از حوادث امنیتی انجام می‌دهد».

قابلیت‌هایی که به ارتقای عملکرد حوزه واکنش به حوادث کمک می‌کنند

قابلیت‌های جدید در DFIR با هدف ارتقای عملکرد حوزه تشخیص و واکنش به تهدید به این فناوری اضافه شده‌اند. برای مثال براساس گزارش M-Trends 2022 از Mandiant: «میانگین زمان مخفی شدن مهاجمان در محیط هدف، از 24 روز در سال 2020 به 21 روز در سال 2021 کاهش یافته است». کسب‌وکارها با بکارگیری DFIR به تعدادی قابلیت طراحی شده برای روان‌تر شدن فرایند IR دسترسی خواهند داشت. این قابلیت‌ها عبارتند از:

• تحلیلگر می‌تواند به صورت مستقیم اقدامات طراحی شده‌ای را از صفحه تحقیق و بررسی انتخاب کند.
• فرمان‌هایی که امکان اجرای مستقیم آنها بر روی میزبان‌ها با استفاده از پوسته Remote و واکنش بلادرنگ وجود دارد.
• دنبال کردن مسیر حمله برای تشخیص و تحلیل تاکتیک‌ها، تکنیک‌ها و روش‌های مهاجمان.
• جمع‌آوری فایل جهت بررسی فایل‌های مرتبط و داده‌های جرم شناسی.
• اتوماسیون بیشتر جنبه‌های تحقیق درباره حادثه و به روزرسانی قابلیت‌های تحلیلگران سطح 1 و 2 برای اجرای اقدامات جرم شناسی پیچیده.
• پشتیبانی از سمت تیم Cybereason در زمینه تحقیقات بازیابی از رخنه، بررسی‌های جرم‌شناسی و تحلیل عمیق.

منبع: csoonline