غلبه بر چالش‌های واکنش موثر و سریع به حادثه

زمان پاسخگویی یا همان تاخیر در واکنش به حادثه، نقشی حیاتی در تعیین میزان شدت و عواقب یک حادثه‌ی امنیتی دارد. هر چه شناسایی یک تهدید در شبکه‌ی یک سازمان یا شرکت بیشتر طول بکشد، آن تهدید می‌تواند آسیب بیشتری وارد کند و احتمال هزینه‌بر بودن فرایند بازیابی از آن نیز بیشتر می‌شود. متاسفانه تیم‌های امنیتی با چالش‌های بی‌شماری روبه‌رو هستند که واکنش سریع و موثر به حادثه را دشوار می‌کند.

حجم زیادی از داده و فرصت ناکافی

اولین چالشی که تیم‌های امنیتی درگیر آن هستند، حجم بیش از حد اطلاعات، و بار کاری غیر قابل تحمل ناشی از تعداد بسیار بالای هشدارهای امنیتی است. با این وجود هم‌چنان بسیاری از سازمان‌ها به دنبال پیاده‌سازی ابزارهای امنیتی بیشتر هستند تا بتوانند شفافیت و کنترل بهتری به دست آورند [و این ابزارها به خودی خود به حجم بالای اطلاعات و هشدارهای امنیتی می‌افزایند]. از طرف دیگر، چشم‌انداز تهدید نیز به طور پیوسته با تعداد، تنوع و سرعت بیشتر حملات، چالش‌برانگیزتر می‌شود. این دو روند در کنار هم یک چرخه‌ی مشکل‌زا شکل می‌دهند که باعث می‌شود تیم‌های امنیتی در تلاش برای شناسایی، حفاظت، واکنش و بازیابی از حادثه ناکام بمانند.

مساله‌ی دیگری که باید در نظر داشت این است که ضمن ثبت هشدارها، باید اطلاعات جانبی مربوط به آن‌ها نیز در اختیار تحلیل‌گران قرار گیرد تا بتوانند تعیین کنند یک هشدار خاص مربوط به یک تهدید واقعی بوده یا یک تشخیص مثبت کاذب (False Positive) بوده است. تحلیل‌گران برای انجام این کار ممکن است نیاز داشته‌ باشند داده‌های مشابه و مکمل را که روی چندین دستگاه یا ابزار ذخیره شده جمع‌آوری کنند. اگر واقع‌گرایانه نگاه کنیم، به طور متوسط یک آنالیست می‌تواند 20 تا 25 هشدار را در یک روز کاری استاندارد بررسی کند. با این وجود، مراکز عملیات امنیت (SOC) سازمانی به طور متوسط بیش از 10 هزار هشدار در روز دریافت می‌کنند، و این رقم در بزرگ‌ترین سازمان‌ها به بیش از 150 هزار هشدار در روز می‌رسد. با وجود این حجم اطلاعات، مشخص می‌شود که چرا اکثر سازمان‌ها، خیلی ساده ظرفیت کافی برای کاهش و مقابله با تهدیدات را ندارند.

از آن‌جایی که تنها یک هشدار می‌تواند تفاوت بین تشخیص یک حادثه‌ی امنیتی بزرگ و مهم و پنهان‌ماندن کامل آن باشد، این امر که تیم‌های امنیتی شفافیت کامل نسبت به این هشدارها داشته باشند اهمیتی حیاتی دارد. با وجود این که دامنه تاثیرگذاری حملات روز‌به‌روز بیشتر می‌شود، اگر تیم امنیت در زمان درست، جای درستی را تحت نظر داشته باشد، می‌توان با اکثر این حملات مقابله کرد. تیم‌های امنیتی برای این که بتوانند کار خود را به‌درستی انجام داده و موثر ظاهر شوند، به ابزارهای بهینه‌تری برای تریاژ (اولویت‌بندی) و بررسی هشدارها نیاز دارند تا بتوانند از حجم انبوه اطلاعات امنیتی به‌درستی استفاده کنند.

در رسیس بخوانید : مهاجمان سایبری درتلاش برای سو استفاده از همه گیری کرونا  

کمبود کارشناسان ماهر امنیت سایبری این مشکل را تشدید می‌کند

جدا از مشکل حجم بسیار بالای هشدارهای امنیتی که باید بررسی شده و منشأ آن‌ها مشخص شود، سازمان‌ها با مشکل شکاف مهارتی در امنیت سایبری که دائما در حال بزرگ‌تر شدن است نیز دست‌به‌گریبان هستند، و عملاً نمی‌توانند نیروهای کارشناس امنیت سایبری مورد نیاز را برای رسیدگی به حجم بالای داده‌های تهدیدی که در اختیار دارند یافته و جذب کنند. مطالعه‌ای که اخیرا انجام شده نشان می‌دهد حدود 68 درصد از سازمان‌ها در جذب، استخدام و حفظ افراد مستعد در زمینه امنیت سایبری با مشکل روبه‌رو هستند. علاوه‌براین، بنا بر آمار ماه مارس 2020، 73 درصد از شرکت‌ها حداقل یک نفوذ یا نقض اطلاعاتی را در طول یک سال تجربه کرده‌اند که حداقل بخشی از آن را می‌توان به خاطر شکاف مهارتی موجود در امنیت سایبری دانست.

تشخیص درست یک حادثه‌ی واقعی از یک تشخیص مثبت کاذب (False Positive) نیازمند سطح بسیار بالایی از دانش و تجربه است، و به همین خاطر است که عوامل تهدید به حملات «بی‌سروصدا و آهسته» روی آورده‌اند که میان هشدارهای مثبت کاذب پنهان می‌شوند. این امر ورود به حیطه‌ی امنیت را برای دیگر اعضای تیم IT دشوار می‌کند. شکاف مهارتی در امنیت سایبری با یک مساله‌ی دیگر هم تشدید شده است و آن مساله این است که بسیاری از سازمان‌ها برای اولویت‌بندی و رسیدگی به هشدارها به فرایندهای دستی و غیرخودکار متکی هستند. فرایندهای دستی منجر به طولانی‌شدن زمان پاسخگویی می‌شوند، که خطرات امنیتی را که سازمان با آن‌ها روبه‌روست، به‌شدت افزایش می‌دهد.

تطبیق‌پذیری با مقررات و گزارش‌دهی به نهادهای مربوطه، باری اضافه بر دوش تیم امنیت در مواجهه با حادثه

از چالش‌های بررسی و واکنش به حادثه با نیروی کاری محدود امنیت سایبری که بگذریم، تیم‌های امنیت مسئول نشان‌دادن و اثبات تطبیق‌پذیری سازمان با مقرراتی هستند که همواره در حال افزایش‌اند. مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) و استاندارد امنیت داده صنعت کارت‌های پرداخت (PCI-DSS) تنها دو نمونه از این دسته مقررات حفاظت از داده هستند که کار تیم امنیت را سخت‌تر می‌کنند.

چالش‌های به‌وجودآمده به خاطر این مقررات دو وجه جداگانه دارند: اول این که تیم‌های امنیت برای انجام ممیزی سه‌ماهه و سالانه نیاز دارند داده‌های مفصل و با جزییات کامل را تولید کرده یا جمع‌آوری کنند؛ داده‌هایی که نشان می‌‌دهد کنترل‌های امنیتی سازمان پیش‌نیازهای یک قانون خاص را برآورده می‌کنند. این کار معمولا شامل نظیرکردن پیش‌نیازهای قانونی کلی به کنترل‌های امنیتی خاص در شبکه‌ی شرکت، و سپس جمع‌آوری داده‌های مربوط به این کنترل‌ها می‌شود. دوم این که اجباری‌بودن ارائه گزارش از نفوذهای امنیتی، فشار شدیدی را از لحاظ زمانی روی تیم امنیت قرار می‌دهد.

برای مثال، GDPR یک سازمان را ملزم می‌کند ظرف 72 ساعت پس از تشخیص یک نفوذ اطلاعاتی، آن را گزارش کند. یک گزارش دقیق و صحیح نیاز به تحقیقات جامع پیش از سررسیدن این مهلت دارد. هر مقرراتی، پیش‌نیازها و نهادهای مرجع متفاوتی برای گزارش‌دهی دارد، که می‌تواند اطلاع‌رسانی دستی نفوذهای اطلاعاتی را تبدیل به فرایندی پیچیده و زمان‌بر کند. وظایف مربوط به تطبیق‌پذیری از آن‌جایی که عواقب حقوقی و عواقب بالقوه مالی را در پی دارند، نسبت به دیگر کارهای روزمره تیم امنیت اولویت بالاتری دارند. هر زمانی که صرف تحقیق روی یک قانون خاص، نظیرکردن کنترل‌های امنیتی به پیش‌نیازهای قانونی و نشان‌دادن تطبیق‌پذیری با قوانین شود، توانایی تیم امنیت برای شناسایی و واکنش به حوادث امنیتی را کاهش می‌دهد.

تعداد زیاد این مقررات و پیچیدگی بالای ‌آن‌ها  همواره در حال بیشترشدن است. یک شرکت ممکن است در تمامی نواحی که در آن‌ها فعالیت می‌کند ملزم به تطبیق‌پذیری با قوانین باشد، و لیست قوانین ایالتی، ملی، منطقه‌ای و مختص یک صنعت خاص که همیشه در حال بزرگ‌تر شدن است، دستیابی و حفظ تطبیق‌پذیری با قوانین را همواره سخت‌تر و سخت‌تر می‌کند.

هوش مصنوعی (AI) و اتوماسیون چطور می‌توانند به شما کمک کنند؟

با وجود پیچیده‌ترشدن دائمی چشم‌انداز تهدید که تعداد هشدارهای امنیتی را به صورت نمایی افزایش داده است، شکاف مهارتی فزاینده در زمینه امنیت سایبری و قوانین پیچیده برای تطبیق‌پذیری و گزارش‌دهی که تیم‌های امنیتی باید با آن کنار بیایند، سازمان‌ها در تضمین سریع و موثربودن فرایند واکنش به حادثه دچار مشکل هستند.

خوشبختانه، یکپارچه‌سازی و اتوماسیون اطلاعات امنیت و مدیریت رویداد (SIEM) می‌تواند کمک زیادی در اولویت‌بندی هشدارها و ساده‌سازی فرایند واکنش به حادثه بکند، و بسیاری از چالش‌هایی را که به آن اشاره شد حل می‌کند. علاوه بر این، مدیران امنیت برای برداشتن بار از دوش تیم‌های امنیتی که وظایف آن‌ها فراتر از ظرفیت عملیاتی آن‌هاست، باید از قابلیت‌های اتوماسیون و دیگر نوآوری‌های مبتنی بر هوش مصنوعی بهره بگیرند.