مروری بر«سکو‌های هوش امنیتی»1395/8/19 چهارشنبه
 
مروری بر«سکو‌های هوش امنیتی»

چکیده

مخاطب نوشتار حاضر مدیران ارشد امنیت اطلاعات و پیشروان امنیت فناوری اطلاعاتند. این نوشتار، تشریح میکند که چگونه سکو‌های هوش امنیتی این امکان را برای سازمان‌ها فراهم می‌آورند که بتوانند اطلاعات امنیتی ساخت‌یافته و غیر ساخت‌یافته را دریافت کنند و آن را برای ماشین­ها قابل‌استفاده کرده، به اشتراک گذاشته و بر اساس آن، اقدامات لازم را به انجام رسانند.

واژه‌های کلیدی:

سکوی هوش امنیتی، سکوی SIEM، مرکز عملیات امنیت (SOC)، فیدهای امنیت اطلاعات، همبستگی داده ها

مقدمه
سکو‌های هوش امنیتی، فناوری‌هایی نوظهور هستند و سازمان‌هایی که تمایل دارند از آن­ها استفاده کنند، باید به نیازمندی‌ها و الزامات خاص خود و چگونگی توسعۀ آن‌ها توجه زیادی داشته باشند. سکو­های هوش امنیتی روش­هایی کارآمد و خودگردان در اختیار سازمان­ها قرار می­دهند تا بتوانند تهدیدهای امنیتی را در منابع و شکل‌های گوناگون بیابند، ارتباط منطقی‌شان را با یکدیگر شناسایی کرده، به‌گونه‌ای کارآمد از اطلاعات مرتبط با آن­ها استفاده کنند.

ناتوانی سازما­ن­ها در به اشتراک‌گذاری هوش امنیتی به نفع فعالان عرصۀ تهدیدات سایبری است. درواقع این به اشتراک‌گذاری، سهیم شدن در برخورداری از نیروی فزایندۀ کاربران هوش امنیتی در رویارویی با شمار روزافزون کنشگران عرصۀ تهدیدات و گوناگونی تهدیدهایشان است. هزینه‌های ستادی به کار انداختن هوش امنیتی به میزانی است که احتمال دارد آن را از دسترس سازمان‌ها دور نگهدارد. بااین‌حال، یک سکوی هوش امنیتی می‌تواند ظرفیت تیم‌های هوش امنیتیِ موجود در سازمان را به‌مراتب افزایش دهد و حداقل های موردنیاز برای ایجاد این کارکرد را در محیط‌های موجود پایین بیاورد.

توصیف فناوری سکوی هوش امنیتی
تا پایان سال 2018، 50 درصد از سازمان‌ها و تأمین‌کنندگان «سرویس‌های امنیتی مدیریت‌شده»[1] نوع A، حداقل از یک نمونه سکوی هوش امنیتی برای بهره‌برداری، توزیع و انجام اقدامات لازم بر اساس اطلاعات امنیتی قابل‌خواندن توسط ماشین استفاده خواهند کرد. «سکو‌های هوش امنیتی»[2]، از «محتوای تهدیدات ماشین خوان»[3] استفاده می­کنند تا بتوانند محتوای امنیتی بهتری را فراهم آورند. این سکو­ها به یک محصول پیشنهادی جدید تبدیل شده‌اند و تأثیر بسزایی در چگونگی استفاده، به اشتراک‌گذاری و انجام اقدامات بر اساس هوش امنیتی ماشین­خوان خواهند داشت. مجموعۀ ویژگی‌های سکوی هوش امنیتی، آن را از فناوری‌های موجود امروزی مانند فیدهای[4] reputation، «فناوری‌های مسدودکننده»[5] و «مدیریت رویدادها و اطلاعات امنیتی»[6] متمایز می‌کند.

سکو‌های هوش امنیتی برای گردآوری[7]، همبسته سازی[8]، دسته‌بندی[9] و یکپارچه‌سازی[10] بهنگام داده‌های مرتبط با تهدیدات امنیتی به‌کار می روند که با استفاده از آن‌ها می­توان فعالیت‌های دفاعی سازمان را اولویت‌بندی کرد.؛ همچنین، مکمل فرآیند‌ها و فناوری‌های امنیتیِ فعلی سازمان هستند و می‌توانند به گونۀ یکپارچه با دیگر اعضا و بخش‌های سازمان به کار بپردازند. آن‌ها همچنین در به اشتراک ‌گذاری سریعMRTI[11] میان ذی­نفعان[12] و گروه‌های دیگر سازمان کمک خواهند کرد.


 

شکل 1- نمای منطقی سکوی هوش امنیتی

 شش ویژگی‌ اصلی قابل‌ارائه توسط سکوی هوش امنیتی که نقاط تمایز اصلی این فناوری می‌باشند، عبارتند از:

- گردآوری

- همبسته سازی

- دسته‌بندی

- یکپارچه‌سازی[13]

- ادغام[14]

- به اشتراک‌گذاری

گردآوری
یک سکوی هوش امنیتی، قادر است چندین فرمت از اطلاعات هوش امنیتی را از چندین منبع مختلف پذیرفته، آنها را بهنجار[15] کند. این ویژگی، وجه تمایز اصلی سکوی هوش امنیتی از SIEM های امروزی است. اگرچه سکو‌های SIEM می‌توانند چندین نوع فید[16] هوش امنیتی را استفاده و مدیریت کنند، اما مناسب دریافت فرمت‌های نامتعارف و بدون ساختار، که در تحلیل­ها حیاتی بوده و به کار می روند، نیستند. داده‌های ساخت‌یافته را می‌توان از منابع رایگان موجود (برای مثال abuse.ch) یا فیدهای تجاری استخراج کرد. علاوه بر این، سکوی هوش امنیتی می­تواند محتویات صفحات وب، بلاگ‌ها، اسناد و رسانه‌های اجتماعی را برای استخراج عناصر مدنظر تحلیل گران، بارگیری[17]، تجزیه‌ و تحلیل نماید.

همچنین برخی از سکو‌های هوش امنیتی دارای توانمندی سرخود[18] دریافت ایمیل هستند. این ویژگی با استفاده از روش‌های استاندارد، امکان ارسال مستقیم مواردی همچون نمونه ایمیل‌های فیشینگ[19] به سکوی هوش امنیتی را فراهم می‌کند. سپس، این سکو به‌صورت خودکار اطلاعات دریافتی را تجزیه ‌و تحلیل، بهنجارسازی و دسته‌بندی می‌کند. این قابلیت - با امکان دریافت حجم وسیعی از منابع هوش امنیتی - چابکی سازمان و بهره‌وری فرآیند‌های مرتبط با مدیریت تهدیدات را بهبود می‌بخشد.

در بسیاری از مواقع، محتویات جمع‌آوری‌شده از منابع ارائه‌دهندۀ اطلاعات هوش امنیتی، می‌توانند با استفاده از API‌ هایی که توسط تأمین‌کنندگان ارائه می‌شوند، به کار گرفته و یکپارچه شوند. برخی از منابع ارائه‌دهنده به شرح ذیل معرفی می شوند:

- هوش‌ امنیتی تجاری و منابع باز رایگان (نمونه‌هایی از تأمین‌کنندگان: Recorded Future، abuse.ch)

- هوش امنیتی مشتق شده و تجاری‌سازی شده (نمونه‌هایی از تأمین‌کنندگان: Cyveillance, IID, Norse)

- تحلیل و بصری سازی (نمونه‌ای از تأمین‌کنندگان: Paterva)

- غنی‌سازی اطلاعات نشانی های IP (نمونه‌ای از تأمین‌کنندگان: (MaxMind

- جستجوی فایل‌های «درهم‌سازی شده»[20] (نمونه‌ای از تأمین‌کنندگان: VirusTotal)

- جستجوی نام دامنه‌ها و نشانی های IP (نمونه‌ای از تأمین‌کنندگان: DomainTools)

همبسته سازی
یک سکوی هوش امنیتی قادراست فعالیت‌هایی از قبیل تحلیل، همبسته سازی، «همسوسازی»[21] و غنی‌سازی را - روی داده‌های دریافت شده از سایر منابع هوش امنیتی - به انجام برساند تا بتواند اطلاعات و محتوای معتبرتری از آن‌ داده‌ها استخراج کند. این محتوای[22] غنی‌شده، کلید مدیریت مؤثر تهدیدات بشمار می­رود.

شرایطی را در نظر بگیرید که سازمان با حجم وسیعی از اطلاعات مواجه است. این اطلاعات قبلاً در خصوص فعالیت‌های انجام‌گرفته علیه سازمان (برای مثال ransomware)، یا فعالیت‌های یک گروه از مهاجمان که حملات فیشینگی علیه سازمان راه انداخته‌اند، جمع‌آوری‌شده است. سؤالاتی که به‌طورمعمول سازمان با آن‌ها مواجه است، عبارتند از:

- آیا این فعالیت، یک سری حملات مجزا و مستقل علیه سازمان بوده است یا یک حمله وسیعِ هماهنگ و سازمان‌دهی شده است؟

- چه اطلاعاتی در خصوص این‌که مهاجمان چه کسانی هستند، کجا قرارگرفته اند و چگونه رفتار می‌کنند، می‌توان به دست آورد؟

یک نشانی رایانامه، URL، نام دامنه، نشانی IP یا پرونده همه می‌توانند ‌مانند کاتالیزوری[23] در فرآیند مرتبط سازی اطلاعات جمع‌‌شده، عمل کند و تصویر شفاف و متمرکزتری از تهدیدات پیشرو ارائه کنند.

دسته‌بندی
زمانی که اطلاعات گردآوری و همبسته شدند، آنگاه تحلیلگران می‌توانند برای تولید و توسعۀ دانش مربوط به تهدیدات، آن‌ها را دسته‌بندی کنند. شاخص‌هایی که می‌توان برای دسته‌بندی و غنی‌سازی به کار برد، شامل نشانی ‌های IP، امضاهای[24] MD5، مشخصات میزبان‌ به خطر افتاده، نام دامنه‌ها و نشانی‌های URL‌ هستند. سپس، تحلیل‌گر می‌تواند این شاخص‌ها را بر اساس گروه مهاجمین، «تأمین‌کنندگان سرویس اینترنت»[25] مورداستفاده، کشور یا دیگر مشخصات مشترک، دسته‌بندی کند و پروفایل[26]‌هایی برای هر دسته ایجاد نماید.

بدین ترتیب، با تحلیل محتوای شاخص‌ها و ارتباطات بین آن‌ها، دانشی از تهدیدات پیش رو تولید می شود، از جمله:

- شناسایی «ابزارها، فنون و فرآیندهای»[27]مورداستفاده یک مهاجم،

- برچسب‌گذاری[28] شاخص‌ها برای تولید محتوا و ارتباطات میان آن‌ها،

- بصری سازی، به‌منظور تسهیل درک ارتباطات پیچیده.

یکپارچه ‌سازی
یک سکوی هوش امنیتیِ کاملاً مجهز، جریان ‌اطلاعات به‌دست‌آمده از چندین منبع «بالادست»[29] را یکپارچه می سازد و آن‌ها را به داده‌های قابل‌استفاده برای ابزارهای «پایین‌دست»[30] تبدیل می‌کند. نمونه‌هایی از جریان اطلاعات ارسال‌شده به ابزارهای پایین­دست، عبارتند از:

- فید هایی از تازه‌ترین «شاخص‌های به مخاطره افتاده»[31] (برای مثال، AccessData Group، RSA، The Security Division of EMC و Guidance Software) که ابزارهای فارنزیک[32] می‌توانند آن‌ها را دریافت کنند و در سازمان به جستجوی آن­ها بپردازند.

- امضای حملات با فرمت snort که به‌منظور شناسایی ابزارها، فنون و فرآیندهای جدیدِ بکار گرفته‌شده توسط مهاجمان، در دستگاه‌های تشخیص و جلوگیری از نفوذ (IDS و IDP) استفاده می­شوند.

- فیدهای نشانی IP، نام میزبان، URL و نام پرونده[33] ‌هایی که برای استفاده در IPS‌[34] ها،[35]WAF‌ها،[36]NGFW‌ها و[37]SWG‌ها به کار می‌روند. به‌این‌ترتیب این ابزارها می‌توانند پایگاه ‌ها و نشانی­­های مشکوک را تشخیص داده، دسترسی به آن‌ها را مسدود سازند و یا حملات botnet را خنثی کنند و ارتباطات آن‌ها را قطع نمایند.

- «فهرست‌های مراقبتی»[38] SIEM که با جستجو در رخدادهایی که شامل اطلاعات حوادث هستند- اما به دلیل فقدان امکان نگاشت به تهدیدات جدید یا منابع تهدید مرتبط ارزش خود را ازدست‌داده‌اند- در تشخیص و پاسخگویی به حوادث کمک می‌کنند.

- اطلاعات مورداستفاده در «سامانه‌های Ticketing»[39] داخلی (مثال: ایمیل یک روش ساده برای شروع یک گردش­کار است): بدین ترتیب سکوی هوش امنیتی می‌تواند یک تیکت را برای شروع یک گردش­کار به‌منظور پاسخگویی به حوادث یا انجام فرآیندهای بررسی، در سازمان ایجاد کند.

- سکوی هوش امنیتی باید با «سیستم‌های مدیریت هویت و دسترسی»[40] (IAM) یکپارچه شود تا بتواند از اعطای دسترسی بر اساس نقش و به‌کارگیری سازوکارهای قوی برای احراز هویت، پشتیبانی کند.

فعالیت­ ها
به‌طورکلی «سکو‌های هوش امنیتی» خودبه‌خود فعالیتی ایجاد نمی‌کنند و بیشتر ابزار پردازش، خودگردان سازی و تحلیل هستند. با این‌وجود برخی از این سکو‌ها این امکان را به کاربر می‌دهند تا بتواند شروع فعالیتی را کلید بزند تا دیگر کاربران آن فعالیت را پی بگیرند. این امر، گردشکار میان چند کاربر را قبل از وقوع یک رخداد یا حین آن، هماهنگ می‌کند.

فعالیت‌هایی که می‌توانند توسط سکوی هوش امنیتی به راه بیفتند[41]، شامل موارد زیر هستند:

- ارسال هشدار به یک تحلیل­گر در خصوص عملیات موردنیاز ، از طریق یک صندوق ورودی یکپارچه[42] یا دیگر شکل‌های ارسال هشدار (برای مثال رایانامه و SMS).

- ارسال محتوای امنیتی برای کاربران موردنظر در سازمان از طریق گزارش، یا ارسال فید برای سایر دستگاه‌ها با استفاده از پروتکل‌هایی مانند STIX، Yara و IODEF.

- به‌روزرسانی IDS/IPS با ارسال امضاهای تولیدشده توسط سکوی هوش امنیتی

- ایجاد «قواعدYara »[43] برای استفاده در دیگر ابزارها برای شناسایی بدافزار

- برچسب­گذاری شاخص­ها به‌منظور تسهیل دسته­بندی

- تولید هشدارهای قریب‌الوقوع (به معنی پیش‌بینی تهدیدات امنیتی) بر اساس جزییات به‌دست‌آمده دربارۀ فعالان سایبری و مهاجمان و سوابق فعالیت‌های TTP آن‌ها

به اشتراک ‌گذاری
توانمندی شگفت‌انگیز سکو‌های هوش امنیتی در به اشتراک گذاردن اطلاعات مربوط به هوش امنیتی از بارزترین ویژگی‌های آن­ها به شمار می‌رود. به اشتراک‌گذاری سریع جزییات تهدیدات با فرمت قابل‌خواندن توسط ماشین، هزینه یک حملۀ شایع شده را برای مهاجم به میزان زیادی افزایش می‌دهد.

به اشتراک‌گذاری با استفاده از یک سکوی هوش امنیتی به دو شکل صورت می‌گیرد:

- به اشتراک‌گذاری داخلی: ذی­نفعان درون یک سازمان می‌توانند از دسترسی بی‌درنگ به هوش امنیتی بهره ببرند.

- به اشتراک‌گذاری خارجی: یکی از مزایای اصلی سکوی هوش امنیتی، توانایی ایجاد و مشارکت در «حلقه­های اعتماد[44]» با سازمان‌های خارجی است. به‌این‌ترتیب می­توان به کمک سکوی هوش امنیتی به سؤال «مهاجمین اطلاعات، ابزار و روش­ها را به اشتراک می‌گذارند، پس چرا ما این کار را نکنیم؟» پاسخی مناسب داد.

استانداردها
تاکنون گستره­ای از استانداردهای مرتبط با سکو­های هوش امنیتی، با درجات مختلفی از سازگاری، قابلیت و کارآمدی ظهور کرده‌اند (برای مثال IODEF، Yara، OpenIOC و IF-MAP). بااین‌حال، به نظر می‌رسد استاندارد STIX که مبتنی بر فرمت XML است، با استقبال گسترده­ای از طرف اکثر سازندگان و صنایع روبرو خواهد شد. از سوی دیگر، سازوکار TAXII ، به‌عنوان مکمل STIX، می‌تواند اطلاعات هوش امنیتی با فرمت STIX را به‌صورت امن بین شبکه‌ها و روی اینترنت انتقال دهد.

یک سکوی هوش امنیتی کاملاً مجهز، علاوه بر تمامی این استانداردها، از داده‌های غیر ساخت‌یافته نیز پشتیبانی می‌کند. این قابلیت در سال‌های آتی، یک توانمندی حیاتی در سکو­های هوش امنیتی بشمار خواهد رفت.

کاربردها
سکوی هوش امنیتی، موج سوم استفاده از هوش امنیتی قابل‌خواندن توسط ماشین را در سازمان‌ها پیش خواهد برد.

هوش امنیتی به شکل‌های مختلفی وجود داشته است. با این حال استفاده از هوش امنیتی قابل‌خواندن توسط ماشین در سازمان‌ها امری نسبتاً جدید است که می­تواند مزایایی را در قالب امکانات بصری­سازی، تشخیص و مسدودسازی برای سازمان­های بهره­بردار فراهم نماید. سیر تحول استفاده از هوش امنیتی را می توان به ترتیب ذیل شرح داد:

- در موج اول، سازمان­های بهره­بردار، از محصول یک شرکت به همراه فید اختصاصی آن، مانند فید نشانی­های IP که برای IPS، SIEM‌ها و دیگر تجهیزات امنیتی شبکه در نظر گرفته‌شده بودند، استفاده می­کردند.

- در موج دوم، سازمان­های بهره­بردار از چندین فید متعلق به سازنده­های مختلف، استفاده می­کنند، اما توانایی همبستگی، به اشتراک‌گذاری و برچسب­گذاری در آن­ها محدود است. یک سکوی SIEM با چندین فید خارجی یا یک دیواره­آتش که از چندین فید تجاری استفاده می­کند، مثالی­هایی از این نوع هستند.

- در موج نوپدید سوم، سکو­های هوش امنیتی، مجموعه­ای گسترده از محتوای ساخت‌یافته و غیر ساخت‌یافته را پردازش و هضم[45] می‌کنند. علاوه بر آن، به چندین کاربر اجازه می­دهند تا به‌طور همز‌مان از قابلیت­های بصری سازی، به اشتراک‌گذاری و برچسب‌گذاری استفاده نمایند. همچنین از طیف گسترده­ای از «فناوری‌های پایین‌دست»[46] پشتیبانی می­کنند.

مزایا و مخاطره ها
سکوی هوش امنیتی یک فناوری نوین است که فراهم‌کنندگان آن به‌تازگی وارد بازار شده­اند. ازاین‌رو، این فناوری به‌سرعت در حال تحول است و مزایا و مخاطره هایی به شرح ذیل دارد:

مزایا:

- صرفه‌جویی قابل‌ملاحظه در زمان صرف شده توسط کارکنان سازمان

- ایجاد سیستمی متشکل از سوابقِ یافته‌ها و شاخص‌های هوش امنیتی

- بصری سازی و همسوسازی سریع اطلاعاتِ حاصل از هوش امنیتی، به‌منظور فراهم کردن تصویری غنی از تهدیدات و مهاجمان

- دسترسی همزمان چندین کاربر از قسمت‌های مختلف سازمان به اطلاعات تهدیدات

- هوشمندتر نمودن ابزارهای نوین، مانند: SIEM، IPS/IDS و ابزارهای فارنزیک به کمک اطلاعات بهنگام و گسترده حاصل از سکو‌های هوش امنیتی

مخاطره ها:

- ناتوانی فناوری‌‌های پایین‌دست در استفاده از فیدهای سکوی هوش امنیتی

- تأثیر ناکافی و محدود سکوی هوش امنیتی به دلیل نقص در ظرفیت منابع یا بلوغ فرآیندها

نتیجه گیری
میزان آمادگی سازمانی برای سازگاری و راه‌اندازی فناوری سکوی هوش امنیتی بر اساس هزینه‌های ستادی امنیت سازمان و بلوغ فرآیند امنیتیِ مرتبط با پاسخگویی به تهدید سنجیده می شود. در شرایطی که سازمان ها با محدودیت نیروی انسانی مواجه هستند و بلوغ فرآیندهایشان در سطح پیشرفته‌ای نیست، می توانند از قابلیت‌های ابتدایی‌ و ساده‌تر هوش امنیتی، استفاده نمایند. برای بهبود کارآیی گروه امنیت سازمان می­توان از سکوی هوش امنیتی استفاده کرد تا به این وسیله مقادیر بسیار بزرگی از داده‌های هوش امنیتی را به گونۀ خودگردان تحلیل کرد.

 از سکوی هوش امنیتی به‌عنوان سازوکار اصلی استفاده گردد تا بتوان با تسریع استفاده از « اطلاعات امنیتی قابل‌خواندن توسط ماشین»، تهدیدات به‌موقع شناسایی، پیشگیری‌ و برطرف شوند. همچنین از سکوی هوش امنیتی می­توان برای دریافت و به اشتراک‌گذاری اطلاعات امنیتی قابل‌خواندن توسط ماشین که درون «حلقه‌های اعتماد» ایجاد می‌شوند، بهره برد.

 


 


--------------------------------------------------------------------------------

[1] Managed Security Service Providers (MSSPs)

[2] Threat Intelligence Platforms

[3] Machine-Readable Threat Content

[4] Feeds

[5] Blocking Technologies

[6] Security information and event management (SIEM)

[7] Collect

[8] Correlate

[9] Categorize

[10] Integrate

[11] Machine Readable Threat Intelligence

[12] Stakeholders

[13] Integrate

[14] Action

[15] Normalize

[16] Feed

[17] Download

[18] Built in

[19] Phishing

[20] Hash

[21] Pivoting

[22] Context

[23] Catalyst

[24] Signature

[25] ISP

[26] Profile

[27] TTP: Tools, Techniques and Processes

[28] Tagging

[29] Upstream

[30] Downstream

[31] IOC(Indicators of Compromise)

[32] Forensic

[33] File

[34] Intrusion Preventation System

[35] Web Application Firewall

[36] New Generation of Firewall

[37] secure Web gateway

[38] WatchList

[39] Ticketing

[40] Identity and Access Management

[41] Trigger

[42] Integrated Inbox

[43] Yara Rules

[44] Circles of Trust

[45] Ingest

[46] Downstream Technology


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)