با بالا رفتن حجم و پیچیدگی حملات سایبری، مراکز عملیات امنیتی، Security Operations Centers یا SOCs به کانون اصلی فرآیندها و فناوری برای دفاع و واکنش در سازمانها تبدیل شده اند. ولی مشکل اینجاست که اکثر مدیران IT و کسب و کار، سطح واقعی آسیب پذیری خود را به درستی نمیدانند. آنها هیچ دید روشنی نسبت به تمام آسیب پذیری های احتمالی که ممکن است منجر به سوءاستفاده شود، ندارند، چه رسد به ابزاری برای رفع آنها. اما سازمان ها میتوانند با استفاده از یک SOC مبتنی بر تجزیه و تحلیل، تهدیدات مدرن را بشناسند. یک SOC موفق ضمن تسریع و ارتقاء وضعیت امنیتی خود، میتواند تشخیص و واکنش به حوادث را بهبود بخشد.
نقش SOC چیست؟ و بررسی آن در جلوگیری از حملات سایبری
نقشی که SOC در جلوگیری از حملات سایبری ایفا میکند نسبتاً ساده است. SOC به جای واکنش غیرمجاز به حملات سایبری، سازمان های IT را قادر میسازد تا با تمرکز بر مدیریت امنیت در مجموعه ای از فرآیندهای کاملاً مشخص، زمینه را به سرعت فراهم کنند.
اساس کار یک SOC چیست؟ اساس کار SOC بر مدیریت تغییر و نگهداری دستگاه های امنیتی و نظارت بر گزارش و رویدادهایی است که اساساً توسط یک Security Information and Event Management یا SIEM اداره می شوند. اکثر سازمانهای IT در حال حاضر به محیط های ITی وابسته هستند که مدیریت و امنیت آنها بدون SOC، در حد توان انسان ها نیست.
مطالعه اخیر نشان داد که یک SOC مبتنی بر هوش یا Intelligence-Driven SOC با افزودن هوش تهدیدات، تجزیه و تحلیل، خودکارسازی و قابلیت های تحقیق از طریق سیستم امنیتی اتخاذ شده وضعیت امنیتی کلی هر سازمان را به طور قابل توجهی بهبود میبخشد.
قابلیتهای ضروری برای یک SOC مبتنی بر تجزیه و تحلیل
پنج قابلیت اساسی مورد نیاز برای یک SOC هوشمند، یا مبتنی بر تجزیه و تحلیل را که بتوان آنرا یک SOC پیشرفته دانست، برشمرد شامل: هوش تهدیدات، خودکارسازی، توانایی کشف و بررسی فعالانه و اتخاذ یک معماری امنیتی سازگار میباشد.
ویدیوهای بیشتر درباره SOC
تکامل یک SOC
Common Virtual SOC: که در SOC متشکل از تحلیلگران از راه دور، بدون امکانات اختصاصی است.
Multifunction NOC/SOC: مناسب برای زمانی که سازمان ها قابلیت های عملیاتی مانند NOC یا Helpdesk را با هم ترکیب میکنند.
Command SOC: مانند SOCی که اغلب در شرکتهای چند ملیتی مشاهده میشود.
Co-Managed SOC: مانند زمانی که MSSP بخشی از وظایف SOC را انجام میدهد.
Crew SOC: که مانند یک آتشنشانی داوطلب دست به کار میشود، مانند زمانی که افراد برای تجزیه و تحلیل و پاسخگویی به هنگام حادثه جمع میشوند.
تجزیه و تحلیل پیشرفته و فراگیری ماشینی
یک پلتفرم امنیتی مدرن ترکیبی از ابزارهای کیفی پیشرفته مبتنی بر الگوریتم های یادگیری ماشینی، ابزارهای دادهکاوی و شبیه سازیها با روشهای سنتی Query گرفتن و بررسی داده ها است. برای شناسایی تهدیدات نوظهور در متن به طور مداوم و جامع، با هرگونه تغییر غیرعادی در رفتار End-User، باید از اطلاعات امنیتی استفاده شود.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
Splunk Enterprise Security یا ES تجزیه و تحلیل پیشرفته از طریق الگوریتمها و تکنیک های یادگیری ماشینی را برای شناسایی ناهنجاری ها و الگوهایی که بررسی و کشف را سرعت می بخشند، ادغام میکند. یادگیری ماشینی نه تنها به تشخیص تغییرات غیرمنتظره و مشاهدات غیرمعمول Trends و Outliers کمک میکند، بلکه میتواند اختلال ایجاد شده توسط تمام وقایع رخ داده در مقادیر زیاد داده را از بین ببرد. این تکنیک های یادگیری ماشینی همچنین میتوانند با استفاده از Splunk’s Machine Learning Toolkit و Splunk User Behavior Analytics تنظیم شوند.
هوش تهدیدات
تیمهای امنیتی باید بتوانند از نظر تاکتیکی و استراتژیک از هوش تهدیدات استفاده کنند. صرفا جمع آوری هوش تهدیدات به عنوان بخشی از یک تلاش سیستماتیک برای از بین بردن آسیب پذیریها کافی نیست. شاخصهای تهدید بالقوه مانند فایلهای Hashe، آدرسهای IP، مقادیر رجیستری، نام سرویس ها، فرایندها، URLها، ویژگیهای ایمیل و ویژگیهای Certificate، مانند نام مشترک یا شماره سریال باید با آسیبپ ذیری های شناخته شده، منابع تهدید و غیره مرتبط باشند. Spunk ES شامل چارچوب اطلاعاتی برای جمع آوری هوش تهدیدات است که به طور خودکار Feed تهدیدها را از مجموعه گسترده ای از منابع جمع آوری، ذخیره و تکثیر میکند. این چارچوب شامل ورودیهای ماژولار است که هوش تهدیدات داده و جستجوهای Lookup-Generation را به منظور کاهش داده ها برای عملکرد بهینه، جمع آوری و بی اثر Sanitize میکند.
بیشتر بخوانید: مزایای ترکیب نرمافزار Zoom و Splunk در دورکاری
این چارچوب همچنین شامل تعدادی داشبورد Audit است که امکان جستجو در درون اطلاعات را برای بازیابی، عادی سازی، ماندگاری و تجزیه و تحلیل هوش تهدیدات فراهم میکند. که شامل دسترسی به بیش از 30 منبع خارج از Box است که از استانداردهای STIX / TAXII ،OpenIOC و Facebook، و همچنین فعالیت تهدیدات و Threat Artifact Dashbord که میتوان آنرا برای کشف سریع انواع خاص تهدیدها به کار گرفت، پشتیبانی میکند.
خودکارسازی
سازمانهای IT باید عملکردهای امنیتی را در هر زمان و هر مکان بسته به مشخصات ریسک سازمان خودکارسازی کنند. گاهی اوقات نیمه خودکارسازی لازم است زیرا SOC Legacy ممکن است به کارکنان بیشتری احتیاج داشته باشد. در طی یک نقض امنیتی، وقتی صحبت از امنیت سایبری به میان است، ابزارهای مورد استفاده نباید معلوم شوند.
بیشتر بخوانید: آشنایی با قابلیت های FortiSIEM و نحوه شناسایی تهدیدات Insider
پاسخ به حمله باید در عرض چند ثانیه آغاز شود تا اطلاعات بیشتری از دست نروند. سازمانها باید مراقب باشند که فقط با تکیه بر نادرست بودن فرایندهای دستی، قابلیت ردیابی Audit trial و یا شواهد را برای اهداف قانونی از بین نبرند. Splunk ES شامل یک چارچوب مشترک برای تعامل با داده ها و فراخوانی اقدامات است.
Adaptive Response Framework در Enterprise Security قرار دارد و به بهینه سازی هوش تهدیدات و اصلاح زمینه های مبتنی بر گردش کار کمک میکند. از Adaptive Response میتوان به منظور خودکارسازی برای انجام کارهای معمول، تسریع در تشخیص و ساده سازی واکنش ها استفاده کرد. این چارچوب توانایی ثبت و تنطیم اقدامات واکنشی خودکار را ارایه میدهد یا کمکی را فراهم می نماید و سازمانها را قادر میسازد تا از محصولات امنیتی موجود خود، از جمله فایروال، IDS / IPS ،Endpoint، هوش تهدیدات ، واکنش به حادثه و هویت، با استفاده از Splunk ES به عنوان پلتفرم مرکزی هوش امنیتی، بهره ببرند.
تحلیلگران همچنین میتوانند اقدامات را به صورت خودکار انجام دهند یا اقدامات واکنشی را به صورت جداگانه بررسی نمایند تا بتوانند به سرعت زمینه های بیشتری را جمع آوری کنند یا اقدامات مناسب را در سراسر Multi-Vendor Security Ecosystem انجام دهند.
