بررسی رویکردهای مختلف در پلتفرم‌های امنیتی، مزایا و معایب هرکدام – قسمت سوم (پایانی)

در قسمت اول مقاله در خصوص رویکردهای مختلفی که در دنیای امنیت نسبت به پلتفرم‌‍‌های امنیتی وجود دارد صحبت کردیم و درقسمت دوم به معرفی و بررسی این رویکردها پرداختیم. در این قسمت به نحوه ارزیابی پلتفرم‌های امنیتی در سازمان می‌پردازیم.

 تقسیم کردن Siloها میان SecOps، ITOps و NetOps

برای برقراری تعادل کسب‌وکار و ریسک‌های امنیتی – مقررات جدید متوسط، افزایش اختیارات هیئت رئیسه، تغییر بودجه و افزایش تاکید بر مدیریت ریسک – تقویت تیم‌های امنیتی الزامیست تا سرعت عمل افزایش یابد. پلتفرم مناسب این موارد را ممکن می‌سازد:

• جمع‌آوری سریع اجزا از سراسر محیط، تعیین حوزه حمله، یافتن ریشه حمله در چند ثانیه یا دقیقه و فعال کردن خودکارسازی توسط SecOps. بنابراین اگر تهدیدی در بمبئی شناسایی شود، یک کارمند در میلان و یک دیتاسنتر در مونترال سریعا تحت حفاظت قرار می‌گیرند.
• شتاب‌دهی و تسهیل عیب‌یابی از طریق گردش‌های کاری هماهنگ با SecOps و NetOps توسط ITOps. بدین ترتیب شناسایی و بلاک‌کردن برنامه‌های کاربردی غیرمجاز در چند دقیقه انجام می‌شود نه چند ساعت.
• مدیریت پالیسی‌ها در تمامی هزاران تجهیزات امنیت شبکه و Control Pointهای مجازی از موقعیت مبتنی بر Cloud توسط NetOps، بنابراین بدست آوردن امنیت مداوم به سادگی چند کیلک خواهد بود.

با توانمندسازی NetOps و ITOps جهت تبدیل شدن به افزونه SecOps، پلتفرم به رفع محدودیت‌هایی که از قدیم در میان تیم‌ها وجود داشتند کمک می‌کند. گردش‌های کاری هماهنگ و اجزای اشتراکی، تنگناهایی که هر یک از این تیم‌ها برای دیگری ایجاد می‌کند را از بین می‌برد (وقتی Silo شدند) و سودمندی و نتیجه را برای همه بهبود می‌دهد.

تسهیل قابلیت دید امنیتی و ایجاد گردش‌های کاری هماهنگ

کاستی‌های توانایی‌های امنیتی بسیاری از سازمان‌ها را تحت تاثیر قرار داده است. در یکی از برآورد‌های اخیر ESG/ISACA:

• 74% متخصصین امنیت سایبری گفته‌اند که کمبود توانایی‌های لازم سازمان آنها را تحت تاثیر قرار داده است. 66% این افراد گفته‌اند که بارکاری کارمندان موجود را افزایش داده‌اند.
• تقریبا نیمی از متخصصین امنیت سایبری گفته‌اند که کمبود نیرو و توانایی مانع استفاده کامل آنها از تکنولوژی‌های امنیتی موجود می‌شود.

یک راهکار این است که با اتخاذ پلتفرمی که گردش‌های‌کاری هماهنگ‌تری دارد، قابلیت دید را یکسان می‌سازد و اجزا را درمیان SecOps، ITOps و NetOps به اشتراک می‌گذارد، سودمندی را بیشتر کنیم.

به عنوان مثال، یک گردش کار معمولی را برای IT Help Desk درحالی درنظر می‌گیریم که یک Ticket درباره یک کامپیوتر کند دریافت می‌کند:

1. تکنسین IT Desk از راه دور به سرور متصل می‌گردد و می‌بیند که یک برنامه‌کاربردی از حافظه استفاده می‌کند اما بخاطر کاهش قابلیت دید نمی‌تواند ریشه آن را شناسایی کند.
2. IT تیم‌های SecOps و NetOps را درگیر می‌کند تا به اجزای بیشتری دسترسی پیدا کند. از آنجایی که آن تیم‌ها داده‌ها را به اشتراک نمی‌گذارند، ممکن است نتوانند به سرعت مشکل را شناسایی کنند.
3. پس از چند ساعت عیب‌یابی و کار با SecOps و NetOps، تکنسین تصمیم می‌گیرد تا کامپیوتر آهسته را Reimage کند.

حال تصور کنید که ITOps می‌توانست اجزا و گردش‌کار را با SecOps و NetOps به اشتراک بگذارد:

1. تکنسین IT Desk از داشبورد امنیتی– با دسترسی به لیست تمامی کاربران، تجهیزات و برنامه‌های کاربردی – و Playbook خودکار استفاده می‌کند تا به سرعت با حجم حافظه زیادی برای برنامه کاربردی را بررسی کند. آنها موظف هستند تا Endpoint را ایزوله کنند.
2. پس از شناسایی مشکل – مثلا Cryptojacking- تکنسین برنامه‌کاربردی مخرب را بلاک می‌کند.
3. تکنسین از راه دور به کامپیوتر دسترسی پیدا می‌کند تا تایید کند که برنامه‌کاربردی رمزنگار متصل نابود شده و به سادگی Endpoint را دوباره به شبکه متصل کرده است.

تمامی این رویداد بجای چندین و چند ساعت تنها 10 دقیقه طول می‌کشد و تکنسین بدون الزام SecOps و NetOps اطلاعات مناسبی برای بررسی دارد. همچنین اختلال End User در کم‌ترین حالت است.

بیشتر بخوانید: SIEM چیست | نحوه عملکرد و کاربرد SIEM در شناسایی تهدیدات

 چگونه قابلیت‌های پلتفرم امنیتی خود را ارزیابی کنیم

به هنگام سبک و سنگین کردن رویکرد‌های پلتفرمی مختلف، ممکن است به ابزارهایی که از قبل داشته‌ایم نگاهی بیاندازیم. برای مثال این پرسش منطقی است: اگر من از قبل یک SIEM داشته‌ام آیا واقعا به یک پلتفرم مبتنی بر Portfolio نیاز دارم.

پاسخ ساده به این پرسش این است: بستگی به اهداف و مشکلاتی دارد که قصد حل کردن آنها را دارید.

زمانی که برای یکپارچه‌سازی مجبور به وابستگی به چندین Vendor هستید یا بطور دستی معماری خود را طراحی می‌کنید (مانند SIEMها و SOARها)، این امر پیچیده می‌شود زیرا امنیت در طی زمان متحول شده و شما نیازمند اضافه کردن راهکارهای جدید خواهید بود. اگر هدف شما تسهیل امنیت در عین هماهنگی قابلیت دید و کنترل‌ها در سراسر شبکه، Endpointها، Cloud و برنامه‌های کاربردی است، یک پلتفرم End-to-End با یکپارچگی‌های Built-In مناسب‌تر و موثرتر است. به علاوه، می‌توان SIEM خود را به عنوان بخشی از این رویکرد از طریق دخالت هشدارهای کمتر و واقعی‌تر در سراسر یک پلتفرم مبتنی بر Portfolio به SIEM تقویت کرد تا هزینه‌های بالای عملیاتی را پس‌انداز کرد.

اجرای یک رویکرد پلتفرم End-to-End به معنای جابجایی تمامی محصولات Best-of-Bread با Wall-to-Wall Portfolio یک Vendor نیست بلکه به شما اجازه ساخت چیزی را می‌دهد که به هنگام موضع‌گیری برای تغییرات لازم در آینده به آن نیاز دارید.

بیشتر بخوانید: وظایف SOC یا مرکز عملیات امنیت چیست

شتابدهی به بررسی تهدیدات و بازیابی

زمانی که SecOps شما یک هشدار دریافت می‌کند – به عنوان مثال، بلاک‌کردن ارتباطات جانبی و اقدامات صدور و کنترل (C2) – آیا نصف روز زمان می‌برد تا یک تحلیلگر آن را شناسایی کرده و اطلاعات متناقض را مرتبط کند؟ بدون اجزا و قابلیت دید کافی، تحلیلگر ممکن است مجبور شود به سراغ تیم‌های دیگری برای یافتن ریشه فایل مشکوک برود. این امر ممکن است بیش از 5 ساعت طول بکشد و نیازمند ارتباطات چندگانه‌ای با ITOps یا تیم‌های ایمیل برای تحلیلگران SecOps باشد تا در آخر آنها بتوانند حوزه حمله را مشخص کنند، آن را مهار کرده و کاربران تحت تاثیر را بروزرسانی کنند. در همین حین، دارایی‌های شخصی یا سازمانی کاربران مورد حمله قرار گرفته و هشدارهای آنها نادیده گرفته شده است.

این ناکارآمدی اغلب به دلیل تعداد وسیع راهکارهای امنیتی است. بیشتر متخصصین امنیتی و IT که تحت بررسی قرار گرفته‌اند می‌گویند که شناسایی و پاسخگویی یک چالش است زیرا فرآیند‌های دستی بسیار زیاد هستند (67%) و بخاطر چندین Point Tool مستقل. رویکرد پلتفرم این چالش‌ها را از میان می‌برد و شناسایی، بررسی و پاسخگویی به تهدیدات را با تسهیل و خودکارسازی گردش‌های کاری SecOps شتاب می‌دهد.

در سناریو ما، یک پلتفرم زمان پاسخگویی و بازیابی تحلیلگر را به نصف کاهش داده و به SecOps اجزای درستی را می‌دهد بدون آنکه در سایر تیم‌ها تکرار شود. تحلیلگر می‌تواند سریعا به عنوان یک اقدام پیش‌گیرانه Endpoint را ایزوله کند؛ با استفاده از داشبورد امنیتی هماهنگ لیست تمامی کاربران، تجهیزات و برنامه‌های کاربردی را ببیند و سریعا ریشه اصلی فایلی که باعث Phishing و اقدامات احراز هویتی شده پیدا کند. همچنین تحلیلگر می‌تواند ببیند که سایر کاربران مورد هدف قرار گرفته‌اند یا خیر و فایل مورد نظر را در تمامی Vectorهای تهدیداتی بلاک کند بدون اینکه تیم‌های اضافی را دخالت دهد. زمانی که Endpoint اولیه به حالت عادی خود برگشت، تحلیلگر می‌تواند آن را به شبکه دوباره متصل کند.

یکپارچه‌سازی Backend و Frontend که پیش‌تر مورد بحث قرار گرفت باید از برترین شاخص‌های شما به هنگام ارزیابی پلتفرم‌های مبتنی بر Portfolio باشد زیرا نیازمند قابلیت دید هماهنگ و کنترل‌های Native است. عوامل تمایز دیگری نیز هستند که به هنگام ارزیابی قابلیت‌های پلتفرم خود و Portfolioهای داخلی باید درنظر گرفته شوند.

شاخص	به دنبال …
محافظت	راهکارهای پیاده‌سازی شده جهانی و وسیع که تمامی Vectorهای تهدیداتی و Access Pointها را پوشش می‌دهند.
هوش	یک تیم جستوجوی تهدیدات بزرگ که مشتریان بسیاری برای هوش و تحلیل موثر تهدیدات دارد
یکپارچگی	پلتفرمی که یکپارچگی و آزادی نسبی Out-of-Box را ارائه می‌دهد
Zero Trust	یک پلتفرم و Portfolio که رویکرد جامعی به Zero Trust ارائه می‌دهد

به علاوه، اکوسیستم Vendor شرکا و یکپارچگی‌های شخص ثالث را درنظر بگیرید. درحالی که Portfolio متعلق به Vendor باید بر اساس استانداردهای اینترنت و APIهای مستندشده زیرساختی محکم برای پلتفرم، مشارکت خودشان و مبادله اطلاعات ایجاد کند، به شما در بهره‌گیری حداکثری از معماری موجود نیز کمک می‌کند.

نیاز به ایمن‌سازی آینده شرکت رو به افزایش خواهد بود. صنعت امنیت باید برای تقویت و پیشرفت شما و کمک به کاهش ریسک بهتر عمل کند.

مقاله های مرتبط: