حیاتی ترین چالش های امنیت شبکه

پنج مورد از حیاتی ترین چالش های امنیت شبکه

از مهمترین چالش های امنیت شبکه داشتن ابهام و کار کردن بر این اساس، به عنوان بخش جدایی ناپذیرِ مقوله امنیت سایبری است. تیم امنیت شبکه می بایست با تغییرات مداوم مهاجمان سایبری سازگار شده تا بتوانند با تهدیدات جدید مقابله کنند. منظور از سازگاری، “بررسی مشکلات جدید”، “فرضیه هایی برای نحوه پرداختن به آن ها” و همچنین “اجرای استراتژی هایی مبنی بر تشخیص زودهنگام” می باشد.

Fortinet FortiNDR و FortiNDR cloud را می توان نقطه اوج چنین تلاش هایی دانست. FortiNDR در قالب cloud-based، Guided-SaaS و یا on-premises قابل ارائه بوده و راهکارهای منحصر به فردی برای حل پنج مشکل حیاتی که تیم امنیت امروزه با آن ها روبرو هستند، در اختیار سازمان ها قرار می دهد.

• افزایش dwell time

Dwell time به مدت زمانِ دسترسی کاربر به یک سیستم در معرض خطر، پیش از شناسایی تهدید مورد نظر توسط MSP اشاره دارد. هرچه مدت زمان dwell time بیشتر باشد، مهاجمان سایبری، فرصت های بیشتری برای آسیب رساندن و سرقت اطلاعات مهم در اختیار خواهند داشت.

بیش از یک دهه است که زمان dwell time بیش از میزان قابل قبول بوده است. بر اساس گزارشات IBM، در سال 2022 به طور میانگین 277 روز طول کشیده تا یک نقض داده، شناسایی و مهار شود. این زمان برای هکرها کافی است تا بتوانند پس از نفوذ به اطلاعات مهم سازمانی دست یابند که غالبا آن ها را برای درخواست باج، نگه می دارند.

غالبا تیم امنیت برای حل این مشکل، راهکار Network Detection and Response (NDR) را انتخاب می کند، زیرا این راهکار، ارزش بسیاری برای ابزارهای EDR و SIEM قائل بوده و با تجزیه و تحلیل متادیتای (metadata) شبکه، زمینه مورد نیاز برای فعالیت شبکه را فراهم می آورد. متادیتا، اطلاعاتی مانند نام کاربری، نام هاست، دامنه و وضعیت همه تراکنش ها را ارائه می دهد. از طرفی NDR اقدام به pair کردن متادیتا با AI و ML نموده تا به تیمSOC   اجازه دهد میزان فراوانی از داده ها را به سرعت آنالیز کنند. غالبا به تیم امنیت توصیه می شود داده ها را برای 9 تا 12 ماه حفظ کنند تا دسترسی اولیه به دقت مورد بررسی قرار گرفته و نظارت کاملی بر روی نقض داده ها فراهم شود.

در دنیای امروزه، ذخیره سازهای مدرن و زیرساخت های کلود به ما امکان می دهد داده ها را به صورت هوشمندانه تر، حفظ کنیم، اما چرا ابزارهای NDR هنوز هم داده ها را تنها برای مدت کوتاهی نگه می دارند؟

و اما FortiNDR با ارائه متادیتایی غنی به مدت 365 روز، فراتر از میزان معمولی رفته، در نتیجه تیم امنیت شبکه، اطلاعات بیشتری برای تجزیه و تحلیل های جزیی تر در اختیار دارند و می توانند به زمان های طولانی مدت dwell time توسط هکرهای پیشرفته امروزی بپردازند.

• عدم وجود R در NDR

البته که تشخیص اولیه بر اساس متادیتای غنی، تنها یک نقطه شروع است. علیرغم هزینه های بی سابقه بر روی تکنولوژی امنیتی، 52 درصد از تحلیلگران SOC  به دسترسی به محتوای out-of-the-box (مانند playbook ها و ruleها) نیاز بیشتری دارند؛ زیرا آن ها زمان بیشتری بر روی موضوع “بررسی تهدیدات” سپری می کنند، این در حالی است که  پیچیدگی ها، هشدارهای مداوم و همین طور حجم کاری نیز افزایش می یابد.

محتوای out-of-the-box مانند playbookها و ruleها به تسهیل فرایند کاری تیم SOC کمک فراوانی می کند. به عنوان مثال FortiNDR playbookها به تیم بازرسی کمک می کند تا مراحل صحیح و مناسبی را برای شناسایی مهاجمان سایبری طی کنند. به طور کلی باید گفت یک بازرس می تواند به سادگی “Log4j Hunting” playbookرا انتخاب کرده و فورا یک تحقیق با استفاده از درخواست های از پیش تعریف شده که حاوی جدیدترین اطلاعات مبتنی بر تهدیدات است، ایجاد کند. FortiGuard Applied Threat Research به طور مداوم playbookها را بر اساس تاکتیک های اخیر مهاجمان سایبری به روزرسانی می کند.

FortiNDR در کنار AI/ML قرار گرفته تا بتواند ابزارهای مناسبی برای شناسایی و مقابله با تهدیدات پیشرفته را ارائه دهد. قابلیت هایی مانند entity and faceted search، observations based on a correlation of multiple events و همچنین MITRE ATT&CK mapping به تیم امنیت کمک می کنند تا با سرعت بالاتر و به طور گسترده تر با تهدیدات مقابله کنند.

• تعداد کم متخصصین

سومین چالش به کمبود استعداد و متخصصین امنیت مربوط می شود. در حالی که تیم امنیت همواره در تلاش است تا در سریع ترین زمان ممکن، امنیت سازمان خود را تامین کند، اما غالبا آن ها مهارت، زمان و یا دانش کافی برای چگونگی  دفاع در برابر جدیدترین حملات سایبری و تاکتیک ها را ندارند.

و اما FortiNDR قادر است از تیم امنیتی که به واسطه کمبود مهارت به چالش کشیده شده اند، با بهره گیری از قابلیت های آنالیز مبتنی بر AL/ML پشتیبانی نموده تا اطمینان حاصل کند برای شناسایی و مسدود سازی حملات پیچیده کاملا مجهز هستند.

با تخصص مجازی که توسط Virtual Security Analyst (VSA) ارائه می شود می توان تهدیدات در حال ظهور را بررسی و آنالیز کرد، این در حالی است که نوع حضوری آن که توسط تیمی از technical success managers (TSMs) رهبری می شود به سوالات مربوط به یافته ها و پیکربندی پاسخ داده می شود.

علاوه بر این FortiNDR توسط محققانی که مدل های ML را مدیریت کرده و  همچنین out of the box playbookها را ارائه می کنند، به روزرسانی می شود.

مشاهده انواع فایروال Fortiweb

• تحقیقات مشارکتی

تیم های امنیت می توانند با استفاده از queryهای پیشرفته در برابر متادیتای حفظ شده ی شبکه، از قابلیت بررسی و شناسایی تهدیدات بهره ببرند و همچنین می توانند با اجرای queryها به صورت موازی و فراهم آوردن شرایط همکاری برای تیم های SOC در سراسر جهان به منظور تجزیه و تحلیل نتایج، سرعت مقابله با تهدیدات را باز هم افزایش دهند.

FortiNDR قادر است با استفاده از قابلیت parallel hunting به متخصصان امنیت امکان دهد تلاش های شان در جهت بررسی تهدیدات را در تیم های جهانی SOC هماهنگ کنند. به عنوان مثال یک SOC analyst مستقر در ایالت متحده می تواند تحقیقی را انجام دهد، در حالی که همکار وی در اروپا می تواند همزمان همان تحقیق را تکرار کند و متغیرها یا queryها را تغییر دهد و یا اضافه کند. در نهایت نتایج از طریق UI به اشتراک گذاشته می شود که در آن هر analyst می تواند بر اساس یافته ها و شواهدش، ارزیابی خود را انجام دهد. در حقیقت این یک رویکرد مشارکتی برای انجام تحقیقات است که امکان همگام سازی با سایر تامین کننده های NDR به جز فورتی نت وجود ندارد.

• افزایش پیچیدگی ها

اکثر تیم های امنیت با توجه به پیچیدگی و دارا بودن چندین تامین کننده برای زیرساخت های سازمانی نمی توانند به سرعت و کامل با حملات سایبری مقابله کنند؛ حتی پس از شناسایی آن ها. بنابراین “یکپارچه سازی” را می توان راهکاری کلیدی برای کاهش این پیچیدگی ها دانست.

FortiNDR با بهره گیری از قدرت AI و ML، قابلیت یکپارچه سازی با چندین المان Fortinet Security Fabric و راهکارهای third-party را ارائه داده تا بتوان شناسایی و مقابله با تهدیدات را بهبود بخشید. در ضمن زمانی که FortiNDR با FortiGate یکپارچه می شود، با شروع هر IP block داخلی بر روی فوریتی گیت، در مورد فعالیت های مشکوک، هشدار ارسال می کند. علاوه بر این FortiNDR فایل هایی که از فایروال عبور می کنند را مورد بررسی دقیق قرار داده تا مانع از دانلود فایل های مخرب توسط کاربران گردد. از طرفی یکپارچه سازیِ FortiNDR با FortiSOAR موجب مقابله هماهنگ و اصلاح سریع تر می گردد.

استفاده مناسب از NDR

پنج چالش مذکور، تنها چند نمونه از آنچه متخصصان امنیت به صورت روزانه با آن ها روبرو هستند، می باشد، اما به هنگام تهیه و خریداری راهکار NDR می بایست نکات ذیل را در نظر گرفت.

• نظارت بر کلود

قدرت NDR در فراهم آوردن قابلیت نظارت و تجزیه و تحلیل AI/ML در سراسر شبکه و البته صرف نظر از زیرساخت های اساسی می باشد. بهتر است راهکار انتخابی قادر به آنالیز ترافیک شبکه در کلود عمومی و خصوصی و همین طور محیط های IT/OT باشد. تامین کنندگان نیز باید تمام پیکربندی های این محیط ها را پشتیبانی کنند و ابزارهایی در اختیار تیم امنیت قرار دهند که بتوانند رفتار مشکوک را در محیط های ترکیبی شناسایی و مسدود کنند.

• تنها AI/ML تاثیرگذار نیستند

با اینکه قابلیت های AI/ML بخش بزرگی از جذابیت های NDR به شمار می روند، اما نباید ابزارها فقط به این دو قابلیت متکی باشند. تامین کننده های NDR می بایست با تجزیه و تحلیل انسانی بین رویکردهای AI/ML تعادل ایجاد کرده تا مثبت های کاذب را به حداقل برسانند.

• یکپارچه سازی با هدف کاهش پیچدگی ها

غالبا NDR به عنوان یک مکمل برای تکنولوژی های EDR   و SIEM به کار برده می شود و باید موارد تشخیصی و همین طور مشاهداتش را با این راهکارها به اشتراک بگذارد. به این ترتیب امکان تشخیص زودهنگام و واکنش هماهنگ به تهدیدات شناخته شده و ناشناخته شبکه میسر می شود.