روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ سوال این روزهای کسب و کارها «آیا ما هک خواهیم شد» نیست بلکه «آیا ما هک شدیم و خبر نداشتیم؟» است. ماهیت پنهانی تهدیدهای سایبری پیشرفته به این صورت است که سازمانها همواره باید هشیار و آگاه باشند. برای محافظت از دادههای حساس و سیستمهای حیاتی، بسیاری روی به سرویسهای امنیت سایبری مختلف میآورند (از جمله سرویسهای ارزیابی دستکاری). درحالیکه ارزیابی دستکاری ممکن است مشابه با واکنش به رخداد سایبری، تست نفوذ و/یا شناسایی مدیریتشده و واکنش (MDR) باشد، در قلمروی امنیت سایبری هدف متفاوتی دارد. در این مقاله مفهوم سرویس ارزیابی دستکاری را بررسی کرده و نشان خواهیم داد چطور با سایر عملیاتهای مهم امنیت سایبری تفاوت دارد. با ما همراه باشید.
سرویس ارزیابی دستکاری یعنی چه؟
سرویس ارزیابی دستکاری یک اقدام پروژهمحور فعالانهی امنیت سایبری است که برای شناسایی علایم دستکاری داخل زیرساخت آیتی سازمان طراحی شده است. این ارزیابی تمرکزش روی شناسایی تهدیدها یا فعالیتهای مشکوک است که ممکن است در محیط سازمانی مورد توجه قرار نگرفته باشند. اهداف اصلی ارزیابی دستکاری معمولاً به شرح است:
- اجرای اسکن IoC همه میزبانهای داخل زیرساخت آیتی.
- تحلیل فعالیت شبکه شامل کانکشنهای بیرونی برای سرورهای فرمان و کنترل مهاجم بالقوه.
- انجام تحقیقات اولیه رخداد برای شناسایی ابزارها و تکنیک های مورد استفاده برای حمله (در صورت یافتن نشانههایی از نفوذ شبکه).
- فاش کردن منابع مشکوک حمله و سایر سیستمهای احتمالی در معرض خطر.
- ارائه توصیه هایی در مورد اقدامات اصلاحی بیشتر.
تفاوتش با واکنش به رخداد سایبری
واکنش به رخداد یک پروسه واکنشی امنیت سایبری است که وقتی رخداد شناسایی میشود پا به میدان میگذارد. تیمهای IR مسئول بررسی ماهیت و دامنه نقض، محدود کردنش و ریشهکن کردن تهدید و البته ریستور عملیاتهای عادی هستند. هدف واکنش به رخداد، کاهش اثر رخدادهای امنیتی و پیشگیری از اتفاق دوباره آنهاست. هر دو CA و IR رویکردها و روشهای مشترکی دارند - از جمله جمعآوری و تجزیه و تحلیل مصنوعات پزشکی قانونیِ دیجیتال (Prefetch، Amcache، و غیره)، استفاده از اسکنرهای IoC برای یافتن میزبانهای آسیبدیده، و مهندسی معکوس باینری برای اثبات وجود عملکردهای مخرب در موارد خاص. برنامه ها یا اسکریپتها.
تفاوتهای اصلی بین CA و IR :
هدف اصلی در CA شناسایی رخدادهای ناشناس/گمشده است اما در IR هدف، اهش اثر نقض امنیتی شناساییشده یا حمله به محیط آیتی شماست.
در CA برای ورودی نیازی به دادههای نی نیست اما IR برای ورودی به دادههای فنی نیاز دارد: هشدار از کنترل امنیتی، فایل مشکوک، سیگنال در مورد نشت دادهها، یادداشت باج و غیره، که به وضوح ثابت میکند یک حادثه رخ داده است.
تایمینگ در CA:
– پروژه ارزیابی دوره ای
- در شناسایی یک رخداد مقدم بر IR است
- میتواند IR را دنبال کند تا مطمئن شود که هیچ سازش دیگری وجود ندارد
تایمینگ در IR
- پس از تشخیص رخداد امنیتی آغاز میشود
- در صورت شناسایی نقض، ارزیابی مصالحه را دنبال میکند
دامنه در CA: اسکن کل شبکه تا همه نشانههای دستکاری یافت شود.
دامنه در IR: فقط بخشهای شبکه تحت تأثیر رخداد گزارششده اسکن میشود.
تفاوتش با تست نفوذ
تست نفوذ – که اغلب به آن Pentesting نیز گفته میشود –حمله سایبری شبیه سازی شده به یک سیستم، شبکه یا برنامه کاربردی برای ارزیابی آسیبپذیری های امنیتی آن است. هدف اولیه پنتست شناسایی نقاط ضعف بالقوهای است که هکرهای مخرب ممکن است از آنها سوء استفاده و در نتیجه به سازمان ها اجازه میدهد موقعیت امنیتی خود را تقویت کنند.
هم تست نفوذ و هم فعالیتهای ارزیابی دستکاری به متخصصین ماهر با درک عمیق از تهدیدات سایبری و دفاع نیاز دارند. این درحالیست که آنها اهداف اولیه متفاوتی دارند، هر دو اقدامات پیشگیرانه برای درک و بهبود امنیت هستند.
تفاوت های کلیدی بین تست نفوذ و ارزیابی دستکاری در 1) هدف، 2) دامنه و 3) متودولوژی است:
1) در پنستت، هدف شناسایی آسیبپذیریها پیش از اکسپلویت شدنشان است و در ارزیابی دستکاری شناسایی موارد اکسپلویت موفق آسیبپذیریها.
2) در پنتست از پیش تعریف شده است (برای مثال سیستمها و اپهای مشخص) و در ارزیابی دستکاری معمولاً کل سازمان است.
3) متودولوژی پنتست، شبیهسازی حملات سایبری با استفاده از ابزارها و تکنیکهای منوآل است و متودولوژی ارزیابی دستکاری بررسی لاگها، ترافیک شبکه، ناهنجاری ها و رفتارهای سیستم است.
تفاوتش با شناسایی و واکنش مدیریتشده
خدمات شناسایی و واکنش مدیریت شده شامل نظارت مستمر، تشخیص تهدید و واکنش به رخداد توسط یک ارائه دهنده طرفسوم است.
MDR فناوری، تخصص انسانی و اطلاعات تهدید را برای شناسایی و پاسخگویی به تهدیدات امنیتی در زمان واقعی ترکیب میکند. تمرکز MDR بر ارائه راهکاری جامع امنیت سایبری است که شامل قابلیت های نظارت و پاسخ میشود. هر دو CA و MDR از ترکیبی از فناوریهای پیشرفته، اطلاعات تهدید و تحلیلگران ماهر برای شناسایی نقضهای امنیتی احتمالی و فعالیتهای مشکوک در شبکه سازمان استفاده میکنند.
تفاوتهای اصلی بین CA و MDR به شرح زیر است:
تایمینگ در CA:
- پروژه ارزیابی دورهای (ارزیابی یکباره)
- بدون SLA برای اعلانها
تایمینگ در MDR:
– فعالیت مستمر 24/7 (سرویس مستمر)
- SLA سختگیرانه برای اعلانها
تمرکز تحلیل در CA:
- حملات گذشته و فعلی
- تحلیل وضعیت کالبدشکافی
تمرکز تحلیل در MDR:
- حملات فعلی
- نظارت رفتاری
منابع داده برای تحلیل در CA:
–EDR/NTA
- SIEM
– هوش ردپای دیجیتال (دارک نت)
منابع داده برای تحلیل در MDR:
EDR/NTA
جمعبندی
با توجه به اینکه تهدیدهای سایبری دارند پیچیدهتر میشوند، رویکرد واکنشی سنتی به امنیت سایبری دیگر کافی نیست. سرویس ارزیابی دستکاری راهکاری پیشگیرانه ارائه داده و تضمین میدهد سازمانها فقط منتظر نقض بعدی ننشستند بلکه فعالانه دارند تهدیدها را جستجو کرده و آنها را خنثی میکنند. با اجرای چنین ارزیابیهایی میتوانید ریسک نقض شدن بدون اینکه خبردار باشید را کم کنید. یک سرویس ارزیابی دستکاری نقش مهمی در شناسایی درست دستکاریهای بالقوه و ضعفهای امنیتی داخل شبکه سازمان ایفا میکند. گرچه ممکن است با واکنش به رخداد، تست نفوذ و سرویسهای شناسایی و واکنش مدیریتشده شباهتهایی داشته باشد اما یک فعالیت پروژهای همیشه در جریان است که تمرکز اصلی بر روی شناسایی فعالانهی حملاتی است که سازمانها از آنها غافل ماندند؛ حملاتی که سیستمها و پروسههای امنیتی سازمان را دور میزنند. درک تفاوتها میان این اقدامات امنیت سایبری برای سازمانهایی که به دنبال استراتژی محکم دفاعی هستند مهم است. هر سرویس در موقعیت امنیت سایبری سازمانی خود جایی دارد و میتواند برای ساخت فریمورک امنیتی سازمانی مؤثر و جامع، آن یکی را تکمیل کند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
