امروزه با توجه به خطرات رو به رشد سایبری، تحلیلگران امنیت سایبری، برای برقراری امنیت در شرکتها تحتفشار و استرس هستند. آنها نهتنها باید از هشدارهای زیادی که گاها اشتباه هستند، عبور کنند بلکه باید با حجم رو به رشد تهدیدات سایبری نیز دستوپنجه نرم کنند.
تحلیلگران امنیتی باید بتوانند به سرعت مسائل را اولویتبندی کرده و در مواردی بهجای خطرناکترین تهدید، اضطراریترین تهدید را متوقف کنند.
درواقع این تحلیلگران نیازمند یک روش جامع و مکانیزه هستند که بتوانند از طریق آن با نظارت و تحلیل دادهها از تمامی ابعاد، پیچیدهترین تهدیدات را در سریعترین زمان ممکن شناسایی کنند.
در ادامه این مقاله به معرفی محاسن تحقیقات مکانیزه و مواردی که با پذیرفتن این نوع تحقیقات با آن روبرو خواهید شد، پرداخته میشود.
۱-به دست آوردن تصویری کامل از تهدید
فعالیتهای مشکوک باید در طول هر مرحله از زنجیره نابودی (Kill Chain) موردبررسی قرار گیرند. این کار باید از طریق فناوریهای خودکار مانند شناسایی فرماندهی و کنترل، تشخیص حرکات جانبی، تجزیهوتحلیل فایل، فارنزیک شبکه و فارنزیک نقاط پایانی صورت گیرد.
با انجام این موارد از شناسایی تهدیدات پیچیده اطمینان حاصلشده و تحلیلگران اطلاعات کامل برای رفع تهدیدات را به دست خواهند آورد.
۲-برقراری ارتباط بین هشدارها
امروزه اکثر سازمانها به راهحلهای نقطهای برای شناسایی تهدیدات اتکا میکنند. هر سیستمی جداگانه هشدارهایی را ارسال میکند و تحلیلگر امنیتی با کنار هم گذاشتن موارد مشکوک تصویری یکپارچه از تهدید را نمایان کند. بهجای این کار یک شیوه جامع مکانیزه برای شناسایی و پاسخ، شواهد کلیدی را بهطور خودکار به یکدیگر و به جریان حمله پیشآمده مرتبط ساخته و تصویری کامل از رویدادهای مرتبط بانفوذ را به تحلیلگر ارائه میدهد.
۳-برقراری توازن بین تحقیقات ماشین و انسان
تحقیقات خودکار با تجزیهوتحلیل نتایج حسگرها و ترکیب آنها با دادههای فارنزیک در زمان رسیدن به داستان اصلی تهدید، صرفهجویی میکند. همچنین ، استفاده از ماشین به تحلیلگران کمک میکند، باوجود دادههای فراوان و گاها کمبود دانش ، فرصت بیشتری برای توجه به نکات مهمتر داشته باشند.
۴-کاهش زمان رفع تهدید
لازم است بدانید، رفع یک تهدید بر اساس تشخیص، تحقیقات (مانند حذف نشانههای مثبت کاذب و اعتبار سنجی یافتهها با استفاده از فارنزیک)، تجزیهوتحلیل و درنهایت توصیههایی برای حل مشکل انجام میگیرد. حال ترکیب چندین داده و تبدیل آن به نشانههای کوچکتر و اولویتبندی شده بهصورت مکانیزه، مرحلههای مراحل رفع تهدید را به طرز قابلتوجهی کاهش میدهد.
همکاری افراد تیم و به اشتراکگذاری دانش
در حالت ایدهآل جهانی یک گروه امنیتی ۲۴/۷ (تمام وقت) برای شناسایی، تحقیقات و توقف یک بحران کار میکنند. یک سیستم مکانیزه میتواند بسیار راحتتر، هر مرحله از تحقیق را مستند کرده و اطلاعات آن را به اشتراک بگذارد. این امر باعث میشود که همه افراد تیم از مراحل مطلع بوده و خیلی سریعتر و بهدرستی به تهدید پاسخ دهند.
۵-کاهش مشکلات ناشی از عدم مهارت
یک سیستم تمام خودکار با مدیریت آسان به تحلیلگران کم تجربه در علم فارنزیک کمک میکند که در کوتاهترین زمان به محققان درجه یک تبدیل شوند. تصور کنید وجود یک سیستم بصری با قابلیت مستندسازی جریان هر نوع حمله و همچنین قابلیت دستهبندی دادههای فارنزیک، میتواند به هر عضوی از تیم کمک کرده تا حوادث را بهطور موثر کنترل کند.
۶-حضور متخصص در پشت صحنه
به طور کلی ماشینهای مکانیزه کمک زیادی به کاهش حجم بالای داده ها میکند اما هیچ گاه جایگزین مناسبی برای تجارب انسانی و شهود نمیشوند. راه حل بهینه در این امر این است که تمامکارهای دشوار تا حد ممکن به صورت مکانیزه انجامگرفته تا مرحلهای که نیاز به تصمیم متخصص امنیت سایبری باشد، در این مرحله ادامه کار به متخصص سپرده خواهد شد.