شرکت Cybereason ارایه دهنده راهکارهای حفاظت از نقاط پایانی، یک راهکار جدید واکنش به حادثه یا IR (به انگلیسی: Incident Response) جهت کمک به هموارسازی و اتوماسیون تحقیقات IR ارایه کرده است. این ابزار تحت عنوان واکنش به حوادث جرمشناسی دیجیتال، از دادههای مختلف جرمشناسی برای شکار تهدید استفاده نموده و به تحلیلگران امکان میدهد ظرف مدت چند دقیقه با تهدیدات امنیتی موجود مقابله و آنها را خنثی کنند. البته به تازگی براساس تحقیقات جدید، زمان مخفی ماندن حملات در سطح جهان در اثر ارتقای قابلیتهای تشخیص و واکنش به حادثه توسط شرکتها، کاهش یافته است.
راهکار Cybereason DFIR برای ایجاد اطلاعاتی ارزشمندتر از دادههای جرمشناسی دیجیتال استفاده میکند
بنا به گفته شرکت Cybereason: «این ابزار جدید، امکان واکنش به حادثه بر اساس دادههای جرمشناسی یا DFIR (به انگلیسی: forensic-driven incident response) را فراهم نموده و در نتیجه ارزش بیشتری برای مدافعان سایبری دارد». با ادغام موتور تشخیص MalOp این شرکت و اطلاعات به دست آمده از DFIR، تحلیلگران امنیت سایبری میتوانند علت ریشهای حوادث تأثیرگذار بر روی همه تجهیزات را از طریق یک نقطه مرکزی شناسایی کنند. بنابراین تیمهای سایبری به سرعت منابع هوش تهدید را تحت نظر گرفته و در اسرع وقت تصمیمات لازم برای مقابله با مخاطرات را اتخاد میکنند».
Cybereason اعلام کرده که این راهکار شامل تحلیل دادههای جرمشناسی، جستجوی زنده فایلها و قابلیتهای استقرار ابزارهای IR است. بنا به گفته Yonatan Striem-Amit بنیانگذار و مدیر ارشد فناوری Cybereason: «راهکار DFIR منجر به ارتقای عملکرد پلتفرم Cybereason XDR میشود و پیش از ایجاد آسیبهای جدی توسط مهاجمان و در اثر وقوع حملات سایبری پیچیده، به تیمهای تحلیلگر امنیتی برای تشخیص، شناسایی، تحلیل و واکنش به این حملات کمک میکند. همچنین در صورت نیاز یک تحلیل و بررسی کامل از حوادث امنیتی انجام میدهد».
قابلیتهایی که به ارتقای عملکرد حوزه واکنش به حوادث کمک میکنند
قابلیتهای جدید در DFIR با هدف ارتقای عملکرد حوزه تشخیص و واکنش به تهدید به این فناوری اضافه شدهاند. برای مثال براساس گزارش M-Trends 2022 از Mandiant: «میانگین زمان مخفی شدن مهاجمان در محیط هدف، از 24 روز در سال 2020 به 21 روز در سال 2021 کاهش یافته است». کسبوکارها با بکارگیری DFIR به تعدادی قابلیت طراحی شده برای روانتر شدن فرایند IR دسترسی خواهند داشت. این قابلیتها عبارتند از:
- تحلیلگر میتواند به صورت مستقیم اقدامات طراحی شدهای را از صفحه تحقیق و بررسی انتخاب کند.
- فرمانهایی که امکان اجرای مستقیم آنها بر روی میزبانها با استفاده از پوسته Remote و واکنش بلادرنگ وجود دارد.
- دنبال کردن مسیر حمله برای تشخیص و تحلیل تاکتیکها، تکنیکها و روشهای مهاجمان.
- جمعآوری فایل جهت بررسی فایلهای مرتبط و دادههای جرم شناسی.
- اتوماسیون بیشتر جنبههای تحقیق درباره حادثه و به روزرسانی قابلیتهای تحلیلگران سطح 1 و 2 برای اجرای اقدامات جرم شناسی پیچیده.
- پشتیبانی از سمت تیم Cybereason در زمینه تحقیقات بازیابی از رخنه، بررسیهای جرمشناسی و تحلیل عمیق.
منبع: csoonline