نقش مهم فرآیند کاهش داده در مصورسازی داده‌ها

۱۸۸۰جوشوا گلدفارب، مدیر ارشد فناوری در شرکت Fireeye طی گزارشی در وبگاه خبری securityweek از تجربه‌های خود در مراکز عملیات امنیتی سخن گفته است. وی به‌طور اختصاصی در این گزارش درباره یکی از تجربه‌های خود با یکی از مدیران رده‌بالای اجرایی سخن گفته است که با اعتراض به کار وی در مورد نتایج یک تحقیق با لحنی نامناسب، درخواست جزئیات بیشتری در این خصوص کرده است.

این تجربه از نظر گلدفارب، به دلایل مختلفی طاقت‌فرسا و ناراحت‌کننده بوده است. از نظر وی، یکی از دلایل این بوده است که این تجربه به طرز قابل‌توجهی کمبود آشکار درک از نقش مصورسازی را در حوزه امنیت اطلاعات نشان می‌دهد. هرکسی تصاویر زیبا و جذاب را دوست دارد، اما خیلی به‌ندرت اتفاق می‌افتد که این مصورسازی‌ها ارزش‌افزوده‌ای برای عملیات‌ امنیتی داشته باشند. نکته‌ای که باید به آن توجه ویژه داشت، این است که چگونه می‌توان فرآیند مصورسازی را به‌گونه‌ای پیاده‌سازی کرد که برای عملیات امنیتی ارزش‌افزوده به ارمغان داشته باشد؟ در ادامه مباحثی در این خصوص مطرح می‌شود.

برای درک اینکه چرا امروزه بیشتر فرآیندهای مصورسازی انجام‌شده ارزش کمی برای عملیات امنیتی دارند، باید ابتدا به مسائل پایه‌ای و اساسی رجوع کرد. در حوزه امنیت، این مسئله به معنی رجوع به خطرات و تهدیدهای موجود در یک سازمان خاص است که عوامل آن سازمان به دنبال کاهش، مدیریت یا کاهش خسارات ناشی از آن‌ها هستند. هرساله هزاران فرآیند مصورسازی انجام می‌شود، اما سؤالی که باید پرسید این است که چه تعداد از این فرآیندها به حتی یکی از تهدید‌های ذکر شده اشاره می‌کند و یا چه تعداد از این مصورسازی‌ها به سازمان‌ها کمک می‌کنند تا متوجه شوند یکی از خطرات گفته‌شده، نیازمند رسیدگی سریع است؟ به‌جرأت می‌توان گفت که تعداد انگشت‌شماری از این فرآیندها به این هدف رسیده‌اند و مشکل نیز در همین جاست.

از نظر گلدفارب، نگاشت یک مصورسازی بر اساس خطرات و تهدیدهای موجود که سازمان‌ها به دنبال کاهش آن هستند، مسئله‌ای است که بسیاری با آن درگیرند. ابتدایی‌ترین دلیل این است که بسیاری از فرآیندهای مصورسازی به دنبال افزایش ارزش‌های سازمانی هستند حال آن‌که بیشتر این فرآیندها فقط و فقط در ظاهر جذاب هستند. درعین‌حال، روش دیگری نیز وجود دارد که با استفاده از آن می‌توان شاهد ارزش افزوده برای عملیات امنیتی بود.

چشم آدمی می‌تواند به‌صورت تصویری الگوها، اتصالات هندسی و داده‌های نامتعارف را که تشخیص آن‌ها با دیگر ابزارها سخت است، شناسایی کرده و تشخیص دهد. مصورسازی اگر به‌درستی انجام شود، به آدمی توانایی پویش تصویری داده‌ها را می‌دهد و از این حیث ابزار قدرتمندی است.

هدف مصورسازی بیش از هر چیز، استخراج الگوها و ارتباطات و داده‌های نامتعارف به‌وسیله انسان و در قالب مکانیسم‌های تجزیه و تحلیل است. برای استخراج صحیح مفهوم از داده‌های یک سازمان عظیم، باید میزان داده‌ها را کاهش داده تا نسبت سیگنال به نویز بهبود یابد؛ به‌عبارت‌دیگر، با توجه به حجم و تنوع داده‌ها در سازمان‌های مدرن امروزی، سطح نویز معمولاً بالاست و نمی‌توان در این شرایط مصورسازی را بدون اجرای ابتدایی یک یا چند فرآیند کاهش داده به‌صورت مناسب و کارآمد انجام داد. تلاش برای ساخت تصاویر زیبا و گراف‌های جذاب بر اساس داده‌های خام که از لحاظ تنوع، پراکندگی زیادی داشته و کاملاً غیرمتمرکز هستند در پایان نتیجه مناسبی را به همراه نخواهد داشت.

سؤالی که در اینجا به ذهن می‌رسد،‌ این است که فرآیند کاهش داده‌ای که منجر به مصورسازی مناسب و در نتیجه استفاده مثبت از این مصورسازی در عملیات امنیتی است چگونه انجام می‌شود؟ برای قدم اول، باید به‌خوبی بررسی کرد که داده‌های موجود پاسخ چه سؤالی را فراهم می‌کنند. بدین ترتیب می‌توان مطابق با فهرستی که با توجه به اولویت خطرات تهیه شده است فرآیند مناسب را ایجاد کرد. بدین ترتیب می‌توان کاهش داده را در مسیر مورد نظر انجام داده تا ارزش افزوده دلخواه به دنبال آن ایجاد شود.

برای درک بهتر این مسئله، می‌توان آن را با یک مثال ساده مطرح کرد. ‌فرض کنید می‌خواهیم با استفاده از مصورسازی بدانیم به چه کشورهایی اسناد آفیس را ارسال می‌کنیم. قبل از اینکه فرآیند مصورسازی داده‌ها شروع شود،‌ باید فرآیند کاهش داده‌ها را به صورتی انجام داد که نتیجه حاصل ۳ معیار زیر را داشته باشد:

•داده‌هایی که از شبکه خارج می‌شوند (در برابر ورود داده‌ها)

•داده‌های مربوط به نشست‌هایی که در آن‌ها نوع پرونده یکی از انواع پرونده‌های آفیس باشد (مانند Word، Excel، PowerPoint و …)

• ساز و کاری که مقصد را به یک کشور نگاشت می‌کند (از طریق دامنه، نشانی IP یا شاخص ASN۱)

هنگامی که فرآیند کاهش داده انجام شود و نسبت سیگنال به نویز به طرز قابل‌توجهی افزایش یابد، می‌توان در مورد نوع مناسب مصورسازی تصمیم گرفت. با توجه به سؤالات مطرح‌شده در مورد ابعاد مختلف داده‌ها، انواع مختلفی از فرآیندهای مصورسازی به‌منظور استخراج الگوها، ارتباطات و داده‌های نامتعارف نمودار خواهند شد.

در مثال مطرح‌شده، یک نقشه با بخش‌های رنگی و هاشوری برای نشان دادن حجم (تعداد نشست‌ها، تعداد بایت‌ها و …) مناسب خواهد بود. درعین‌حال باید توجه داشت که سؤالات مطرح‌شده از داده‌ها خود نیز اهداف متفاوتی را دنبال می‌کنند. در برخی موارد، برای رسیدن به نتیجه مطلوب باید چندین فرآیند مصورسازی را انجام داد. پس از اتمام این چند فرآیند، مصورسازی مدل گرافیکی را به دست می‌دهد که می‌توان آن را به‌راحتی با چشم پویش کرد. کاهش داده انجام‌شده نیز در این مرحله کمک می‌کند که فرآیند بررسی و تحلیل با توجه به زمینه فکری موجود از قبل در ذهن، زودتر انجام شود. همچنین باید توجه داشت که فارغ از نتیجه آنی فرآیند و یا نتیجه‌ای که نیازمند بررسی بیشتر باشد، کاهش داده همواره نتیجه مطلوب خود را دارد.

گلدفارب در بخش پایانی گزارش خود، اشاره کرده است که با توجه به تجربه وی و همکارانش در این حوزه، تلاش‌های بدون تمرکز برای انجام مصورسازی با استفاده از داده‌های خام و کاهش نیافته منجر به نتایجی می‌شود که برای عملیات امنیتی مناسب نیستند. فرآیند مصورسازی در صورت اجرای درست آن ابزار بسیار مناسبی است که ارزش افزوده فراوانی را برای عملیات امنیتی به ارمغان دارد. انجام فرآیند کاهش داده از طریق جستجوهای خاص، هدف‌دار و تأثیرگذار در داده‌ها در حقیقت بهترین شروع برای به دست آوردن نتایج مثبت در فرآیند مصورسازی است.

۱. autonomous system number

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]