وبلاگ

اتوماسیون گسترده عملیات امنیت سایبری می تواند یک تغییر بازی باشد مفهومی از اتوماسیون امنیتی دفتر کل به سرعت در حال پیشرفت

حملات سایبری پیچیده تر می شوند و اثرات مخرب آنها بیشتر می شود در تجارت و جامعه هستند افزایشمهندس دیدنی و جذاب – تماشایی. زیاد سازمان ها هستند از این رو به دنبال بهبود امنیت خود هستند قابلیت های نظارت و واکنش به حادثه چنین مواردی اغلب ایجاد می شوند در عملیات ویژه امنیتی جورودی ها (SOC) و تیم های پاسخگویی به حوادث امنیت رایانه (CSIRT).

اگرچه این گونه SOC ها و CSIR در طول دهه گذشته به طور قابل توجهی تکامل یافته اند، هنوز فاصله زیادی بین مهاجمان و مدافعان وجود دارد. مخصوصا جایی که یک حمله سایبری خودکار می تواند باشد راه اندازی شد فقط چند ثانیه، تشخیص و پاسخ اغلب ممکن است طول بکشد روزها، هفته ها یا حتی ماه.

ریچارد کرکدایکمشاور ارشد فناوری امنیت سایبری در شرکت تحقیقاتی مستقل هلندی TNOگفت: “وقتی یک تیم SOC اطلاعیه یک حادثه مشکوک را دریافت می کند، باید تجزیه و تحلیلی را جمع آوری کند و مناسب ترین پاسخ را پیدا کند.

“برای تهدیدها و رویدادهای رایج – شناخته شده -، روش پاسخ اغلب استاندارد شده است، اما کارهای اساسی مانند جستجوی رویدادهای مرتبط یا ارجاع متقابل به منابع اطلاعاتی موجود هنوز هم ممکن است زمان ببرد. و اگر رویداد استثنایی تر باشد، تحلیلگران نیاز دارد برای حفاری حتی بیشتر.

SOC و CSIRT عملیات اغلب به شدت متکی است شخص تلاش و تجربه. تیاو دقیقا همان چیزی است که باعث حال می شود عدم تطابق بین سرعت حمله و سرعت واکنش. مگر اینکه تغییرات اساسی ساخته شده، کرکدایک گفت عدم تعادل خواهد شد حتی بیشتر افزایش یافت از جانب عملیات SOC و تیم های CSIRT پیچیده تر می شود.

“زیرساخت هایی که تیم های SOC و CSIRT از آنها محافظت می کنند به طور فزاینده ای پیچیده و متنوع می شوند. شبکه های محلی سنتی اکنون با شبکه های مختلف در هم تنیده شده اند مبتنی بر ابر خدمات و زیرساخت‌ها و از طریق تعداد زیادی دستگاه (موبایل) قابل دسترسی است. این امر درک رویداد امنیتی را ذاتاً دشوار می کندبا به طور کامل و آماده پاسخ موثر در تمام فناوری های درگیر“

برای معکوس کردن این روند، به چیزی شبیه a نیاز داریم تغییر دهنده ی بازی و گسترده اتوماسیون عملیات امنیت سایبری می تواند همینطور اتفاق بیفتد.

“کرکدیک گفت: پتانسیل زیادی برای اتوماسیون در فرآیندهای امنیتی عملیاتی وجود دارد. “یک محرک آشکار برای چنین اتوماسیونی، افزایش سرعت تجزیه و تحلیل و پاسخ است، اما همچنین می‌تواند تحلیلگران امنیتی را از کارهای معمول (تکراری) رها کند و منابع را برای فعالیت‌های پیچیده‌تر آزاد کند. شکار تهدید یا در حال پردازش اطلاعات تهدیدات سایبری“

یک پیشرفت کلیدی در اتوماسیون SOC و CSIRT، ظهور اتوماسیون امنیتی کتاب محور است. ماهیت این مفهوم این است که رویدادهای خاص و از پیش تعریف شده یک گردش کار پاسخ استاندارد را راه‌اندازی می‌کنند که با دخالت کم یا بدون دخالت انسانی اجرا می‌شود. چنین گردش های کاری در حالت قابل خواندن توسط ماشین ثبت می شوند کتاب های امنیتی که توالی از پیش تعیین شده از وظایف تحقیقاتی یا اصلاحی را دیکته می کنند.

کرکدیک گفت: «به طور سنتی، دستورالعمل‌ها و دستورالعمل‌های پاسخ به حادثه دستورالعمل‌های مستندی برای تحلیلگران و اپراتورهای انسانی بودند. با این حال، هنگامی که در قالبی قابل خواندن توسط ماشین کامپایل می شوند، اجرای آنها می تواند خودکار باشد. فناوری اجرای خودکار یک کتابچه راهنمای امنیتی از قبل وجود داشته است و معمولاً به عنوان هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ یا SOAR شناخته می‌شود.

Kerdijk افزود: «SOC ها اغلب یک سیستم مدیریت اطلاعات امنیتی و رویداد (SIEM) را اجرا می کنند که داده ها را از زیرساخت محافظت شده جمع آوری می کند و رویدادها و هشدارهایی را برای تحلیلگران ایجاد می کند تا آنها را ردیابی کنند. SOAR یک راه حل نسل بعدی است که در آن بیشتر پاسخ به صورت خودکار انجام می شود.

پیاده‌سازی‌های SOAR کنونی معمولاً بر خودکار کردن تجزیه و تحلیل یک رویداد تمرکز می‌کنند (مثلاً جستجوی رویدادهای مرتبط، که به طور سنتی شامل کپی پیست و alt-tab بین صفحه‌های مختلف است).

با این حال، در نهایت، SOAR همچنین می‌تواند کاهش واقعی حادثه را با پیکربندی مجدد خودکار کنترل‌های امنیتی و عملکردهای شبکه هماهنگ کند. این می تواند منجر به صرفه جویی زیادی در زمان شود. کردیک گفت که برداشتن گام نهایی به سمت کاهش حوادث کاملاً خودکار اغلب یک چالش تکنولوژیکی نیست، بلکه یک چالش سازمانی است.

او گفت: «امروزه SOCها هیچ یا فقط وظیفه محدودی برای ایجاد تغییرات زیرساختی ندارند. «فرآیندها حکم می‌کنند که آن‌ها چنین تغییراتی را از تیم‌های فناوری مسئول درخواست کنند – معمولاً با تهیه بلیط پشتیبانی. Uاگرچه اجرای خودکار اقدامات پاسخ از نظر فنی امکان پذیر است، همچنین نیازمند بازبینی رویه های پشتیبانی فناوری اطلاعات و دستور تیم های SOC و CSIRT است.

بالاخره این سیستم ها باید به صورت کاملاً خودکار عمل کنند و با افزایش استقلال کرکدیک گفت: «بله، نیاز به اعتماد به چنین سیستمی دارد. “ما هنوز آنجا نیستیم. تیفناوری باید به سطحی توسعه یابد که بتوانیم به آن اعتماد کنیم، و تیکلاه زمان می برد

منهای دیگر خدمات اتوماسیون امنیت سایبری فعلی این است که این فناوری اغلب اختصاصی است. ممحور SOAR تصمیمات هستند از این رو فروشنده خاص، به این معنی که فقط کتاب های پخش با فرمت مشخص شده توسط آن فروشنده خاص قابل اجرا هستند.

یک تحول مهم در حال حاضر این است OASIS است استاندارد سازی امنیت فرمت های کتاب بازی. TNO وااز نزدیک در جریان است استاندارد CACAOv2 برای امنیت قابل خواندن توسط ماشین کتاب – بازی کرکدیک گفت: «از طریق استانداردسازی، کتاب‌های راهنما غیرقانونی و مستقل از فروشنده SOAR می‌شوند که با آن کار می‌کنید.

“آنها همچنین می توانند بین سازمان ها به اشتراک گذاشته شوند، حتی اگر آنها دقیقاً از همان راه حل SOAR استفاده نکنند. در حالی که کتاب بازیبا نمیتونه باشه توسط سایر سازمان ها به تصویب رسید یکی بر یکی چون هر زیرساخت است ناهمسان به اشتراک گذاری یک کتاب بازی خلاصه قالب ها به سازمان ها می دهد مفید پایه که با آن می توانند پیکربندی بیشتری انجام دهند پارامترهای خودشان.”

در حرکت رو به جلو، Kerkdijk انتظار دارد که به اشتراک گذاری کتابچه های امنیتی در قالب استاندارد CACAO به عنوان مکملی برای تبادل اطلاعات تهدیدات سایبری موجود در جامعه باشد. بنابراین، هر سازمانی مجبور نیست چرخ را برای هر حادثه یا رویدادی دوباره اختراع کند.

TNO معتقد است که نیاز به خدمات SOAR باز برای پیشبرد توسعه و پذیرش این فناوری وجود دارد. پژوهشکده، بنابراین، ساخته شده است پیشنهاد اختصاصی SOAR و آن را به عنوان فناوری منبع باز در اواسط مارس منتشر کرد.

کرکدیک به Computer Weekly گفت: «ما مدافع قوی راه حل های باز و استاندارد هستیم. بنابراین، ابزار SOARCA ما فاقد وابستگی به فروشنده است و با پشتیبانی بومی برای استاندارد CACAOv2 ارائه می‌شود. ما آن را به‌عنوان منبع باز منتشر کرده‌ایم تا جامعه متخصصان SOC و CERT بتوانند آزادانه مفهوم اتوماسیون امنیتی مبتنی بر کتاب را آزمایش کنند و امیدواریم به پیشرفت بیشتر آن کمک کنند.

پامنیت مدیریت شده توسط laybook اتوماسیون می تواند در زمان قابل توجهی و به صورت رایگان صرفه جویی کند زمان تحلیلگر برای انجام تحلیل های پیچیده تر از موارد کمتر شناخته شده یا حوادث جدید در نهایت خواهد شد سازمان دادن وسیله ای از جذاب باقی بماند تحت تعقیب متخصصان امنیتی

او گفت: «متخصصان SOC و CSIRT تقاضای زیادی دارند. “اگر آنها خود را از کارهای خسته کننده و تکراری رها کنند سرویس برای کارهای چالش برانگیزتر، می توانم تصور کنم که کار آنها جالب تر می شود و حفظ آنها آسان تر می شود.

TNO است دنبال کردن انواع فناوری‌های نوآورانه اتوماسیون امنیت سایبری. «به عنوان مثال، ما به این موضوع می پردازیم مفهومی که ما به آن می گوییم خودکار امنیت کرکدیک گفت. “چه زمانی نظارت بر امنیت سیستم ها هشدار می دهند، tفرآیند استدلال به سمت تشخیص و تعیین راه درست به جلو هنوز تا حد زیادی کار متخصصان انسانی است. ما معتقدیم که با استفاده از فناوری‌ها برای مدل‌سازی زیرساخت‌ها و رفتار حملات سایبری، می‌توان این فرآیند را مستقیماً پشتیبانی کرد.»

TNO همچنین تحقیقات گسترده ای در این زمینه انجام می دهد سیستم های خود ترمیمی که به طور مستقل تهدیدات و حملات را پیش بینی می کنند، در برابر آن مقاومت می کنند و بهبود می یابند. این مفهوم الهام گرفته شده است حفاظت مدل های سیستم ایمنی انسان و اعمال میشود اصولی مانند بازسازی سلولی به زیرساخت های امنیت سایبری.

SOC و CSIRT این کار را انجام خواهند داد تا حدودی به این دلیل که تغییرات زیادی در چشم‌انداز تهدید وجود دارد، در سال‌های آینده ظاهر متفاوتی به خود می‌گیرد، اما همچنین زیرا زیرساختکه تیم های SOC و CSIRT از آن محافظت می کنند به طور قابل ملاحظه در حال توسعه و از یک فرمان جدیدبا پسندیدن NIS2، بر قانون امنیت سایبری و Cyber ​​Shield با یک تلاش جدید همراه خواهد شدبا“ کرکدایک گفت. “خودکارسازی فرآیندهای SOC و CSIRT خواهد بود شاید نقش اساسی در این امر ایفا کند ادامه دارد توسعه.“