راهنمای نهایی تجزیه و تحلیل امنیت سایبری
راهنمای نهایی تجزیه و تحلیل امنیت سایبری تجزیه و تحلیل امنیتی یک رویکرد پیشگیرانه برای امنیت سایبری است که از جمع آوری داده ها، جمع آوری و قابلیت های تجزیه و تحلیل برای انجام عملکردهای امنیتی حیاتی – از جمله شناسایی، تجزیه و تحلیل و کاهش تهدیدات سایبری استفاده می کند. ابزارهای تجزیه و تحلیل امنیتی مانند تشخیص تهدید و نظارت بر امنیت برای شناسایی و بررسی حوادث امنیتی یا تهدیدات بالقوه مانند بدافزارهای خارجی، حملات هدفمند و خودی های مخرب مستقر می شوند.
با توانایی شناسایی این تهدیدات در مراحل اولیه، متخصصان امنیتی این فرصت را دارند که قبل از نفوذ به زیرساخت شبکه، به خطر انداختن دادهها و داراییهای ارزشمند یا آسیب رساندن به سازمان، آنها را متوقف کنند.
این مقاله ویژگیها و مزایای یک پلتفرم تجزیه و تحلیل امنیتی، مهمترین تهدیدات امنیتی برای سازمان شما، رویکردهای امنیتی مختلف، و اینکه چگونه تجزیه و تحلیل امنیتی میتواند به شما در جلوگیری از حملات و ایمن نگه داشتن محیطتان کمک کند را بررسی میکند.
ویژگی ها و مزایای پلت فرم امنیتی
تجزیه و تحلیل امنیتی کاربرد تجزیه و تحلیل داده ها در حوزه امنیت سایبری سازمان شما است.
بنابراین، یک پلتفرم تجزیه و تحلیل امنیتی (SA) ترکیبی از ابزارهایی است که عملکردهای امنیتی شبکه فعالی از جمله شناسایی، نظارت و تجزیه و تحلیل رویدادهای امنیتی مختلف، حملات و الگوهای تهدید را ارائه میکند – همه با هم در یک برنامه کاربردی واحد کار میکنند و از ساختارهای دادهای زیرین استفاده میکنند. . پلتفرمهای تجزیه و تحلیل امنیتی نیز مقیاسپذیر هستند و میتوانند شبکههای بزرگتر و تعداد کاربران را با رشد کسبوکار در خود جای دهند.
راه حل های تجزیه و تحلیل امنیتی داده ها را از منابع متعددی جمع آوری می کنند که عبارتند از:
- داده های نقطه پایانی و رفتار کاربر
- برنامه های کاربردی تجاری
- گزارش رویدادهای سیستم عامل
- فایروال ها
- روترها
- اسکنرهای ویروس
- اطلاعات تهدید خارجی
- داده های متنی
ترکیب و همبستگی این دادهها به سازمانها یک مجموعه داده اولیه میدهد تا با آن کار کنند و به متخصصان امنیتی اجازه میدهد الگوریتمهای مناسب را اعمال کنند و جستجوهای سریعی برای شناسایی شاخصهای اولیه حمله ایجاد کنند. این IoA ها می توانند از انواع منابع بیایند و پلتفرم های امنیتی ویژگی های مفیدی را برای جمع آوری و فهرست نویسی داده های شبکه مربوطه ارائه می دهند.
انواع ابزارهای تحلیل امنیتی
انواع ابزارهای تحلیل امنیتی
در حالی که مجموعه ویژگی ها متفاوت است، بسیاری از پلت فرم های تجزیه و تحلیل امنیتی قابلیت های زیر را ارائه می دهند:
- تجزیه و تحلیل رفتار کاربر و نهاد (UEBA)
- تجزیه و تحلیل ترافیک شبکه خودکار یا بر اساس تقاضا
- هوش تهدید
- دسترسی به برنامه و تجزیه و تحلیل
- تجزیه و تحلیل DNS
- تجزیه و تحلیل ایمیل
- هویت و شخصیت اجتماعی
- دسترسی به فایل
- موقعیت جغرافیایی، زمینه IP
این قابلیتها از ابزارهای متنوعی میآیند که پلتفرم تحلیلی امنیتی بزرگتری را تشکیل میدهند. برخی از ابزارهای استاندارد تجزیه و تحلیل امنیتی عبارتند از:
تجزیه و تحلیل رفتاری: تجزیه و تحلیل رفتاری الگوها و روندهای رفتاری کاربران، برنامهها و دستگاهها را بررسی میکند تا رفتار غیرعادی را شناسایی کند یا ناهنجاریهایی را که میتواند نشاندهنده نقض امنیتی یا حمله باشد را شناسایی کند.
اطلاعات تهدید خارجی: یک شرکت خدمات امنیتی خارجی ممکن است اطلاعات تهدید را به عنوان بخشی از مجموعه خود ارائه دهد. در حالی که به خودی خود تجزیه و تحلیل امنیتی نیست، پلتفرم های TI تکمیل کننده فرآیند تحلیلی هستند.
پزشکی قانونی: ابزارهای پزشکی قانونی برای بررسی حملات گذشته یا در حال انجام، تعیین نحوه نفوذ و نفوذ مهاجمان به سیستمها و شناسایی تهدیدات سایبری و آسیبپذیریهای امنیتی که میتوانند سازمانی را در معرض حملات آینده قرار دهند، استفاده میشوند.
تجزیه و تحلیل شبکه و دید (NAV): NAV مجموعه ای از ابزارهایی است که ترافیک کاربر نهایی و برنامه کاربردی را در طول شبکه تجزیه و تحلیل می کند. NAV همچنین ممکن است به عنوان نظارت بر امنیت شبکه (NSM) نامیده شود.
اطلاعات امنیتی و مدیریت رویداد (SIEM): اطلاعات امنیتی و مدیریت رویداد مجموعه ای از ابزارها را برای ارائه تجزیه و تحلیل بلادرنگ هشدارهای امنیتی تولید شده توسط دستگاه ها و برنامه های شبکه ترکیب می کند.
هماهنگ سازی امنیتی، اتوماسیون و پاسخ (SOAR): هماهنگ سازی امنیتی، اتوماسیون و پاسخ (SOAR) مرکزی است که قابلیت های جمع آوری داده ها، تجزیه و تحلیل و پاسخ به تهدید را به هم پیوند می دهد.
یک پلت فرم تجزیه و تحلیل امنیتی ممکن است از هر تعدادی از این ابزارها تشکیل شده باشد و اغلب می تواند با فناوری های نوظهور مانند هوش مصنوعی و ML تقویت شود.
چگونه تجزیه و تحلیل یکپارچه ابزارهای امنیتی را تقویت می کند
یکی از رویکردهایی که در بین متخصصان امنیت سایبری محبوبیت بیشتری پیدا کرده است، مفهوم تجزیه و تحلیل امنیتی یکپارچه است.
تجزیه و تحلیل امنیتی یکپارچه رویکردی است که شامل یادگیری ماشینی، تشخیص ناهنجاری و امتیازدهی خطر پیشبینیکننده همراه با علم داده میشود تا انحرافات رفتاری و فعالیتهای مشکوکی را که ممکن است نشان دهنده وجود تهدیدات امنیتی باشد، شناسایی کند.
تجزیه و تحلیل های امنیتی یکپارچه برای هر حادثه یا فعالیت شناسایی شده یک امتیاز ریسک تلفیقی و پویا ایجاد می کند. مدلها برای پیشبینی و شناسایی تهدیدات از قبل برنامهریزی شدهاند – این پیشبرنامهنویسی ممکن است توسط:
مورد استفاده
صنعت عمودی
چارچوب تهدید
الزامات مقررات انطباق
از آنجایی که این هشدارهای متنی بر اساس ریسک پیشبینیشده اولویتبندی میشوند و تهدیدها را در صورت وقوع شناسایی میکنند، تجزیه و تحلیل امنیتی یکپارچه میتواند به کاهش برخی از جدیترین تهدیدات امنیتی قبل از اینکه مهاجمان سایبری آسیب وارد کنند، کمک کند.
تهدیدات امنیتی رایج امروز
تهدیدهای امنیتی متعدد می تواند داده های یک سازمان را در معرض خطر یا حمله قرار دهد. در حالی که به هیچ وجه جامع نیست، در اینجا چند مورد از مهم ترین تهدیدهایی که اکثر سازمان ها با آن مواجه می شوند آورده شده است.
مهندسی اجتماعی
معمولاً زمانی که مهاجمان کارکنان را فریب می دهند تا اعتبار ورود به سیستم را بدهند یا بدافزاری را نصب کنند که ضربات کلید را ضبط می کند، از سازمان ها خارج می شود. از آنجایی که حملات فیشینگ و ترفندهای مهندسی اجتماعی به طور مداوم معتبرتر به نظر میرسند، سازمانها باید بیشتر روی دفاعهای امنیتی و آموزش کارکنان سرمایهگذاری کنند تا از سقوط فوری یک شبکه جلوگیری کنند.
خودی های بدخواه
اغلب برخی از بزرگترین تهدیدات سایبری افراد داخلی هستند که از قبل دسترسی به شبکه و دانش نزدیک در مورد مالکیت معنوی، نقشه ها، داده های ارزشمند و سایر دارایی های تجاری دارند. سازمانها باید توجه ویژهای به هر کسی که به دادههای شرکتشان دسترسی دارد، از جمله کارمندان، شرکا، و فروشندگان شخص ثالث، که پتانسیل سوء استفاده از دسترسی ممتاز و اختلال در عملیات را دارند، داشته باشند.
APT ها و بدافزارهای پیشرفته
نویسندگان بدافزار دائماً در حال توسعه تکنیکهای خود هستند، که اکنون شامل اشکال جدید باجافزار، تهدیدات دائمی پیشرفته (APTs)، حملات بدافزار بدون فایل و «stalkerware» میشود. برای محافظت از شبکههای خود، سازمانها باید روی روشهای جدیدی برای پیشبینی فعالانه رفتارهای بدافزار، جداسازی حملات و شناسایی تهدیدهای فراری که حضور آنها را مبهم میکند، سرمایهگذاری کنند.
حملات انکار سرویس توزیع شده (DDos)
حملات DDoS، که رایانه یا شبکه قربانی را با موجی از ترافیک جعلی بمباران میکند، میتواند مانع از دسترسی سازمانها به دادههای آنها، کند کردن شبکههایشان یا بستن منابع وب آنها به طور کلی شود. برای جلوگیری از وارد شدن آسیب قابل توجه به کسب و کار، سازمان ها باید در تجزیه و تحلیل ترافیک شبکه پیشرفته سرمایه گذاری کنند و در عین حال استراتژی هایی برای بهینه سازی دفاعی ایجاد کنند و در صورت قربانی شدن به عملیات ادامه دهند.
آسیب پذیری های اصلاح نشده
برنامه هایی که به طور منظم به روز نمی شوند، زمینه مناسبی را برای مهاجمان سایبری ایجاد می کنند که هدفشان سوء استفاده از آسیب پذیری های اصلاح نشده یا ناشناخته است. با این حال، این تهدیدات همچنین از سادهترین راههای پیشگیری هستند – اگر زود تشخیص داده شوند و تعمیر شوند.
مدارک به خطر افتاده و ضعیف
یکی از بردارهای حمله برتر همچنان اعتبارنامه های به خطر افتاده است، به خصوص که کاربران رمزهای عبور یکسان را برای چندین حساب بازیافت می کنند. دفاعهایی مانند احراز هویت چند عاملی، مدیریت رمز عبور، و آموزش جامع کاربر در مورد بهترین شیوههای هویت میتواند به به حداقل رساندن ورود از طریق این بردار حمله کمک کند.
حملات اینترنت اشیا
دستگاههای متصل به اینترنت اشیا (IoT) مانند روترها، وبکمها، پوشیدنیها، دستگاههای پزشکی، تجهیزات تولیدی و اتومبیلها نه تنها سطح حمله را تا حد زیادی گسترش میدهند، بلکه اغلب فاقد تدابیر امنیتی کافی هستند و در را برای حملات سایبری مخرب باز میکنند. پس از تصرف توسط هکرها، دستگاه های IoT می توانند با بارگذاری بیش از حد شبکه ها یا قفل کردن زیرساخت های حیاتی، سیستم ها را خراب کنند. به طور فزایندهای، سازمانهایی که به فناوریهای متصل متکی هستند، باید روی ابزارهایی سرمایهگذاری کنند که آسیبپذیریهای زیرساختی را که آنها را در معرض حملات احتمالی قرار میدهند، رصد کنند.
با تمام این تهدیدات، مهم است که سازمانها به همان اندازه که در دفاع هستند، در حالت تهاجمی باقی بمانند. بیایید برخی از روشهایی را که تیمها میتوانند در روشهای امنیتی پیشگیرانه اتخاذ کنند، بررسی کنیم.
رویکردهای امنیتی پیشگیرانه
یک رویکرد امنیت سایبری پیشگیرانه، رویکردی است که به طور پیشگیرانه تهدیدها و آسیب پذیری های امنیتی را قبل از وقوع حمله شناسایی کرده و به آنها رسیدگی می کند. این رویکرد میتواند شامل چارچوبهای تثبیتشده، مانند زنجیره کشتار سایبری یا چارچوب MITER ATT&CK باشد، که به متخصصان امنیتی کمک میکند تا با پیشبینی رفتارهای خود در زمینههای مختلف، از تهدیدها پیشی بگیرند.
زنجیره های کشتار سایبری
زنجیره کشتار سایبری مجموعه ای از مراحل سفارش شده است که مراحل مختلف یک حمله سایبری را در حین پیشرفت از شناسایی به استخراج داده ها نشان می دهد، که به تحلیلگران امنیتی و متخصصان کمک می کند تا رفتارهای مهاجم و الگوهای تهدید را درک کنند.
زنجیره کشتار سایبری که برای اولین بار به عنوان یک مکانیسم دفاعی نظامی توسط سازنده تسلیحات لاکهید مارتین در نظر گرفته شد، به وسیله ای برای پیش بینی و شناسایی طیف گسترده ای از تهدیدات امنیتی مانند بدافزارها، مهندسی اجتماعی، APT ها، باج افزارها و حملات خودی تبدیل شده است.
زنجیره کشتار سایبری شامل هشت مرحله اصلی است، یک زمان بندی مشخص از فعالیت ها در یک حمله سایبری:
- شناسایی
- نفوذ
- بهره برداری
- افزایش امتیازات
- حرکت جانبی
- مبهم سازی / ضد پزشکی قانونی
- خود داری از خدمات
- اکسفیلتراسیون
MITER ATT&CK
چارچوب MITER ATT&CK یک پایگاه دانش در سطح جهانی است که نمایش جامعی از رفتارهای حمله بر اساس مشاهدات دنیای واقعی ارائه میکند. چارچوب MITER ATT&CK در سال 2013 توسط MITER Corporation، یک سازمان غیرانتفاعی که با سازمانهای دولتی، صنعت و موسسات دانشگاهی همکاری میکند، ایجاد شد.
ATT&CK که مخفف عبارت Adversarial Tactics، Techniques and Common Knowledge است، تاکتیکها، تکنیکها و رویههای رایج (TTP) را که مهاجمان سایبری هنگام حمله به شبکهها به کار میگیرند، اما بدون نشان دادن الگوی حمله یا ترتیب عملیات خاص، مستند میکند. چارچوب 14 تاکتیک زیر را در بر می گیرد:
دسترسی اولیه
اجرا
ماندگاری
افزایش امتیاز
فرار از دفاع
دسترسی به اعتبار
کشف
حرکت جانبی
مجموعه
اکسفیلتراسیون
دستور و کنترل
این چارچوبها را میتوان برای انجام تلاشهای امنیتی فعال مانند شکار تهدید استفاده کرد. برای پیشی گرفتن فعالانه از هکرها، تیمهای امنیتی باید به طور فعال به جستجوی شاخصهای نقض احتمالی و سایر تهدیدات نهفته در زیرساختهای فناوری اطلاعات بپردازند.
در حالی که رویکرد پیشگیرانه در چشمانداز تهدید امروزی اهمیت فزایندهای دارد، هدف اصلی هر تیم امنیتی باید به حداکثر رساندن تلاشهای شناسایی و واکنش باشد. به محض اینکه یک تهدید علیه سازمان اقدام می کند، تیم های امنیتی باید بتوانند حمله را شناسایی کرده و مطابق با آن واکنش نشان دهند – در اینجا چند راه وجود دارد که تجزیه و تحلیل های امنیتی می توانند به آن کمک کنند.
(ضد جاسوسی سایبری را که به استراتژی های تهاجمی و دفاعی نگاه می کند، درک کنید.)
تجزیه و تحلیل امنیتی برای شناسایی و پاسخ
ابزارها و فناوری های تجزیه و تحلیل امنیتی به دلیل توانایی آنها در تجزیه و تحلیل طیف گسترده ای از داده ها از منابع متعدد و توزیع شده می توانند به شناسایی و پاسخ سریعتر کمک کنند و به سازمان ها این امکان را می دهند تا به راحتی ناهنجاری های مختلف هشدارها و حوادث امنیتی را برای تشخیص رفتار متخاصم به هم متصل کنند.
این باعث چند مزیت می شود:
ادغام بهتر داده های مرتبط از منابع گسترده و متنوع تری
دید بهبود یافته به زیرساخت های پیچیده فناوری اطلاعات و چشم انداز تهدید که به سرعت در حال تغییر است
بهبود قابلیت های تشخیص و پزشکی قانونی
توانایی بالا برای اولویت بندی و انجام اقدامات مناسب در مورد بحرانی ترین تهدیدها
افزایش دید و توانایی نظارت بهتر بر شبکه داخلی
افزایش دید در محیط انطباق با مقررات شما، از جمله HIPAA، PCI DSS و موارد دیگر
توانایی افزایش یافته برای پایبندی به مقررات انطباق و استانداردهای صنعت، از جمله تغییرات سیاست در حال تحول
با به حداکثر رساندن اثربخشی ابزارهای تشخیص و پاسخ، تیم های امنیتی می توانند بر موارد زیر تمرکز کنند:
شناسایی تهدیدهای داخلی: از آنجایی که افراد داخلی اغلب به دادهها و سیستمهای حساس دسترسی دارند، میتوانند تهدیدی حتی بزرگتر از بازیگران خارجی برای شرکتها ایجاد کنند. تجزیه و تحلیل امنیتی به شما این امکان را می دهد که با شناسایی زمان های ورود غیرمعمول، درخواست های غیرمجاز پایگاه داده، استفاده غیرعادی از ایمیل و سایر انحرافات، یک قدم جلوتر از خودی های مخرب پیش بروید، در حالی که به دنبال شاخص های سرقت اطلاعات نیز باشید.
دسترسی غیرمجاز به داده ها: هرگونه جابجایی غیرمجاز داده ها در داخل یا خارج از شبکه شما می تواند نشان دهنده از دست رفتن یا سرقت داده باشد. تجزیه و تحلیل های امنیتی به محافظت از داده ها در برابر خروج از سازمان شما کمک می کند، که اغلب می تواند از راه حل های سنتی پیشگیری از از دست دادن داده ها اجتناب کند، و حتی می تواند از دست دادن داده ها را در ارتباطات رمزگذاری شده کشف کند.
نظارت بر امنیت ابری: در حالی که ابر تلاشهای تبدیل دیجیتال را تسریع میکند و عملیات را ساده میکند، همچنین با گسترش سریع سطح حمله و ایجاد فضایی برای آسیبپذیریهای جدید، چالشهای امنیت سایبری جدیدی ایجاد میکند. تجزیه و تحلیل امنیتی، نظارت بر برنامه های ابری را ارائه می دهد که تهدیدات را جستجو می کند و از داده ها در زیرساخت میزبان ابری محافظت می کند.
تجزیه و تحلیل ترافیک شبکه: با توجه به اینکه ترافیک شبکه به طور مداوم در حجم بالا حرکت می کند، برای تحلیلگران امنیتی چالش برانگیز است که در هر ارتباط و تراکنش دیده شوند. تجزیه و تحلیل امنیتی پنجره ای را به کل ترافیک شما ارائه می دهد و به شما امکان تجزیه و تحلیل و شناسایی هرگونه ناهنجاری شبکه را می دهد، در حالی که با ابزارهای نظارت بر امنیت ابری برای شناسایی تهدیدات در محیط ابری خود نیز کار می کند.
تجزیه و تحلیل امنیتی به شما امکان می دهد تصویر بزرگ را ببینید
همانطور که سطوح حمله گسترش می یابد و محیط تهدید پیچیده تر می شود، سازمان ها به ناچار با موانع بیشتری در مدیریت داده های خود مواجه خواهند شد – در را برای مهاجمان و تهدیدها برای ورود به شبکه تحت رادار باز می کنند. تجزیه و تحلیل امنیتی به این مشکل پاسخ می دهد. تجزیه و تحلیلهای امنیتی با جمعآوری، همبستگی و تجزیه و تحلیل کل دادههای شما، پنجرهای واضح و جامع به محیط تهدیدتان در اختیار شما قرار میدهد که به شما امکان میدهد حملات در حال ظهور را قبل از اینکه دادههای شما را به خطر بیندازند و به سازمان شما آسیب بزنند، ببینید – و از آن جلوگیری کنید.
این پست لزوماً موضع، استراتژی یا نظر Splunk را نشان نمی دهد.
در صورتی که این مقاله راهنمای نهایی تجزیه و تحلیل امنیت سایبری
برای شما مفید و آموزنده بود، پیشنهاد میشود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.
در لینکدین ما را دنبال کنید