روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ برای داشتن یک تحلیلگرِ امنیتی، به شخص خاص با مهارتهای درخور نیاز است. چنین فردی باید علاوه بر داشتن حس کنجکاوی به ریزهکاری و ظرایف توجهی زیادی داشته باشد، باهوش باشد و البته سختکوش و ساعی. همچنین باید به محض سر برآوردن حملات، از خود واکنشی سریع و بجا نشان دهد. چنین تحلیلگرانی تمام مهارت خود را در طول شیفتهای طولانی کاری خود میگذارند تا ضمن شناسایی مؤلفههای امنیتیای که میشود تا حدی مورد اغماض قرار داد روی مواردی که ارزش بررسی کردن دارد تحقیق و تحلیل بعمل آورند. این نیروها بسیار مهم و باارزشند اما در هر صورت باز هم با انسان سر و کار داریم و خوب همه میدانیم که انسان جایزالخطاست. در ادامه با ما همراه شوید تا 7 توصیه برای بهبود عملکرد مرکز عملیات امنیت ([1]SOC) خدمتتان ارائه دهیم.
موانع و تاکتیکهای امنیتی
چالشهایی که بر سر راه SOC یا همان مرکز عملیات امنیت وجود دارد یکی دو تا نیست: حجم حملات سایبری و فعالیتهای مبتنی بر شبکههای اینترنتیای که امروزه با آن مواجهیم، نظارت تمام هشدارهای امنیتی را محال کرده است. مراکز عملیات امنیت در واقع فقط اندازهای وقت دارند که بتوانند چند عامل محدود هشدار را لحاظ کنند. همین باعث میشود برخی رخدادها از زیر دست تحلیلگران دررفته، مهاجمین بیهیچ نگرانیای جا خشک کنند و کلی هم در این میان مثبت کاذب بوجود بیاید. تازه نگوییم که چقدر از زمان و توجه تیم امنیتی نیز در این بین هدر میرود. این واقعیت، موضع امنیتی سازمان را به خطر میاندازد. یک شرکت معمولی برای شناسایی اینکه محیط آیتیِ آن دستکاری شده است به 197 روز زمان نیاز دارد. این تعداد روز را مؤسسهی Ponemon در مطالعهی هزینهی یک نقض اطلاعاتی در سال 2018 برآورد کرده است. هزینهی کل نظارت، بررسی و تعمیر یک نقض اطلاعاتی به طور متوسط 3.86 میلیون دلار و یا به ازای هر سابقهی گمشده یا به سرقترفته 148 دلار تخمین زده شده است. به طور کلی، هزینهی یک نقض به مدت زمانی که در شناساییاش تعلیق پیش میآید بستگی دارد. هر قدر نقض سریعتر شناسایی شده و تحت کنترل قرار گیرد، هزینهی کلی برای قربانی کمتر درخواهد آمد. رخدادهایی که در عرض 30 روز تماماً حل و فصل میشوند به طور متوسط 1 میلیون دلار هزینه خواهند داشت.
خلاصه بگوییم: سه مانع اصلی وجود دارد که نمیگذارد تحلیلگران امنیتی تصمیماتی در لحظه بگیرند:
- اطلاعات و دادههای بیش از حد برای پردازش
- معنی ناکافی- متوجه نمیشویم داده دارد به ما چه میگوید و فایلهای لاگ اغلب اطلاعات مفیدی در خود ندارند
- حافظهی ناکافی- ما اطلاعات دو ساعت پیش را به زور به خاطر داریم چه برسد به چند روز پیش، چند هفتهی پیش و یا چندین ماه پیش
- بگذارید دادهها برایتان کار کنند
آیا از تمام آن دادههایی که دارید جمع میکنید ارزش واقع بدست آوردهاید؟ اگر از این دادهها برای گرفتن تصمیماتی منطقی استفاده نمیکنید پس یعنی چنین اطلاعاتی علناً به هیچ دردتان نمیخورد. با نرمافزارهای عملیاتهای امنیتیِ امروزی، تحلیل خودکار میسر شده و همین میتواند به شما این فرصت را بدهد تا هر از چندگاهی به نحوهی استفاده از دادههای لاگ خود تغییراتی انقلابی دهید. آنچه مهم است چگونگیِ نظارت، بکارگیری و تحلیل این دادهها برای شناسایی فعالیت آلوده در محیط آیتی شماست.
- به جنبش کوچک دادهها بپیوندید
برخی تیمهای SecOps[2] از بیش از صد منبع اطلاعاتی، داده جمعآوری کرده و هر چیزی را از رویدادهای سیستم عامل اندپوینت گرفته تا لاگهای وضعیت روتر مورد نظارت قرار میدهند. اما بیش از 99.99 درصد این اطلاعات هیچگاه به کار نمیآیند. این میتواند به طور قابلملاحظهای هزینههای شما را بالا ببرد بدون آنگه ذرهای چشمانداز امنیتیتان ارتقا پیدا کرده باشد. متود بهتر، جمعآوریِ صرفِ چیزهایی است که بدانها نیاز دارید.
- مؤلفههای مرتبط را مورد سنجش قرار دهید
فرقی ندارد سازمان چقدر بزرگ است و کسب و کار مربوطه تا چه حدی روی فناوریهای امنیتی سرمایهگذاری کرده، بهر حال برخی حملات همیشه موفقیتآمیز انجام خواهد شد. رهبران امنیت اطلاعات اغلب معیارهایی درست میکنند که نشان میدهد مقابله با نقضهای امنیتی تا چه حد سخت است- که این در اصل هیچ ارتباط خاصی با اصل موضوع ندارد. و CISOها نیز اغلب برای توجیه بودجههای خود یکسری معیارهای تهدید وضع میکنند. در عوض، رهبران و مدیران میبایست سوالات نافذتری در خصوص ارزشی که از سرمایهگذاریهای خود در عملیاتهای امنیتی بدست میآورند بپرسند.
- آمادگی عوامل غیرمنتظره را داشته باشید
مجرمان سایبری سعی خواهند کرد آسیبپذیریهایی را مورد هدف قرار دهند که میدانند خطراتشان در ردیف پایین اهمیت قرار دارد. تعداد این آسیبپذیریها کم نیست و اغلب هم غیرمنتظره پیشامد میکنند. تقریباً محال است بتوان تمام حملاتی را که امکان فرود روی چنین آسیبپذیریهایی دارند پیشبینی کرد.
- به سازمانهای جفت[3] تکیه نکنید؛ در عوض، دفاعی فعالانه را در ذهن متصور شوید
رویهها و جریانات کاری که پیش از این کسب و کارهای ما را محافظت میکرد اکنون دیگر آنقدرها هم کارساز نیستند. بیشترِ تمهیدات و محکزنیها که رهبران کسب و کارهای دیگر انجام میدهند حول محور محافظتهایی معقول میچرخد. در عوض، باید نسبت به معنای دفاع از خود در جهان دیجیتال تجدید نظر کنیم. دفاع موفق شما را ملزم میکند به اتخاذ رویکردی فعال و مقدماتی در مقابل حملاتی که ناگزیر تجربهشان خواهید کرد.
- مدیریتِ صِرفِ شکستهای انسانی را کنار بگذارید
تحلیلگران و مدیران وقتی شکستهای عملیاتی خود را پنهان میکنند اتفاقاً دارند کار را برای خودشان سختتر نیز میکنند. در حقیقت آنها نمیگذارند آسیبپذیریهای شناختهشده عیان شود. در عوض، SOC باید محیطی باشد که در آن کارمندان بتوانند در مورد آنچه میتوانند پیدا کنند صادق باشند و از اخراج شدن واهمه نداشته باشند. ادغام اتوماسیون و نرمافزار تحلیل امنیت در SOCها که در آنها اغلب شاهد شکستهای انسانی هستیم میتواند به طور چشمگیری کارایی کلیِ عملیاتها را ارتقا دهد.
- زبان مهم است
این یک «ویروس» -انگل میکروسکوپی که با سرعتی بیسابقه نشر میشود- روی شبکهی اینترنتی شما نیست. اسمش را «بدافزار» -جسمی بیجان در محیط آیتی شما- هم نمیشود گذاشت. ما در واقع با یکسری مجرم انسان سر و کار داریم که دارند کاملاً تعمدی دست به اقداماتی آلوده از طریق کد مخرب میزنند. و خوب هدفشان هم کاملاً واضح است: آسیب زدن به کسب و کار شما. باید جدیت، حجم و منشأ انسانی تهدید را شناسایی کنیم.
حملات سایبری همچنان خواهند بود و جنگیدن با آنها نبردی خواهد بود ابدی. با این حال، با بکارگیری 7 مورد فوق میتوانید جریان کاری مؤثر و کارامدی را ایجاد کرده و از آن مهمتر اینکه به تحلیلگران خود انگیزه دهید تا فکر نکنید زیر تلهای از دادههای بیربط دارند مدفون میشوند.
[1] security operations center
[2] رویکردی مدیریتی که تیمهای امنیتی و عملیاتی را بهم متصل میکند.
[3] peer organizations
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.