سریعترین پاسخ‌گویی به حوادث امنیت سایبری با خودکارسازی و Orchestration

علیرغم تمام سرمایه‌گذاری‌های متمرکز بر امنیت سایبری، تحلیلگران مرکز عملیات امنیت (SOC) و پاسخ‌گویی به حوادث، پیشرفت چندانی در کارایی و رضایت شغلی خود حس نمی‌کنند. مراکز عملیات امنیت اغلب با مشکل کمبود کارمندان، مهارت‌های لازم و ساعات کاری متفاوت در مناطق زمانی مختلف مواجه‌اند.

ناامیدی در روش‌های SOC با چشم اندازهای امروز امنیت آمیخته شده است. تحقیقات مربوط به دفاع در برابر تهدیدات سایبری در سال 2018 از گروه CyberEdge نشان می دهد که خوش‌بینی برای گریز از یک حمله سایبری موفق از 62%  در سال 2014 به 38% در سال جاری افت کرده است.

در مجموع گروه واکنش به حوادث تیم امنیت به دلایل زیر همچنان نیازمند یک رویکردBrute Force است:

 1- یافتن یک تهدید

2- پیداکردن دلیل این اتفاق و مواردی که تحت‌تاثیر آن قرار گرفته‌اند

3- برطرف کردن مشکل تا دیگر این اتفاق تکرار نشود.

 یک فرایند معمولی پاسخ‌گویی به حوادث یا Incident Respons که به صورت خلاصه IR گفته می‌شود،  شامل چندین کار دستی است که توسط تیم‌های امنیت که به شدت مشغول کارند و به طور مفرط وقت خود را به انجام کارهای تکراری و خسته کننده می گذرانند، انجام می شود. تحت چنین شرایطی دست‌یابی به نتایج به‌موقع و قابل تکرار در پاسخ‌گویی به حوادث، غیرممکن است.

مشکلات استفاده از فرآیند سنتی و دستی پاسخگویی به حوادث یا IR

تحلیلگران SOC به طور معمول، در روند کاری روزانه خود با مشکلات بسیاری دست و پنجه نرم می‌کنند. بسیاری از این مشکلات به دلیل فرآیندهای دستی هستند که همچنان به عنوان معیار به حساب می آیند:

خستگی هشدار: تحلیلگران Tier 1 روزانه زمان زیادی را به غربال و بررسی خیل عظیمی از هشدارهای خام می‌پردازند و درتلاشند تا تهدید های واقعی را از میان تعداد قابل توجهی هشدارهای به اشتباه مثبت پیدا کنند.

فرآیندهای زائد و خسته‌کننده: بررسی فایل های Log خام و کنار هم گذاشتن وقایع مختلف و غیر یکپارچه سیستم‌ها نیازمند توجه فوق‌العاده به جزئیات است.

چرخش اطلاعات از سیستمی به سیستم دیگر: در یک واکنش به حوادث یا IR معمولا به بررسی بین 5 تا 15 منبع مانند تشخیص و پاسخ Endpoint  یا EDT ، فایروال، بدافزار و دیگر Feedهای هوش تهدیدات ، سیستم‌های منابع انسانی و… که اغلب یکپارچه نیستند، نیاز است.

تاخیر در برقراری ارتباط: علی‌رغم تلاش‌های بسیار زیاد برای بستن حوادث با نهایت سرعت ممکن، تحلیل‌گران اغلب به هنگام انتظار برای دریافت پاسخ از دیگر کارمندان و پرسنل امنیت ، تاخیرهای طولانی‌ای را متحمل می‌شوند. این مسئله می‌تواند در معرض خطر بودن یک سازمان را طولانی‌تر کند.

کمبود پرسنل ماهر: اکثر مراکز عملیات امنیت آن قدر تحت فشار مسئولیت های زیاد و دچار کمبود نیرو هستند که به سادگی قادر به بررسی تمام هشدارهای در صف نیستند. این سختی‌ها را با درنظرگرفتن نبود تحلیلگران کاملا ماهر برای پاسخگویی به نیازهای امنیتی امروزه، دو برابر می‌شود. همانطور که گزارشی در CSO منتشر شد، مطالعه ESG بر روی 620 نفر از کارمندان حرفه ای IT و امنیت سایبری در آمریکای شمالی و اروپا نشان می‌دهد که 51 درصد از پاسخگویان مدعی شده‌‌اند که سازمان‌های آنها با کمبود مشکل‌ساز مهارت‌های امنیت سایبری مواجه هستند.  طبق گزارش دفاع در برابر امنیت سایبری گروه CyberEdge «بزرگترین مانع امنیت IT ، کمبود نیروی ماهر امنیت است.»

آشنایی با راهکار Splunk Phantom، یکی از بهترین راهکارهای SOAR

ویدیوهای بیشتر درباره امنیت

مراحل  دستی پاسخ‌گویی به حوادث یا IR

یک پروسه پاسخ‌گویی به حوادث یا IR معمولی شامل مراحل و جدول زمانی ذیل است:

1 . تشخیص و اولویت‌بندی (1-3 ساعت): تحلیل‌گران زمان خود را صرف جداکردن هشدارهای به اشتباه مثبت از تهدیدات واقعی می‌کنند.

2 . جمع‌آوری اطلاعات و بررسی بیشتر(1-2روز): پس ازآن نوبت به دوره‌های طولانی چرخش اطلاعات بین سیستم‌ها، کپی و Paste کردن اطلاعات در یک فایل معمولی، تعیین آدرس IP، نام‌های ماشین‌ها، Domain controllerها و تکه‌های دیگر اطلاعات می‌رسد تا بتوان فعالیت‌کنندگان، مکان‌ها و مالکیت دارایی‌ها را مشخص کرد.

3 . اعتبارسنجی و عادی‌سازی داده‌ها (1-3 روز): اکنون تحلیل‌گران باید صحت رویدادها را تایید کنند؛ برای مثال تایید صحت دسترسی یک VPN خارجی به دلیل وجود کارمندی در آن کشور همزمان با وقوع رویداد. تحلیل‌گران به طور معمول Queryهای مختلفی را بر روی منابع داده مختلف اجرا کرده و سعی بر این دارند که نتایج حاصله از چندین منبع را یکی کرده و اطلاعات را به صورت دستی به هم مرتبط کنند تا جدول زمانبندی شده‌ای برای پیداکردن رویدادهای ناهنجار ایجاد شود.

4 . تکمیل گزارشات (1-2روز): تمام داده های قبلی به صورت گزارشی منسجم و عملی سامان‌دهی می‌شوند.

5 . پاسخ ( از چند دقیقه تا چندین هفته): بالاخره می‌توان تهدید را کاهش داد. این امر ممکن است به سادگی تغییر یک رمز عبورباشد و یا به پیچیدگی جداکردن گروهی از رایانه‌های آلوده، تنظیم مجدد آنها و سپس تضمین آموزش مناسب کارمندان که به جلوگیری از وقوع حوادث آینده کمک می‌‌کند. اگر یک حادثه منجر به نقض امنیتی داده‌ها شود، تیم پاسخ‌گویی به حوادث ممکن است مجبور شود تا بخش های اجرایی، قانونی و مارکتینگ شما را نیز مورد بررسی قرار دهد.

بیشتر بخوانید: پنج مزیت خودکارسازی امنیتی با استفاده از تکنولوژی SOAR

کاهش سربار کاری تیم پاسخگویی با حوادث با خودکارسازی و Orchestration

ترکیب درست خودکار سازی پاسخ‌گویی به حوادث وIT orchestration  قادر است زمانی که تحلیل‌گران صرف انجام مراحل دستی می کنند را به شدت کاهش دهند که این زمان اغلب از چندین روز به  چند دقیقه کاهش می‌یابد. درحالی که تا رسیدن به یک راه حل اساسی راه زیادیست، خودکارسازی و Orchestration از روش های اثبات شده برای بهبود امنیت، کارایی، هزینه و روحیه تیم‌های امنیت و سازمان‌های وابسته به آنهاست.

خودکارسازی: این اجازه را به سیستم‌ها می دهد تا کارهای تکراری و قابل پیش‌بینی که قبلا به صورت دستی در روش سنتی فرآیند پاسخ‌گویی به حوادث انجام می‌شد را مدیریت کنند در نتیجه وقت تحلیلگران را آزاد می کند تا بر مسائل پیچیده‌تر تمرکز کرده و کارهای بیشتری را به انجام برسانند.

Orchestration ( که به یکپارچه‌سازی نیز شناخته می‌شود): ورودی‌ها و خروجی‌ها را از میان سیستم‌ها و ابزار مختلف استانداردسازی کرده و قابلیت ارتباط و کنترل دو طرفه و دستگاه به دستگاه را فعال می‌کند. Orchestra که با خودکارسازی رابطه تنگاتنگی دارد به تحلیل‌گران کمک می‌کند تا در شاخص‌ها را در اولیت قرار داده و بدون نیاز به جستجو و پرسش‌های دستی، به سوالت پاسخ سریع بدهند.

Playbook پاسخ‌گویی به حوادث

یکی از راه های رایج تیم‌های SOC برای عبور از مرحله کسب مهارت، از طریق دفترچه‌های اجرایی یا Playbookهای پاسخ‌گویی به حوادث است. این Playbookها با رمزگشاییSOPها و بهترین روش‌ها برای مدیریت‌‌ انواع خاص تهدیدات، اغلب برای آموزش تازه واردان برای عملکرد موثرتر مورد استفاده قرار می‌گیرند.

مقاله های مرتبط: