یادداشت مهندس احمدرضا نوروزی، مدیر بخش پایش امنیت شرکت مهندسی پیام‌پرداز
مرکز عملیات امنیت، بودن یا کارآمد بودن
کد مطلب: 13954
تاریخ انتشار : چهارشنبه ۲۹ فروردين ۱۳۹۷ ساعت ۱۶:۵۳
 
این یادداشت به‌دنبال پاسخ به این پرسش است که آیا روال‌های استفاده فعلی و ابزارهای موجود در SIEM های رایج می‌تواند سازمان‌ها را در برابر حوادثی مانند حملات سایبری شامگاه هفدهم فروردین‌ماه مصون کند.
مرکز عملیات امنیت، بودن یا کارآمد بودن
 
 
Share/Save/Bookmark
این یادداشت به‌دنبال پاسخ به این پرسش است که آیا روال‌های استفاده فعلی و ابزارهای موجود در SIEM های رایج می‌تواند سازمان‌ها را در برابر حوادثی مانند حملات سایبری شامگاه هفدهم فروردین‌ماه مصون کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یکی از معیارهای کلیدی در انتخاب یک SIEM، میزان پتانسیل استفاده از امکانات آن در جهت Threat hunting است. به همین دلیل در مراکز عملیات امنیت مدرن از محصولات مکمل دیگری به‌منظور تقویت توان Threat hunting در کنار SIEM استفاده می‌کنند.

اگر سطوح بلوغ هر مرکز عملیات امنیت در threat hunting را پنج سطح در نظر بگیریم، استفاده از SIEM و IDS های رایج در بهترین حالت امکانات لازم برای رسیدن به سطح ۲ را ارائه می‌کند. اگر حملات بعدی برخلاف حملات شامگاه جمعه که ایران و چندین کشور دیگر را درگیر کرد و به ستون فقرات مراکز داده انجام شد از نوع ناشناخته باشند، گریزی جز اجرای گام‌های حلقه Threat hunting برای شناسایی سریع و رسیدگی به‌موقع به این حملات نیست وگرنه هزینه خسارت ناشی از آن، بسیار افزایش خواهدیافت.

وجود امکانات و ابزارهای کافی در جهت فرضیه‌سازی حمله، شناسایی الگو، شناسایی IoCها، یادگیری و تحلیل عمیق داده از ضروریات این امر است.

بلوغ در ابزارهای مرکز عملیات امنیت از جست‌وجوهای ساده به سمت بصری‌سازی پیشرفته داده، جست‌وجوی یک IoC ساده مانند آدرس IP بدنام به سمت نشانه‌های پیچیده یک حمله و فرضیه‌های ساده به سمت الگوهای چندبعدی حرکت می‌کند تا شرایط لازم برای انجام کامل روال‌های پیش‌ فعالانه به جای اقدامات صرفا واکنشی را در مرکز عملیات امنیت فراهم کند.