تخریب‌کنندگان مخفی SOC: سه نشانه عدم کارکرد صحیح مراکز عملیات امنیت

ما درباره توسعه  موثر امنیت خوشحال هستیم، مخصوصا مراکز عملیات امنیت یا SOCها. در طی سال‌ها، ما به این نتیجه رسیدیم که نگاه کردن دقیق به باورها، رفتارها، ضوابط صنعتی و تصمیمات مهم‌تر سازمان‌ها، حیاتی است. پیشبرد اهداف سازمان با بصیرت در کنار هوش احساسی و فهم نمای کلی حاصل از این کار همواره لازم است. در بررسی شرایط امنیتی سازمان، همیشه موارد و شواهدی وجود دارد که نشان‌دهنده وجود مشکل در مراکز عملیات امنیت هستند. در این‌جا به سه نشانه عدم کارکرد صحیح مراکز عملیات امنیت خواهیم پرداخت.

نقص‌ بررسی اطلاعات با استفاده از Notepad

بله Notepad. جالب است که با وجود تمامی پولی که خرج مراکز عملیات امنیت می‌شوند، Notepad رایج‌ترین برنامه کاربردی استفاده شده است. چرا؟ باید مشاهده کنید که تحلیل‌گران چقدر از Notepad برای Copy/Paste کردن جزئیات از SIEM و Point Solutionهای متعدد استفاده می‌کنند تا بطور دستی بفهمند که قبل، بعد و حین یک رویداد چه چیزی رخ داده است، که به نوعی به عنوان ایجاد دستی جدول زمان‌بندی معروف است.

این کار نشانه دو مشکل بزرگ‌تر است:

• یک پنجره واحد تحقیقاتی وجود ندارد. زیرا فرآیند تحقیقاتی بر راهکارهای کلیدی زیادی معطوف می‌شود.
• حوزه کلی یک رویداد هرگز شناخته نمی‌شود. چرا؟ تحقیقات نمی‌توانند خاتمه یابند زیرا قادر به درک تمام ماجرا و ابعاد امنیتی آن نیستیم.

نتیجه این کا،ر تحقیقات مستعد خطا، ناهماهنگی تحلیلی و تحلیل‌گران خسته خواهد بود.

Notepad هیچ‌ مشکلی ذاتی‌ای ندارد اما اگر مورد استفاده قرار گیرد، فهم کم‌تری از حد انتظار ما رخ خواهد داد و باید آگاه بود که این کار منجر به خستگی بیش از حد یک تحلیل‌گر امنیتی شده که ما را به سرتیتر بعدی می‌رساند.

ناتوانی تحلیلی ناشی از هشدارهای مهم بیش از حد در مراکز عملیات امنیت

به هشدارهای با اهمیت بالا، باید اول رسیدگی شود، درست است؟ شاید، شاید هم خیر.  

اگر بیش از 1000 هشدار در روز دریافت کنیم، چگونه هشدارها را الویت‌بندی و به آنها رسیدگی کنیم؟ فرآیند بررسی ما به چه شکل خواهد بود؟ در بسیاری از موارد، تلاش برای پاسخ‌گویی به حجم عظیمی از هشدارها بدترین راه فعالیت مراکز عملیات امنیت است. این کار همچنین تنها شیوه دیوانه کردن و خستگی کارکنان است.

اگر هر هشدار با اهمیت بالا توسط Point Solution ، موجب آغاز یک بررسی شود، مشکلاتی به وجود خواهد آمد. این شرایط بدتر خواهد شد اگر هر هشدار، یک تیکت باز کند. اگر چه این اتفاقی است که ما به شدت شاهد آن هستیم. این فرمول تنها باعث رفع سطحی و زودگذر یک مشکل می‌شود. کارمندان در نهایت مشغول بستن تیکتها خواهند شد و نمی‌توانند بررسی کامل را انجام دهند. درحالی که آنها وقت خود را صرف یک مشکل می‌کنند، نمی‌توانند نمای کلی حمله را ببینند.

بیشتر بخوانید: ارائه راهکارهای هوشمندانه NOC-SOC توسط فورتینت

فرهنگ رفح سطحی مشکلات همچنین مانع بررسی و ایرادزدایی جامع و کامل می‌شود. بیشتر وقت‌ها شاهد خطایی در مرور اعتبارات تحت خطر و نفوذ حمله به منابع دیگر هستیم. بنابراین، حرکات جانبی و فرآیندهای آهسته حمله (هسته تمامی نقض‌های امنیتی اصلی) حتی بخشی از تحقیق و بررسی نیستند.

بخش جالب دیگر قضیه دریافت تیکت با اهمیت بالا از یک ارائه‌دهنده خدمات امنیتی مدیریت‌شده (MSSP) تنها همراه با هشدار بدافزار و یک آدرس IP است. این یک رویداد ناقص است که نیازمند کامل‌شدن دستی توسط کارمندان است. ما نیز تیکتهای ناقص دریافت کرده‌ایم تا تنها به این سوالات پاسخ دهیم:

نام میزبان چیست و چه کسی در آن زمان به سیستم ورود کرد؟

چرا MSSP این اطلاعات مهم را فراهم نمی‌کند؟

قبل، بعد و حین رویداد مد نظر چه اتفاقی افتاد؟

تیکت‌های مهم و حساس، بدون اطلاعات کافی و کامل، بهترین راه ممکن برای مشغول کردن کارمندان است، مگر اینکه بطور کورکورانه کامل‌سازی تیکت‌ها را انجام دهید و این خودش باعث مشکل رایج بعدی می‌شود.

بیشتر بخوانید: مزیت‌های اصلی داشتن یک مرکز عملیات امنیت (SOC) چیست؟

عدم پاسخگویی کامل و صحیح

زمانی که رویدادها کامل نبوده و رفتار پایه شناخته‌شده نیست، هر بررسی دستی زمان زیادی برای انجام نیاز دارد درحالی که زمان از دست می‌رود. با فرهنگ رفع سطحی مشکلات، تحلیل‌گران در میان انبوه زیاد کار، غرق و تحت فشار هستند که تنها یک گزینه را باقی می‌گذارد:  هشداراها را Reimage کردن

با Reimage کردن، حجم بسیار زیادی از جزئیات مفید برای همیشه ناشناخته باقی می‌مانند، مگر اینکه کمکی از راه برسد. Reimaging یک سیستم ممکن است بخشی از پاسخگویی ما باشد اما نباید آن را با یک روش تحقیقاتی اشتباه گرفت مگر اینکه بتوانید این سوالات را پاسخ دهید:

قبل، بعد و حین هشدار چه اتفاقی افتاد؟

آیا این حمله یا نفوذ به سیستم‌های دیگر هم سرایت کرده؟

کدام اطلاعات اعتباری تحت خطر بودند و آیا در سیستم‌های دیگر نیز از آنها استفاده شد؟

هرگز نباید تاثیر اطلاعات اعتبارای تحت خطر را نادیده گرفت. مراکز عملیات امنیت یاید:

بفهمد که آیا یک حساب کاربری در رویداد دخیل بوده یا خیر.

یک Baseline برای رفتار عادی داشته باشد

یک پروسه کامل پاسخگویی انجام دهد

تا زمانی که تصویر کلی را درک نکنیم، قادر نخواهیم بود تا بطور موثر پاسخگو باشیم.

هزینه ایجاد ناسازگاری در مراکز عملیات امنیت

بها دادن به کارمندان و ایجاد راه‌هایی برای آرامش و خوشحالی بیشتر آنها بسیار مهم است. بدین طریق، همانطور که طی زمان مهارت‌های آنها توسعه می‌یابد آنها تبدیل به سرمایه‌هایی مهم و با ارزش برای سازمان خواهند شد. اگر اجازه دهیم عملیات و فرآیندهای بیهوده هر روز ادامه یافته و باعث ناسازگاری و خستگی شوند، هیچ کس ارزشمند نمی‌شود. نادیده گرفتن تاثیرات حجم زیادی از اطلاعات بر انسان، زمان هدر رفته بسیار زیاد، هشدارهای بیش از حد و محتوای بسیار کم تنها مانع رشد تیم و مدیریت سازمان خواهد شد.

باید به شکایت‌های کارمندان گوش کرد. این‌ها رایج‌ترین آنها هستند:

جست‌وجوی Log چهار ساعت طول کشید. من دیشب تا ساعت 3 صبح نخوابیدم.

ما Logهای مربوطه را نداریم، بنابراین نمی‌دانم که کدام سیستم آلوده شده است.

تیکتهای MSSP زباله‌اند و به درد نمی‌خورند.

فرد جدید از فرآیند ما پیروی نکرد.

به عنوان یک رهبر و مدیر، وظیفه باید به دنبال ایده‌آل‌ها بوده و قابلیت‌هایی ایجاد کرد که برنامه‌های امنیتی را از همتایان صنعتی متفاوت ساخت، اما در ابتدا، باید درباره فرآیندهای ناقص، دستی و ناسازگار در عملیات تیم بازنگری انجام شود.