دسته بندی: مقالات

۲ درصد از اعتبارات هزینه‌ای دستگاه‌های اجرایی، صرف امنیت سایبری ‌می‌شود

به موجب اسناد منتشر شده از لایحه بودجه کشور، در بند «ز» این لایحه به موضوع امنیت سایبری پرداخته شده است. بر اساس این بند، دستگاه‌های اجرایی موظف هستند که تا ۲ درصد از اعتبارات هزینه‌ای خود را به امنیت شبکه و پیش‌گیری از وقوع حوادث امنیتی سایبری در دستگاه خود اختصاص دهند. در « بند ز » تبصره ۷ آمده است: «تمام دستگاه‌های اجرایی موضوع ماده ۲۹ قانون برنامه پنج‌ساله ششم توسعه و شرکت‌های دولتی و نهادها و سازمان‌هایی که از بودجه عمومی استفاده می‌کنند، مکلفند یک تا دو درصد از اعتبارات هزینه‌ای‌(به استثنای فصول ۱ و ۴ و ۶) یا تملک دارایی‌های سرمایه‌ای خود را برای تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت‌ها و امنیت سامانه‌های خود و پیش‌گیری موثر از وقوع حوادث امنیتی سایبری در دستگاه خود اختصاص دهند.» طبق آنچه در این سند ذکر شده، مسوولیت تامین امنیت سایبری شبکه و سامانه‌های دستگاه‌های اجرایی بر عهده بالاترین مقام دستگاه اجرایی بوده و نظارت و صدور تاییدیه در این مورد بر عهده وزارت ارتباطات و فناوری اطلاعات با همکاری وزارت اطلاعات است. آیین‌نامه اجرایی این بند به پیشنهاد مشترک وزارت ارتباطات و فناوری اطلاعات‌(مسوول) و وزارت اطلاعات و سازمان برنامه‌وبودجه کشور ظرف مدت دوماه پس از لازم‌الاجرا شدن این قانون تهیه و به تصویب هیات وزیران خواهد رسید.

تکلیف امنیت سایبری دستگاهها در لایحه بودجه

بیشتر بخوانید

برای غلبه بر حمله‌های هکری و تلاش هکرها برای نفوذ به شبکه‌های سازمانی، شرکت‌ها باید شناخت دقیقی درباره نحوه پیاده‌سازی حمله‌های سایبری داشته باشند. بر همین اساس، مهم است با مهم‌ترین حملات سایبری آشنا باشید تا بدانید شبکه ارتباطی سازمان با چه تهدیدهایی روبرو است.

هکرها همچون گذشته، برای کنجکاوی و تفریح به شبکه‌های سازمانی حمله نمی‌کنند، بلکه در قالب جرایم سازمان‌ یافته به نهادهای خصوصی و دولتی حمله می‌کنند تا اطلاعات آن‌ها را سرقت کنند. در حالی که اخلال و خرابکاری با هدف کسب درآمد هنوز رواج دارد، اما جاسوسی اصلی‌ترین هدفی است که هکرها در هنگام حمله به زیرساخت‌ها دنبال می‌کنند. انگیزه هرچه که باشد، تیم‌های امنیتی مجبور هستند برای حفظ امنیت سیستم‌های فناوری اطلاعات خود سخت تلاش کنند.

حملات سایبری هر روز علیه سازمان‌ها انجام می‌شود و طبق گزارشی که شرکت امنیتی چک‌پوینت منتشر کرده، در سه ماهه چهارم سال 2021، اوج حملات سایبری هفتگی به بیش از 900 حمله به هر سازمان رسیده است. این در حالی است که سال 2021 میلادی اداره فناوری اطلاعات ایالات متحده اعلام کرد، 34.9 میلیون رکورد نقض به ثبت رسیده است.

پژوهش انجام شده توسط موسسه تحقیقاتی RiskIQ نشان می‌دهد جرایم سایبری در هر دقیقه خسارت سنگینی به سازمان‌ها وارد می‌کنند. در شرایطی که برخی از هزینه‌ها ملموس هستند، در نقطه مقابل، برخی دیگر ناپیدا هستند. در هر دو حالت، حمله‌های سایبری باعث از دست رفتن مستقیم دارایی‌ها، کاهش درآمد و بهره‌وری، سبل اعتماد از برند و غیره می‌شوند.

آمارها نشان می‌دهند، جرایم سایبری حول محور سوء استفاده از آسیب‌پذیری‌ها هستند، این درست همان نقطه‌ای است که تیم‌های امنیتی در آن نقطه ضعف دارند، زیرا باید اطلاع دقیقی در ارتباط با همه نقاط ورودی یک سازمان داشته باشند تا بتوانند به شکل درستی از آن‌ها محافظت کنند. در شرایطی که یک مهاجم تنها به یک نقطه ضعف یا آسیب‌پذیری نیاز دارد تا بتواند از آن سوء استفاده کند. این عدم تقارن به شدت به نفع هکرها است، در نتیجه حتی شرکت‌های بزرگ نیز برای پیشگیری از کاهش میزان فروش و متوقف شدن فعالیت‌های تجاری از سوی هکرها مجبور هستند به شکل شبانه‌روز فعالیت‌های انجام شده در شبکه را مورد بررسی قرار دهند و اطمینان حاصل کنند که کاربران و کارمندان بدون مشکل به سرویس‌های موردنیاز خود دسترسی دارند.

واقعیت این است که سازمان‌های کوچک و بزرگ به ایک اندازه در معرض حملات سایبری قرار دارند. مجرمان سایبری از هر دستگاه متصل به اینترنت به عنوان سلاح، هدف یا هر دو استفاده می‌کنند. اصل مهم این است که از طریق به کارگیری بهترین تمهیداتی امنیتی از شبکه‌های سازمانی محافظت کنید. با این مقدمه به سراغ معرفی 9 مورد از مخرب‌ترین حملات سایبری می‌پردازیم.

1. حمله بدافزاری

بدافزار یا نرم‌افزار مخرب، اصطلاحی است که اشاره به یک برنامه یا فایل مخرب دارد که برای سوءاستفاده از دستگاه‌های کاربر در جهت منافع هکرها نوشته می‌شوند. امروزه، انواع مختلفی از بدافزارها وجود دارد، اما همه آن‌ها از تکنیک‌های فرار و مبهم‌سازی استفاده می‌کنند که نه تنها برای فریب دادن کاربران طراحی شده‌اند، بلکه توانایی گذر از کنترل‌های امنیتی را نیز دارند تا بتوانند به شکل مخفیانه و بدون اطلاع کاربر به سیستم او وارد شده یا روی دستگاه او نصب شوند. از رایج‌ترین انواع بدافزارها به موارد زیر باید اشاره کرد:

  • باج افزار: ترسناک‌ترین شکل بدافزار، باج‌افزار است. برنامه‌ای که برای رمزگذاری فایل‌های قربانی و سپس درخواست باج برای دریافت کلید رمزگشایی طراحی شده است. سال 2021 شاهد افزایش 82 درصدی حملات مرتبط با باج‌‌افزارها نسبت به سال 2020 بودیم که برخی از بزرگ‌ترین حملات تاریخ به زیرساخت‌ها و تاسیسات حیاتی را به وجود آوردند.
  • روت‌کیت: برخلاف سایر بدافزارها، روت‌کیت مجموعه‌ای از ابزارهای نرم‌افزاری است که برای باز کردن یک درب پشتی روی دستگاه قربانی استفاده می‌شود و به مهاجم اجازه می‌دهد تا بدافزار اضافی مانند باج‌افزار و کیلاگرها را نصب کند، یا کنترل و دسترسی از راه دور به دستگاه‌های دیگر را به دست آورد. برای جلوگیری از شناسایی، روت کیت‌ها اغلب نرم‌افزارهای امنیتی را غیرفعال می کنند. هنگامی که روت کیت کنترل دستگاهی را به دست می‌آورد، می‌تواند از آن برای ارسال ایمیل‌های اسپم، پیاده‌سازی شبکه‌ای از بات‌ها جمع‌آوری و ارسال داده‌های حساس استفاده کند.
  • تروجان: اسب تروجان برنامه‌ای است که دانلود و بر روی رایانه نصب می‌شود و به نظر بی‌خطر می‌آید، اما در واقع مخرب است. به طور معمول، این بدافزار در یک پیوست ایمیل با ظاهری عادی یا دانلود رایگان مستتر می‌شود. هنگامی که کاربر بر روی پیوست ایمیلی کلیک می‌کند یا برنامه رایگانی را دانلود می‌کند، بدافزار پنهان به دستگاه محاسباتی کاربر منتقل می‌شود. پس از ورود، کد مخرب هر کاری را که مهاجم طراحی کرده است اجرا می‌کند. اغلب، این روش ساده‌ترین و پر سرعت‌ترین روش برای حمله به سامانه‌ها است، همچنین، می‌تواند یک درب پشتی برای هکر ایجاد کند تا در حملات بعدی از آن استفاده کند.
  • نرم‌افزارهای جاسوسی: نرم‌افزارهای جاسوسی بر فعالیت‌های اینترنتی قربانی نظارت می‌کنند، اطلاعات ورود به سیستم‌ها را سرقت می‌کنند و سعی می‌کنند اطلاعات ارزشمندی در ارتباط با کاربران جمع‌آوری کنند. مجرمان سایبری از نرم‌افزارهای جاسوسی برای به دست آوردن شماره کارت اعتباری، اطلاعات بانکی و رمز عبور استفاده می‌کنند. برخی از جاسوس‌افزارها نیز توسط سازمان‌های دولتی در بسیاری از کشورها استفاده می‌شوند. به طور مثال، نرم‌افزار جاسوسی پگاسوس برای جاسوسی از فعالان، سیاستمداران، دیپلمات‌ها، وبلاگ‌نویسان، آزمایشگاه‌های تحقیقاتی و متحدان مورد استفاده قرار گرفت.
2. حمله رمز عبور

با وجود بسیاری از نقاط ضعف شناخته شده، گذرواژه‌ها هنوز رایج‌ترین روش احراز هویت مورد استفاده در فضای مجازی هستند. بنابراین دریافت رمز عبور هدف راهی آسان برای دور زدن کنترل‌های امنیتی و دسترسی به داده‌ها و سیستم‌های حیاتی است. مهاجمان از روش‌های مختلفی برای به دست آوردن رمز عبور کاربر استفاده می‌کنند:

  • حمله جستجوی فراگیر: مهاجم می‌تواند گذرواژه‌های شناخته‌شده، مانند password123، یا گذرواژه‌هایی را بر اساس اطلاعات جمع‌آوری‌شده از پست‌های رسانه‌های اجتماعی هدف، مانند نام حیوان خانگی برای حدس زدن اعتبار ورود به سیستم کاربر از طریق آزمون و خطا، امتحان کند. علاوه بر این، امکان استفاده از ابزارهای خودکار برای شکستن رمز عبور نیز وجود دارد.
  • حمله به دیکشنری: مشابه حمله جستجوی فراگیر است. در روش فوق از فرهنگ لغت برای شناسایی رایج‌ترین کلمات و عبارات استفاده می‌شود.
  • مهندسی اجتماعی: برای یک هکر آسان است که با جمع‌آوری اطلاعات مربوط به پست‌های رسانه‌های اجتماعی، یک ایمیل یا پیام شخصی‌سازی کند که برای کاربران واقعی به نظر برسد. این پیام‌ها، به‌ویژه اگر از یک حساب جعلی که برای کاربر آشنا باشد، ارسال می‌شوند به این امید که اعتبار ورود به سیستم به دست آید.
  • شنود رمز عبور: یک برنامه کوچک روی سیستم یا شبکه سازمانی نصب می‌شود تا نام‌های کاربری و رمزهای عبور ارسال شده در سراسر شبکه را به صورت متن شفاف استخراج کند.
  • کی لاگر: به طور مخفیانه هر کلیدی که کاربر فشار می‌دهد را برای ضبط پین کدها و سایر اطلاعات محرمانه ثبت می‌کند. این اطلاعات از طریق اینترنت برای مهاجم ارسال می شود.
  • سرقت یا خرید پایگاه داده رمز عبور: هکرها می‌توانند با نقض سیستم دفاعی شبکه سازمان، پایگاه داده اطلاعات کاربران را به سرقت ببرند تا داده‌ها را به دیگران بفروشند یا خودشان از آن استفاده کنند.

نظرسنجی که در سال 2022 توسط Identity Defined Security Alliance انجام شده نشان داد نزدیک به 84 از پاسخ دهندگان یک نقض هویت را تجربه کرده‌اند. گزارش تحقیقات نقض داده‌های 2022 شرکت Verizon نشان داد که 6161 درصد تمام نقض‌ها شامل سوء استفاده از اعتبارنامه‌ها هستند.

3. باج افزار

باج افزار در حال حاضر برجسته‌ترین نوع بدافزار است. معمولا زمانی نصب می‌شود که کاربر از یک وب‌سایت مخرب بازدید می‌کند یا یک پیوست ایمیل بسته‌شده را باز می‌کند. از آسیب‌پذیری‌های دستگاه برای رمزگذاری فایل‌های مهم مانند اسناد Word، صفحات گسترده اکسل، فایل‌های PDF، پایگاه‌های داده و فایل‌های مهم سیستم سوء استفاده می‌کند و آن‌ها را غیرقابل استفاده می‌کند. سپس، مهاجم در ازای کلید رمزگشایی مورد نیاز برای بازیابی فایل‌های قفل شده، باج درخواست می‌کند. این حمله ممکن است یک سرور حیاتی را هدف قرار دهد یا سعی کند باج افزار را بر روی سایر دستگاه‌های متصل به شبکه قبل از فعال کردن فرآیند رمزگذاری نصب کند تا همه آنها به طور همزمان مورد حمله قرار گیرند. برای افزایش فشار بر قربانیان برای پرداخت، مهاجمان اغلب تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌های استخراج شده در طول حمله را می‌فروشند یا افشا می‌کنند.

همه یک هدف احتمالی هستند، از افراد و مشاغل کوچک گرفته تا سازمان های بزرگ و سازمان های دولتی. این حملات می تواند تأثیرات مخرب جدی بر قربانی و مشتریانش داشته باشد. حمله باج‌افزار WannaCry در سال 2017 سازمان‌ها را در بیش از 150 کشور تحت تأثیر قرار داد. به طوری که اختلال در عملکرد بیمارستان‌ها به تنهایی حدود 111 میلیون دلار هزینه برای خدمات بهداشت ملی بریتانیا داشت. حمله‌ای که به خرده فروشی گوشت JBS Foods در سال 2021 انجام شد، باعث کمبود گوشت در سراسر ایالات متحده شد. برای جلوگیری از اختلال مداوم، این شرکت باج 11 میلیون دلاری پرداخت کرد، در حالی که Colonial Pipeline پس از یک حمله باج افزاری که یکی از آنها را تعطیل کرد، 5 میلیون دلار باج پرداخت کرد.

4. DDoS

حمله انکار سرویس توزیع شده (DDoS) حمله‌ای است که در آن چند سیستم کامپیوتری به یک هدف مانند سرور، وب سایت یا سایر منابع شبکه حمله می‌کنند و باعث عدم دسترسی به سرویس‌ها برای کاربران می‌شوند. سیل پیام‌های دریافتی، درخواست‌های اتصال یا بسته‌های نادرست به سیستم هدف، آن را مجبور می‌کند تا سرعت خود را کاهش دهد یا حتی از کار بیفتد و خاموش شود و در نتیجه سرویس‌دهی به کاربران یا سیستم‌های قانونی را رد کند.

سال 2021 شاهد رشد حملات DDoS بودیم که بسیاری از آن‌ها زیرساخت‌های حیاتی را در سراسر جهان مختل کردند. آمارها نشان می‌دهندحملات DDoS در مقایسه با گذشته، 29 درصد افزایش داشته‌اند. مهاجمان از قدرت هوش مصنوعی استفاده می‌کنند تا بفهمند چه نوع تکنیک‌های حمله به بهترین شکل ممکن کار می‌کنند و بات‌نت‌های خود را به آن سمت هدایت کنند تا ماشین‌های برده‌ مطابق با انتظار آن‌ها کار کنند. نگران‌کننده است که از هوش مصنوعی برای تقویت انواع حملات سایبری استفاده می‌شود.

5. فیشینگ

حمله فیشینگ نوعی کلاهبرداری است که در آن مهاجم به عنوان یک نهاد معتبر مانند یک بانک، اداره مالیات، یا شخص واقعی ایمیل‌هایی را برای افراد ارسال می‌کند تا قربانیان روی لینک‌های مخرب یا پیوست‌ها کلیک کنند. این حملات با هدف جمع‌آوری اطلاعات ارزشمند، مانند رمز عبور، جزئیات کارت اعتباری، مالکیت معنوی و غیره انجام می‌شود. راه‌اندازی یک کمپین فیشینگ آسان است و به طرز شگفت‌آوری موثر هستند. حملات فیشینگ می‌تواند از طریق تماس تلفنی (فیشینگ صوتی) و از طریق پیامک (فیشینگ پیامکی) انجام شود.

حملات فیشینگ هدف‌دار افراد یا شرکت‌های خاصی را نشانه می‌روند. حملات نهنگ نوعی حمله فیشینگ هدف‌دار است که به طور خاص مدیران ارشد یک سازمان را هدف قرار می‌دهند. یکی از انواع حملات شکار نهنگ، مبتنی بر الگوی ایمیل تجاری (BEC) است، که در آن مهاجم، کارکنان خاصی را هدف قرار می‌دهد که توانایی صدور مجوز تراکنش‌های مالی را دارند تا آن‌ها را فریب دهد تا پول را به حسابی که توسط مهاجم کنترل می‌شود، منتقل کنند.

6. حمله تزریق SQL

هر وب سایتی که مبتنی بر پایگاه داده باشد در معرض حملات تزریق SQL قرار دارد. پرس و جوی SQL درخواستی برای انجام برخی اقدامات در پایگاه داده است. در حمله فوق هکرها درخواست مخرب را برای دسترسی به داده‌های ذخیره شده در پایگاه داده به منظور ایجاد، اصلاح یا حذف کند، ارسال می‌کند، به این امید که داده‌هایی مانند مالکیت معنوی، اطلاعات شخصی را استخراج کند. تزریق SQL سومین حمله خطرناک در سال 2022 گزارش شده است. PrestaShop، توسعه‌دهنده نرم‌افزارهای تجارت الکترونیکی که محصولات آن توسط حدود 300000 خرده‌فروش آنلاین استفاده می‌شود، اخیرا به کاربران خود هشدار داده است که فورا به آخرین نسخه به‌روزرسانی شده نرم‌افزار این شرکت مهاجرت کنند، زیرا برخی از نسخه‌های قبلی در برابر حملات تزریق SQL آسیب‌پذیر هستند که مهاجم را قادر می‌سازند اطلاعات کارت اعتباری مشتری را به سرقت ببرند.

7. اسکریپت بین سایتی (Cross-site scripting)

این نوع دیگری از حمله تزریقی است که در آن مهاجم، داده‌هایی مانند یک اسکریپت مخرب را به محتوای وب‌سایت‌های مورد اعتماد تزریق می‌کند. حملات اسکریپت‌نویسی بین سایتی (XSS) زمانی رخ می‌دهد که یک هکر بتواند به روش خاصی کدی در یک برنامه وب تزریق کند و آن کد مخرب همراه با محتوای پویا برای مرورگر قربانی ارسال می‌شود. بردار حمله فوق به مهاجم اجازه می‌دهد تا اسکریپت‌های مخرب نوشته شده به زبان‌های مختلف مانند جاوا اسکریپت، جاوا، آژاکس، فلش و HTML را در مرورگر کاربر اجرا کند. این بردار حمله به هکر اجازه می‌دهد تا کوکی‌های جلسه را بدزدد و به مهاجم اجازه می‌دهد وانمود کند کاربر واقعی است، در شرایطی که قادر به انتشار بدافزار، تخریب وب‌سایت‌ها، ایجاد خرابی در شبکه‌های اجتماعی و پیاده‌سازی تکنیک‌های مهندسی اجتماعی است.

8. حمله مرد میانی

حمله مرد میانی (MiTM) جایی است که مهاجمان به طور مخفیانه پیام‌ها را بین دو طرف که معتقدند مستقیما با یکدیگر ارتباط برقرار می‌کنند، رهگیری و انتقال می‌دهند، اما در واقع، مهاجمان خود را در وسط مکالمه آنلاین قرار داده‌اند. مهاجمان می‌توانند پیام‌ها را قبل از ارسال آن‌ها به گیرنده ناآگاه، بخوانند، کپی یا تغییر دهند. یک حمله موفقیت‌آمیز MiTM می‌تواند به هکرها اجازه دهد تا اطلاعات شخصی حساس مانند اعتبارنامه ورود، جزئیات تراکنش‌ها و شماره کارت اعتباری را ضبط یا دستکاری کنند.

9. تفسیر و مسموم سازی URL

آدرس اینترنتی (URL) یک شناسه منحصر به فرد است که برای مکان‌یابی یک منبع در اینترنت استفاده می‌شود و به مرورگر وب می‌گوید که چگونه و کجا آن را بازیابی کند. برای هکرها آسان است که یک آدرس اینترنتی را تغییر دهند تا سعی کنند به اطلاعات یا منابعی دسترسی پیدا کنند که نباید به آن‌ها دسترسی داشته باشند. به عنوان مثال، اگر یک هکر به حساب کاربری خود در awebsite.com وارد شود و بتواند تنظیمات حساب خود را در https://www.awebsite.com/acount?user=2748 مشاهده کند، می‌تواند به راحتی این آدرس اینترنتی را به https://www.awebsite.com/acount?user=1733 تغییر دهد تا بتواند جزییات مربوطه را مشاهده کند. این جزییات شامل ورودی‌های ارائه شده توسط کاربر است.

این نوع حمله برای جمع‌آوری اطلاعات محرمانه مانند نام‌های کاربری، فایل‌ها و داده‌های پایگاه داده یا دسترسی به صفحات مدیریتی که برای مدیریت کل سایت استفاده می‌شوند، استفاده می‌شود. اگر یک مهاجم موفق شود از طریق دستکاری آدرس اینترنتی به منابع سازمان دسترسی پیدا کند، قادر به انواع مختلفی از کارها است.

بیشتر بخوانید

کارشناسان حوزه امنیت و شبکه، از نرم‌افزارها و ابزارهای مختلف برای گردآوری اطلاعات کاربردی و لحظه‌ای (Realtime) درباره اتفاقات شبکه و فعالیت‌های مشکوک استفاده می‌کنند تا بتوانند راهکارهای پیشگیرانه‌ای برای مقابله با حملات سایبری متنوع و پیشرفته اتخاذ کنند. یکی از ابزارهای قدرتمندی که این گروه از متخصصان از آن استفاده می‌کنند، زیرساخت تحلیل امنیت (Security Analytics Platform) است. یک راه‌حل‌ کلیدی که تیم‌های بزرگ امنیت سایبری سازمان‌ها از آن استفاده می‌‌کنند. در این مقاله، قصد داریم شما را با این ابزارها، اهمیت آن‌ها و کاری که انجام می‌دهند، نحوه عملکردشان و گزینه‌هایی که برای انتخاب وجود دارند، آشنا کنیم.

زیرساخت تحلیل امنیتی چیست؟

در زیرساخت‌های تحلیل تهدیدات امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تحلیل اتفاقات استفاده می‌شود. به‌طور معمول، این ابزارها از کانال‌های خاصی داده‌های مورد نیاز را دریافت می‌کنند که همگی این کانال‌ها متصل به مولفه‌های کلیدی شبکه مثل سرورها و استوریج‌ها هستند. این زیرساخت‌ها، ترافیک شبکه را که از دستگاه‌های مختلف عبور می‌کند، بررسی و داده‌های مربوط به ترافیک را گردآوری می‌کنند و آن‌ها را با خط‌مشی‌ها و دیگر پارامترهای ذخیره‌شده در بانک اطلاعاتی ازقبل‌ساخته‌شده، مقایسه می‌کنند. اگر بسته‌های داده مشکوکی شناسایی شوند، این ابزارها از طریق یک داشبورد مرکزی و سیستم اطلاع‌رسانی، گزارش‌ ناهنجاری‌ها را تولید کرده و موارد بحرانی را نشانه‌گذاری می‌کنند.

یک سطح بالاتر از زیرساخت‌های تحلیل تهدیدات امنیت سایبری، راه‌حل‌های SIEM هستند که از الگوریتم‌های قدرتمند و دیگر ابزارها برای ارزیابی دقیق‌تر و بهتر ترافیک شبکه استفاده می‌کنند. سامانه‌هایSIEM ترافیک شبکه را تحلیل می‌کنند و پیشنهادهای لازم برای انجام اقدامات لازم را به کارشناسان امنیت اعلام می‌کنند. البته، در برخی موارد، این سامانه‌ها قادر به انجام خودکار برخی از کارها هستند. پلتفرم‌های تحلیل امنیت، در بالاترین سطح مجهز به ابزارهای ارزیابی تهدیدات سایبری هستند. این ابزارها با استفاده از راه‌حل‌های هوشمند و به‌ویژه یادگیری ماشین، کارهای دیگری مثل تحلیل رفتار کاربر را انجام می‌دهند تا در مورد تهدیدات و منابعی که عامل بروز حمله‌ها هستند و کاری که ممکن است یک هکر در مرحله بعد انجام دهد، به کارشناسان امنیتی اطلاعات بیشتر و دقیق‌تری بدهند. همچنین، پلتفرم‌های تحلیل امنیت قادر هستند بر اساس تجزیه‌و‌تحلیل رفتار توصیه‌هایی را ارائه دهند که از مهم‌ترین آن‌ها باید به اقدامات لازم برای کاهش سطح حمله و کاهش شدت اثرگذاری یک حمله سایبری بر فعالیت‌های تجاری اشاره کرد.

به طور معمول، همه این راه‌حل‌ها با تحلیل تهدید از طریق نظارت بر ترافیک و گزارش اتفاقات کار خود را آغاز می‌کنند. کانال‌های انتقال داده‌ها، ابزارها را به بخش‌های مختلف شبکه ارتباط می‌دهند تا داده‌های لازم را برای تحلیل گردآوری کنند.

تقریبا امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه تحت شبکه وجود دارد. شکل ۱، نشان می‌دهد که چگونه ابزارهای رایج شبکه مثل فایروال، روتر و سوئیچ به این پلتفرم‌های تحلیل‌گر متصل می‌شوند. علاوه بر این، کارشناسان امنیت آشنا به زبان‌های برنامه‌نویسی می‌توانند این ابزارها را به‌گونه‌ای سفارشی‌سازی کرده و در صورت لزوم برنامه‌نویسی کنند تا ابزار توانایی نظارت دقیق‌تر بر ترافیک شبکه و شناسایی ناهنجاری را بر مبنای الگوهای ذخیره‌شده در پایگاه داده داخلی داشته باشد. سازمان‌هایی که نیازمند مدیریت حوادث و داده‌های بیشتر هستند، قادر هستند سامانهSIEM را به‌عنوان لایه‌ای روی سامانه پایه قرار دهند.

همچنین، اگر شدت حملات سایبری به شبکه سازمانی زیاد باشد، این قابلیت وجود دارد که از پلتفرم تحلیل امنیتی دیگری نیز همزمان با SIEM استفاده کرد تا اطلاعات دقیق‌تری به‌دست آید. در چنین شرایطی، ابزارهای تحلیل امنیتی، اطلاعات را از دو سطح دیگر گردآوری می‌کنند و با استفاده از الگوریتم‌های هوشمند تحلیل‌های پیشرفته‌تری را انجام می‌دهد تا داده‌ها را بررسی و توصیه‌ها و بینش مفصل‌تری ارائه کند. لازم به توضیح است که برخی از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه می‌دهند.

چرا ابزارهای تحلیل امنیتی نقش مهمی در پیشبرد کارهای کارشناسان امنیتی دارند؟

مدیریت امنیت سایبری، شبیه به بازی شطرنج است. توسعه‌دهندگان نرم‌افزار دائما در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آن‌ها ارائه دهند. در نقطه مقابل، هکرها به‌شکل مستمر تکنیک‌های بدافزاری و کدهای مخرب جدیدی تولید می‌کنند تا دیوارهای آتش و دیگر سازوکارهای دفاعی شبکه را دور زده و به داده‌ها، سامانه‌ها و شبکه‌های داخلی آسیب وارد کنند.

حفاظت از داده‌های ارزشمند و حیاتی برای استمرار فعالیت‌های تجاری و محافظت از اطلاعات شخصی و هویتی کاربران، اصل مهمی است که همه شرکت‌ها باید به آن دقت نظر خاصی داشته باشند. به همین دلیل، انتظار می‌روند در سال 1402، سرمایه‌گذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از موضوعات مهمی باشد که شرکت‌ها روی آن تمرکز خواهند کرد. شاید مشاغل کوچک به‌دلیل هزینه زیادی که یک ابزار تحلیل امنیتی دارد از خرید آن صرف‌نظر کنند، اما سازمان‌های بزرگ برای استمرار فعالیت‌های تجاری مجبور به تهیه چنین ابزارهایی هستند.

پلتفرم تحلیل امنیتی چه کاربردهایی دارد؟

ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شده‌اند. به‌طور معمول، پلتفرم‌های تحلیل امنیتی از الگوریتم‌های هوشمند استفاده می‌کنند تا پیشنهادهای لازم را برای حل مشکلات دستگاه‌ها و ترمیم آسیب‌پذیرهای دستگاه‌ها و پیشگیری از بروز اتفاقات مشابه در آینده ارائه دهند. این ابزارها، داده‌های امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر الگوریتم‌های هوشمند بررسی می‌کنند.

برای آن‌که یک پلتفرم‌ تحلیل امنیتی بتواند فرآیندهای مرتبط با نظارت بر شبکه را به‌خوبی انجام دهد مجموعه اقداماتی را انجام می‌دهد که از مهم‌ترین آن‌ها به اسکن و ارزیابی آسیب‌پذیری، تست نفوذ و شکار تهدید، اقدامات لازم برای پاسخ‌گویی به حوادث سایبری، ارزیابی رعایت استانداردها و قوانین و تشخیص و واکنش به مشکلات احتمالی مرتبط با نقاط پایانی اشاره کرد. یکی از مهم‌ترین عملکردهای این ابزارها، تحلیل رفتار است که داده‌های مربوط به اتفاقات را در شرایط مختلف بررسی می‌کنند تا بتواند اطلاعات زیر را ارائه دهند:

  • ارائه الگوهای خاصی که در اجرای حملات مورد استفاده قرار گرفته است.
  •  روش حمله‌ای که هکرها برای نفوذ به یک منبع از آن استفاده کرده‌اند.
  •  شناسایی نشانه‌هایی که پس از حمله وجود دارند و می‌توانند اطلاعات بیشتری درباره هکرها ارائه کنند.
چگونه یک پلتفرم تحلیل امنیتی درست را انتخاب کنیم؟

به طور معمول، سازمان‌های بزرگ از فناوری‌های پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده می‌کنند. با این‌حال، سازمان‌ها بر اساس تعداد و شدت حملاتی که آن‌ها را هدف می‌گیرند از ابزارهای مختلفی استفاده می‌کنند. در حالت کلی، پیشنهاد می‌شود از زیرساختی استفاده کنید که قابلیت‌های کاربردی را به‌شکل ساده ارائه می‌کند و می‌توان به‌راحتی مولفه‌های قدرتمندتری به آن افزود. نکته مهمی که باید در این زمینه به آن دقت کنید این است که ممکن است در هنگام استفاده از محصولات شرکت‌های مختلف، کار تحلیل و ارزیابی گزارش‌ها کمی سخت شود. به همین دلیل، پیشنهاد می‌کنیم قبل از سرمایه‌گذاری‌ برای خرید این راه‌حل‌ها به نکات زیر دقت کنید:

  •  شرایط را مشخص کنید. به‌طور مثال آیا سامانه موجود نیاز به ارتقاء دارد؟
  •  با هئیت مدیره و مدیرعامل درباره نیاز به تهیه ابزار تحلیل امنیت گفت‌وگو کنید تا بتوانید تاییده و سرمایه لازم را به‌دست آورید.
  •  در رابطه با بازار، محصولات و خدمات موجود تحقیق کنید و مدل استقرار (درون‌سازمانی، در محیط ابر یا سرویس مدیریت‌شده) مناسب را انتخاب کنید.
  •  گزینه‌های انعطاف‌پذیر را که با استانداردها هم‌خوانی دارند و می‌توان آن‌ها را با زیرساخت‌های موجود یکپارچه‌سازی کرد انتخاب کنید.
  •  گزینه‌ها را به‌لحاظ قیمت بررسی کنید. به طور معمول، هزینه استفاده از پلتفرم‌های تحلیل امنیت ابرمحور بر مبنای حجم داده‌ای است که در هر ماه تحلیل می‌کنند. برخی محصولات هزینه‌های اولیه‌ای به‌همراه هزینه‌های نگه‌داری و دسترسی به قابلیت‌های پیشرفته دارند.
  •  قابلیت‌های سامانه انتخابی را بر مبنای نیازهای جاری و پیش‌بینی‌شده‌ خود ارزیابی کنید.
  •  به آموزش‌های مورد نیاز کارمندان‌ دقت کنید و از فروشنده سوال کنید که آموزش‌های لازم را ارائه می‌دهد یا خیر.
  •  حجم داده‌ها و گزارش‌هایی را که در داشبورد پلتفرم انتخابی نمایش داده می‌شود بررسی کنید.
  •  سطح ارزیابی و تحلیلی که ابزار انجام می‌دهد، نوع گزارش‌های ساخته‌شده و دیگر قابلیت‌هایی را که ممکن است ارزش افزوده داشته باشند بررسی کنید.
  •  مشخص کنید که چگونه کاربران می‌توانند با سامانه و بخش‌های مختلف آن در ارتباط باشند، به‌ویژه اگر از یک راه‌حل ابرمحور استفاده می‌کنید.
  •  دیگر خدمات ارائه‌شده توسط فروشنده مثل تست نفوذ و آسیب‌پذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری را بررسی کنید.
  •  به دنبال سرویس‌هایی باشید که بالاترین سطح از هماهنگی با استانداردهای امنیت سایبری را دارند.
  •  در مراحل برنامه‌ریزی و پیاده‌سازی، از چرخه حیات توسعه سیستم‌ها استفاده کنید.
  •  آموزش‌ها و مستندات ارائه‌شده را به‌همراه امکان پیاده‌سازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید.
آشنایی با 10 پلتفرم تحلیل امنیت سایبری

سازمان‌هایی که به دنبال افزایش حداکثر توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری هستند، بهتر است از یک ابزار تحلیل امنیت سایبری استفاده کنند. به طور معمول، این ابزارها قابلیت‌های SIEM و مدیریت گزارش اتفاقات را در قالب یک پلتفرم امنیتی واحد ترکیب می‌کنند و دیگر قابلیت‌های تحلیلی امنیتی را در قالب یک افزونه در اختیار کارشناسان امنیتی قرار می‌دهند.

ابزارهای تحلیل اتفاقات امنیتی قادر هستند به دقیق‌ترین شکل ممکن داده‌ها را تحلیل کرده و گزارش دقیقی در اختیار کارشناسان امنیتی قرار دهند، اما به همان نسبت قیمت بالایی دارند. به‌طور کلی، ابزار مناسب، امکان نظارت بیشتر بر شبکه را ارائه می‌کند، مانع از اتلاف وقت می‌شود و تشخیص‌های کاذب را به‌حداقل می‌رساند. امروزه، ابزار‌ها و پلتفرم‌های امنیت سایبری مختلفی در دسترس کارشناسان امنیتی قرار دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

  •  Splunk Enterprise Security یک پلتفرم SIEM است که امکانات پیشرفته‌ای ارائه می‌کند. این ابزار به‌همراه نسخه سازمانی اسپلانک و پلتفرم ابرمحور اسپلانک، راهکار جامع و یکپارچه‌ای برای محافظت از زیرساخت‌ها ارائه می‌کند.

مزایا: سامانه قدرتمند، داشبورد مرکزی و امکانات کاربردی مختلف.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  ابزار مدیریت رویدادهای امنیتی SolarWinds نیز در گروه نرم‌افزارهای SIEM قرار می‌گیرد.

مزایا: گردآوری کارآمد داده‌ها، گزارش‌های جامع و داشبوردهای کاربرمحور روشن.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  IBM Security Guardium، یک پلتفرم حفاظت از داده‌ها است که برای شبکه‌های سازمانی بزرگ طراحی شده است.

مزایا: تحلیل‌های امنیتی دقیق، داشبوردهای روشن و قابلیت‌های دقیق نظارتی.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  LogRhythm SIEM ، یک پلتفرم SIEM است که یک لایه تحلیل امنیتی مضاعف در اختیار کارشناسان امنیتی قرار می‌دهد.

مزایا: قابلیت‌های تحلیلی پیشرفته و داشبوردهای خوش‌ساخت.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، پیچیده بودن روند ارتقاء.

  •  Securonix Next-Gen SIEM ، مجهز به قابلیت‌های پیشرفته تحلیل‌های امنیتی است.

مزایا: پشتیبانی از تحلیل امنیتی، داشبورد مرکزی، گزارش‌دهی دقیق.

معایب: مورد خاصی وجود ندارد.

  •  Exabeam Fusion، یک پلتفرم SIEM است که قابلیت‌های پیشرفته‌ای برای تحلیل امنیتی ارائه می‌دهد.

مزایا: قابلیت‌های تحلیلی قدرتمند، دارای نسخه ابرمحور و درون‌سازمانی.

معایب: مورد خاصی وجود ندارد.

  •  ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور نیز یک ابزار جایگزین برای تحلیل تهدیدات پیشرفته است. این ابزار ابرمحور و درون‌سازمانی قابلیت‌های تحلیل امنیتی پیشرفته‌ای دارد که امکان تحلیل و بررسی ناهنجاری‌های امنیتی را به‌شکل یکپارچه دارد.

مزایا: قابلیت‌های تحلیل امنیتی، برنامه‌های کاربردی سازمانی، امکان نصب درون‌سازمانی و ابرمحور، توانایی حل مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقاء نسبتا پیچیده، هزینه‌های اضافه

  •  Sumo Logic Platform with Cloud SIEM and Cloud SOAR ، یک پلتفرم ابرمحور با امکانات SIEM و هماهنگ‌سازی، خودکارسازی و واکنش امنیتی است.

مزایا: قابلیت‌های تحلیل امنیتی خوب، مقیاس‌پذیری بالا، گزارش‌دهی دقیق

معایب: مورد خاصی وجود ندارد.

  •  Forcepoint Behavioral Analytics، پلتفرمی است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌کند.

مزایا: قابلیت‌های تحلیل امنیتی پیشرفته.

معایب: مورد خاصی گزارش نشده است.

  •  Rapid7 InsightIDR، یک پلتفرم SIEM ابرمحور است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌دهد.

مزایا: قابلیت‌های تحلیل امنیتی سفارشی، داشبورد و گزارش‌دهی دقیق.

معایب: مورد خاصی گزارش نشده است.

  •  Nemasis – Pro، پلتفرم پیکربندی و اسکن قدرتمند است که بالاترین سطح از انعطاف‌پذیر را همراه با قابلیت ارزیابی امنیتی و گزارش‌دهی متنوع در اختیارتان قرار می‌دهد.

مزایا: اسکن نامحدود منابع سازمانی، ارزیابی طیف گسترده‌ای از آدرس‌های آی‌پی با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت مبتنی بر SNMP، اسکن‌های احراز هویت مبتنی بر SMB، اسکن‌های احراز هویت مبتنی بر SSH، اسکن‌های احراز هویت ESXi، انجام انواع مختلف ارزیابی‌ها بر مبنای پروتکل‌های TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارش‌های دقیق از آسیب‌پذیری‌ها بر مبنای CVSS، ارائه داشبوردهای تعاملی و تخصصی شبکه در یک واسط کاربری قدرتمند همراه با داده‌های زمان واقعی، ارائه گزارش فعالیت‌های مشکوک پیرامون شبکه، امکان بررسی سریع تنظیمات با هدف هماهنگ بودن آن‌ها با خط‌مشی‌های ازپیش‌تعیین‌شده یا استانداردهای صنعتی PCI DSS، شناسایی شکاف‌های امنیتی در زیرساخت شبکه، شناسایی و اولویت‌بندی مخاطرات، ایجاد گزارش‌های آسیب‌پذیری‌های شناسایی‌شده مثل CVSS، Scan plugins، Port، اشتراک گزارش‌ها با تیم یا سازمان از طریق ایجاد گزارش‌ها در قالب‌های مختلف

 

منبع : https://www.techtarget.com/searchsecurity/tip/How-to-select-a-security-analytics-platform-plus-vendor-options

بیشتر بخوانید

امنیت سایبری یک مسیر شغلی چالش‌برانگیز است که فرصت‌های کاری مختلفی در اختیار علاقه‌مندان قرار می‌دهد. تقریبا تمامی شرکت‌هایی که فعالیت‌های تجاری آن‌ها با دنیای دیجیتال و سایبری عجین شده است، برای حفظ محرمانگی اطلاعات و دور نگه داشتن هکرها از زیرساخت‌های ارتباطی سازمانی، نیازمند متخصصان امنیت سایبری هستند. رشد روزافزون فعالیت‌های آنلاین باعث شده تا شرکت‌ها بیش از قبل به شبکه‌های ارتباطی وابسته شوند و برای پاسخ‌گویی به نیازهای روبه‌رشد تجاری، تجهیزات سخت‌افزاری بیشتری به شبکه سازمان اضافه کنند. هرچه تعداد دستگاه‌هایی که به شبکه‌های سازمانی اضافه می‌کنید بیشتر شود، به همان نسبت بر تعداد آسیب‌پذیری‌های ناشناخته افزوده می‌شود که شما را مجبور می‌کند از مهارت‌های متخصصان امنیتی در این زمینه استفاده کنید. در شرایطی که دنیای امنیت سایبری شامل طیف گسترده‌ای از مشاغل می‌شود، با این‌حال، برخی از آن‌ها پرتقاضاتر هستند و در آگهی‌های استخدامی بیشتر به آن‌ها اشاره می‌شود. به همین دلیل در این مقاله، به معرفی هشت مورد از پرتقاضاترین مشاغل امنیت سایبری در سال 1402 نگاهی خواهیم داشت.

آمار جالب و مهم وضعیت امنیت سایبری

قبل از آن‌که مشاغل پرتقاضای دنیای امنیت سایبری را بررسی کنیم، ابتدا اجازه دهید به حقایق جالبی در این زمینه اشاره داشته باشیم. پژوهشی که توسط گروه استراتژی‌های سازمانی وب‌سایت TechTarget انجام شده و نتایج آن در قالب گزارش «تاثیر همه‌گیری کووید-19 بر امنیت سایبری در سال 2020» منتشر شده، نشان می‌دهد تنها چند ماه پس از شیوع همه‌گیر کووید-19، تعداد حملات سایبری به میزان 63 درصد افزایش یافته است. این گزارش به‌وضوح به این نکته اشاره دارد که در پایان سال 2020 میلادی نزدیک به 3932 رویداد نقض عمومی گزارش شده است که باعث افشای 37 میلیارد رکورد شده است که افزایش 141 درصدی نسبت به سال 2019 را به‌همراه دارد.

متاسفانه این شرایط در سال 2021 بدتر شد. سازمان غیرانتفاعی Theft Resource Center  که در زمینه بررسی مخاطرات و نقض‌های داده‌ای به فعالیت اشتغال دارد، در گزارشی تحت عنوان «تحلیل نقض داده‌ای سه‌ماهه سال 2021 و نکات کلیدی آن» به این نکته اشاره دارد که تعداد نقض‌ها تا پایان سپتامبر 2021، 17 درصد در مقایسه با سال 2020 افزایش داشته است. گزارشی که شرکت IBM و موسسه Ponemon تهیه کرده‌اند، نشان می‌دهد که متوسط هزینه یا به عبارت دقیق‌تر خسارت‌های مرتبط با نقض‌های داده‌ای در سال 2022 میلادی به رقم 4.35 میلیون دلار رسیده که در مقایسه با رقم 4.24 میلیون دلار سال 2021 روند صعودی را نشان می‌دهد. در این میان، ایالات متحده بالاترین تعداد آمار نقض‌های داده‌ای در سال 2022 میلادی را تجربه کرده است.

سازمان‌ها برای آن‌که فعالیت‌های تجاری خود را بدون مشکل انجام دهند، به متخصصان امنیت سایبری مجربی نیاز دارند تا بتوانند بر مبنای مهارت‌ها، دانش و ارائه راه‌حل‌های خلاقانه از زیرساخت‌های سازمانی محافظت کنند. شرکت امنیتی فورتی‌نت در گزارش «شکاف مهارت‌های امنیت سایبری 2022» به این نکته اشاره دارد که 60 درصد از شرکت‌ها برای جذب استعدادهای امنیت سایبری سخت در تلاش هستند، در حالی که 52 درصد از آن در حفظ نیروهای متخصص با مشکل روبه‌رو هستند و بخش عمده‌ای از سازمان‌ها نیز در معرض حمله‌های سایبری قرار دارند. این آمار و ارقام، بیان‌گر این مسئله هستند که دنیای امنیت سایبری به‌شدت به متخصصان ماهر نیاز دارد و از این‌رو فرصت‌های شغلی زیادی برای این گروه از متخصصان فناوری اطلاعات وجود دارد. فورتی‌نت در بخشی از گزارش خود به این نکته اشاره دارد که 76 درصد از مدیران عامل شرکت‌ها به‌منظور افزایش امنیت سایبری، جذب متخصصان امنیت سایبری آموزش‌دیده و دارای گواهی‌‌نامه‌های طراز اول و ماهر به دنبال آن هستند تا بودجه موردنیاز برای جذب متخصصان امنیت سایبری را بیشتر کنند. امروزه، مشاغل مختلفی در صنعت امنیت سایبری وجود دارند که برخی از آن‌ها پرتقاضاتر و به همان نسبت پول‌ساز‌تر هستند. در ادامه، هشت مورد از این عناوین شغلی را مورد بررسی قرار می‌دهیم که در صدر مشاغل موردنیاز شرکت‌ها در حوزه امنیت در سال‌های آتی قرار خواهند داشت.

1. مهندس امنیت سایبری (Cybersecurity engineer)

یک مهندس امنیت سایبری، سیستم‌های امنیت اطلاعات (infosec) و معماری‌های فناوری اطلاعات را ایجاد می‌کند و از آن‌ها در برابر دسترسی غیرمجاز و حملات سایبری محافظت می‌کند. مهندسان امنیت سایبری، برنامه‌ها، استانداردها، پروتکل‌ها و بهترین شیوه‌های امنیتی را توسعه داده و اجرا می‌کنند و برنامه‌های اضطراری را برای مقابله با حملات سایبری تدوین می‌کنند تا اگر سازمانی با حمله هکری روبه‌رو شد، در کوتاه‌ترین زمان بر مبنای برنامه بازیابی پس از فاجعه شرایط را به حالت اولیه بازگرداند.

یک مهندس امنیت سایبری باید ذهن فعالی داشته باشد و توانایی برنامه‌ریزی و عملیاتی کردن طرح‌های خود را داشته باشد. به‌طور معمول، مهندسان امنیت سایبری زمان زیادی را صرف یافتن آسیب‌پذیری‌های مستتر در سیستم‌ها از طریق آزمایش نفوذ می‌کنند و راهکاری برای حل مشکلات قبل از آن‌که به چالش امنیتی جدی تبدیل شوند، ارائه می‌دهند. همچنین، در مورد مباحث قانونی، فنی و نظارتی، تحقیقاتی انجام می‌دهند که ممکن است بر امنیت فناوری اطلاعات یک سازمان تاثیرگذار باشد. در ادامه، تغییراتی در استراتژی‌های امنیتی اعمال می‌کنند تا خط‌مشی‌ها مطابق با قوانین دولتی باشد. از وظایف مهم یک مهندس امنیت سایبری به موارد زیر باید اشاره کرد:

  •  ایجاد و نصب فایروال و سیستم‌های تشخیص نفوذ
  •  به‌روز‌رسانی نرم‌افزارهای امنیتی، فریم‌ویرهای سخت‌افزاری و ارزیابی نرم‌افزارهای جدید مورد نیاز سازمان
  •  اجرای برنامه‌های رمزگذاری

علاوه بر این، یک مهندس امنیت سایبری مسئولیت رسیدگی به مسائل امنیتی شناسایی‌شده و انتقال ایمن داده‌ها را برعهده دارد و در صورت لزوم باید با تیم‌های خارجی در زمینه بازیابی اطلاعات سازمان همکاری داشته باشد. افرادی که قصد ورود به این حوزه را دارند باید مهارت‌های ارتباطی قوی برای توضیح مسائل پیچیده به هئیت مدیره و ارائه بهترین راه‌ها برای اجرای جدیدترین برنامه‌ها و رویه‌های امنیتی داشته باشند. همچنین، مجبور هستند پس از حمله به زیرساخت‌ها با مجریان قانون همکاری کنند.  به‌طور معمول برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  آشنایی با شیوه‌های کدگذاری امن و تشخیص آسیب‌پذیری‌ها
  •  ارزیابی ریسک
  •  ایمن‌سازی شبکه‌های سازمانی
  •  آشنایی با معماری دیوارهای آتش
  •  آشنایی با فناوری‌های مجازی‌سازی
  •  آشنایی با مباحث مرتبط با جرم‌شناسی دیجیتال
  •  آشنایی با مبحث مدیریت هویت و تخصیص دسترسی به منابع
  •  مدرک کارشناسی یا بالاتر در رشته‌های مهندسی کامپیوتر، امنیت سایبری یا فناوری اطلاعات
  •  تسلط بر مهارت‌های مرتبط با دفاع در برابر تهدیدات مداوم پیشرفته، بدافزارها، فیشینگ و مهندسی اجتماعی
2. تحلیل‌گر امنیت سایبری (Cybersecurity analyst)

نقش یک تحلیل‌گر امنیتی نسبتا گسترده است و ممکن است مسئولیت‌های مختلفی را شامل شود که از مهم‌ترین آن‌ها باید به نظارت بر بهترین شیوه‌های امنیتی، پروتکل‌ها و رویه‌ها با ابزارهای مناسب و اطمینان از اجرای درست رویه‌های امنیتی اشاره کرد. افرادی که عهده‌دار این سمت می‌شوند باید گزارش‌های تولید‌شده توسط ابزارها را تجزیه‌و‌تحلیل ‌کنند تا رفتارهای غیرعادی یا فعالیت‌های مشکوک در شبکه را شناسایی کنند. علاوه بر این، ممکن است دسترسی به فایل‌ها را کنترل کرده و در زمینه تخصیص مجوزها، به‌روز‌رسانی شبکه و نگه‌داری از دیوارآتش به سازمان‌ها کمک کنند. یک تحلیل‌گر امنیتی که به‌خوبی آموزش دیده است، درک کاملی از نحوه ذخیره‌سازی و مدیریت داده‌ها و انواع مختلف تهدیدات امنیت سایبری مثل حملات باج‌افزاری، مهندسی اجتماعی و سرقت داده‌ها دارد. آن‌ها ممکن است تست نفوذ و اسکن آسیب‌پذیری را انجام دهند و تغییرات مربوطه را برای بهبود امنیت پیشنهاد دهند.

در شرکت‌های بزرگ، تحلیل‌گران امنیتی ممکن است در یک مرکز عملیات امنیتی برای نظارت، شناسایی، مهار و اصلاح مشکلات کار کنند. در سازمان‌های متوسط و کوچک‌تر، تحلیل‌گران امنیتی ممکن است نقش گسترده‌ای ایفا کنند و همه چیز را از تجزیه‌و‌تحلیل امنیتی و تشخیص نفوذ گرفته تا تعمیر و نگه‌داری فایروال، به‌روزرسانی‌ آنتی‌ویروس و وصله‌ها مدیریت کنند. از آن‌جایی که آن‌ها در زمینه خطرات امنیتی و بهترین شیوه‌های امنیتی تخصص دارند، ممکن است از آن‌ها خواسته شود تا کارکنان را آموزش دهند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

مدرک کارشناسی در رشته‌های علوم کامپیوتر، امنیت سایبری، فناوری اطلاعات یا رشته‌های مرتبط
توانایی مدیریت شبکه
آشنایی با مباحث تست نفوذ
تریاژ حوادث امنیتی (Security Incident Triaging)
ارزیابی ریسک
رمزگذاری داده‌ها
طراحی، پیکربندی، استقرار و نگه‌داری از فایروال‌ها

علاوه بر مهارت‌های یادشده، شرکت‌ها انتظار دارند این گروه از متخصصان گواهینامه‌های Network+، Security+، Pen Test+، CySA+ و CISSP را داشته باشند.

3. معمار امنیت شبکه (Network security architect)

یک معمار امنیت شبکه نقش مهمی در بهبود سطح امنیتی معماری سازمانی ایفا می‌کند و در عین حال بهره‌وری، عملکرد، دسترس‌پذیری و عملکرد شبکه را حفظ می‌کند. معماران امنیت شبکه سعی می‌کنند توازنی میان فعالیت‌های تجاری و خط‌مشی‌های امنیتی برقرار کنند، خط‌مشی‌ها و رویه‌های مناسب را برای سیستم‌ها و شبکه‌ها تعریف می‌کنند و در روند آموزش کاربران و مدیران به سازمان‌ها کمک کنند. علاوه بر این، بر محدودیت‌های بودجه و عملیات نظارت می‌کنند. به همین دلیل است که معماران امنیت شبکه باید مهارت‌های مدیریتی سطح بالایی داشته باشند. برای حصول اطمینان از امنیت در طول چرخه حیات شبکه، معماران امنیت شبکه اقدامات دفاعی مانند پیکربندی فایروال و آنتی‌ویروس و اقدامات پیشگیرانه مثل تست نفوذ را انجام می‌دهند. علاوه بر این، بر تغییرات شبکه نظارت می‌کنند تا سطح مخاطرات پیرامون شبکه‌ و سازمان را به حداقل برسانند. به همین دلیل، سازمان‌ها از این گروه از متخصصان انتظار دارند دانش پیشرفته‌ای در مورد ابزارها و تکنیک‌های امنیتی مختلف مرتبط با فایروال‌ها، تست نفوذ و پاسخ به حادثه داشته باشند. آن‌ها باید از الزامات شبکه‌سازی سیستم‌های رایانه‌ای، از جمله مسیریابی، سوئیچینگ و دامنه‌های قابل اعتماد و بهترین شیوه‌های امنیتی، فناوری‌ها و چارچوب‌های استاندارد صنعتی آگاه باشند.

آن‌ها تجزیه‌و‌تحلیل شبکه و سیستم را برای شناسایی و انتخاب بهترین مکانیسم‌های کنترلی برای حفظ امنیت انجام می‌دهند. از این‌رو، باید در مورد مکانیسم‌های مختلف کنترل دسترسی مثل کنترل دسترسی مبتنی بر نقش، کنترل دسترسی ضروری و کنترل دسترسی اختیاری، اطلاعات کافی داشته باشند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در رشته کامپیوتر یا رشته‌های مرتبط
  •  توانایی برنامه‌ریزی استراتژیک
  •  آشنایی با مدل‌های فرآیندی مثل ITIL و COBIT IT
  •  دانش کافی درباره پروتکل TCP/IP و امنیت شبکه
  •  آشنایی با مدل 7 لایه اتصال سیستم‌های باز (OSI)
  •  توانایی استقرار سیستم‌های تشخیص نفوذ
  •  آشنایی با مبحث مدیریت ریسک
  •  آشنایی با روش کار سیستم‌های مدیریت هویت
  •  توانایی پیاده‌سازی شبکه‌های خصوصی مجازی
  •  آشنایی با پروتکل‌های رمزگذاری اطلاعات

سازمان‌ها از معمار امنیت شبکه انتظار دارند گواهینامه‌هایNetwork+ ، (ISC)² در زمینه معماری امنیت سیستم‌‌های اطلاعاتی، GIAC در زمینه معماری امنیتی دفاعی و NSE 7 در زمینه معماری امنیت شبکه را داشته باشند.

4. توسعه‌دهنده نرم‌افزارهای امنیتی
(Security software developer)

نقش توسعه‌دهنده نرم‌افزار امنیتی همان برنامه‌نویسی است، اما با محوریت امنیت. یک توسعه‌دهنده نرم‌افزار امنیتی دانش برنامه‌نویسی فنی خود را با توسعه محصول و مهارت‌های تجزیه‌و‌تحلیل امنیتی ادغام می‌کند تا نرم‌افزاری ایجاد کند که برای پاسخ‌گویی به الزامات امنیتی مورد استفاده قرار می‌گیرد. برای انجام این‌کار، آن‌ها باید دانش به‌روزی از تهدیدات داشته باشند، به همین دلیل است که عناوین شغلی جونیور در این حوزه وجود ندارد. یک توسعه‌دهنده نرم‌افزار امنیتی باید بتواند تهدیدهای فردا را امروز مفهوم‌سازی کند و برای مقابله زودهنگام با تهدیدها اقدامات لازم را انجام دهد. علاوه بر این، در زمان کوتاهی محصولات امنیتی قدرتمند با عملکرد بالا را بنویسد که بدون هیچ‌گونه خطایی به بهبود امنیت کمک کنند. به‌طور معمول، توسعه‌دهندگان نرم‌افزارهای امنیتی با متخصصان دیگری مثل طراحان، مهندسان و کارشناسان تست نفوذ کار می‌کنند، بنابراین، علاوه بر دانش فنی در زمینه معماری، طراحی و کدنویسی نرم‌افزارها باید مهارت‌های ارتباطی قوی داشته باشند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در مهندسی نرم‌افزار
  •  آشنایی با شیوه‌های کدنویسی امن
  •  آشنا با کنترل‌های امنیتی و تست نفوذ که همیشه لازم نیست.
  •  آشنایی با الگوریتم‌های رمزنگاری، مدیریت پروژه و امنیت شبکه
  • علاوه بر این، این گروه از متخصصان باید گواهینامه‌های CompTIA Security+، CySA+، CompTIA PenTest+، CASP+، CISSP، Certified Information Systems Auditor،  Certified Information Security Manager، Cisco Certified Internetwork Expert و Microsoft Azure Security Engineer Associate را داشته باشند.
5. تستر نفوذ/هکر اخلاقی (Penetration Tester)

هکرهای اخلاقی را باید کارگاهان خصوصی دنیای امنیت سایبری توصیف کنیم که هکرهای «کلاه سفید» نیز نامیده می‌شوند. آن‌ها شبیه به هکرها به زیرساخت‌ها نفوذ می‌کنند، با این تفاوت که انگیزه آن‌ها از انجام این‌کار کمک به سازمان‌ها در شناسایی رخنه‌ها است. آن‌ها تست نفوذ را برای یافتن آسیب‌پذیری‌ها و شکاف‌ها در پروتکل‌های امنیتی مورد استفاده در شبکه‌ها، سیستم‌‌عامل‌ها، دستگاه‌ها و برنامه‌های مبتنی بر وب انجام می‌دهند. به‌طور خلاصه، آن‌ها به سازمان‌ها کمک می‌کنند قبل از این‌که آسیب‌پذیری‌ها توسط هکرها مورد سوء‌استفاده قرار گیرند، آن‌ها را وصله کنند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در رشته امنیت اطلاعات، فناوری‌ اطلاعات یا رشته‌های مرتبط
  •  آشنایی با روش‌ها و ابزارهای تست نفوذ مثل Network Mapper، Wireshark و Kali
  •  آشنایی با کدنویسی در زمینه پایتون، گولنگ، بش و پاورشل
  •  آشنایی با مبحث مهندسی اجتماعی

این گروه از متخصصان باید به‌فکر دریافت گواهینامه‌های +PEN-200 Offensive Security Certified Professional، GIAC Penetration Tester، GIAC Certified Enterprise Defender، GIAC Exploit Researcher، CompTIA Security+، CySA و +CompTIA PenTest باشند.

6. مهندس امنیت برنامه (Application security engineer)

در چرخه‌های عمر توسعه نرم‌افزار (SDLC) در گذشته، امنیت به‌عنوان یک هدف فرعی در نظر گرفته می‌شد که پس از تکمیل توسعه و نهایی شدن نرم‌افزار مورد توجه قرار می‌گرفت. اما همان‌طور که مشاهده کردیم، سازمان‌ها به‌طور فزاینده‌ای در برابر حملات سایبری و نقض‌های داده‌ای آسیب‌پذیر هستند. به‌منظور در امان ماندن از چنین تهدیدهای جدی، سازمان‌ها باید اطمینان حاصل کنند که امنیت در برنامه‌های نرم‌افزاری به‌شکل جدی مورد توجه قرار گرفته است. به همین دلیل، باید به‌فکر استخدام مهندس امنیت برنامه باشند.

مهندسان امنیت برنامه، اطمینان می‌دهند که توسعه‌دهندگان از شیوه‌های کدنویسی ایمن در هر مرحله از SDLC پیروی می‌کنند. آن‌ها به تیم توسعه کمک می‌کنند تا برنامه‌ها را در برابر خطرات و مخاطرات امنیتی خاص قبل از انتشار آزمایش کنند.

یک مهندس امنیت برنامه برای انجام کارهای خود باید مهارت‌های زیر را داشته باشد:

  •  آشنایی با محیط‌های توسعه
  •  درک کافی از کدنویسی و نحوه ساخت نرم‌افزارها
  •  انجام ارزیابی کدها، اسکن آسیب‌پذیری برنامه‌ها و تست نفوذ
  •  اولویت‌بندی آسیب‌پذیری‌ها که به توسعه‌دهندگان کمک کنید تا آن‌ها را ارزیابی و اصلاح کنند
  •  درک کافی از محیطی که قرار است برنامه در آن اجرا شود و شناسایی آسیب‌پذیرهایی که پس از اجرای برنامه در محیط‌های خاص ممکن است به‌وجود آید.
  •  آماده‌سازی و نگه‌داری اسناد فنی
  •  دانش کافی درباره تکنیک‌های رمزگذاری اطلاعات در پایگاه‌های داده و ابر
  •  آشنایی با فرآیند توسعه نرم‌افزار، مهندسی شبکه، پروتکل‌های امنیتی، مهندسی سیستم‌ها و امنیت برنامه‌های کاربردی وب‌محور
  •  درک دقیق از چرخه حیات برنامه‌های کاربردی
  •  آشنایی با بهترین شیوه‌های کدنویسی ایمن
  •  آگاهی درباره تهدیدات امنیتی موجود و در حال ظهور

این گروه از متخصصان باید به‌فکر دریافت گواهینامه‌های CISSP و MCSI باشند.

7. تحلیل‌گر بدافزار (Malware analyst)

در سال 2021، حملات باج‌افزار نسبت به سال 2020 نزدیک به 93 درصد افزایش رشد داشته‌اند. گزارش تهدید سایبری 2022 موسسه SonicWall به این نکته اشاره دارد که دولت‌ها و سازمان‌های بهداشتی و درمانی از اهداف اصلی مورد علاقه هکرها هستند. واقعیت این است که بدافزارها دائما در حال تغییر هستند و به همین دلیل است که حتا سازمان‌های بزرگ نیز قربانی تهدیدات هکری می‌شوند. بسیاری از شرکت‌ها به دنبال جذب تحلیل‌گران بدافزار برای شناسایی اشکال جدید و نوظهور بدافزارهایی هستند که به‌سرعت گسترش می‌یابند.

یک تحلیل‌گر بدافزار، تهدیدات مرتبط با بدافزارها را شناسایی و بررسی می‌کند. کاری که این گروه از متخصصان انجام می‌دهند، درک ماهیت چنین تهدیدهایی است. از فعالیت‌های انجام‌شده توسط این متخصصان باید به مهندسی معکوس کد‌های مخرب، درک چگونگی اجرای یک حمله و دلیل موفقیت‌آمیز بودن یا نبودن آن، توسعه و اصلاح ابزارهای محافظت از بدافزار و روش‌های مناسب برای جلوگیری از تهدیدات بدافزاری در آینده اشاره کرد.

از آن‌جایی که تحلیل‌گران بدافزار مسئولیت تحلیل کدها و شناسایی تهدیدات را دارند، باید مهارت‌های مهندسان امنیتی و برنامه‌‌نویسان را داشته باشند. به همین دلیل، بخش عمده‌ای از آن‌ها تجربه کار چند ساله در زمینه برنامه‌نویسی و توسعه نرم‌افزار دارند. یک تحلیل‌گر بدافزار ماهر باید مهارت‌های کافی درباره جرم‌شناسی دیجیتالی داشته باشد، نحوه استفاده از ابزارهای اشکال‌زدایی مثل OllyDbg و محیط‌های توسعه مثل IDA Pro را بداند و از تکنیک‌های پیشرفته حمله و روش‌های ضد‌حمله آگاه باشد. از مهارت‌های موردنیاز این گروه از متخصصان به موارد زیر باید اشاره کرد:

  •  مدرک کارشناسی در رشته‌های علوم کامپیوتر، امنیت سایبری یا رشته‌های مرتبط
  •  تجربه کافی در زمینه برنامه‌نویسی و ترجیحا سی و سی‌پلاس‌پلاس
  •  توانایی نوشتن اسکریپت در پایتون، پرل و روبی
  •  دانش کافی در مورد ابزارهایی مثل IDA Pro، OllyDbg، RegShot، WinDbg، Immunity Debugger و TCP View
  •  دانش کار در مورد واسط‌های برنامه‌نویسی کاربردی و معماری داخلی سیستم‌عامل ویندوز و لینوکس
  •  توانایی برطرف کردن مشکلات مرتبط با پروتکل‌ TCP/IP، فرمت‌های فایل‌ها و ساختارهای داده
  •  توانایی نوشتن گزارش‌های فنی و برقراری ارتباط با تیم‌های توسعه‌دهنده و مدیران ارشد
8. تحلیل‌گر جرم‌شناسی دیجیتال (Computer forensics analyst)

یک تحلیل‌گر جرم‌شناسی کامپیوتری که به‌عنوان بازرس جرم‌شناسی دیجیتال، تکنسین جرم‌شناسی یا تحلیل‌گر جرم‌شناسی سایبری نیز شناخته می شود، متخصصی است که شواهد موجود در صحنه جرم سایبری را جمع‌آوری می‌کند، به‌گونه‌ای که خدشه‌ای در اطلاعات وارد نشود. تحلیل‌گران جرم‌شناسی دیجیتالی بر مبنای تحقیقات خود کشف می‌کنند که چگونه یک عامل تهدید به شبکه سازمانی دسترسی پیدا کرده است و چه شکاف‌های امنیتی باید برای جلوگیری از تکرار رویدادهای مشابه در آینده برطرف شود. آن‌ها شواهد دیجیتال به‌جامانده از مهاجم را تجزیه‌و‌تحلیل می‌کنند، شواهدی را برای ارائه به مقامات آماده می‌کنند و در صورت نیاز، شهادت کارشناسی را در جریان دادرسی ارائه می‌دهند. از وظایف مهم یک تحلیل‌گر جرم‌شناسی دیجیتال به موارد زیر باید اشاره کرد:

  •  تجزیه‌و‌تحلیل فایل‌های گزارش برای تعیین عامل یا عاملان نفوذ یا حمله به شبکه
  •  انجام تجزیه‌و‌تحلیل امضای فایل و تجزیه‌و‌تحلیل سیستم فایلی
  •  جمع‌آوری و تجزیه‌و‌تحلیل اطلاعات مرتبط با نفوذ مثل کدهای منبع، اطلاعات مرتبط با بدافزار‌ها و پیکربندی سیستم
  •  همکاری با تیم امنیتی برای کاهش حوادث امنیت سایبری در آینده

مسئولیت فوق، یک نقش حیاتی در تیم‌های امنیت سایبری است. همچنین، این گروه از متخصصان باید دانش کافی درباره مباحث فنی، کیفری و حقوقی داشته باشند. بنابراین، بیشتر نقش‌های جرم‌شناسی دیجیتال به افرادی که سابقه کار چندساله در حوزه امنیت را دارند سپرده می‌شود. از مهارت‌های موردنیاز این گروه از متخصصان به موارد زیر باید اشاره کرد:

  •  مدرک کارشناسی در حوزه امنیت یا علوم کامپیوتر
  •  دانش فنی و تکنیکی درباره رویه‌های مورد استفاده در جرم‌شناسی دیجیتال
  •  تسلط بر ابزارها و تکنیک‌هایی که امکان جمع‌آوری اطلاعات و تجزیه‌و‌تحلیل بدافزار‌ها را ارائه می‌کنند.
  •  توانایی تفسیر نتایج ارائه‌شده توسط ابزارهای امنیتی
  •  توانایی انجام تجزیه‌و‌تحلیل سطح بیتی و تجزیه‌و‌تحلیل حافظه برای استخراج اطلاعات
  •  توانایی شناسایی تکنیک‌های مبهم‌سازی
  •  درک قوانین و تکنیک‌های قابل استفاده در تحقیقات جنایی
  •  مهارت‌های تحلیلی و ارتباطی قوی در ارائه گزارش‌ها

بیشتر بخوانید
Word Cloud "Big Data"

کلان‌داده (Big Data) به مجموعه‌ای از داده‌ها اشاره دارد که به حدی بزرگ است که با استفاده از روش‌ها و ابزار معمول برای مدیریت، ذخیره، پردازش و تحلیل داده قابل مدیریت نیست. این داده‌ها معمولاً از منابع متنوع و متعددی مانند حجم بالای داده‌ها، سرعت بالای تولید داده‌ها و تنوع فرمت‌ها و نوع‌های داده‌ها به‌دست می‌آیند.

Big Data & Advanced Analytics

معیارهایی مانند حجم (Volume)، سرعت (Velocity) و تنوع (Variety) به‌عنوان سه عنصر اصلی در تعریف Big Data مورد استفاده قرار می‌گیرند. اما علاوه بر این‌ها، عناصری مانند صحت (Veracity) و ارزش (Value) نیز می‌توانند در تعریف Big Data در نظر گرفته شوند.

Big Data به عنوان یک فرازمینه مهم در عصر اطلاعات شناخته می‌شود و در بسیاری از صنایع و حوزه‌های کاربردی مانند مالی، بهداشت، علوم پزشکی، انرژی، حمل و نقل، رسانه و ارتباطات، اینترنت اشیاء و بسیاری دیگر، نقش مهمی ایفا می‌کند.

مزایای استفاده از Big Data شامل قدرت بیشتر در تحلیل و پیش‌بینی، شناسایی الگوها و روابط پنهان، افزایش بهره‌وری، بهبود تصمیم‌گیری و افزایش قابلیت رقابتی است. با این حال، مواجهه با چالش‌هایی مانند ذخیره‌سازی، پردازش، استخراج اطلاعات مفید و حفظ حریم خصوصی نیز در مورد Big Data وجود دارد. برای مدیریت Big Data، ابزارها و تکنولوژی‌هایی مانند سیستم‌های پایگاه داده توزیع‌شده، فناوری‌های پردازش موازی، فناوری‌های ذخیره‌سازی ابری و الگوریتم‌ها و مدل‌های پیشرفته تحلیل داده مورد استفاده قرار می‌گیرند.

ویژگی‌های Big Data چیست؟

ویژگی‌های شاخص بیگ دیتا (Big Data) یا همان Big Dataها به شرح زیر است:

  • حجم زیاد: بیگ دیتا به مجموعه‌ای از داده‌ها اشاره دارد که حجم آن بیشتر از ظرفیت و قابلیت‌های سنتی مدل‌ها و ابزارهای مدیریت داده‌ها است. این داده‌ها معمولاً به صورت مجموعه‌های بسیار بزرگ، پیچیده و متنوعی ظاهر می‌شوند.
  • سرعت بالا: داده‌های بیگ دیتا معمولاً با سرعت بسیار بالا تولید می‌شوند و نیاز به پردازش و تحلیل در زمان واقعی دارند. اجزای تشکیل‌دهنده بیگ دیتا می‌توانند از منابع مختلفی مانند سنسورها، دستگاه‌های متصل به اینترنت، شبکه‌های اجتماعی و سیستم‌های آنلاین حاصل شوند.
  • تنوع: بیگ دیتا از انواع مختلف داده‌ها تشکیل شده است از جمله متن، تصویر، صوت، ویدئو، داده‌های جغرافیایی و غیره. این تنوع در بیگ دیتا نیازمند ابزارها و تکنیک‌های مناسب برای استخراج و تحلیل اطلاعات است.
  • تنوع منبع: بیگ دیتا معمولاً از منابع متعددی مانند سیستم‌های موجود در سازمان، داده‌های عمومی، شبکه‌های اجتماعی و سایر منابع مختلف تولید می‌شود. این تنوع مبدأ نیازمند یک مدیریت داده‌های خوب و ابزارهایی برای ادغام و ترکیب داده‌ها است.
  • اطلاعات ناهمگون: بیگ دیتا شامل اطلاعات ناهمگون است که ممکن است از طریق ساختارهای مختلفی نظیر داده‌های ساختارمند، نیمه ساختارمند و غیرساختارمند در دسترس باشند. این نوع تنوع اطلاعات نیازمند روش‌ها و فنونی برای تفکیک و استخراج اطلاعات از این تنوع است.
  • ارزش: ارزش بیگ دیتا در توانایی استخراج اطلاعات، الگوها و روابط مخفی در داده‌ها قرار دارد. با تحلیل بیگ دیتا، می‌توان اطلاعات مفیدی را برای تصمیم‌گیری‌های استراتژیک و کسب و کار به دست آورد.
  • پیچیدگی: بیگ دیتا ممکن است شامل داده‌هایی با ساختارهای پیچیده و متنوعی باشد که نیازمند ابزارها و تکنیک‌های مناسب برای استخراج اطلاعات و الگوها از آن‌ها است.
Big Dataها چه نقشی در دنیای هوش مصنوعی دارند؟

کلان داده‌ها نقش بسیار مهمی در دنیای هوش مصنوعی (Artificial Intelligence) ایفا می‌کنند. هوش مصنوعی بر پایه تجزیه و تحلیل داده‌ها و استخراج الگوها و اطلاعات مفید از آن‌ها بنا شده است. در اینجا، کلان داده‌ها به عنوان منبع اصلی اطلاعات برای آموزش و تغذیه سیستم‌های هوش مصنوعی عمل می‌کنند. اگر بخواهیم نقش Big Dataها در هوش مصنوعی را به شکل فهرست‌وار مورد بررسی قرار دهیم به موارد زیر می‌رسیم:

  • آموزش مدل‌های هوش مصنوعی: Big Dataها برای آموزش مدل‌های هوش مصنوعی، به خصوص مدل‌های یادگیری عمیق (Deep Learning)، استفاده می‌شوند. با تغذیه مدل‌ها با حجم بالایی از داده‌ها، می‌توان الگوها و روابط پیچیده‌تر را شناسایی و تشخیص داد.
  • ارائه ورودی به سیستم‌های هوش مصنوعی: Big Dataها به عنوان ورودی به سیستم‌های هوش مصنوعی، مانند سامانه‌های پردازش زبان طبیعی، تشخیص تصویر، تشخیص الگو و سیستم‌های توصیه‌گر، استفاده می‌شوند. این داده‌ها اطلاعات مورد نیاز را فراهم می‌کنند تا سیستم‌ها بتوانند وظایف خاصی را انجام دهند.
  • بهبود عملکرد سیستم‌های هوش مصنوعی: با توسعه و بهبود مدل‌های هوش مصنوعی، Big Dataها به عنوان یک نمونه‌گیری بزرگ از جوانب مختلف مسئله، به سیستم‌ها کمک می‌کنند تا به دقت و قدرت بیشتری در تشخیص الگوها و پیش‌بینی رخدادها دست یابند.
  • پیش‌بینی و تحلیل: با استفاده از Big Dataها و تکنیک‌های تحلیل داده، می‌توان الگوها، روندها و روابط پنهان در داده‌ها را شناسایی کرده و پیش‌بینی کرد. این اطلاعات پیش‌بینی می‌توانند در تصمیم‌گیری‌های استراتژیک و بهبود عملکرد سازمان‌ها و سیستم‌ها مورد استفاده قرار گیرند.
  • بهبود تجربه کاربری: با استفاده از کلان داده‌ها، سیستم‌های هوش مصنوعی می‌توانند بهبود تجربه کاربریبهبود تجربه کاربری: با استفاده از کلان داده‌ها، سیستم‌های هوش مصنوعی می‌توانند بهبود تجربه کاربری را فراهم کنند. با تحلیل رفتار کاربران، پیشنهادهای شخصی‌سازی شده و خدمات به موقع و دقیقتری ارائه می‌شود.

به طور کلی، Big Dataها در هوش مصنوعی نقش حیاتی دارند، زیرا مواد اولیه برای آموزش مدل‌ها، اطلاعات مفید برای تصمیم‌گیری و پیش‌بینی و ارتباط بین مسائل پیچیده هستند. با توجه به رشد روزافزون حجم داده‌ها، اهمیت Big Dataها در هوش مصنوعی نیز رو به افزایش است.

چه ابزارهایی برای مدیریت Big Dataها در دسترس قرار دارد؟

برای مدیریت Big Dataها، مجموعه‌ای از ابزارها و تکنولوژی‌ها در دسترس است که به شما کمک می‌کنند داده‌ها را ذخیره، پردازش و تجزیه و تحلیل کنید. در زیر، به برخی از ابزارهای معروف برای مدیریت Big Dataها اشاره خواهم کرد:

  •  Hadoop: آپاچی هدوپ (Apache Hadoop) یک سکوی منبع باز برای پردازش و ذخیره Big Data است. آن شامل دو بخش اصلی است: Hadoop Distributed File System (HDFS) برای ذخیره داده‌ها و Apache MapReduce برای پردازش توزیع شده.
  •  Spark: آپاچی اسپارک (Apache Spark) یک سکوی پردازش داده توزیع شده است که عملکرد بالا، قابلیت پایداری و پشتیبانی از چندین زبان برنامه‌نویسی را فراهم می‌کند. این ابزار قدرتمندی برای پردازش و تحلیل کلان داده‌ها، ایجاد مدل‌های هوش مصنوعی و استفاده از الگوریتم‌های پیشرفته است.
  •  Cassandra: آپاچی کاساندرا (Apache Cassandra) یک سیستم مدیریت پایگاه داده توزیع‌شده است که برای ذخیره داده‌های بزرگ و پرس و جوی سریع مناسب است. این ابزار مناسب برای سناریوهایی است که نیاز به بالا بردن مقیاس‌پذیری و قابلیت اطمینان دارند.
  •  Kafka: آپاچی کافکا (Apache Kafka) یک سیستم صف و رویداد توزیع‌شده است که برای جمع‌آوری، ذخیره و پردازش جریان داده‌ها (Streaming Data) به کار می‌رود. این ابزار قابلیت انتقال داده‌ها در زمان واقعی را فراهم می‌کند و برای سناریوهایی مانند استریمینگ و تجزیه و تحلیل داده‌های واقع‌زمانی مناسب است.
  •  Storm: آپاچی استورم (Apache Storm) یک سکوی پردازش جریان داده توزیع شده است که برای پردازش داده‌ها در زمان واقعی و برخط مناسب است. این ابزار می‌تواند جریان‌های بزرگی از داده‌ها را به صورت پیوسته و به طور همزمان پردازش کند.
  •  Flink: آپاچی فلینک (Apache Flink) نیز یک سکوی پردازش جریان داده و پردازش داده توزیع‌شده است که امکان پردازش داده‌ها در زمان واقعی و یکپارچه را فراهم می‌کند. این ابزار قابلیت اجرای الگوریتم‌های پیچیده و پردازش دادهتوجه کنید که این فهرست فقط چند مثال از ابزارهای مدیریت Big Data است و هنوز ابزارهای دیگری نیز وجود دارند. انتخاب ابزار مناسب برای مدیریت Big Dataها وابسته به نیازها و موارد کاربرد خاص شما است.
چگونه از کلان داده‌ها برای آموزش مدل‌های هوشمند استفاده کنیم؟

استفاده از Big Dataها برای آموزش مدل‌های هوشمند یک فرآیند مهم در حوزه یادگیری ماشین و هوش مصنوعی است. در زیر، مراحل کلی برای استفاده از Big Dataها برای آموزش مدل‌های هوشمند را توضیح خواهم داد:

  1.  جمع‌آوری و تهیه داده‌ها: در این مرحله، نیاز است تا داده‌های مورد نیاز برای آموزش مدل‌های هوشمند خود را جمع‌آوری کنید. این داده‌ها می‌توانند از منابع مختلفی مانند پایگاه داده‌ها، فایل‌ها، لاگ‌ها و حسگرها به دست آید.
  2.  پیش‌پردازش داده‌ها: در این مرحله، داده‌ها را پیش‌پردازش می‌کنید تا مناسب برای آموزش مدل‌های هوشمند شوند. این شامل تمیزکاری داده‌ها، حذف داده‌های نامعتبر یا خطا دار، خروجی ساختاردهی و استخراج ویژگی‌ها است.
  3.  انتخاب معماری مدل: در این مرحله، باید معماری مدل هوشمند خود را انتخاب کنید. این معماری می‌تواند شامل شبکه‌های عصبی عمیق (Deep Neural Networks)، ماشین بردار پشتیبان (Support Vector Machines)، درخت تصمیم (Decision Trees) و غیره باشد.
  4.  آموزش مدل: در این مرحله، با استفاده از داده‌های جمع‌آوری شده و پیش‌پردازش شده، مدل را بر روی داده‌ها آموزش می‌دهید. این مرحله شامل تعیین پارامترهای مدل، تعیین تابع هدف (Loss Function) و اجرای الگوریتم آموزش است.
  5.  ارزیابی مدل: پس از آموزش مدل، باید آن را ارزیابی کنید تا بفهمید که آیا مدل به طور قابل قبولی عمل می‌کند یا خیر. این شامل استفاده از معیارهای ارزیابی مانند دقت (Accuracy)، دقت متوسط (Precision)، بازخوانی (Recall) و فرابرسی (F1-Score) است.
  6.  بهینه‌سازی و تنظیم مدل: اگر مدل شما نتایج مطلوب را نمی‌دهد، می‌توانید از روش‌های بهینه‌سازی و تنظیم مدل مانند تغییر پارامترها، تغییر معماری مدل و اعمال روش‌های مناسب برای جلوگیری از بیش‌یه‌های مدل  استفاده کنید.
  7.  استفاده از مدل آموزش دیده: پس از آموزش و ارزیابی مدل، می‌توانید از آن برای پیش‌بینی، طبقه‌بندی، تشخیص الگوها، تولید خودکار وظایف و بسیاری دیگر از کاربردهای هوشمند استفاده کنید.

مهم است بدانید که موفقیت در استفاده از Big Dataها برای آموزش مدل‌های هوشمند، نیازمند دقت در جمع‌آوری داده‌ها، پیش‌پردازش موثر، انتخاب معماری مناسب، پارامترهای بهینه مدل و ارزیابی صحیح است. همچنین، نیاز به قدرت پردازشی و ذخیره‌سازی مناسب برای مقیاس‌پذیری و مدیریت حجم بزرگ داده‌ها وجود دارد.

انواع تحلیل کلان داده

تحلیل کلان داده (Big Data Analytics) شامل مجموعه‌ای از روش‌ها و تکنیک‌های تحلیلی است که برای استخراج اطلاعات، الگوها و تفاوت‌های معنادار از مجموعه‌های بزرگ داده‌ها استفاده می‌شود. در زیر، به برخی از اصلی‌ترین انواع تحلیل کلان داده اشاره می‌کنم:

  • تحلیل توصیفی (Descriptive Analytics): در این نوع تحلیل، داده‌ها به صورت خلاصه و توصیفی بررسی می‌شوند تا الگوها، روندها و ویژگی‌های مشخصی که در داده‌ها وجود دارند شناسایی شود. این تحلیل به توصیف و تفسیر داده‌ها می‌پردازد و معمولاً با استفاده از روش‌هایی مانند جداول، نمودارها و نمودارهای توصیفی انجام می‌شود.
  • تحلیل پیش‌گویانه (Predictive Analytics): در این نوع تحلیل، با استفاده از روش‌های آماری و الگوریتم‌های پیش‌بینی، تلاش می‌شود تا الگوها و روندهای آینده را بر اساس داده‌های گذشته و موجود پیش‌بینی کنیم. این نوع تحلیل معمولاً برای پیش‌بینی رفتار مشتریان، رشد بازار، عملکرد مالی و سایر متغیرهای آینده استفاده می‌شود.
  • تحلیل روابط (Relationship Analytics): در این نوع تحلیل، بررسی روابط و ارتباطات بین داده‌ها و متغیرها انجام می‌شود. به عنوان مثال، این تحلیل می‌تواند نشان دهد که چگونه تغییر یک متغیر تأثیری بر متغیرهای دیگر دارد و رابطه‌های علّی و ناعلّی را مشخص کند. این تحلیل معمولاً با استفاده از روش‌های آماری و مدل‌سازی انجام می‌شود.
  • تحلیل رفتاری (Behavioral Analytics): در این نوع تحلیل، رفتار و الگوهای رفتاری افراد و مشتریان مورد بررسی قرار می‌گیرد. با تحلیل رفتارهای گذشته و موجود، تلاش می‌شود الگوها و روندهای رفتاری را شناسایی کرده و بر اساس آن‌ها تصمیمات بهتری درباره استراتژی‌های بازاریابی و خدمات مشتریان اتخاذ کرد.
  • تحلیل پیشرفته (Advanced Analytics): این نوع تحلیل شامل استفاده از روش‌هایی مانند یادگیری ماشین، شبکه‌های عصبی، الگوریتم‌های تکاملی و تحلیل متن و تصویر است. این تکنیک‌ها برای استخراج اطلاعات پیچیده، تحلیل پیشرفته داده‌ها و کشف الگوهای نهفته استفاده می‌شوند. برخی از روش‌های پرکاربرد در تحلیل کلان داده عبارتند از:
  • یادگیری ماشین و یادگیری عمیق (Machine Learning and Deep Learning): این روش‌ها به استفاده از الگوریتم‌ها و مدل‌های ریاضی برای آموزش سیستم‌ها به منظور تشخیص الگوها، پیش‌بینی و تصمیم‌گیری بر اساس داده‌ها می‌پردازند.
  • استخراج اطلاعات (Data Mining): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی مانند خوشه‌بندی، تحلیل خطی، تحلیل مؤلفه‌های اصلی و معناشناسی متن برای استخراج الگوها و اطلاعات مفید از داده‌ها می‌پردازد.
  • تحلیل شبکه‌های اجتماعی (Social Network Analysis): این روش برای بررسی روابط و الگوهای اجتماعی در شبکه‌های اجتماعی، شبکه‌های تعاملی و شبکه‌های مرتبط با استفاده از مفاهیم شبکه‌های گرافی مورد استفاده قرار می‌گیرد.
  • تحلیل متن (Text Analytics): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی برای تحلیل و استخراج اطلاعات از متن‌ها می‌پردازد. این شامل تحلیل موضوعی، تحلیل احساسات، تشخیص الگوها و استخراج اطلاعات از متن‌های بزرگ است.
  • تحلیل تصویر (Image Analytics): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی برای تحلیل و استخراج اطلاعات از تصاویر و ویدئوها می‌پردازد. مثال‌هایی از این تحلیل شامل تشخیص الگوها، تشخیص چهره، تحلیل شناختی تصاویر و دسته‌بندی تصاویر هستند.

همچنین، بسیاری از انواع تحلیل کلان داده شامل ترکیبی از این روش‌ها و تکنیک‌ها هستند و بسته به نوع داده‌ها و هدف تحلیل ممکن است شخصی‌سازی شوند.

بیشتر بخوانید

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدید پیشرفته چیست؟

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

مزایای به‌کارگیری مجموعه راه‌حل‌های اسپلانک

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

  •  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
  •  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
  •  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.
معماری اسپلانک چگونه است؟

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

چرخه حمله‌های پیشرفته

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نحوه برقراری تعامل بدافزار با سرور کنترل و فرمان‌ دهی

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌ها چگونه انجام می‌شوند؟

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

چگونه تهدیدهای پیرامون میزبان‌های در معرض خطر را شناسایی کنیم؟

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها
Splunk Enterprise Security

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

مزایای به‌کارگیری Splunk ES
  •  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
  •  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
  •  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
  •  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها
امنیت مبتنی بر تجزیه و تحلیل
  • فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:

    مانیتور کردن مستمر وضعیت امنیتی

    • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

    اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

    • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

    ‌بررسی و رسیدگی سریع به تهدیدها

    • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

    انجام بررسی‌های چندگانه

    • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

    کلام آخر

    همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .

بیشتر بخوانید

با معرفی اسمارت لایسنس های سیسکو (معرفی Cisco SLR License و Cisco PLR License) بجای شیوه سنتی، فعالسازی تمامی دستگاه ها با ارتباط با سرور مدیریت لایسنس های سیسکو (CSSM) انجام خواهد شد. در این روش تمامی قابلیت های دستگاههای درون شبکه با اتصال مستقیم به وبسایت و یا با استفاده از سرور مدیریت لایسنس ها (SSM On Premise) و با استفاده از لایسنس های موجود و خریداری شده توسط اسمارت اکانت سیسکو فرد و یا سازمان ، فعال خواهد شد. همچنین برای محیط هایی که بخاطر مسائل امنیتی و سیاست های داخلی ، دسترسی مستقیم به این سرورها ندارند میتوان از لایسنس SLR سیسکو برای فعالسازی قابلیت های مشخص و لایسنس PLR سیسکو برای فعالسازی تمامی قابلیت های دستگاه و به بصورت دائمی استفاده کرد.

شرکت بهپارت ارائه دهنده ارائه دهنده لایسنس های PLR و Smart کلیه محصولات سیسکو
لایسنس سیسکو روی تجهیزات زیر ساخت شبکه

بطور کلی، لایسنس های شبکه سیسکو شامل دو مدل لایسنس Network Essentials و لایسنس Network Advantage می شود. در این گروه لایسنس های Network Essentials توانایی فعال کردن قابلیت های پایه لایه دو و همچنین بعضی از ویژگی های لایه سه و بصورت محدود را دارا است اما لایسنس Network Advantage  تمام قابلیت های موجود را فعال خواهد نمود. در ادامه به معرفی هر یک از دوحالت لایسنس مربوط به لایسنس سوئیچ سیسکو و روتر سیسکو می پردازیم:

لایسنس Network Essentials سیسکو

 

ویژگی های مهمی که بوسیله این لایسنس ها فعال میگردند عبارتند از:

  • پشتیبانی از قابلیت های لایه دو مانند Private VLAN
  • پشتیبانی از قابلیت های QoS
  • مسیریابی لایه سه با استفاده از پروتکل های RIP، EIGRP و OSPF تا 1000 Route
  • پشتیبانی از ویژگی های لایه سه مانند Policy-Based Routing و IP SLA
  • پشتیبانی از استاندارد 1X بمنظور احراز هویت Client ها
  • پشتیبانی از StackWise
  • پشتیبانی از Zero Touch Provisioning
  • پشتیبانی از رمزنگاری 128-bit MACsec

این لایسنس ها در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس Network Advantage سیسکو

علاوه بر موارد ذکر شده و برای شبکه هایی که نیاز به قابلیت لایه سه پیشرفته تر دارند، میتوان از لایسنس های Network Advantage استفاده کرد و علاوه بر ویژگی های Network Essentials موارد زیر فعالسازی خواهد شد:

  • پشتیبانی کامل و بدون محدودیت از پروتکل های مسیریابی لایه سه مانند IS-IS، OSPF و BGP
  • پشتیبانی از Flexible network segmentation
  • پشتیبانی کامل از VRF, VXLAN, LISP, SGT, MPLS, BGP-EVPN
  • پشتیبانی از StackWise Virtual
  • پشتیبانی از Advanced Multicast
  • پشتیبانی از رمز نگاری 256-bit MACsec

توجه داشته باشید بعضی از این موارد با توجه به مدل های مختلف، متفاوت خواهد بود. این لایسنس ها برای فعالسازی قابلیت های تجهیرات در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس DNA سیسکو

تمامی تجهیزات این شرکت از قبیل سوئیچ سیسکو و روتر سیسکو همچنین برخی نرم افزار های امنیتی مانند ISE و پرایم، علاوه بر دارا بودن لایسنس های Network Essentials و Network Advantage، که ویژگی های مختلف را برای آنها فعال می نماید ، به منظور بهره مندی از فناوری Software Defined Network و پشتیبانی از راهکارهای SD-WAN ، SD-Access و ACI هماهنگ شدن با این پلتفرم، نیاز به استفاده از لایسنس DNA Essentials ، DNA Advantage و در حالت فول لایسنس DNA Premier دارند.

انواع Cisco DNA License به شرح زیر است:

لایسنس DNA Essentials سیسکو

این لایسنس حالت پایه لایسنس های DNA می باشد و ویژگی های مهم زیر را برای تجهیزات شبکه فعال خواهد کرد:

  • ویژگی Full Flexible NetFlow : نسل جدید Flow Technology که موجب بهبود عملکرد شبکه و کاهش هزینه ها خواهد شد.
  • ویژگی Cisco IOS Embedded Event Manager (EEM) : این ویژگی موجب بررسی لحظه ای اتفاقات و رفتارهای شبکه و خودکار کردن فرآیندها میشود.
  • ویژگی Software Image Management (SWIM) : موجب اجرای آپدیت خودکار سیستم عامل تجهیزات شبکه خواهد شد.
  • ویژگی LAN automation : پیکربندی و پیاده سازی ها بشکل خودکار در بستر شبکه کمک خواهد کرد.
  • داشبوردOverall health  : در این قسمت سطح سلامت تجهیزات شبکه بصورت لحظه ای قابل بررسی میباشد.
  • اپلیکیشن Network Plug and Play (PnP) : این قسمت قابلیت Zero-touch provisioning را بمنظور بهره برداری از تجهیزات در سریع ترین زمان ممکن پشتیبانی میکند و زمان پیاده سازی تجهیزات جدید در شبکه ها را بشدت کاهش میدهد.
لایسنس DNA Advantage سیسکو

این لایسنس علاوه بر ویژگی های ذکر شده در بالا از موارد زیر نیز پشتیبانی می کند:

  •  قابلیت SD-Access and Network Health Insights : قابلیت اعمال خودکار سیاست ها ( Policy-based automation ) و Segmentation را برای شبکه های SD-Access فراهم میگرداند.
  • قابلیت Cisco ThousandEyes Network and Application Synthetics : این ویژگی با هماهنگ شدن با سری سوئیچ های کاتالیست 9300 و 9400 سیسکو، توانایی نظارت برروی شبکه و اپلیکیشن های موجود در آن مهیا میکند.
  • قابلیت Cisco AI Network Analytics : این ویژگی با استفاده از Machine learning امکان بهبود فرآیندهای شبکه را با کمک سرویس DNA Assurance فراهم میکند.
  • قابلیت Cisco AI Endpoint Analytics : این قابلیت با چک کردن مداوم Endpoint های درون شبکه، آنها را درون گروه های مختلف به منظور نظارت جامع تر دسته بندی میگرداند.
  • قابلیت Group-Based Policy Analytics : قابلیت Segmentation را با نظارت مداوم بهبود میبخشد.
  • قابلیت Cisco User-Defined Network : امکان ایجاد دسترسی های مختلف به کاربران برای کنترل دسترسی تجهیزات وایرلس خود را امکان پذیر میکند.
  • قابلیت Application Policy Creation : امکان ایجاد سیاست های مختلف را برای اپلیکیشن های گوناگون مهیا میکند.
  • قابلیت Application Hosting : امکان راه اندازی Third-party applications را درون کانتینرهای امن را درون سوئیچ های سیسکو فراهم میکند.
  • قابلیت Third-party API Integration : امکان هماهنگ شدن با Third-party applications را از طریق API مهیا میکند.
  • قابلیت Encrypted Traffic Analytics (ETA) : بجز برای Stealthwatch ، برای بقیه تجهیزات امکان شناسایی بدافزارها و ترافیک های مخرب را از درون ترافیک های رمز شده مهیا میکند.
  • قابلیت ERSPAN : در بعضی از پلتفرم ها، امکان بررسی ترافیک های هدایت شده را فراهم میاورد.
  • قابلیت Wireshark : در بعضی از پلتفرم ها، امکان آنالیز بسته های ترافیکی را ایجاد میکند.
  • قابلیت AVC (NBAR2) : دید جامع برروی نسل جدید اپلیکیشن های تحت شبکه را مهیا میکند.
  • قابلیت Cisco Prime Infrastructure License : برای سوئیچ های کاتالیست 9000 سیسکو امکان هماهنگ شدن با نرم افزار Cisco Prime برای راهکاری جامع جهت مدیریت تجهیزات سیمی و بی سیم شبکه را در اختیار مدیران قرار میدهد.
لایسنس DNA Premier سیسکو

این لایسنس فول ترین حالت لایسنس های DNA میباشد که علاوه بر تمام موارد ذکر شده در دور حالت قبلی، شامل بهره مندی از قابلیت های Cisco Stealthwatch و Cisco ISE درون شبکه نیز می باشد.

لازم به ذکر است خرید یکی از لایسنس های DNA هنگام خرید سوئیچ های کاتالیست سری 9000 سیسکو اجباری می باشد. این لایسنس ها علاوه بر لایسنس Network Essentials و یا Network Advantage مورد نیاز می باشد.

لایسنس PLR سیسکو

این سری از لایسنس های سیسکو برای محیط های امنیتی و آفلاین که ارتباط با سرورهای مدیریت لایسنس های سیسکو، بصورت دائمی و حتی دوره ای، امکان پذیر نمی باشد، کاربرد دارد. در این روش کاربر بروی بعضی از محصولات خاص با دریافت Request code و ارسال آن برای پارتنرهای سیسکو یک Authorization code دریافت کرده و برروی دستگاه اعمال می کند. پس از انجام این فرآیند، تمامی ویژگی های محصول بصورت فول و دائمی و نامحدود (بدون نیاز به تمدید دوره ای) فعال خواهد شد و با توجه به تحریم ها و محدویت های موجود در ایران در حال حاضر استفاده از لایسنس PLR بهترین و راحت ترین حالت فعالسازی لایسنس محصولات سیسکو می باشد. لازم بذکر است لایسنس PLR از ویژگی های لایسنس های DNA سیسکو را پشتیبانی نمیکند.

در حال حاضر محصولات زیر مدل لایسنس PLR را پشتیبانی می کنند:

  • سوئیچ کاتالیست سیسکو: Cisco Catalyst 3000 , 9000
  • سوئیچ نکسوس سیسکو: Cisco Nexus 3000 , 5000 , 6000 , 7000 , 9000
  • روتر ISR سیسکو: Cisco ISR 1000 , 4000
  • روتر CSR1000vسیسکو
  • روتر ASR سیسکو : Cisco ASR 900 , 1000 , 9000
  • فایروال سیسکو: Cisco ASA-X, Cisco FTDv، Cisco Firepower 1000 , 2100 , 4100 , 9300
  • نرم افزار ISE سیسکو

بیشتر بخوانید

امروزه یکی از تکنیک‌های که توسط مهاجمین بسیار مورد استفاده قرار میگیرد تکنیک Fileless Malware میباشد. دراصل Fileless Malware به بدافزارهای گفته میشود که برای اجرا سازی از کد و یا باینری خاصی بر روی Disk استفاده نمیکنند و محتوا خاصی را بر روی Disk اجرا سازی نمیکند که این محتوا دراصل کدهای مربوط بد بدافزار فرد مهاجم میباشد. Fileless Malware به شکل های متعددی میتواند صورت بگیرد و ما در این مقاله قصد داریم به تاریخچه و محبوبیت این تکنیک در بین هکرها بپردازیم.

تکنیک Fileless جزوه تکنیک های قدیمی میباشد اما دلیل محبوبیت امروز آن در بین هکرها این است که توسط سیستم های امنیتی سنتی شناسایی نمیشود و یا به شکل سخت میشود آن را شناسایی کرد. این تکنیک در سال 2014 توسط بدافزار Powelike مورد استفاده قرار گرفت که سروصدا زیادی هم ایجاد کرد زیرا تماما تکنیک این بدافزار Fileless بوده است و هیچ اثری از خود بر روی Disk قرار نمیداده و صرفا با اجرا شدن در حافظه و نوشتن مقادیر در Registry فرآيند خود را جلو میبرده است.

نمونه های دیگری نیز از این تکنیک وجود دارد اما همانطور که میدانید دلیل محبوبیت این تکنیک دز میان هکرها نرخ شناسایی و تشخیص پایین آن در تجهیزات امنیتی میباشد.

Fileless Malware

بدافزارهای Fileless چگونه عمل میکنند؟

همانطور که در ابتدا مقاله اشاره کردیم درصورت آلوده شدن یک سیستم به بدافزار، بدافزار مورد نظر کد و یا باینری مخرب خود را بر روی Disk اجرا سازی میکند که این موضوع به این دلیل که یک کد و یا باینری مشکوک و ناشناخته بر روی سیستم اجرا سازی شده است میتواند سروصدا زیادی ایجاد کند. تکنیک Fileless به روش های متعددی این فرآيند را از Disk دور میکند. برای مثال فرد مهاجم به جای اینکه مستقیما از یک کد مشخص برای انجام فرآيند خاصی بر روی سیستم هدف استفاده کند، از نرم افزارهای قانونی درحال اجرا بر روی سيستم استفاده میکند از جمله نرم افزارهای هم که می‌توانیم برای این موضوع به آن اشاره کنیم PowerShell میباشد.

تکنیک های پیاده سازی Fileless Malware کدامند؟

توجه کنید که Fileless Malware ها درابتدا نیاز به دسترسی مستقیم بر روی سیستم دارند که بعد از آن به واسطه ابزارها و بسترهای از پیش نصب شده بر روی سیستم هدف آن را مورد حمله قرار بدهند. تکنیک های Fileless Malware چندین حالت مختلف را شامل میشوند که عبارتند از:

  • Exploit Kits
  • Hijacked Native Tools
  • Registry Resident Malware
  • Memory-Only Malware
  • Fileless Ransomware
  • Stolen Credentials

معرفی برخی تکنیک های پیاده سازی Fileless Malware

  • تکنیک اول – Exploit Kits

دراصل Exploit Kits مجموعه از Exploit های مختلف جهت شناسایی آسیب پذیری های موجود بر روی یک سیستم به واسطه Exploit های موجود در آن Exploit Kits میباشد. بعد از پیدا شدن آسیب پذیری به واسطه آن ممکن است که حمله Fileless Malware انجام پذیر باشد.

  • تکنیک دوم – Registry Resident Malware

این تکنیک دراصل به این شکل صورت میگیرد که یک تیکه کد مخرب در Registry سیستم ویندوز نوشته میشود. به نحوه کار یک Dropper توجه کنید، یک Dropper دراصل زمانی که بر روی سیستم هدف نصب میشود شروع به دانلود و قراردادن یک کد یا نرم افزار مخرب بروی سیستم میکند. زمانی که Dropper اینکار را انجام میدهد شناسایی آن به واسطه تجهیزات امنیتی ساده تر میشود اما بیاید نگاهمان را از حالت عادی Dropper خارج کنیم و به این شکل به آن نگاه کنیم که Dropper به جای دانلود و قرار دادن کد و یا نرم افزار مخرب بر روی سیستم به صورت مستقیم یک کد از طرف Dropper در Registry سیستم قرار بگیرد ! اکثر اوقات این فرآيند به جهت پیاده سازی تکنیک های Persistence مورد استفاده قرار میدهند.

  • تکنیک سوم – Memory-Only Malware

توجه کنید که تکنیک Memory-only دراصل همانطور که از نام آن هم پیداست در سطح Memory اجرا سازی میشود. نمونه از این تکنیک را میتوانیم به بدافزار Duqu اشاره کنیم که در دو نسخه ارائه میشود. نسخه اول Duqu به جهت پیاده سازی یک Backdoor و نسخه دوم به جهت پیاده سازی تکنیک های پیشرفته از جمله Exfiltration و Lateral Movies مورد استفاده قرار میگیرد.

  • تکنیک چهارم – Stolen Credentials

توجه کنید که این تکنیک به واسطه سرقت داده های حساس یک حساب کاربری صورت میگیرد و فرد مهاجم به واسطه ابزارهای مانند WMI و PowerShell که پیش فرض در سیستم وجود دارند و جزوه ابزارهای پر استفاده جهت پیاده سازی Fileless Malware میباشند استفاده میکنند.

بیشتر بخوانید