روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تهدیدهای سایبری پیشرفته مدام برای مراکز عملیات امنیت سازمانی (SOCS) چالشهای جدید میتراشند. سازمانها نیز میبایست با مشکلات داخلی مانند نبود استعداد امنیتی، فرسودگی حرفهای و محدودیت بودجه دست و پنجه نرم کنند. یک SOC معمول، متشکل است از تحلیلگرانی که تریاژ هشدار و تحلیل رخداد بر عهدهشان است، متخصصینی که پیشرفتهترین تهدیدها را تحلیل میکنند، متخصصین هوش تهدید و نیز تیم مدیریتی. گرچه تسکهای روتین با حجم بالا به تحلیلگران محول میشود اما باید راهی باشد که آنها بتوانند تا حد امکان امور خود را سامان دهند. رویکردهای مختلفی برای ساختاردهی و پردازش هشدار یک مرکز عملیات امنیت وجود دارد. طبق گزارش ESG در حقیقت سه رویکرد که همگی از میزان محبوبیت تقریباً یکسانی برخوردارند.
بیش از یک چهارم (28%) سازمانها اظهار دارند تحلیلگران در SOCشان بنا بر مهارتها و میزان مسئولیشان طبقهبندی میشوند. در 36% شرکتها، کارمندان برای مدیریت بردارهای مُجزای تهدید انتخاب میشوند و 36% دیگر نیز میگویند تحلیلگرانشان همگی صرف نظر از مهارتی که دارند یا بردارهای حمله در خط هشدار مشترکی کار میکنند (طوری که گویی در صف باشند). در این مقاله قصد داریم نگاهی بیاندازیم به مزایا و معایب هر یک از این سه رویکرد و نیز ببینیم آیا برای کارمندان در SOC لایفهکهای دیگری هم وجود دارد یا نه. با ما همراه بمانید. شایان ذکر است که رویکردهای فهرستشده در ذیل کاملاً از هم جدا نباشند و شاید در عمل برای تأمین نیازهای سازمانی بخصوص با یکدیگر ادغام شوند.
این گزینه که 28٪ از سازمانها انتخابش کردهاند در واقع نشاندهنده رویکرد کلاسیکتری است برای ساختار یک SOC. تحلیلگران به خطوطی تقسیم میشوند که خط اول تمام هشدارهای دریافتی را پردازش میکند. آنها را تریاژ میکنند و میروند سراغ آنهایی که قابلیت مدیریتشان را دارند. چنانچه رخداد بسیار پیچیده باشد و خط اول نداند چطور بدان واکنش نشان دهد - یا اگر این یک حمله انسانی باشد (به این معنی که مهاجم به جای استفاده از ابزارهای خودکار، اقدامات را در زمان واقعی انجام میدهد) - رخداد به خط دوم میرود. کارکنان خط دوم با تجربهتر هستند. آنها یا در خطی مشترک روی رخدادها کار میکنند و یا آنها را بر اساس تخصصهای فردی به اشتراک میگذارند - برای مثال تهدیدهای سیستم عامل (لینوکس یا ویندوز) یا تهدیدات مربوط به شبکه.
گاهی اوقات خط سومی وجود دارد که میتواند بیشتر به حوزههای تخصصی تقسیم شود. این به خط اول اجازه میدهد تا معمولیترین تهدیدها را مدیریت کند، خط دوم با رخدادهای پیشرفتهتر دست و پنجه نرم نموده و پیچیدهترینها به خط سوم منتقل شوند. چنین ساختاری اجازه میدهد جریان سنگینی از هشدارها در خط اول پردازش شود، جایی که متخصصان سطح ابتدایی میتوانند مهارتهای خود را در تجزیه و تحلیل هشدارها بهبود بخشند. همچنین تحلیلگران ماهرتری را در خط دوم یا سوم آزاد میکند و به آنها امکان میدهد دانش عمیق و خاصتری را توسعه دهند. اثربخشی مدیریت هشدار نیز باید از طریق این ساختار افزایش یابد، زیرا کارکنان با تجربهتر، حوادث پیچیدهتری را پردازش میکنند. اما برای کارآمد کردن رویکرد، دستورالعملهای بسیار دقیقی باید برای خط اول ایجاد شود، که مقدار زیادی کار آمادهسازی ایجاد میکند.
- تخصیص بُردارها، انواع تهدید یا حوزههای شایستگی
این مدل توسط 36 درصد سازمانها استفاده میشود و شامل تخصیص تحلیلگرانی است به بردارهای حمله مختلف مانند حملات شبکهای، حملاتی به سرورها یا اپهای وبی، تهدیدهای نفوذی یا DDoS. سایر پارامترهای تخصیص میتواند نوع سیستم باشد (مانند اندپوینت، کلود یا مراکز داده) یا میزان اهمیت آن. اگر حیاتی نباشد رخداد در خط اول پردازش میشود و برای سیستمهای حیاتی این کار بر عهده خط دوم خواهد بود. در عمل رویکرد یک و دو اغلب به عنوان مدلی هیبریدی (به صورت ادغامشده) مورد استفاده قرار میگیرند. برای مثال خط اول همه هشدارهای دریافتی را مدیریت میکند و اگر موردی خاص وجود داشت به متخصصین خط دوم یا سوم (که از همه تخصصیتر کار میکند) محولش میکنند. مزیت این رویکرد در این است که افراد میتوانند در زمینههای تخصصی خود بسیار عمیقتر شوند و همین سطح بالایی از شایستگی و کیفیت در واکنش به رخداد را تضمین میکند. با این حال، در صورت لزوم یافتن جایگزینی برای چنین متخصصینی بسیار سخت خواهد بود.
این رویکرد توسط 36% سازمانها استفاده میشود؛ تحلیلگران در این رویکرد همگی روی یک خط مشترک رخداد کار میکنند. این بدانمعناست که همه متخصصین در خطی واحد دوشادوش هم فعالی دارند و میزان تخصصشان نیز یکسان است (آنها داخل همین یک خط هه نوع رخداد از مبتدی تا پیشرفته را مدیریت میکنند). با این حال، هنوز هم ممکن است تقسیمبندی وجود داشته باشد: پیچیدهترین رخدادها اغلب هنوز به یک گروه اختصاصی از متخصصان بسیار ماهر مربوط میشود. ساختار Kaspersky SOC بسیار نزدیک به این رویکرد عمل میکند با این تفاوت که یک تحلیلگر هوش مصنوعی نقش خط اول را بر عهده میگیرد.
به لطف فناوری یادگیری ماشینی خود، به طور خودکار بخشی از هشدارهای مثبت کاذب فیلتر میشود که همین در ظرفیت تحلیلگر صرفهجویی میکند. این فناوری همچنین هرگونه جزئیات جالب در هشدارها را برجسته نموده و مدیریت را برای تحلیلگران ساده میکند.در خط دوم، هر کارشناس میتواند رخداد را در یک خط مشترک بررسی کند. اگر یکی از کارکنان نتواند رخدادی را مدیریت کند، میتواند آن را به یک خط به اصطلاح مجازی ارتقا دهد. میگوییم مجازی زیرا همیشه وجود ندارد - فقط زمانی ایجاد میشود که رخداد از خط فعلی تشدید یا ارتقا داده شود. برخلاف خط دوم، ترکیب آن ثابت نیست – بنابراین میتواند شامل کارشناسان دیگری از خط دوم باشد که در آن زمان آزاد هستند، یا متخصصین بسیار ماهر در خط سوم که معمولاً به رخدادهای عادی رسیدگی نمیکنند – در عوض کارشان توسعه منطق تشخیص و شکار تهدید پیشگیرانه است.
با این رویکرد، تحلیلگران میتوانند به طور گستردهتری مهارتهای خود را بهبود بخشند - نه محدود به یک بردار حمله یا پیچیدگی تهدید خاص. آنها با تجربه تر میشوند که همین بلوغ کلی و اثربخشی SOC را افزایش میدهد. انواع هشدارها همچنین میتواند خطر فرسودگی شغلی به دلیل کار یکنواخت را کاهش دهد. علاوه بر این، همیشه یک مهمانی پوششی وجود دارد که میتواند هر گونه هشدار تشدید شده را دریافت کند. از سویی دیگر، این رویکرد میتواند بیش از حد مبتنی بر عملگرایی کارمندان باشد زیرا به پرسنل ماهرتر و در نتیجه ترکیب تیم چالشبرانگیزتر و همچنین نیاز به سرمایهگذاری در توسعه و اجرای صحیح تجزیه و تحلیلهوش مصنوعی نیاز دارد.
راهکار دیگری برای مشکل فرسودگی شغلی
در حالیکه ساختار یک SOC برای کارآمد کردن آن کلیدی است، یک لایف هک دیگر نیز وجود دارد که میتواند کارمندان را از کارهای روتین خلاص کند. در SOC کسپرسکی، هر تحلیلگر دو روز در ماه فرصت دارد که هشدارها را پردازش نکند و به کارهای خلاقانهتر روی بیاورد. این میتواند بهبود برخی از فرآیندها، شکار دستی تهدیدات، اتوماسیون برنامه نویسی برای روال های SOC، بررسی رخدادهای گزارش شده، یا تهیه لیستی از اشتباهات معمولی برای بهبود کیفیت کارتهای رخداد آماده شده برای مشتریان باشد. یا میتوانند زمانی را صرف خودآموزی کنند. همچنین، اگر یکی از رهبران تیم ببیند که یک کارمند بیشتر از حد معمول اشتباه میکند، میتواند به او پیشنهاد دهد که در اسرع وقت از یکی از آن روزها یا هر دوی آنها استفاده کند - تا از روال تریاژ هشدار فاصله بگیرند و کمی به خود استراحت دهد.
فاصلهگیری از کارهای روتین همچنین به تحلیلگران اجازه میدهد استراحت کنند و استرس ناشی از کار یکنواخت پردازش هشدارها را کاهش دهند. یک کارفرما میتواند تیم خود را با پاداشها تشویق کند، اگر آنها پیشرفتهای ارزشمندی را در فرآیندهای عملیات امنیتی در طول "روزهای شخصی" خود ارائه دهند. مدلهای SOC ممکن است بسته به بلوغ، بودجه و ریسکهای مربوط به امنیت سایبری از کسبوکاری به کسبوکار دیگر متغیر باشند. اما همچنین شاهد برخی از روندهای جهانی در تغییر شکل ساختار SOC هستیم. اولین مورد اتوماسیون عملیات امنیتی و تریاژ هشدار است - برای مثال با سیستم های SOAR . دسترسی به تمام سیستمها از طریق یک نقطه میتواند سرعت پردازش هشدار را تا حد زیادی افزایش دهد. روند دوم کمبود متخصصین ماهر است، به این معنی که SOCها به متخصصین جهانی نیاز دارند که بتوانند با طیف وسیعی از تهدیدات مقابله کنند. گرچه هنوز شاهد این نبودیم که مدلهای مذکور تحت این روندها چگونه تغییر خواهند کرد، اما زمان خوبی است تا وضعیت فعلی افراد و فرآیندهای موجود در مرکز عملیات امنیتی را تجزیه و تحلیل کنیم و ببینیم برای محافظت از تهدیدات سایبری به چه پیشرفت هایی نیاز است.
آموزش تخصصی کسپرسکی: عملیاتهای امنیتی و شکار تهدید
ما برای متخصصین، آموزش آنلاین و جدید امنیت سایبری ترتیب دادهایم. هدف، ارتقا و حتی ساخت صفر تا صد عملیاتهای امنیتی است. این دوره آموزشی همچنین به ارتقای مهارت تیمهای امنیتی و SOC در شکار تهدید، شناسایی رخداد و بررسی آنها نیز کمک میکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
