تشخیص در عمق

دفاع در عمق به خوبی شناخته شده است و تبدیل به رویکردی شده که به صورت گسترده‌ای اجرا می‌شود تا بتواند شبکه سازمان‌ها را به صورت بهتری امن نگه دارد. این کار با قراردادن لایه‌های متعدد دفاعی در درون شبکه برای ایجاد مجموعه‌ای از دفاع‌هایی که همدیگر را پوشش می‌دهند صورت می‌گیرد. اگر یکی از لایه‌ها کار نکند، لایه‌های دفاعی دیگری وجود دارند که فعال باقی می‌مانند. با این حال، مفهومی که هنوز به میزان این رویکرد شناخته شده نیست، مفهوم تشخیص در عمق است.

در حالیکه دفاع به عنوان سنگ بنای همیشگی امنیت سایبری بوده و خواهد بود، سازمان شما باید قادر باشد تا حملات را تشخیص داده و در برابر آن‎ها واکنش نشان دهد. اینجا جایی است که تشخیص در عمق ظاهر می‌شود و یک رویکرد هم‌پوشاننده و اضافی را فراهم می‌کنند. خوشبختانه امروزه بیشتر سازمان‌ها دارای زرادخانه‌ای از تشخیص امنیتی و ابزارهای پاسخ موجود هستند که برای این کار به آن‎ها کمک می‌کند. شیوه‌ی معماری شبکه شما و نحوه‌ی ارتباط آن‎ها در لایه‌های دفاعی، قابلیت همکاری درونی میان ابزارهای پیشگیری از نفوذ و نظارت بر جریان، راه‌حل‌های بدافزاری پیشرفته و سوابق موجود در دامنه را نشان می‌دهد.

برای مثال اگر از یک IPS استفاده کنیم: آن‎ها به شما در مورد حمله‌ای هشدار می‌دهند که مستقیماً دارایی سازمان شما را نشانه گرفته‌اند. هنگامی که این هشدار ارسال می‌شود، یک پاسخ‌دهنده به رخداد،‌ معمولاً سایر حسگرهای سامانه و داده‌های شناخته شده از گذشته را فراخوانی می‌کند تا بهتر بتواند حمله را درک کرده و اگر لازم بود قدم‌هایی در این زمینه بردارد. اینجا جایی است که تشخیص در عمق شروع می‌شود. با استفاده از این مثال، اگر سازمان شما قابلیت‌های تشخیص در عمق را با ابزارهایی نظیر ثبت سوابق DNS، سوابق IPS مبتنی بر میزبان، راه‌حل‌های پیشرفته‌ی ضد بدافزاری و Netflow، افزایش دهد، پاسخ‌دهنده به حادثه درک بسیار دقیق‌تر و کامل‌تری از هشدار خواهد داشت. سایر داده‌های مشابه از منابع و ابزارهای مختلف نیز می‌توانند برای تأیید عملکرد کمک کنند و این در حالی است که داده‌های مختلف ممکن است مؤلفه‌های جدیدی از حمله را نشان دهند که در منابع اولیه قابل مشاهده نیستند.

برای تشخیص در عمق، شناخت کیفیت منابع داده اهمیت خاصی دارد ( نه کمیت) که موجب درک و فهم بهتری می‌شود. در حالی‎که چهار منبع با کیفیت بالا همیشه بهتر از یکی هستند، سه منبع کاملا مطمئن همیشه بهتر از پنج منبع با قابلیت اطمینان کم هستند. به همان اندازه قابلیت همکاری و ارتباط میان داده‌های شما نیز اهمیت دارد. اینکه چگونه این توانایی‌های تشخیص همدیگر را کامل کرده و با یکدیگر کار می‌کنند برای موفقیت تحقیقات شما حیاتی است. چارچوبی که منابع مختلف می‌توانند با هم کار کنند، باید خودکارسازی شود.

در مثال اول ما (هشدار مربوط به IPS)،‌ اگر ده منبع مختلف اطلاعات در مورد حمله برای پاسخ دهنده به حمله در دسترس باشد، این پاسخ دهنده به یک یا دو مورد از این منابع رجوع می‌کند تا بتواند داده‌های مربوطه را پیدا کرده و شروع به فعالیت کند. این کار موجب می‌شود تا اطلاعات فراوانی استفاده نشده باقی بمانند. ادغام این قابلیت‌ها و منابع مختلف با یکدیگر و ارائه دادن آن‌ها به پاسخ‌دهنده به یک شکل واحد، زمان پاسخ را کاهش می‌دهد و حدس و احتمال را کاهش می‌دهد و موجب می‌شود تا چیزی دور از دسترس باقی نماند.

پاشنه آشیل تشخیص در عمق این است که چگونه همه‌ی این داده‌های مراقبتی مرتبط جمع‌آوری و با هم ترکیب شوند و زمینه مورد نیاز از سوابق فعالیت‌های گذشته را فراهم کنند و سپس یک هشدار تلفیقی ایجاد کنند که تا آنجایی که ممکن است به فهم سازمان از حمله کمک کنند. برای غلبه بر این مشکل، شما باید یک تشخیص بنیادی و چارچوب پاسخگویی از حمله به همراه قابلیت همکاری داشته باشید. یکی از راه‌های کمک به این درک، این است که سازمان شما به چه حدی از بلوغ در مورد تشخیص در عمق رسیده است و تیم پاسخ حمله در سازمان شما چه مقدار زمان صرف می‌کند تا بتواند داده‌ها را مفهوم‌سازی کرده و مقایسه کند. آیا فرایند کارهای شما به اندازه‌ی کافی خودکارسازی شده است، تا همه بتوانند وقت خود را به راه‌حل اختصاص دهند؟ و یا اینکه آن‎ها بیشتر زمان خود را صرف جمع‌آوری داده برای شروع کار می‌کنند؟

در بحث امنیت سایبری، ایجاد مجموعه‌ای از لایه‌های دفاعی بیشتر که همدیگر را پوشش دهند، برای موفقیت حیاتی است. با اضافه کردن یک رویکرد مشابه برای تشخیص و پاسخ در درون شبکه که همه‌ی اطلاعات موجود تهدید را با هم یکپارچه کند، سازمان شما می‌تواند به امنیت و آسودگی خاطر دست یابد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.