کارشناسان حوزه امنیت و شبکه، از نرمافزارها و ابزارهای مختلف برای گردآوری اطلاعات کاربردی و لحظهای (Realtime) درباره اتفاقات شبکه و فعالیتهای مشکوک استفاده میکنند تا بتوانند راهکارهای پیشگیرانهای برای مقابله با حملات سایبری متنوع و پیشرفته اتخاذ کنند. یکی از ابزارهای قدرتمندی که این گروه از متخصصان از آن استفاده میکنند، زیرساخت تحلیل امنیت (Security Analytics Platform) است. یک راهحل کلیدی که تیمهای بزرگ امنیت سایبری سازمانها از آن استفاده میکنند. در این مقاله، قصد داریم شما را با این ابزارها، اهمیت آنها و کاری که انجام میدهند، نحوه عملکردشان و گزینههایی که برای انتخاب وجود دارند، آشنا کنیم.
در زیرساختهای تحلیل تهدیدات امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تحلیل اتفاقات استفاده میشود. بهطور معمول، این ابزارها از کانالهای خاصی دادههای مورد نیاز را دریافت میکنند که همگی این کانالها متصل به مولفههای کلیدی شبکه مثل سرورها و استوریجها هستند. این زیرساختها، ترافیک شبکه را که از دستگاههای مختلف عبور میکند، بررسی و دادههای مربوط به ترافیک را گردآوری میکنند و آنها را با خطمشیها و دیگر پارامترهای ذخیرهشده در بانک اطلاعاتی ازقبلساختهشده، مقایسه میکنند. اگر بستههای داده مشکوکی شناسایی شوند، این ابزارها از طریق یک داشبورد مرکزی و سیستم اطلاعرسانی، گزارش ناهنجاریها را تولید کرده و موارد بحرانی را نشانهگذاری میکنند.
یک سطح بالاتر از زیرساختهای تحلیل تهدیدات امنیت سایبری، راهحلهای SIEM هستند که از الگوریتمهای قدرتمند و دیگر ابزارها برای ارزیابی دقیقتر و بهتر ترافیک شبکه استفاده میکنند. سامانههایSIEM ترافیک شبکه را تحلیل میکنند و پیشنهادهای لازم برای انجام اقدامات لازم را به کارشناسان امنیت اعلام میکنند. البته، در برخی موارد، این سامانهها قادر به انجام خودکار برخی از کارها هستند. پلتفرمهای تحلیل امنیت، در بالاترین سطح مجهز به ابزارهای ارزیابی تهدیدات سایبری هستند. این ابزارها با استفاده از راهحلهای هوشمند و بهویژه یادگیری ماشین، کارهای دیگری مثل تحلیل رفتار کاربر را انجام میدهند تا در مورد تهدیدات و منابعی که عامل بروز حملهها هستند و کاری که ممکن است یک هکر در مرحله بعد انجام دهد، به کارشناسان امنیتی اطلاعات بیشتر و دقیقتری بدهند. همچنین، پلتفرمهای تحلیل امنیت قادر هستند بر اساس تجزیهوتحلیل رفتار توصیههایی را ارائه دهند که از مهمترین آنها باید به اقدامات لازم برای کاهش سطح حمله و کاهش شدت اثرگذاری یک حمله سایبری بر فعالیتهای تجاری اشاره کرد.
به طور معمول، همه این راهحلها با تحلیل تهدید از طریق نظارت بر ترافیک و گزارش اتفاقات کار خود را آغاز میکنند. کانالهای انتقال دادهها، ابزارها را به بخشهای مختلف شبکه ارتباط میدهند تا دادههای لازم را برای تحلیل گردآوری کنند.
تقریبا امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه تحت شبکه وجود دارد. شکل ۱، نشان میدهد که چگونه ابزارهای رایج شبکه مثل فایروال، روتر و سوئیچ به این پلتفرمهای تحلیلگر متصل میشوند. علاوه بر این، کارشناسان امنیت آشنا به زبانهای برنامهنویسی میتوانند این ابزارها را بهگونهای سفارشیسازی کرده و در صورت لزوم برنامهنویسی کنند تا ابزار توانایی نظارت دقیقتر بر ترافیک شبکه و شناسایی ناهنجاری را بر مبنای الگوهای ذخیرهشده در پایگاه داده داخلی داشته باشد. سازمانهایی که نیازمند مدیریت حوادث و دادههای بیشتر هستند، قادر هستند سامانهSIEM را بهعنوان لایهای روی سامانه پایه قرار دهند.
همچنین، اگر شدت حملات سایبری به شبکه سازمانی زیاد باشد، این قابلیت وجود دارد که از پلتفرم تحلیل امنیتی دیگری نیز همزمان با SIEM استفاده کرد تا اطلاعات دقیقتری بهدست آید. در چنین شرایطی، ابزارهای تحلیل امنیتی، اطلاعات را از دو سطح دیگر گردآوری میکنند و با استفاده از الگوریتمهای هوشمند تحلیلهای پیشرفتهتری را انجام میدهد تا دادهها را بررسی و توصیهها و بینش مفصلتری ارائه کند. لازم به توضیح است که برخی از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه میدهند.
مدیریت امنیت سایبری، شبیه به بازی شطرنج است. توسعهدهندگان نرمافزار دائما در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آنها ارائه دهند. در نقطه مقابل، هکرها بهشکل مستمر تکنیکهای بدافزاری و کدهای مخرب جدیدی تولید میکنند تا دیوارهای آتش و دیگر سازوکارهای دفاعی شبکه را دور زده و به دادهها، سامانهها و شبکههای داخلی آسیب وارد کنند.
حفاظت از دادههای ارزشمند و حیاتی برای استمرار فعالیتهای تجاری و محافظت از اطلاعات شخصی و هویتی کاربران، اصل مهمی است که همه شرکتها باید به آن دقت نظر خاصی داشته باشند. به همین دلیل، انتظار میروند در سال 1402، سرمایهگذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از موضوعات مهمی باشد که شرکتها روی آن تمرکز خواهند کرد. شاید مشاغل کوچک بهدلیل هزینه زیادی که یک ابزار تحلیل امنیتی دارد از خرید آن صرفنظر کنند، اما سازمانهای بزرگ برای استمرار فعالیتهای تجاری مجبور به تهیه چنین ابزارهایی هستند.
ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شدهاند. بهطور معمول، پلتفرمهای تحلیل امنیتی از الگوریتمهای هوشمند استفاده میکنند تا پیشنهادهای لازم را برای حل مشکلات دستگاهها و ترمیم آسیبپذیرهای دستگاهها و پیشگیری از بروز اتفاقات مشابه در آینده ارائه دهند. این ابزارها، دادههای امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر الگوریتمهای هوشمند بررسی میکنند.
برای آنکه یک پلتفرم تحلیل امنیتی بتواند فرآیندهای مرتبط با نظارت بر شبکه را بهخوبی انجام دهد مجموعه اقداماتی را انجام میدهد که از مهمترین آنها به اسکن و ارزیابی آسیبپذیری، تست نفوذ و شکار تهدید، اقدامات لازم برای پاسخگویی به حوادث سایبری، ارزیابی رعایت استانداردها و قوانین و تشخیص و واکنش به مشکلات احتمالی مرتبط با نقاط پایانی اشاره کرد. یکی از مهمترین عملکردهای این ابزارها، تحلیل رفتار است که دادههای مربوط به اتفاقات را در شرایط مختلف بررسی میکنند تا بتواند اطلاعات زیر را ارائه دهند:
- ارائه الگوهای خاصی که در اجرای حملات مورد استفاده قرار گرفته است.
- روش حملهای که هکرها برای نفوذ به یک منبع از آن استفاده کردهاند.
- شناسایی نشانههایی که پس از حمله وجود دارند و میتوانند اطلاعات بیشتری درباره هکرها ارائه کنند.
به طور معمول، سازمانهای بزرگ از فناوریهای پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده میکنند. با اینحال، سازمانها بر اساس تعداد و شدت حملاتی که آنها را هدف میگیرند از ابزارهای مختلفی استفاده میکنند. در حالت کلی، پیشنهاد میشود از زیرساختی استفاده کنید که قابلیتهای کاربردی را بهشکل ساده ارائه میکند و میتوان بهراحتی مولفههای قدرتمندتری به آن افزود. نکته مهمی که باید در این زمینه به آن دقت کنید این است که ممکن است در هنگام استفاده از محصولات شرکتهای مختلف، کار تحلیل و ارزیابی گزارشها کمی سخت شود. به همین دلیل، پیشنهاد میکنیم قبل از سرمایهگذاری برای خرید این راهحلها به نکات زیر دقت کنید:
- شرایط را مشخص کنید. بهطور مثال آیا سامانه موجود نیاز به ارتقاء دارد؟
- با هئیت مدیره و مدیرعامل درباره نیاز به تهیه ابزار تحلیل امنیت گفتوگو کنید تا بتوانید تاییده و سرمایه لازم را بهدست آورید.
- در رابطه با بازار، محصولات و خدمات موجود تحقیق کنید و مدل استقرار (درونسازمانی، در محیط ابر یا سرویس مدیریتشده) مناسب را انتخاب کنید.
- گزینههای انعطافپذیر را که با استانداردها همخوانی دارند و میتوان آنها را با زیرساختهای موجود یکپارچهسازی کرد انتخاب کنید.
- گزینهها را بهلحاظ قیمت بررسی کنید. به طور معمول، هزینه استفاده از پلتفرمهای تحلیل امنیت ابرمحور بر مبنای حجم دادهای است که در هر ماه تحلیل میکنند. برخی محصولات هزینههای اولیهای بههمراه هزینههای نگهداری و دسترسی به قابلیتهای پیشرفته دارند.
- قابلیتهای سامانه انتخابی را بر مبنای نیازهای جاری و پیشبینیشده خود ارزیابی کنید.
- به آموزشهای مورد نیاز کارمندان دقت کنید و از فروشنده سوال کنید که آموزشهای لازم را ارائه میدهد یا خیر.
- حجم دادهها و گزارشهایی را که در داشبورد پلتفرم انتخابی نمایش داده میشود بررسی کنید.
- سطح ارزیابی و تحلیلی که ابزار انجام میدهد، نوع گزارشهای ساختهشده و دیگر قابلیتهایی را که ممکن است ارزش افزوده داشته باشند بررسی کنید.
- مشخص کنید که چگونه کاربران میتوانند با سامانه و بخشهای مختلف آن در ارتباط باشند، بهویژه اگر از یک راهحل ابرمحور استفاده میکنید.
- دیگر خدمات ارائهشده توسط فروشنده مثل تست نفوذ و آسیبپذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری را بررسی کنید.
- به دنبال سرویسهایی باشید که بالاترین سطح از هماهنگی با استانداردهای امنیت سایبری را دارند.
- در مراحل برنامهریزی و پیادهسازی، از چرخه حیات توسعه سیستمها استفاده کنید.
- آموزشها و مستندات ارائهشده را بههمراه امکان پیادهسازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید.
سازمانهایی که به دنبال افزایش حداکثر توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری هستند، بهتر است از یک ابزار تحلیل امنیت سایبری استفاده کنند. به طور معمول، این ابزارها قابلیتهای SIEM و مدیریت گزارش اتفاقات را در قالب یک پلتفرم امنیتی واحد ترکیب میکنند و دیگر قابلیتهای تحلیلی امنیتی را در قالب یک افزونه در اختیار کارشناسان امنیتی قرار میدهند.
ابزارهای تحلیل اتفاقات امنیتی قادر هستند به دقیقترین شکل ممکن دادهها را تحلیل کرده و گزارش دقیقی در اختیار کارشناسان امنیتی قرار دهند، اما به همان نسبت قیمت بالایی دارند. بهطور کلی، ابزار مناسب، امکان نظارت بیشتر بر شبکه را ارائه میکند، مانع از اتلاف وقت میشود و تشخیصهای کاذب را بهحداقل میرساند. امروزه، ابزارها و پلتفرمهای امنیت سایبری مختلفی در دسترس کارشناسان امنیتی قرار دارند که از مهمترین آنها به موارد زیر باید اشاره کرد:
- Splunk Enterprise Security یک پلتفرم SIEM است که امکانات پیشرفتهای ارائه میکند. این ابزار بههمراه نسخه سازمانی اسپلانک و پلتفرم ابرمحور اسپلانک، راهکار جامع و یکپارچهای برای محافظت از زیرساختها ارائه میکند.
مزایا: سامانه قدرتمند، داشبورد مرکزی و امکانات کاربردی مختلف.
معایب: سختی و پیچیدگی در یادگیری کار با ابزار.
- ابزار مدیریت رویدادهای امنیتی SolarWinds نیز در گروه نرمافزارهای SIEM قرار میگیرد.
مزایا: گردآوری کارآمد دادهها، گزارشهای جامع و داشبوردهای کاربرمحور روشن.
معایب: سختی و پیچیدگی در یادگیری کار با ابزار.
- IBM Security Guardium، یک پلتفرم حفاظت از دادهها است که برای شبکههای سازمانی بزرگ طراحی شده است.
مزایا: تحلیلهای امنیتی دقیق، داشبوردهای روشن و قابلیتهای دقیق نظارتی.
معایب: سختی و پیچیدگی در یادگیری کار با ابزار.
- LogRhythm SIEM ، یک پلتفرم SIEM است که یک لایه تحلیل امنیتی مضاعف در اختیار کارشناسان امنیتی قرار میدهد.
مزایا: قابلیتهای تحلیلی پیشرفته و داشبوردهای خوشساخت.
معایب: سختی و پیچیدگی در یادگیری کار با ابزار، پیچیده بودن روند ارتقاء.
- Securonix Next-Gen SIEM ، مجهز به قابلیتهای پیشرفته تحلیلهای امنیتی است.
مزایا: پشتیبانی از تحلیل امنیتی، داشبورد مرکزی، گزارشدهی دقیق.
معایب: مورد خاصی وجود ندارد.
- Exabeam Fusion، یک پلتفرم SIEM است که قابلیتهای پیشرفتهای برای تحلیل امنیتی ارائه میدهد.
مزایا: قابلیتهای تحلیلی قدرتمند، دارای نسخه ابرمحور و درونسازمانی.
معایب: مورد خاصی وجود ندارد.
- ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور نیز یک ابزار جایگزین برای تحلیل تهدیدات پیشرفته است. این ابزار ابرمحور و درونسازمانی قابلیتهای تحلیل امنیتی پیشرفتهای دارد که امکان تحلیل و بررسی ناهنجاریهای امنیتی را بهشکل یکپارچه دارد.
مزایا: قابلیتهای تحلیل امنیتی، برنامههای کاربردی سازمانی، امکان نصب درونسازمانی و ابرمحور، توانایی حل مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP
معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقاء نسبتا پیچیده، هزینههای اضافه
- Sumo Logic Platform with Cloud SIEM and Cloud SOAR ، یک پلتفرم ابرمحور با امکانات SIEM و هماهنگسازی، خودکارسازی و واکنش امنیتی است.
مزایا: قابلیتهای تحلیل امنیتی خوب، مقیاسپذیری بالا، گزارشدهی دقیق
معایب: مورد خاصی وجود ندارد.
- Forcepoint Behavioral Analytics، پلتفرمی است که قابلیتهای UEBA پیشرفتهای ارائه میکند.
مزایا: قابلیتهای تحلیل امنیتی پیشرفته.
معایب: مورد خاصی گزارش نشده است.
- Rapid7 InsightIDR، یک پلتفرم SIEM ابرمحور است که قابلیتهای UEBA پیشرفتهای ارائه میدهد.
مزایا: قابلیتهای تحلیل امنیتی سفارشی، داشبورد و گزارشدهی دقیق.
معایب: مورد خاصی گزارش نشده است.
- Nemasis – Pro، پلتفرم پیکربندی و اسکن قدرتمند است که بالاترین سطح از انعطافپذیر را همراه با قابلیت ارزیابی امنیتی و گزارشدهی متنوع در اختیارتان قرار میدهد.
مزایا: اسکن نامحدود منابع سازمانی، ارزیابی طیف گستردهای از آدرسهای آیپی با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت مبتنی بر SNMP، اسکنهای احراز هویت مبتنی بر SMB، اسکنهای احراز هویت مبتنی بر SSH، اسکنهای احراز هویت ESXi، انجام انواع مختلف ارزیابیها بر مبنای پروتکلهای TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارشهای دقیق از آسیبپذیریها بر مبنای CVSS، ارائه داشبوردهای تعاملی و تخصصی شبکه در یک واسط کاربری قدرتمند همراه با دادههای زمان واقعی، ارائه گزارش فعالیتهای مشکوک پیرامون شبکه، امکان بررسی سریع تنظیمات با هدف هماهنگ بودن آنها با خطمشیهای ازپیشتعیینشده یا استانداردهای صنعتی PCI DSS، شناسایی شکافهای امنیتی در زیرساخت شبکه، شناسایی و اولویتبندی مخاطرات، ایجاد گزارشهای آسیبپذیریهای شناساییشده مثل CVSS، Scan plugins، Port، اشتراک گزارشها با تیم یا سازمان از طریق ایجاد گزارشها در قالبهای مختلف