آنالیز امنیتی (Security Analytics) ترکیبی است از نرمافزار، الگوریتم و فرآیندهای تحلیلی بهکاررفته به منظور شناسایی تهدیدات احتمالی برای سیستمهای IT. به لطف پیشرفت سریع بدافزارها و دیگر Exploitهای سایبری، نیاز به فناوریهای آنالیز امنیتی رو به افزایش است. بنابه گزارش Verizon در سال 2018 تحت عنوان «Data Breach Investigations»، سرقت دادههای حساس برای مجرمین سایبری تنها چند دقیقه، یا حتی چند ثانیه، زمان میبرد اما کشف نقضهای امنیتی ممکن است برای واحد IT سازمانها ساعتها، یا حتی گاهی روزها و هفتهها، به طول بینجامد. در بسیاری از موارد این نقضهای امنیتی توسط بخشهای خارجی، نظیر مجریان قانون یا یکی از مشتریها، برطرف میگردد.
هکرها از تاکتیکهای خلاقانهای برای نفوذ به سیستمهای IT استفاده میکنند. آسیبپذیریهای برنامههای کاربردی Patchنشده را تقویت میکنند، اسکریپتهای مقیم در حافظهای (Memory-Resident) میسازند که برای اسکنرهای بدافزار غیرقابل شناسایی هستند و از Phishing و دیگر انواع مهندسی اجتماعی استفاده میکنند تا از سیستمهای امنیتی IT بگریزند. با توجه به یافتههای گزارش Verizon، قریب به سهچهارم (73%) حملات سایبری از خارج صورت گرفته است که نیمی از آنها عضو گروههای سازمانیافتهی تبهکار بودهاند و 12% نیز توسط ملل یا ادارات دولتی متخاصم انجام شده است. این رویکردهای خلاقانه، شناسایی و بلاک مهاجمین احتمالی را پیش از گریز آنها، برای سازمانهای IT معمولی دشوار میسازد و تحلیلگران اذعان داشتهاند که اوضاع بدتر هم میشود. پژوهشگران McAfee پیشبینی میکنند که سازمانهای تبهکار به کسبوکارهای بزرگتر و قویتری با خدمات بدافزاری تجمیع خواهند شد و منابعی خواهند داشت تا راهکارهای امنیتی قدیمی – مانند نرمافزارهای آنتیویروس، فایروالها و سیستمهای شناسایی و پیشگیری از موارد تهدیدآمیز – برای آن که بتوانند از این گروههای تبهکار حرفهای پیشی بگیرند، به خودکارسازی و تحلیل Real-time نیاز خواهند داشت تا حملات سایبری را شناسایی و از آنها پیشگیری کنند و این امر مستلزم آنالیز امنیتی است.
بیشتر بخوانید: SIEM چیست | نحوه عملکرد و کاربرد SIEM در شناسایی تهدیدات
راهکار آنالیز امنیتی یا Security Analytics چیست؟
برنامههای کاربردی آنالیز امنیتی هم از دادههای قدیمی و هم از دادههای Real-time استفاده میکنند تا تهدیدات را شناسایی کرده و ماهیت آنها را تشخیص دهد. منابع اطلاعات عبارتاند از:
- هشدارهای Real-time از Workstationها، سرورها، حسگرها، دستگاههای سیار و سایر Endpointها
- Feedهای Real-time از دیگر برنامههای کاربردی امنیتی IT (فایروالها، پیشگیری از نفوذ، شناسایی و پاسخ Endpoint و غیره)
- حجم ترافیک شبکه و انواع آن
- لاگهای سرور
- Feedهای هوش تهدیدات Third-party
آنالیز امنیتی، دادهها را از منابع مختلف ادغام کرده و به دنبال همبستگیها و اختلالات موجود در دادهها میگردد.یک ابزار آنالیز امنیتی ممکن است برای تحلیل دادهها از روشهای مختلفی استفاده کند که مشتمل بر روشهای قدیمی مبتنی بر قواعد (Rules-based) و همچنین تحلیلهای آماری و یادگیری ماشینی است. همچنین این برنامهی کاربردی میتواند جهت خودکارسازی و هماهنگسازی رویدادها، سایر اجزا را ادغام کند.
آشنایی با قابلیت های شگفت انگیز Splunk Enterprise برای سازمان ها
ویدیوهای بیشتر درباره امنیت
اجزای اصلی یک راهکار آنالیز امنیتی
- آنالیز رفتاری: رفتار غیر عادی کاربران نهایی (End-users) یا برنامههای کاربردی غالبا نشانگر حمله یا نقض امنیتی هستند. آنالیز رفتاری، الگوهای کاربر، برنامهی کاربردی و رفتار دستگاه را مورد بررسی قرار میدهد تا اختلالات را شناسایی کند. به عنوان مثال، شرکتهای خدمات مالی آنالیز رفتاری را به کار میگیرند تا کلاهبرداریهای کارت اعتباری را شناسایی کنند. برداشتی با مبلغ بالا و غیرمعمول یا یک برداشت یک دلاری آزمایشی، ممکن است نشانگر یک شماره کارت ربودهشده باشد. به علاوه، یک کاربر نهایی که در ساعت 2 نیمهشب برای دسترسی به سیستمهایی که برای کار ضروری نیستند Log On میکند، یا یک برنامهی کاربردی که ارسال Queryها و دستورات غیرمعمولی را آغاز میکند، ممکن است حاکی از یک نقض امنیتی باشند.
- قابلیت دید و آنالیز شبکه (NAV): دستگاه یا برنامهی کاربردی NAV ترافیک را از کاربران نهایی و برنامههای کاربردی در سرتاسر جریان آن در شبکه، آنالیز میکند. در گزارش «Security Analytics Platforms» در سال 2018 از Forrester Wave نیز NAV به عنوان مجموعه ابزاری تعریف شده است که شامل شناسایی شبکه، آنالیز دادههای جاری، آنالیز Metadataی شبکه، آنالیز و Capture کردن Packet و جرمشناسی شبکه میشود.
- هماهنگسازی، خودکارسازی و پاسخ امنیتی (SOAR): هماهنگسازی، خودکارسازی و پاسخ امنیتی همان Hub هماهنگسازی است که ارتباطات بین گردآوری دادهها، موتور آنالیز و برنامههای کاربردی پاسخ به تهدیدات را کنترل میکند. چه برنامهی کاربردی آنالیز امنیتی و چه یک محصول خارجی مانند برنامهی کاربردی مدیریت رویداد و اطلاعات امنیتی (SIEM)، میتوانند قابلیتهای SOAR را ارائه کنند. یک SIEM دادههای موجود در ترافیک شبکه، رویدادهای سیستم و ریسکهای احتمالی را جمعآوری میکند و سپس عملکردهای تحلیلی، مانند آنالیز آماری و همبستگی، را اجرا میکند.
بیشتر بخوانید: مزایای امنیتی ادغام یادگیری ماشین و UEBA (آنالیز رفتار موجودیت کاربر)
- جرمشناسی: راهکارهای آنالیز امنیتی دادهها به منظور بررسی حملات گذشته یا آتی ابزار ارائه میکنند، چگونگی ایجاد تهدید برای سیستمهای IT را تعیین میکنند و آسیبپذیریهای باقیمانده را نیز شناسایی میکنند. این امر کمک میکند که بتوانیم اطمینان حاصل کنیم که رویدادهای مشابه در آینده رخ نخواهند داد. McAfee MVISION EDR یکی از ابزار جرمشناسی است که حاوی هوش مصنوعی است تا به هدایت بررسی، کمک کند. ابزار جرمشناسی میتواند برای تهدید موجود، اولویتبندی اقدامات لازم (Triage) و نیز مدیریت مورد ارائه کند تا علائم بهدستآمده از یک حملهی مشکوک را ساماندهی و خلاصه کند.
- هوش تهدیدات خارجی: هوش تهدیدات (TI) به خودی خود آنالیز امنیتی نیست. اما پلتفرمهای TI، یا به اختصار TIP، به یک فرآیند تحلیلی ساختار میدهند. یک شرکت نرمافزار و خدمات امنیتی ممکن است از Feed هوش تهدیدات به عنوان بخشی از راهکار خود، برخوردار باشد. از نمونه Feedهای هوشمند میتوان به Automated Indicator Sharing یا AIS رایگان از Department of Homeland Security و Ransomware Tracker، یک سایت امنیتی سوئیسی که بر ردیابی و مانیتورینگ وضعیت نامهای دامین، IPها و URLهای مرتبط با باجافزار تمرکز دارد، اشاره کرد. McAfee Global Threat Intelligence یک سرویس Reputation مبتنی بر Cloud، جامع و Real-time است که Reputation Scoreها را بر اساس دادههای تهدید جمعآوریشده از چندین منبع، برای میلیاردها فایل، URL، دامین و IP توسعه میدهد. این منابع شامل میلیونها حسگر جهانی، که توسط McAfee Labs مانیتور و آنالیز میشوند، Feedهای تهدید از شرکای پژوهشی و اطلاعات وب، ایمیل و دادههای تهدید شبکه میباشد.
این سه جزء به یک برنامهی کاربردی آنالیز امنیتی کمک میکنند تا حملات سایبری پیچیده، شامل تهدیدات دائمی پیشرفته (APT)، را شناسایی و از آنها پیشگیری کنند. APTها در چند مرحله اجرا میشوند که هریک به تنهایی ممکن است بیضرر به نظر برسند، اما در کنار هم ممکن است یک نقض امنیتی ایجاد کنند. غالبا APTها را حملات ترکیبی مینامند زیرا از چندین تاکتیک استفاده میکنند. به علاوه، ممکن است با ایمیلی آغاز شوند که حاوی یک لینک یا ضمیمهی مخرب است. زمانی که یک Endpoint آلوده گردد، مهاجم میتواند به سایر سیستمها نیز دسترسی بیابد.
مشاوره رایگان پیادهسازی سامانه SIEM توسط کارشناسان شرکت APK – تماس با شماره 5-88539044-021
مزایای آنالیز امنیتی (Security Analytics)
ابزار آنالیز امنیتی میتوانند برای موارد ذیل مزایایی داشته باشند:
- شناسایی و واکنش سریع: آنالیز امنیتی سرعت شناسایی و پاسخ به تهدیدات سایبری را افزایش میدهد. پاسخ سریع میتواند به IT کمک کند تا از آسیب نقض امنیتی پیشگیری کند یا بکاهد.
- تطبیقپذیری: یکی از عوامل مهم در مارکت آنالیز امنیتی، نیاز به تطبیقپذیری با مقررات دولتی و صنعتی است. برخی مقررات مستلزم مانیتورینگ و مجموعه Log برای ممیزی و جرمشناسی میباشند و برنامههای کاربردی آنالیز امنیتی میتوانند دید یکپارچهای از تمام رویدادهای جاری دادهها ارائه کنند. این امر اثباتی است هم برای تطبیقپذیری و هم برای قابلیت شناسایی و رفع Instanceهای تطبیقناپذیر احتمالی.
آنالیز امنیتی میتواند به سازمان IT کمک کند تا حجم دادههای جاری در و بیرون شبکه را بهتر بشناسد و تهدیدات احتمالی را سریعا شناسایی کند. برنامهی کاربردی آنالیز امنیتی میتواند با ارائهی هوش Real-time و یک رکورد قدیمی از تهدیدات پیشین، از سازمان در برابر حملات سایبری یا نقضهای امنیتی احتمالی و زیانبار دادهها محافظت کند. امنیت سیستمهای IT و دادههای یک سازمان به طرز رو به افزایشی به داشتن یک راهکار آنالیز امنیتی موثر و کارآمد بستگی دارد.
