روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تهدیدهای سایبری پیشرفته مدام برای مراکز عملیات امنیت سازمانی (SOCS) چالش‌های جدید می‌تراشند. سازمان‌ها نیز می‌بایست با مشکلات داخلی مانند نبود استعداد امنیتی، فرسودگی حرفه‌ای و محدودیت بودجه دست و پنجه نرم کنند. یک SOC معمول، متشکل است از تحلیلگرانی که تریاژ هشدار و تحلیل رخداد بر عهده‌شان است، متخصصینی که پیشرفته‌ترین تهدیدها را تحلیل می‌کنند، متخصصین هوش تهدید و نیز تیم مدیریتی. گرچه تسک‌های روتین با حجم بالا به تحلیلگران محول می‌شود اما باید راهی باشد که آن‌ها بتوانند تا حد امکان امور خود را سامان دهند. رویکردهای مختلفی برای ساختاردهی و پردازش هشدار یک مرکز عملیات امنیت وجود دارد. طبق گزارش  ESG در حقیقت سه رویکرد که همگی از میزان محبوبیت تقریباً یکسانی برخوردارند.

بیش از یک چهارم (28%) سازمان‌ها اظهار دارند تحلیلگران در SOCشان بنا بر مهارت‌ها و میزان مسئولی‌شان طبقه‌بندی می‌شوند. در 36% شرکت‌ها، کارمندان برای مدیریت بردارهای مُجزای تهدید انتخاب می‌شوند و 36% دیگر نیز می‌گویند تحلیلگرانشان همگی صرف نظر از مهارتی که دارند یا بردارهای حمله در خط هشدار مشترکی کار می‌کنند (طوری که گویی در صف باشند). در این مقاله قصد داریم نگاهی بیاندازیم به مزایا و معایب هر یک از این سه رویکرد و نیز ببینیم آیا برای کارمندان در SOC لایف‌هک‌های دیگری هم وجود دارد یا نه. با ما همراه بمانید. شایان ذکر است که رویکردهای فهرست‌شده در ذیل کاملاً از هم جدا نباشند و شاید در عمل برای تأمین نیازهای سازمانی بخصوص با یکدیگر ادغام شوند.

•         رویکرد کلاسیک

این گزینه که 28٪ از سازمان‌ها انتخابش کرده‌اند در واقع نشان‌دهنده رویکرد کلاسیک‌تری است برای ساختار یک SOC. تحلیلگران به خطوطی تقسیم می‌شوند که خط اول تمام هشدارهای دریافتی را پردازش می‌کند. آن‌ها را تریاژ می‌کنند و می‌روند سراغ آنهایی که قابلیت مدیریتشان را دارند. چنانچه رخداد بسیار پیچیده باشد و خط اول نداند چطور بدان واکنش نشان دهد - یا اگر این یک حمله انسانی باشد (به این معنی که مهاجم به جای استفاده از ابزارهای خودکار، اقدامات را در زمان واقعی انجام می‌دهد) - رخداد به خط دوم می‌رود. کارکنان خط دوم با تجربه‌تر هستند. آنها یا در خطی مشترک روی رخدادها کار می‌کنند و یا آنها را بر اساس تخصص‌های فردی به اشتراک می‌گذارند - برای مثال تهدیدهای سیستم عامل (لینوکس یا ویندوز) یا تهدیدات مربوط به شبکه.

گاهی اوقات خط سومی وجود دارد که می‌تواند بیشتر به حوزه‌های تخصصی تقسیم شود. این به خط اول اجازه می‌دهد تا معمولی‌ترین تهدیدها را مدیریت کند، خط دوم با رخدادهای پیشرفته‌تر دست و پنجه نرم نموده و پیچیده‌ترین‌ها به خط سوم منتقل شوند. چنین ساختاری اجازه می‌دهد جریان سنگینی از هشدارها در خط اول پردازش شود، جایی که متخصصان سطح ابتدایی می‌توانند مهارت‌های خود را در تجزیه و تحلیل هشدارها بهبود بخشند. همچنین تحلیلگران ماهرتری را در خط دوم یا سوم آزاد می‌کند و به آنها امکان می‌دهد دانش عمیق و خاص‌تری را توسعه دهند. اثربخشی مدیریت هشدار نیز باید از طریق این ساختار افزایش یابد، زیرا کارکنان با تجربه‌تر، حوادث پیچیده‌تری را پردازش می‌کنند. اما برای کارآمد کردن رویکرد، دستورالعمل‌های بسیار دقیقی باید برای خط اول ایجاد شود، که مقدار زیادی کار آماده‌سازی ایجاد می‌کند.

•         تخصیص بُردارها، انواع تهدید یا حوزه‌های شایستگی

این مدل توسط 36 درصد سازمان‌ها استفاده می‌شود و شامل تخصیص تحلیلگرانی است به بردارهای حمله مختلف مانند حملات شبکه‌ای، حملاتی به سرورها یا اپ‌های وبی، تهدیدهای نفوذی یا DDoS. سایر پارامترهای تخصیص می‌تواند نوع سیستم باشد (مانند اندپوینت، کلود یا مراکز داده) یا میزان اهمیت آن. اگر حیاتی نباشد رخداد در خط اول پردازش می‌شود و برای سیستم‌های حیاتی این کار بر عهده خط دوم خواهد بود. در عمل رویکرد یک و دو اغلب به عنوان مدلی هیبریدی (به صورت ادغام‌شده) مورد استفاده قرار می‌گیرند. برای مثال خط اول همه هشدارهای دریافتی را مدیریت می‌کند و اگر موردی خاص وجود داشت به متخصصین خط دوم یا سوم (که از همه تخصصی‌تر کار می‌کند) محولش می‌کنند. مزیت این رویکرد در این است که افراد می‌توانند در زمینه‌های تخصصی خود بسیار عمیق‌تر شوند و همین سطح بالایی از شایستگی و کیفیت در واکنش به رخداد را تضمین می‌کند. با این حال، در صورت لزوم یافتن جایگزینی برای چنین متخصصینی بسیار سخت خواهد بود.

•         خطی واحد

این رویکرد توسط 36% سازمان‌ها استفاده می‌شود؛ تحلیلگران در این رویکرد همگی روی یک خط مشترک رخداد کار می‌کنند. این بدان‌معناست که همه متخصصین در خطی واحد دوشادوش هم فعالی دارند و میزان تخصص‌شان نیز یکسان است (آن‌ها داخل همین یک خط هه نوع رخداد از مبتدی تا پیشرفته را مدیریت می‌کنند). با این حال، هنوز هم ممکن است تقسیم‌بندی وجود داشته باشد: پیچیده‌ترین رخدادها اغلب هنوز به یک گروه اختصاصی از متخصصان بسیار ماهر مربوط می‌شود. ساختار Kaspersky SOC بسیار نزدیک به این رویکرد عمل می‌کند با این تفاوت که یک تحلیلگر هوش مصنوعی نقش خط اول را بر عهده می‌گیرد.

  به لطف فناوری یادگیری ماشینی خود، به طور خودکار بخشی از هشدارهای مثبت کاذب فیلتر می‌شود که همین در ظرفیت تحلیلگر صرفه‌جویی می‌کند. این فناوری همچنین هرگونه جزئیات جالب در هشدارها را برجسته نموده و مدیریت را برای تحلیلگران ساده می‌کند.در خط دوم، هر کارشناس می‌تواند رخداد را در یک خط مشترک بررسی کند. اگر یکی از کارکنان نتواند رخدادی را مدیریت کند، می‌تواند آن را به یک خط به اصطلاح مجازی ارتقا دهد. می‌گوییم مجازی زیرا همیشه وجود ندارد - فقط زمانی ایجاد می‌شود که رخداد از خط فعلی تشدید یا ارتقا داده شود. برخلاف خط دوم، ترکیب آن ثابت نیست – بنابراین می‌تواند شامل کارشناسان دیگری از خط دوم باشد که در آن زمان آزاد هستند، یا متخصصین بسیار ماهر در خط سوم که معمولاً به رخدادهای عادی رسیدگی نمی‌کنند – در عوض کارشان توسعه منطق تشخیص و شکار تهدید پیشگیرانه است.

با این رویکرد، تحلیلگران می‌توانند به طور گسترده‌تری مهارت‌های خود را بهبود بخشند - نه محدود به یک بردار حمله یا پیچیدگی تهدید خاص. آنها با تجربه تر می‌شوند که همین بلوغ کلی و اثربخشی SOC را افزایش می‌دهد. انواع هشدارها همچنین می‌تواند خطر فرسودگی شغلی به دلیل کار یکنواخت را کاهش دهد. علاوه بر این، همیشه یک مهمانی پوششی وجود دارد که می‌تواند هر گونه هشدار تشدید شده را دریافت کند. از سویی دیگر، این رویکرد می‌تواند بیش از حد مبتنی بر عملگرایی کارمندان باشد زیرا به پرسنل ماهرتر و در نتیجه ترکیب تیم چالش‌برانگیزتر و همچنین نیاز به سرمایه‌گذاری در توسعه و اجرای صحیح تجزیه و تحلیلهوش مصنوعی نیاز دارد.

راهکار دیگری برای مشکل فرسودگی شغلی

در حالیکه ساختار یک SOC برای کارآمد کردن آن کلیدی است، یک لایف هک دیگر نیز وجود دارد که می‌تواند کارمندان را از کارهای روتین خلاص کند. در SOC کسپرسکی، هر تحلیلگر دو روز در ماه فرصت دارد که هشدارها را پردازش نکند و به کارهای خلاقانه‌تر روی بیاورد. این می‌تواند بهبود برخی از فرآیندها، شکار دستی تهدیدات، اتوماسیون برنامه نویسی برای روال های SOC، بررسی رخدادهای گزارش شده، یا تهیه لیستی از اشتباهات معمولی برای بهبود کیفیت کارت‌های رخداد آماده شده برای مشتریان باشد. یا می‌توانند زمانی را صرف خودآموزی کنند. همچنین، اگر یکی از رهبران تیم ببیند که یک کارمند بیشتر از حد معمول اشتباه می‌کند، می‌تواند به او پیشنهاد دهد که در اسرع وقت از یکی از آن روزها یا هر دوی آنها استفاده کند - تا از روال تریاژ هشدار فاصله بگیرند و کمی به خود استراحت دهد.

فاصله‌گیری از کارهای روتین همچنین به تحلیلگران اجازه می‌دهد استراحت کنند و استرس ناشی از کار یکنواخت پردازش هشدارها را کاهش دهند. یک کارفرما می‌تواند تیم خود را با پاداش‌ها تشویق کند، اگر آنها پیشرفت‌های ارزشمندی را در فرآیندهای عملیات امنیتی در طول "روزهای شخصی" خود ارائه دهند. مدل‌های SOC ممکن است بسته به بلوغ، بودجه و ریسک‌های مربوط به امنیت سایبری از کسب‌وکاری به کسب‌وکار دیگر متغیر باشند. اما همچنین شاهد برخی از روندهای جهانی در تغییر شکل ساختار SOC هستیم. اولین مورد اتوماسیون عملیات امنیتی و تریاژ هشدار است - برای مثال با سیستم های SOAR . دسترسی به تمام سیستم‌ها از طریق یک نقطه می‌تواند سرعت پردازش هشدار را تا حد زیادی افزایش دهد. روند دوم کمبود متخصصین ماهر است، به این معنی که SOCها به متخصصین جهانی نیاز دارند که بتوانند با طیف وسیعی از تهدیدات مقابله کنند. گرچه هنوز شاهد این نبودیم که مدل‌های مذکور تحت این روندها چگونه تغییر خواهند کرد، اما زمان خوبی است تا وضعیت فعلی افراد و فرآیندهای موجود در مرکز عملیات امنیتی را تجزیه و تحلیل کنیم و ببینیم برای محافظت از تهدیدات سایبری به چه پیشرفت هایی نیاز است.

آموزش تخصصی کسپرسکی: عملیات‌های امنیتی و شکار تهدید

ما برای متخصصین، آموزش آنلاین و جدید امنیت سایبری ترتیب داده‌ایم. هدف، ارتقا و حتی ساخت صفر تا صد عملیات‌های امنیتی است. این دوره آموزشی همچنین به ارتقای مهارت تیم‌های امنیتی و SOC در شکار تهدید، شناسایی رخداد و بررسی آن‌ها نیز کمک می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.