«سرویس ارزیابی دستکاری» چیست؟

29 آبان 1402 «سرویس ارزیابی دستکاری» چیست؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سوال این روزهای کسب و کارها «آیا ما هک خواهیم شد» نیست بلکه «آیا ما هک شدیم و خبر نداشتیم؟» است. ماهیت پنهانی تهدیدهای سایبری پیشرفته به این صورت است که سازمان‌ها همواره باید هشیار و آگاه باشند. برای محافظت از داده‌های حساس و سیستم‌های حیاتی، بسیاری روی به سرویس‌های امنیت سایبری مختلف می‌آورند (از جمله سرویس‌های ارزیابی دستکاری). درحالیکه ارزیابی دستکاری ممکن است مشابه با واکنش به رخداد سایبری، تست نفوذ و/یا شناسایی مدیریت‌شده و واکنش (MDR) باشد، در قلمروی امنیت سایبری هدف متفاوتی دارد. در این مقاله مفهوم سرویس ارزیابی دستکاری را بررسی کرده و نشان خواهیم داد چطور با سایر عملیات‌های مهم امنیت سایبری تفاوت دارد. با ما همراه باشید.

سرویس ارزیابی دستکاری یعنی چه؟

سرویس ارزیابی دستکاری یک اقدام پروژه‌محور فعالانه‌ی امنیت سایبری است که برای شناسایی علایم دستکاری داخل زیرساخت آی‌تی سازمان طراحی شده است. این ارزیابی تمرکزش روی شناسایی تهدیدها یا فعالیت‌های مشکوک است که ممکن است در محیط سازمانی مورد توجه قرار نگرفته باشند. اهداف اصلی ارزیابی دستکاری معمولاً به شرح است:

  •         اجرای اسکن IoC همه میزبان‌های داخل زیرساخت آی‌تی.
  •         تحلیل فعالیت شبکه شامل کانکشن‌های بیرونی برای سرورهای فرمان و کنترل مهاجم بالقوه.
  •         انجام تحقیقات اولیه رخداد برای شناسایی ابزارها و تکنیک های مورد استفاده برای حمله (در صورت یافتن نشانه‌هایی از نفوذ شبکه).
  •         فاش کردن منابع مشکوک حمله و سایر سیستم‌های احتمالی در معرض خطر.
  •          ارائه توصیه هایی در مورد اقدامات اصلاحی بیشتر.

تفاوتش با واکنش به رخداد سایبری

واکنش به رخداد یک پروسه واکنشی امنیت سایبری است که وقتی رخداد شناسایی می‌شود پا به میدان می‌گذارد. تیم‌های IR مسئول بررسی ماهیت و دامنه نقض، محدود کردنش و ریشه‌کن کردن تهدید و البته ریستور عملیات‌های عادی هستند. هدف واکنش به رخداد، کاهش اثر رخدادهای امنیتی و پیشگیری از اتفاق دوباره آن‌هاست. هر دو CA و IR رویکردها و روش‌های مشترکی دارند - از جمله جمع‌آوری و تجزیه و تحلیل مصنوعات پزشکی قانونیِ دیجیتال (Prefetch، Amcache، و غیره)، استفاده از اسکنرهای IoC برای یافتن میزبان‌های آسیب‌دیده، و مهندسی معکوس باینری برای اثبات وجود عملکردهای مخرب در موارد خاص. برنامه ها یا اسکریپت‌ها.

تفاوت‌های اصلی بین CA و IR :

هدف اصلی در CA شناسایی رخدادهای ناشناس/گم‌شده است اما در IR هدف، اهش اثر نقض امنیتی شناسایی‌شده یا حمله به محیط آی‌تی شماست.

در CA برای ورودی نیازی به داده‌های نی نیست اما IR برای ورودی به داده‌های فنی نیاز دارد: هشدار از کنترل امنیتی، فایل مشکوک، سیگنال در مورد نشت داده‌ها، یادداشت باج و غیره، که به وضوح ثابت می‌کند یک حادثه رخ داده است.

تایمینگ در CA:

– پروژه ارزیابی دوره ای

- در شناسایی یک رخداد مقدم بر IR است

- می‌تواند IR را دنبال کند تا مطمئن شود که هیچ سازش دیگری وجود ندارد

تایمینگ در IR

- پس از تشخیص رخداد امنیتی آغاز می‌شود

- در صورت شناسایی نقض، ارزیابی مصالحه را دنبال می‌کند

دامنه در CA: اسکن کل شبکه تا همه نشانه‌های دستکاری یافت شود.

دامنه در IR: فقط بخش‌های شبکه تحت تأثیر رخداد گزارش‌شده اسکن می‌شود.

تفاوتش با تست نفوذ

تست نفوذ – که اغلب به آن Pentesting نیز گفته می‌شود –حمله سایبری شبیه سازی شده به یک سیستم، شبکه یا برنامه کاربردی برای ارزیابی آسیب‌پذیری های امنیتی آن است. هدف اولیه پنتست شناسایی نقاط ضعف بالقوه‌ای است که هکرهای مخرب ممکن است از آنها سوء استفاده و در نتیجه به سازمان ها اجازه می‌دهد موقعیت امنیتی خود را تقویت کنند.

 

هم تست نفوذ و هم فعالیت‌های ارزیابی دستکاری به متخصصین ماهر با درک عمیق از تهدیدات سایبری و دفاع نیاز دارند. این درحالیست که آنها اهداف اولیه متفاوتی دارند، هر دو اقدامات پیشگیرانه برای درک و بهبود امنیت هستند.

 

تفاوت های کلیدی بین تست نفوذ و ارزیابی دستکاری در 1) هدف، 2) دامنه و 3) متودولوژی است:

1)     در پنستت، هدف شناسایی آسیب‌پذیری‌ها پیش از اکسپلویت شدنشان است و در ارزیابی دستکاری شناسایی موارد اکسپلویت موفق آسیب‌پذیری‌ها.

2)     در پنتست از پیش تعریف شده است (برای مثال سیستم‌ها و اپ‌های مشخص) و در ارزیابی دستکاری معمولاً کل سازمان است.

3)     متودولوژی پنتست، شبیه‌سازی حملات سایبری با استفاده از ابزارها و تکنیک‌های منوآل است و متودولوژی ارزیابی دستکاری بررسی لاگ‌ها، ترافیک شبکه، ناهنجاری ها و رفتارهای سیستم است.

تفاوتش با شناسایی و واکنش مدیریت‌شده

خدمات شناسایی و واکنش مدیریت شده شامل نظارت مستمر، تشخیص تهدید و واکنش به رخداد توسط یک ارائه دهنده طرف‌سوم است.

MDR فناوری، تخصص انسانی و اطلاعات تهدید را برای شناسایی و پاسخگویی به تهدیدات امنیتی در زمان واقعی ترکیب می‌کند. تمرکز MDR بر ارائه راهکاری جامع امنیت سایبری است که شامل قابلیت های نظارت و پاسخ می‌شود.  هر دو CA و MDR از ترکیبی از فناوری‌های پیشرفته، اطلاعات تهدید و تحلیلگران ماهر برای شناسایی نقض‌های امنیتی احتمالی و فعالیت‌های مشکوک در شبکه سازمان استفاده می‌کنند.

تفاوت‌های اصلی بین CA و MDR به شرح زیر است:

تایمینگ در CA:

- پروژه ارزیابی دوره‌ای (ارزیابی یکباره)

- بدون SLA برای اعلان‌ها

تایمینگ در MDR:

– فعالیت مستمر 24/7 (سرویس مستمر)

- SLA سختگیرانه برای اعلان‌ها

تمرکز تحلیل در CA:

-         حملات گذشته و فعلی

-         تحلیل وضعیت کالبدشکافی

تمرکز تحلیل در MDR:

-         حملات فعلی

-         نظارت رفتاری

منابع داده برای تحلیل در CA:

–EDR/NTA

- SIEM

– هوش ردپای دیجیتال (دارک نت)

منابع داده برای تحلیل در MDR:

EDR/NTA

جمع‌بندی

با توجه به اینکه تهدیدهای سایبری دارند پیچیده‌تر می‌شوند، رویکرد واکنشی سنتی به امنیت سایبری دیگر کافی نیست. سرویس ارزیابی دستکاری راهکاری پیشگیرانه ارائه داده و تضمین می‌دهد سازمان‌ها فقط منتظر نقض بعدی ننشستند بلکه فعالانه دارند تهدیدها را جستجو کرده و آن‌ها را خنثی می‌کنند. با اجرای چنین ارزیابی‌‌هایی می‌توانید ریسک نقض شدن بدون اینکه خبردار باشید را کم کنید. یک سرویس ارزیابی دستکاری نقش مهمی در شناسایی درست دستکاری‌های بالقوه و ضعف‌های امنیتی داخل شبکه سازمان ایفا می‌کند. گرچه ممکن است با واکنش به رخداد، تست نفوذ و سرویس‌های شناسایی و واکنش مدیریت‌شده شباهت‌هایی داشته باشد اما یک فعالیت پروژه‌ای همیشه در جریان است که تمرکز اصلی بر روی شناسایی فعالانه‌ی حملاتی است که سازمان‌ها از آن‌ها غافل ماندند؛ حملاتی که سیستم‌ها و پروسه‌های امنیتی سازمان را دور می‌‌زنند. درک تفاوت‌ها میان این اقدامات امنیت سایبری برای سازمان‌هایی که به دنبال استراتژی محکم دفاعی هستند مهم است. هر سرویس در موقعیت امنیت سایبری سازمانی خود جایی دارد و می‌تواند برای ساخت فریم‌ورک امنیتی سازمانی مؤثر و جامع، آن یکی را تکمیل کند.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    6,535,270 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    9,806,020 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    9,806,020 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    23,549,400 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    65,408,770 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    18,503,100 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    26,533,570 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    28,383,880 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد