در زیرساخت‌های تحلیل تهدیدات امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تحلیل اتفاقات استفاده می‌شود. به‌طور معمول، این ابزارها از کانال‌های خاصی داده‌های مورد نیاز را دریافت می‌کنند که همگی این کانال‌ها متصل به مولفه‌های کلیدی شبکه مثل سرورها و استوریج‌ها هستند. این زیرساخت‌ها، ترافیک شبکه را که از دستگاه‌های مختلف عبور می‌کند، بررسی و داده‌های مربوط به ترافیک را گردآوری می‌کنند و آن‌ها را با خط‌مشی‌ها و دیگر پارامترهای ذخیره‌شده در بانک اطلاعاتی ازقبل‌ساخته‌شده، مقایسه می‌کنند. اگر بسته‌های داده مشکوکی شناسایی شوند، این ابزارها از طریق یک داشبورد مرکزی و سیستم اطلاع‌رسانی، گزارش‌ ناهنجاری‌ها را تولید کرده و موارد بحرانی را نشانه‌گذاری می‌کنند.

یک سطح بالاتر از زیرساخت‌های تحلیل تهدیدات امنیت سایبری، راه‌حل‌های SIEM هستند که از الگوریتم‌های قدرتمند و دیگر ابزارها برای ارزیابی دقیق‌تر و بهتر ترافیک شبکه استفاده می‌کنند. سامانه‌هایSIEM ترافیک شبکه را تحلیل می‌کنند و پیشنهادهای لازم برای انجام اقدامات لازم را به کارشناسان امنیت اعلام می‌کنند. البته، در برخی موارد، این سامانه‌ها قادر به انجام خودکار برخی از کارها هستند. پلتفرم‌های تحلیل امنیت، در بالاترین سطح مجهز به ابزارهای ارزیابی تهدیدات سایبری هستند. این ابزارها با استفاده از راه‌حل‌های هوشمند و به‌ویژه یادگیری ماشین، کارهای دیگری مثل تحلیل رفتار کاربر را انجام می‌دهند تا در مورد تهدیدات و منابعی که عامل بروز حمله‌ها هستند و کاری که ممکن است یک هکر در مرحله بعد انجام دهد، به کارشناسان امنیتی اطلاعات بیشتر و دقیق‌تری بدهند. همچنین، پلتفرم‌های تحلیل امنیت قادر هستند بر اساس تجزیه‌و‌تحلیل رفتار توصیه‌هایی را ارائه دهند که از مهم‌ترین آن‌ها باید به اقدامات لازم برای کاهش سطح حمله و کاهش شدت اثرگذاری یک حمله سایبری بر فعالیت‌های تجاری اشاره کرد.

به طور معمول، همه این راه‌حل‌ها با تحلیل تهدید از طریق نظارت بر ترافیک و گزارش اتفاقات کار خود را آغاز می‌کنند. کانال‌های انتقال داده‌ها، ابزارها را به بخش‌های مختلف شبکه ارتباط می‌دهند تا داده‌های لازم را برای تحلیل گردآوری کنند.

تقریبا امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه تحت شبکه وجود دارد. شکل ۱، نشان می‌دهد که چگونه ابزارهای رایج شبکه مثل فایروال، روتر و سوئیچ به این پلتفرم‌های تحلیل‌گر متصل می‌شوند. علاوه بر این، کارشناسان امنیت آشنا به زبان‌های برنامه‌نویسی می‌توانند این ابزارها را به‌گونه‌ای سفارشی‌سازی کرده و در صورت لزوم برنامه‌نویسی کنند تا ابزار توانایی نظارت دقیق‌تر بر ترافیک شبکه و شناسایی ناهنجاری را بر مبنای الگوهای ذخیره‌شده در پایگاه داده داخلی داشته باشد. سازمان‌هایی که نیازمند مدیریت حوادث و داده‌های بیشتر هستند، قادر هستند سامانهSIEM را به‌عنوان لایه‌ای روی سامانه پایه قرار دهند.

همچنین، اگر شدت حملات سایبری به شبکه سازمانی زیاد باشد، این قابلیت وجود دارد که از پلتفرم تحلیل امنیتی دیگری نیز همزمان با SIEM استفاده کرد تا اطلاعات دقیق‌تری به‌دست آید. در چنین شرایطی، ابزارهای تحلیل امنیتی، اطلاعات را از دو سطح دیگر گردآوری می‌کنند و با استفاده از الگوریتم‌های هوشمند تحلیل‌های پیشرفته‌تری را انجام می‌دهد تا داده‌ها را بررسی و توصیه‌ها و بینش مفصل‌تری ارائه کند. لازم به توضیح است که برخی از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه می‌دهند.

مدیریت امنیت سایبری، شبیه به بازی شطرنج است. توسعه‌دهندگان نرم‌افزار دائما در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آن‌ها ارائه دهند. در نقطه مقابل، هکرها به‌شکل مستمر تکنیک‌های بدافزاری و کدهای مخرب جدیدی تولید می‌کنند تا دیوارهای آتش و دیگر سازوکارهای دفاعی شبکه را دور زده و به داده‌ها، سامانه‌ها و شبکه‌های داخلی آسیب وارد کنند.

حفاظت از داده‌های ارزشمند و حیاتی برای استمرار فعالیت‌های تجاری و محافظت از اطلاعات شخصی و هویتی کاربران، اصل مهمی است که همه شرکت‌ها باید به آن دقت نظر خاصی داشته باشند. به همین دلیل، انتظار می‌روند در سال 1402، سرمایه‌گذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از موضوعات مهمی باشد که شرکت‌ها روی آن تمرکز خواهند کرد. شاید مشاغل کوچک به‌دلیل هزینه زیادی که یک ابزار تحلیل امنیتی دارد از خرید آن صرف‌نظر کنند، اما سازمان‌های بزرگ برای استمرار فعالیت‌های تجاری مجبور به تهیه چنین ابزارهایی هستند.

ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شده‌اند. به‌طور معمول، پلتفرم‌های تحلیل امنیتی از الگوریتم‌های هوشمند استفاده می‌کنند تا پیشنهادهای لازم را برای حل مشکلات دستگاه‌ها و ترمیم آسیب‌پذیرهای دستگاه‌ها و پیشگیری از بروز اتفاقات مشابه در آینده ارائه دهند. این ابزارها، داده‌های امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر الگوریتم‌های هوشمند بررسی می‌کنند.

برای آن‌که یک پلتفرم‌ تحلیل امنیتی بتواند فرآیندهای مرتبط با نظارت بر شبکه را به‌خوبی انجام دهد مجموعه اقداماتی را انجام می‌دهد که از مهم‌ترین آن‌ها به اسکن و ارزیابی آسیب‌پذیری، تست نفوذ و شکار تهدید، اقدامات لازم برای پاسخ‌گویی به حوادث سایبری، ارزیابی رعایت استانداردها و قوانین و تشخیص و واکنش به مشکلات احتمالی مرتبط با نقاط پایانی اشاره کرد. یکی از مهم‌ترین عملکردهای این ابزارها، تحلیل رفتار است که داده‌های مربوط به اتفاقات را در شرایط مختلف بررسی می‌کنند تا بتواند اطلاعات زیر را ارائه دهند:

• ارائه الگوهای خاصی که در اجرای حملات مورد استفاده قرار گرفته است.
•  روش حمله‌ای که هکرها برای نفوذ به یک منبع از آن استفاده کرده‌اند.
•  شناسایی نشانه‌هایی که پس از حمله وجود دارند و می‌توانند اطلاعات بیشتری درباره هکرها ارائه کنند.

به طور معمول، سازمان‌های بزرگ از فناوری‌های پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده می‌کنند. با این‌حال، سازمان‌ها بر اساس تعداد و شدت حملاتی که آن‌ها را هدف می‌گیرند از ابزارهای مختلفی استفاده می‌کنند. در حالت کلی، پیشنهاد می‌شود از زیرساختی استفاده کنید که قابلیت‌های کاربردی را به‌شکل ساده ارائه می‌کند و می‌توان به‌راحتی مولفه‌های قدرتمندتری به آن افزود. نکته مهمی که باید در این زمینه به آن دقت کنید این است که ممکن است در هنگام استفاده از محصولات شرکت‌های مختلف، کار تحلیل و ارزیابی گزارش‌ها کمی سخت شود. به همین دلیل، پیشنهاد می‌کنیم قبل از سرمایه‌گذاری‌ برای خرید این راه‌حل‌ها به نکات زیر دقت کنید:

•  شرایط را مشخص کنید. به‌طور مثال آیا سامانه موجود نیاز به ارتقاء دارد؟
•  با هئیت مدیره و مدیرعامل درباره نیاز به تهیه ابزار تحلیل امنیت گفت‌وگو کنید تا بتوانید تاییده و سرمایه لازم را به‌دست آورید.
•  در رابطه با بازار، محصولات و خدمات موجود تحقیق کنید و مدل استقرار (درون‌سازمانی، در محیط ابر یا سرویس مدیریت‌شده) مناسب را انتخاب کنید.
•  گزینه‌های انعطاف‌پذیر را که با استانداردها هم‌خوانی دارند و می‌توان آن‌ها را با زیرساخت‌های موجود یکپارچه‌سازی کرد انتخاب کنید.
•  گزینه‌ها را به‌لحاظ قیمت بررسی کنید. به طور معمول، هزینه استفاده از پلتفرم‌های تحلیل امنیت ابرمحور بر مبنای حجم داده‌ای است که در هر ماه تحلیل می‌کنند. برخی محصولات هزینه‌های اولیه‌ای به‌همراه هزینه‌های نگه‌داری و دسترسی به قابلیت‌های پیشرفته دارند.
•  قابلیت‌های سامانه انتخابی را بر مبنای نیازهای جاری و پیش‌بینی‌شده‌ خود ارزیابی کنید.
•  به آموزش‌های مورد نیاز کارمندان‌ دقت کنید و از فروشنده سوال کنید که آموزش‌های لازم را ارائه می‌دهد یا خیر.
•  حجم داده‌ها و گزارش‌هایی را که در داشبورد پلتفرم انتخابی نمایش داده می‌شود بررسی کنید.
•  سطح ارزیابی و تحلیلی که ابزار انجام می‌دهد، نوع گزارش‌های ساخته‌شده و دیگر قابلیت‌هایی را که ممکن است ارزش افزوده داشته باشند بررسی کنید.
•  مشخص کنید که چگونه کاربران می‌توانند با سامانه و بخش‌های مختلف آن در ارتباط باشند، به‌ویژه اگر از یک راه‌حل ابرمحور استفاده می‌کنید.
•  دیگر خدمات ارائه‌شده توسط فروشنده مثل تست نفوذ و آسیب‌پذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری را بررسی کنید.
•  به دنبال سرویس‌هایی باشید که بالاترین سطح از هماهنگی با استانداردهای امنیت سایبری را دارند.
•  در مراحل برنامه‌ریزی و پیاده‌سازی، از چرخه حیات توسعه سیستم‌ها استفاده کنید.
•  آموزش‌ها و مستندات ارائه‌شده را به‌همراه امکان پیاده‌سازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید.

سازمان‌هایی که به دنبال افزایش حداکثر توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری هستند، بهتر است از یک ابزار تحلیل امنیت سایبری استفاده کنند. به طور معمول، این ابزارها قابلیت‌های SIEM و مدیریت گزارش اتفاقات را در قالب یک پلتفرم امنیتی واحد ترکیب می‌کنند و دیگر قابلیت‌های تحلیلی امنیتی را در قالب یک افزونه در اختیار کارشناسان امنیتی قرار می‌دهند.

ابزارهای تحلیل اتفاقات امنیتی قادر هستند به دقیق‌ترین شکل ممکن داده‌ها را تحلیل کرده و گزارش دقیقی در اختیار کارشناسان امنیتی قرار دهند، اما به همان نسبت قیمت بالایی دارند. به‌طور کلی، ابزار مناسب، امکان نظارت بیشتر بر شبکه را ارائه می‌کند، مانع از اتلاف وقت می‌شود و تشخیص‌های کاذب را به‌حداقل می‌رساند. امروزه، ابزار‌ها و پلتفرم‌های امنیت سایبری مختلفی در دسترس کارشناسان امنیتی قرار دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

•  Splunk Enterprise Security یک پلتفرم SIEM است که امکانات پیشرفته‌ای ارائه می‌کند. این ابزار به‌همراه نسخه سازمانی اسپلانک و پلتفرم ابرمحور اسپلانک، راهکار جامع و یکپارچه‌ای برای محافظت از زیرساخت‌ها ارائه می‌کند.

مزایا: سامانه قدرتمند، داشبورد مرکزی و امکانات کاربردی مختلف.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  ابزار مدیریت رویدادهای امنیتی SolarWinds نیز در گروه نرم‌افزارهای SIEM قرار می‌گیرد.

مزایا: گردآوری کارآمد داده‌ها، گزارش‌های جامع و داشبوردهای کاربرمحور روشن.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  IBM Security Guardium، یک پلتفرم حفاظت از داده‌ها است که برای شبکه‌های سازمانی بزرگ طراحی شده است.

مزایا: تحلیل‌های امنیتی دقیق، داشبوردهای روشن و قابلیت‌های دقیق نظارتی.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  LogRhythm SIEM ، یک پلتفرم SIEM است که یک لایه تحلیل امنیتی مضاعف در اختیار کارشناسان امنیتی قرار می‌دهد.

مزایا: قابلیت‌های تحلیلی پیشرفته و داشبوردهای خوش‌ساخت.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، پیچیده بودن روند ارتقاء.

•  Securonix Next-Gen SIEM ، مجهز به قابلیت‌های پیشرفته تحلیل‌های امنیتی است.

مزایا: پشتیبانی از تحلیل امنیتی، داشبورد مرکزی، گزارش‌دهی دقیق.

معایب: مورد خاصی وجود ندارد.

•  Exabeam Fusion، یک پلتفرم SIEM است که قابلیت‌های پیشرفته‌ای برای تحلیل امنیتی ارائه می‌دهد.

مزایا: قابلیت‌های تحلیلی قدرتمند، دارای نسخه ابرمحور و درون‌سازمانی.

معایب: مورد خاصی وجود ندارد.

•  ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور نیز یک ابزار جایگزین برای تحلیل تهدیدات پیشرفته است. این ابزار ابرمحور و درون‌سازمانی قابلیت‌های تحلیل امنیتی پیشرفته‌ای دارد که امکان تحلیل و بررسی ناهنجاری‌های امنیتی را به‌شکل یکپارچه دارد.

مزایا: قابلیت‌های تحلیل امنیتی، برنامه‌های کاربردی سازمانی، امکان نصب درون‌سازمانی و ابرمحور، توانایی حل مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقاء نسبتا پیچیده، هزینه‌های اضافه

•  Sumo Logic Platform with Cloud SIEM and Cloud SOAR ، یک پلتفرم ابرمحور با امکانات SIEM و هماهنگ‌سازی، خودکارسازی و واکنش امنیتی است.

مزایا: قابلیت‌های تحلیل امنیتی خوب، مقیاس‌پذیری بالا، گزارش‌دهی دقیق

معایب: مورد خاصی وجود ندارد.

•  Forcepoint Behavioral Analytics، پلتفرمی است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌کند.

مزایا: قابلیت‌های تحلیل امنیتی پیشرفته.

معایب: مورد خاصی گزارش نشده است.

•  Rapid7 InsightIDR، یک پلتفرم SIEM ابرمحور است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌دهد.

مزایا: قابلیت‌های تحلیل امنیتی سفارشی، داشبورد و گزارش‌دهی دقیق.

معایب: مورد خاصی گزارش نشده است.

•  Nemasis – Pro، پلتفرم پیکربندی و اسکن قدرتمند است که بالاترین سطح از انعطاف‌پذیر را همراه با قابلیت ارزیابی امنیتی و گزارش‌دهی متنوع در اختیارتان قرار می‌دهد.

مزایا: اسکن نامحدود منابع سازمانی، ارزیابی طیف گسترده‌ای از آدرس‌های آی‌پی با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت مبتنی بر SNMP، اسکن‌های احراز هویت مبتنی بر SMB، اسکن‌های احراز هویت مبتنی بر SSH، اسکن‌های احراز هویت ESXi، انجام انواع مختلف ارزیابی‌ها بر مبنای پروتکل‌های TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارش‌های دقیق از آسیب‌پذیری‌ها بر مبنای CVSS، ارائه داشبوردهای تعاملی و تخصصی شبکه در یک واسط کاربری قدرتمند همراه با داده‌های زمان واقعی، ارائه گزارش فعالیت‌های مشکوک پیرامون شبکه، امکان بررسی سریع تنظیمات با هدف هماهنگ بودن آن‌ها با خط‌مشی‌های ازپیش‌تعیین‌شده یا استانداردهای صنعتی PCI DSS، شناسایی شکاف‌های امنیتی در زیرساخت شبکه، شناسایی و اولویت‌بندی مخاطرات، ایجاد گزارش‌های آسیب‌پذیری‌های شناسایی‌شده مثل CVSS، Scan plugins، Port، اشتراک گزارش‌ها با تیم یا سازمان از طریق ایجاد گزارش‌ها در قالب‌های مختلف

منبع : https://www.techtarget.com/searchsecurity/tip/How-to-select-a-security-analytics-platform-plus-vendor-options

«سیسکو سیستمز» با خرید شرکت امنیت سایبری Splunk به مبلغ 28 میلیارد دلار در بزرگترین معامله تاریخ خود موافقت کرده است تا تجارت نرم‌افزاری خود را تقویت کند و از افزایش استفاده از هوش مصنوعی سرمایه گذاری کند.

انتظار می‌رود این معامله که به اتفاق آراء توسط هیئت‌مدیره‌های سیسکو و اسپلانک تایید شد، تا پایان سه‌ماهه سوم سال 2024 بسته شود، که البته مشروط به تاییدیه‌های نظارتی است.

سهام Splunk در معاملات قبل از بازار 23 درصد جهش کرد، اما همچنان حدود 10 دلار کمتر از قیمت پیشنهادی سیسکو که 157 دلار به ازای هر سهم به صورت نقدی بود، بود. سهام سیسکو نزدیک به 5 درصد کاهش یافت.

این شرکت‌ها در بیانیه‌ای مشترک گفتند: «سیسکو و اسپلانک با هم به یکی از بزرگ‌ترین شرکت‌های نرم‌افزاری جهان تبدیل خواهند شد و تحول کسب‌وکار سیسکو را به سمت درآمدهای مکرر تسریع خواهند کرد.»

انتظار می‌رود این معامله که به اتفاق آرا توسط هیئت‌مدیره‌های سیسکو و اسپلانک تایید شد، تا پایان سه‌ماهه سوم سال 2024 بسته شود که البته مشروط به تاییدیه‌های نظارتی خواهد بود.

اظهارات سیسکو درباره این معامله بزرگ

سیسکو گفت انتظار می رود که این تراکنش جریان نقدی مثبت داشته باشد و در اولین سال مالی پس از بسته شدن معامله به حاشیه ناخالص اضافه کند. علاوه بر این، رشد درآمد سیسکو و افزایش حاشیه سود را تسریع خواهد کرد.

اگر معامله متوقف شود، سیسکو موظف به پرداخت هزینه فسخ 1.48 میلیارد دلار است.

چشم انداز فناوری اطلاعات به شدت تغییر کرده است زیرا سازمان ها در سراسر جهان کسب و کار خود را دیجیتالی کرده اند و با شتاب و پذیرش هوش مصنوعی با سرعت بیشتری به تکامل خود ادامه خواهد داد. در حالی که این فناوری‌های جدید فرصت‌های گسترده‌ای را ایجاد می‌کنند، اما پیچیدگی بیشتری نیز به آن اضافه می‌کنند – برخلاف هر چیزی که تا به حال دیده‌ایم.

داده ها یکی از قدرتمندترین منابع در کسب و کار هستند و هر سازمانی برای کمک به برقراری ارتباط ایمن، اداره کسب و کار خود و اتخاذ تصمیمات حیاتی به آن متکی است. با این حال، مشتریان به روشی بهتر برای مدیریت، محافظت و باز کردن ارزش واقعی داده‌ها نیاز دارند، در حالی که در دنیایی که دائماً در حال تغییر است، انعطاف‌پذیر و ایمن باقی می‌مانند.

Cisco Security Cloud  دارای حجم وسیعی از داده‌های امنیتی ، داده‌های شبکه، هویت‌ها، ایمیل‌ها، ترافیک وب، نقاط پایانی و فرآیندها است. سیسکو با Splunk یکی از بهترین پلتفرم های داده جهان را به مجموعه امنیتی قوی سیسکو اضافه می کند. ترکیب Splunk و Cisco به کسب‌وکارها کمک می‌کند تا از تشخیص تهدید و پاسخ به پیش‌بینی و پیشگیری از تهدید حرکت کنند و سازمان‌ها در هر اندازه‌ای را ایمن‌تر و انعطاف‌پذیرتر کنند.

علاوه بر چالش‌های داده و امنیت، هوش مصنوعی مولد به سرعت در حال تغییر صنایع و ایجاد فرصت‌های جدید است. سیسکو و Splunk با هم طیف گسترده ای از داده ها را در بین برنامه ها، امنیت و شبکه می بینند. با مقیاسی که به ارمغان می آوریم و پایه ای عمیق از اعتماد، ما معتقدیم که در موقعیت بسیار خوبی قرار داریم تا مشتریان را به داده هایشان هدایت کنیم و آنها را قادر کنیم از فرصت های فراوان با هوش مصنوعی استفاده کنند.

سیسکو و Splunk با هم به این چالش‌ها رسیدگی می‌کنند و فرصت‌های جدیدی را برای سازمان‌ها در سراسر جهان با ارائه بهترین فناوری‌ها برای محافظت، اتصال و پیشبرد مأموریت‌هایشان ایجاد خواهند کرد. ما تلاش خواهیم کرد تا به مشتریان خود کمک کنیم تا آنچه را که در زیرساختشان اتفاق می‌افتد، درک کنند، سریع تصمیم بگیرند و بر اساس اطلاعات عمل کنند و به امنیت داده‌ها و کل شرکتشان، همه در یک مکان کمک کنیم.

در چند سال گذشته، سیسکو کسب‌وکار ما را برای ارائه نرم‌افزار و اشتراک‌های بیشتر متحول کرده است، در حالی که همچنان بهترین سخت‌افزار در کلاس خود را ارائه می‌کند. با پیوستن Splunk به سیسکو، تحول کسب‌وکار خود را تسریع خواهیم کرد، که به ما امکان می‌دهد نوآوری را سریع‌تر در دست مشتریان خود قرار دهیم، پیش‌بینی‌پذیری و دید بیشتری را در کسب‌وکارمان فراهم کنیم، و به رشد و ارزش سهامداران بلند مدت کمک کنیم.

این واقعاً یک روز تاریخی برای سیسکو است. ما شتاب باورنکردنی داریم و این با اضافه شدن Splunk به تیم ما بیشتر تقویت خواهد شد. با رهبری نوآوری قابل اعتماد، یک موتور عالی برای عرضه به بازار و یک فرهنگ در سطح جهانی را به ارمغان خواهیم آورد که به مشتریان ما کمک می کند تا با سرعت بیشتری حرکت کنند تا فرصت های جدید را به سرعت باز کنند. من از دیدن همه چیزهایی که با هم می توانیم به دست آوریم بسیار هیجان زده هستم.

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

•  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
•  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
•  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

‌Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

•  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
•  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
•  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
•  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها

• فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:
  

  مانیتور کردن مستمر وضعیت امنیتی

  • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

  

  اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

  • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

  

  ‌بررسی و رسیدگی سریع به تهدیدها

  • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

  انجام بررسی‌های چندگانه

  • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

  

  کلام آخر

  همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .