شناسایی یک پلت فرم امنیت سایبری که سرمایه گذاری شما را برای سال های آینده به حداکثر می رساند

شکستن یک حمله سایبری موفق در ساده ترین شکل آن؛ بازیگران تهدید از رایانه‌هایی که طراحی شده‌اند استفاده می‌کنند که قرار است صدها میلیون عملیات در ثانیه را بر اساس دستورالعمل‌های تاریک اما خلاقانه انجام دهند. خوب، پس جایی در اینترنت باید یک کارمند ناراضی مایکروسافت وجود داشته باشد، درست است؟

هکرها با داشتن ایده ای مانند هدف قرار دادن کارمندان ناراضی، می توانند از ترکیبی از فیلم های آموزشی، ابزارهای منبع باز و اینترنت پرسرعت برای جمع آوری یک نام کاربری و یک نقطه ورود به شبکه هدف، با خراش دادن اینترنت به دنبال انسان مورد نظر خود استفاده کنند. رفتار در قالب متن درخواست از یک رایانه معمولی برای اسکن کل وب سایت به دنبال الگوی خاصی را می توان در چند دقیقه در هر دستگاهی از جمله تلفن هوشمند با یک خط کد انجام داد، مانند این

: Cewl -e –email_file emaillist.txt https://yourcompanieswebsite. com/.

یک انجمن وب که در آن شخصی از تمام حروف بزرگ استفاده می کند یا جملاتی را با بیش از یک علامت تعجب دنبال می کند؟ کاربر ناراضی شناسایی شد! نام کاربری یافت شده در یک فروم ممکن است به یک عامل تهدید اجازه دهد تا بردارهای تهدید دیگری مانند آدرس‌های ایمیل، حساب‌های فیس‌بوک یا لینکدین را تغییر دهد. همه ما از نام های کاربری مشابه در سرویس های وب استفاده می کنیم، درست است؟ رفتارهای اضافی در مورد هدف را می توان توسط عامل تهدید ایجاد کرد که سوء استفاده های بالقوه تاریک اما خلاقانه تر را ایجاد می کند که بر برداشت نقاط ورودی بالقوه بیشتر تمرکز می کند. در مرحله بعد، با این کاربر در چندین پلتفرم دوست شوید و در مورد آنها و نحوه ارتباط آنها با همتایان خود بیاموزید. از طریق یک پیام خصوصی از آنها مدارک مورد نیاز را جوری بپرسید که مشکوک نباشد. دسترسی به شبکه هدف به دست آمد.

آسیب‌پذیری‌های انسانی را می‌توان به آسیب‌پذیری‌های واقعی تبدیل کرد، و همه ما می‌دانیم که انسان‌ها گونه‌ای غیرقابل پیش‌بینی هستند، بنابراین سطح حمله روان انسان نامحدود است.

اینگونه است که بازیگران تهدید سایبری همچنان نشان می‌دهند که می‌توانند حملات سایبری موفق ظاهراً در همه جا از جمله حملات علیه سازمان‌های بزرگ مانند مایکروسافت، که از پیشرفته‌ترین سیستم‌های دفاعی امنیت سایبری استفاده می‌کنند، انجام دهند.

مصنوعات امنیت سایبری – مصنوعات مسیرهایی هستند که پشت سر گذاشته می شوند.

وقتی از دور به جزئیات تهدیدات جدید سایبری نگاه می کنیم، مهمترین سوالی که باید پرسید این است که تحلیلگران چگونه به این مصنوع دست یافته اند؟ دوستداران فیلم های اکشن، مانند من، یک موقعیت تاکتیکی را تصور می کنند که در آن یک S.W.A.T “سریع”. تیم قبل از شکستن پنجره ها و دستگیری هکر از پشت بام با استفاده از طناب و هلیکوپتر وارد محل هکرها می شود. در حالی که تحت بازجویی شدید، هکر در نهایت اسرار آنها را افشا می کند و کد منبع را به ماموران نشان می دهد. تمام آسیب پذیری ها از این طریق حل می شوند، درست است؟ از شوخی که بگذریم، پاسخ بسیار کمتر عملی است.

ابتدایی‌ترین شبکه‌ها، از جمله شبکه‌های خانگی، مملو از میلیون‌ها مصنوع یا ردپای دیجیتالی کوچکی هستند که در داخل هر دستگاه یافت می‌شوند. تحلیلگران با وارد شدن به دستگاه ها، کشیدن مصنوعات و در نهایت حل پازل با بازآفرینی داستان با همبستگی مصنوعات از دستگاه های مختلف، جزئیات حملات را به دست می آورند.

رعایت امنیت سایبری

بر اساس تجربه من، مجموعه مصنوعات با رعایت امنیت سایبری هدایت می شود. انطباق با امنیت سایبری شامل کنترل های مختلفی است که معمولاً توسط یک مرجع نظارتی، قانون یا گروه صنعتی برای محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن داده ها وضع می شود. تعداد کنترل هایی که باید انجام شوند در صنعت متفاوت است و تعداد کنترل ها بر اساس حساسیت داده هایی که قصد محافظت از آنها را دارند افزایش می یابد.

اجرای شناسایی دارایی و ذخیره سازی متعاقب آن مصنوعات دارایی در قالب گزارش‌های سیستم و رویدادها، کنترل‌های رایجی هستند که استانداردهای انطباق را در بسیاری از صنایع نفوذ می‌کنند.

هر دو الزامات کنترلی با هم کار می کنند و از طریق فرآیند سازمان ها را وادار می کنند تا تمام دارایی های خود را شناسایی و مستند کنند و سپس اطمینان حاصل کنند که مصنوعات دارایی در یک سیستم مدیریت رویداد اطلاعات امنیتی یا به اختصار (SIEM) ذخیره می شوند. بله، حتی آن چاپگر قدیمی گرد و غباری که هیچ کس از آن استفاده نمی کند، نیازی به فشار دادن گزارش های دستگاه خود به SIEM ندارد.

به طور خلاصه هدف از کنترل های ترکیبی این است که سازمان ها را به جمع آوری و ذخیره سازی هر چه بیشتر مصنوعات از هر چه بیشتر دستگاه ها سوق دهد تا زمانی که یک حادثه رخ می دهد، تحلیلگران بهترین شانس را برای شناسایی نقض داشته باشند.

مدل‌سازی واکنش و رفتار حادثه

Incident Response (IR) مجموعه ای از سیاست ها و رویه های امنیت اطلاعات است که حملات سایبری را شناسایی، مهار و حذف می کند. یک طرح IR خوب معمولاً شامل اطلاع رسانی به مقامات هنگام مشکوک شدن به یک حادثه جدید است. سازمان‌هایی مانند اداره تحقیقات فدرال (F.B.I.) تحلیلگران پزشکی قانونی را اعزام می‌کنند که بلافاصله به مجموعه داده‌های SIEM سازمان‌ها دسترسی پیدا می‌کنند و شروع به شناسایی مصنوعات جالب می‌کنند. مصنوعات جالب در کنار میلیاردها نمونه معمولی دفن شده‌اند، اما شامل گزارش‌های اتصال فایروال، آی‌پی‌های متصل به برنامه‌ها، رویدادهای تشخیص و پاسخ گسترده (EDR) و فعالیت حساب کاربر می‌شوند.

ترکیب مصنوعات جالب از هر دستگاه در نهایت تحلیلگران را به شناسایی شاخص‌های سازش (IoC) سوق می‌دهد. شماره فلش: CU-000163-MW RagnarLocker Ransomware Indicators of Compromise نمونه اخیری از کار تحلیلگران در این زمینه است.

IoCهای استخراج شده از میدان به صورت دیجیتالی با جامعه چند ملیتی Cyber Warriors به اشتراک گذاشته می شود. اشتراک‌گذاری شامل مستندسازی مدل‌های رفتاری حملات جدید در پایگاه‌های دانش مانند MITER ATT&CK و سپس ساختن و آپلود بیانیه STIX 2.0 در جامعه است که می‌تواند توسط پلتفرم‌های دفاع امنیت سایبری دانلود و استفاده شود.

انتخاب یک پلت فرم امنیت سایبری که سرمایه گذاری شما را برای سال های آینده به حداکثر می رساند

پلتفرمی که بهترین عملکرد را داشته باشد و برای سال‌های آینده بیشترین ارزش را داشته باشد، مانند یک تحلیلگر میدان مجازی عمل می‌کند که با سرعت کامپیوتری جریان‌های مصنوعات دستگاه را تجزیه می‌کند. این ابزار مصنوعات را از برنامه‌ها، دستگاه‌های شبکه و منابع ابری از هر مکانی به مجموعه داده SIEM خود وارد می‌کند که به طور مؤثری هوشمندی را در یک معماری باز متمرکز می‌کند. با لایه های امنیتی موجود و جدید کار می کند، نه در جای آنها. مانند یک تحلیلگر، مصنوعات زیرساخت امنیتی محیطی و سایر تله متری های امنیتی را به هم مرتبط می کند. با بازیابی منظم عبارات STIX 2.0 از جدیدترین داده های اطلاعاتی تهدید آگاه خواهد شد و هر مصنوع وارد شده به سیستم را به دنبال جزئیاتی که با چیز بدی مطابقت دارد اسکن می کند. این پلتفرم باید مجموعه داده SIEM خود را از طریق یک سیستم یادگیری ماشینی تعبیه شده عبور دهد تا رفتارهای شناخته شده در مورد محیط فناوری قابل درک باشد. هوش مصنوعی (AI)، ابزاری که اکثر عوامل تهدید نمی توانند از آن استفاده کنند، باید برای شناسایی و گزارش رفتارهای مشکوک یا غیرعادی استفاده شود. هوش مصنوعی باید داستان هایی بسازد که به استانداردهای صنعتی مانند چارچوب Mitre ATT&CK ارجاع داده شود تا در صورت شناسایی یک رشته اقدامات مخرب در شبکه به تحلیلگران انسانی ارائه شود. همانطور که هوش مصنوعی بهبود می یابد، به سادگی به عنوان یک به روز رسانی سیستم در آینده معرفی می شود.

نتایج نهایی باید بستری باشد که بتواند به طور مداوم هرگونه سوء استفاده تاریک خلاقانه ای را که توسط بازیگران تهدید راه اندازی شده است شناسایی کند. یک سوء استفاده تاریک خلاقانه مانند؛ پیدا کردن حساب‌های کارمند ناراضی که برای اولین بار خارج از ساعات کاری عادی خود از قاره دیگری و از آدرس IP که در حال حاضر توسط یک آژانس اطلاعاتی پرچم‌گذاری شده است، به شبکه وارد می‌شوند.

جمع بندی

طبقه‌بندی پلتفرم همانطور که توضیح داده شد معمولاً به عنوان تشخیص و پاسخ گسترده (xDR) شناخته می‌شود و نباید با تشخیص و پاسخ نقطه پایانی (EDR) اشتباه گرفته شود. به کنار قرارداد نامگذاری گیج کننده، زمانی که یک پلت فرم xDR شناسایی می شود، دقت بیشتری در مورد دوره نگهداری گزارش پلت فرم مورد نیاز است. اکثر پلتفرم‌های xDR یک دوره نگهداری مصنوع غیرمنطبق در اطراف مجموعه داده‌های SIEM تعبیه‌شده خود دارند. این دوره کوتاه‌تر به این دلیل است که ML و AI با چالش‌های عملکردی مواجه می‌شوند، زمانی که از آنها خواسته می‌شود به داده‌های بیش از ۳ ماه نگاه کنند، بنابراین بسیاری از پلتفرم‌ها داده‌های مصنوع را بسیار کوتاه‌تر از دوره‌های نگهداری داده‌های نظارتی تجزیه می‌کنند. بنابراین، در حالی که این پلتفرم‌های xDR مقرون به صرفه هستند، یک راه‌حل سنتی SIEM نیز باید برای برآورده کردن دوره‌های نگهداری داده‌های نظارتی پیاده‌سازی شود. خوشبختانه برخی از فروشندگان xDR می توانند حفظ ورود به سیستم را تا 7 سال افزایش دهند و بنابراین به راه حل های نسل بعدی واقعاً جامع تبدیل شوند.

ترجمه:

پیشگامان تجارت امن ایرانیان