روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سیستم‌های [1]SIEM ابتدا بعنوان ابزاری برای جمع‌آوری اطلاعات رخدادهای امنیتی داخل زیرساخت و تحلیل آن‌ها با استفاده از داده‌های خارجی در خصوص تهدیدهای سایبریِ شناخته‌شده طراحی شده بودند و تا مدت‌ها هم تنها کارشان همین بود. اما با تکامل و رشد هم تهدیدها و هم صنعت امنیت داده، فیدهای هوش تهدید بیشتر و بیشتری در بازار ظاهر شد. علاوه بر این، ساختارهای آن‌ها نیز به طور قابل‌ملاحظه‌ای در حال تغییر است. اکنون دیگر برای بسیاری از متخصصین آشکار شده که یک ابزار جدید که اجازه سرچ جریان‌های هوش تهدید را می‌دهد برای عملکرد مناسب  SIEMها امری است ضروری. در ادامه با ما همراه شوید تا توضیح دهیم چطور می‌شود حجم روی  SIEM را کاهش داد و از فیدهای هوش تهدید بیشترین بهره را برد.

چرا  SIEM به یک دستیار نیاز دارد؟

در نگاه اول شاید اینطور به نظر برسد که هر قدر داده‌های تهدید سایبری خارجی بیشتری برای اتصال شما به سیستم SIEMتان تغذیه‌تان می‌کند به طور مؤثرتری کار خود ار انجام می‌دهد اما در حقیقت چنین نیست. ابتدا اینکه هرقدر سیستمی شاخص‌های بیشتری را مدیریت کند هشدارهای بیشتری نیز تولید می‌کند. حتی اگر فرض کنیم حداقل تعداد مثبت کاذب نیز در کار است (زیرا هیچکس از دست آن‌ها در امان نیست) یک تحلیلگر نخواهد توانست با سرعت بالا میلیون‌ها نویتیفکیشن تکراری را جستجو کرده و مهم‌ترین‌ها را اولویت‌بندی کند. دوم اینکه، سیستم‌های SIEM موجود فقط برای مدیریت تعداد بی‌نهایتی از شاخص‌ها طراحی نشده‌اند.

وقتی به چندین فید وصل می‌شوید، ورک‌لود روی سیستم به طور چشمگیری افزایش می‌یابد که همین روی نرخ شناسایی رخداد اثر منفی می‌گذارد. اگر سعی کنید سناریوی آپدیت‌های مکرر TI-feed را نیز پیاده کنید همین اتفاق می‌تواند بیافتد. نه که تماماً غیرممکن باشد اما نرخ شناسایی و عملکرد به هر حال احتمال دارد پایین می‌آید. افزون بر این، یک سیستم SIEM برای کار با جزئیات بیشتر با فیدهای هوش تهدید (آن هم به طور مستقیم) مناسب نیست. برای مثال نمی‌تواند نرخ کیفیت و شناسایی فیدها را با فروشندگان مختلف مقایسه کند یا انواع مختلف ماسک‌ها را از فیدها (با شاخص سازشکاری که در یوآرال‌ها، میزبانی‌ها یا دامنه‌ها بازنمایی می‌شود) مدیریت کند. اگر تحلیگری به زمینه عمیق‌تری برای هر شاخص نیاز پیدا کند آن موقع است که ابزار اضافی لازم است (و این حقیقت که زمینه‌ی مورد نیاز ممکن است در فیدها وجود داشته باشد اهمیتی ندارد)- SIEM ممکن است نداند چطور باید بدان دسترسی پیدا کرد. در آخر، فاکتور اقتصادی را نیز در نظر داشته باشید. بیشتر SIEMها لایسنس مبتنی بر لود را ارائه می‌دهند: هرقدر شاخص‌های بیشتری پردازش کند هزینه بیشتری باید پرداخت کنید.

چطور پلت‌فرم هوش تهدید در این زمینه می‌تواند کمک برساند؟

به طور کلی، پلت‌فرم هوش تهدید می‌تواند همه معایب فوق‌الذکر سیستم‌های SIEM را حل کند اما برای شروع، ابزاری است ضروری که به شما اجازه می‌دهد از بین چندین فید از فروشنده‌های مختلف دست به نویگیت بزنید. شما می‌توانید چندین فید را وصل کنید (نه لزوماً با همان فرمت) و آن‌ها را بر اساس پارامترهای مختلف مقایسه کنید. برای مثال می‌توانید هم‌گذری‌های شاخص را در فیدهای مختلف –که در شناسایی جریان‌ داده‌های تکراری کمکتان می‌کنند و حتی شاید برخی‌شان را نیز رد کنند- شناسایی کنید. همچنین می‌توانید بر اساس شاخص‌های آماری شناسایی دست به مقایسه فیدها بزنید.

با در نظر گرفتن این حقیقت که برخی فروشنده‌ها برای استفاده از فیدهای خود دوره تست پیشنهاد می‌دهند شاید این راه خوبی باشد برای برآورد کارایی‌شان پیش از خرید. یک پلت‌فرم هوش تهدید همچنین تحلیلگر SOC با کلی قابلیت اضافی ارائه می‌دهد که صرفاً در SIEM نمی‌توان آن‌ها را پیاده‌سازی کرد. برای مثال یک قابلیت رترو-اسکن اجازه می‌دهد لاگ‌های قدیمی از قبل سیو شده و داده‌های ارجاع‌شده به فیدهای جدید از نو چک شوند. قابلیت موجود دیگر، غنی‌سازی شاخص‌ها از منابع مختلف طرف‌سوم است (مانند  VirusTotal).

در آخر، پلت‌فرم موجهِ هوش تهدید از هشدار خاص شروع می‌کند، اجازه یافتن و دانلود گزارش APT (که ریز به ریز تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجمین مورد نظر آورده شده است) را می‌دهد و نیز در مورد نحوه پیاده کردن اقدامات متقابل نیز توصیه‌های عملی ارائه می‌نماید. یک پلت‌فرم هوش تهدید به شما اجازه می‌دهد شاخص‌ها را فیلتر و دانلود کرده، رخدادها را مرتب‌سازی کنید، همه موارد بالا را در رابطی گرافیکی برای راحتی کار تحلیلگر گذاشته و کلی کارهای دیگر انجام دهید. این بستگی به کارکرد هر پلت‌فرم خاص دارد.

چطور پلت‌فرم هوش تهدید با کار تحلیلگر و SIEM تطبیق می‌شود؟

به طور کلی یک پلت‌فرم هوش تهدید نصب‌شده روی شبکه داخلی سازمان پروسه تحلیل و ربط‌دهی داده‌های دریافتی را انجام می‌دهد که به طور چشمگیری لود روی سیستم SIEM کاهش می‌یابد. این به شما اجازه می‌دهد موقع شناسایی تهدیدها هشدارهای مخصوص به خود را تولید کنید. افزون بر این با پروسه‌های نظارتی و واکنش‌دهی شما از طریق API نیز یکپارچه می‌شود. اساساً یک پلت‌فرم هوش تهدید فید داده مخصوص به خود را با شناسایی‌ها تولید می‌کند؛ این داده‌ها بنا بر نیازهای شرکت‌‌تان سفارشی‌سازی می‌شود. اگر چندین سیستم SIEM داشته باشید که به موازات زیرساخت شما اجرا می‌شود حسابی این قابلیت به کارتان خواهد آمد. بدون پلت‌فرم هوش تهدید مجبور خواهید بود کلی فید خام را در هر یک از آن‌ها لود کنید.

یک نمونه عملی

بیایید نگاهی به یک رخداد نسبتاً ساده بیندازیم تا ببینیم پلتفرم هوش تهدید چگونه به تحلیلگران کمک می‌کند. تصور کنید که کاربر شرکتی از طریق کامپیوتر کاری خود به یک وبسایت دسترسی داشته باشد. در فید هوش تهدید، URL آن سایت به عنوان مخرب فهرست شده است، بنابراین پلتفرم رخداد را شناسایی می‌کند، آن را با فیدی از فیدها غنی کرده و آن شناسایی را برای ثبت به سیستم SIEM ارسال می‌کند. در مرحله بعد، این رخداد مورد توجه تحلیلگر SOC قرار می‌گیرد. تحلیلگر تشخیص را از طریق فید URL مخرب می‌بیند و تصمیم می‌گیرد با استفاده از یک پلتفرم هوش تهدید، نگاه دقیق‌تری به آن بیندازد. او می‌تواند مستقیماً از فهرست شناسایی‌ها، اطلاعات متنی موجود از جریان TI را باز کند: آدرس IP، هش فایل‌های مخرب مرتبط با این آدرس، قوانین راهکارهای امنیتی، داده‌های سرویس WHOIS و غیره. برای وضوح، یک رابط نمودار را باز می‌کند – راحت‌ترین راه برای تجزیه و تحلیل زنجیره حمله.

تا اینجای کار اطلاعات زیادی وجود ندارد: خودِ آن شناسایی، URL مخرب شناسایی شده و آدرس IP داخلی دستگاهی که شخصی برای دسترسی به آن URL از آن استفاده کرده است را می‌بیند. با کلیک روی آیکون URL مخرب، نشانگرهای شناخته شده مربوط به آن آدرس را می‌پرسد: آدرس‌های IP، آدرس‌های اینترنتی اضافی و هش فایل‌های مخربی که در مقطعی از آن سایت دانلود شده‌اند. مرحله بعدی بررسی این است که آیا شناسایی‌های دیگری با استفاده از همین شاخص‌ها در زیرساخت شرکت ثبت شده است یا خیر. تحلیلگر روی هر شیء (مثلاً یک آدرس IP مخرب) کلیک می‌کند و تشخیص‌های اضافی را در نمودار نمایش می‌دهد.

به عبارت دیگر، آنها می‌توانند با یک کلیک متوجه شوند که کدام کاربر به کدام آدرس IP رفته (یا در کدام دستگاه درخواست URL از سرور DNS آدرس IP را برگردانده است). به طور مشابه، بررسی می‌کند که کدام کاربران فایلی را دانلود کرده‌اند که هش آن در نشانگرهای مرتبط نشان داده شده است. ممکن است هزاران تشخیص در یک رخداد واحد وجود داشته باشد، و دستی مرتب کردن آنها بدون رابط گرافیکی آسان برای استفاده پلت فرم TI بسیار دشوار خواهد بود. تمام زمینه‌های موجود از فیدهای داده تهدیدات سایبری به هر نقطه از نمودار کشیده می‌شود. تحلیلگر می‌تواند اشیاء را گروه‌بندی یا مخفی نموده و گروه‌بندی خودکار گره‌ها را اِعمال کند. اگر تحلیلگر منابع اطلاعاتی اضافی داشته باشد، می‌تواند یک شاخص را به صورت دستی اضافه و به طور مستقل همبستگی‌های آن را علامت‌گذاری کند. بنابراین، متخصص می‌تواند زنجیره کاملی از حمله را بازسازی و نحوه شروع همه چیز را درک کند. به عنوان مثال، یک کاربر URL یک سایت مخرب را تایپ کرد، سرور DNS آدرس IP را برگرداند و این کاربر یک فایل با هش شناخته شده را از سایت دانلود کرد.

نتیجه‌گیری

یک پلت‌فرم هوش تهدید با کیفیت بالا حکم نوعی لینک میانجی را دارد که کاهش قابل‌ملاحظه‌ای از لود روی سیستم SIEM را بدون دست زدن به کیفیت شناسایی را ممکن ساخته و کار تحلیلگر را نیز آسان می‌کند.

[1]سیستم مدیریت اطلاعات و رویدادهای امنیتی،  زیرمجموعه‌ای از امنیت رایانه است. در این سیستم این امکان فراهم می‌شود که برای برنامه‌ها و شبکه مورد استفاده هشدارهای خطر امنیتی به‌طور بی‌درنگ فراهم شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.