هر مرکز عملیات امنیتی (SOC[1]مدرن از سه عنصر تشکیل شده است: مردم، فرآیندها و فناوری. از دیدگاه مردم، تیم SOC مسئول ارائه خدمات امنیت فناوری اطلاعات با شناسایی فعالانه تهدیدات و حملات سایبری بالقوه و پاسخگویی به موقع به حوادث سایبری است.
وظایف روزانه تحلیلگران SOC
تحلیلگران SOC اعضای مهم تیم SOC هستند. آنها مسئول نظارت مستمر، تلاش برای شناسایی تهدیدات سایبری، تریاژ هشدارها و تشدید آنها به طور مناسب در آن تیم هستند. این افراد برای اجرای فرآیندهای نظارت، تشخیص، تجزیه و تحلیل، تریاژ و تشدید به صورت شبانه روزی فعال هستند. برای تحقق اهداف مختلف ماموریت های امنیت سایبری، تحلیلگران SOC بایداطلاعات تهدید سایبری ([۲]CTI)) برای استفاده.
CTI چگونه وظایف تحلیلگران را ساده کنیم SOC کمک می کند؟
CTI برای عملکردهای امنیتی هر سازمان، بزرگ یا کوچک، ارزشمند است. در شرایطی که حجم کار تحلیلگران SOC افزایش یافته است و تعداد هشدارها و رویدادهای امنیتی که باید بررسی شوند باعث فرسودگی آنها می شود. CTI این نقش بسیار زیادی در اولویت بندی خودکار و فیلتر کردن هشدارها برای آنها ایفا می کند. CTI این مهم ترین آسیب پذیری های امنیتی را به همراه داده های پس زمینه و اطلاعات خارجی در مورد فرآیند مدیریت آسیب پذیری شناسایی می کند. CTI همچنین می تواند با غنی سازی داده ها برای سایر فرآیندهای امنیتی مهم نقش داشته باشد. به عنوان مثال، نقطه شروع بسیار خوبی برای شکار تهدید است.
CTI اطلاعات را از منابع خارجی مانند وب تاریک جمعآوری و جمعآوری میکند و سپس اعتبار و غنیسازی آن را برای تعیین انواع تهدیدات سایبری و سطح جدیت و شدت آنها تأیید میکند. CTI همچنین می تواند شکاف های امنیتی را بر اساس دانش کسب شده از زیرساخت مهاجمان شناسایی کند و اطلاعات مهمی مانند تاکتیک ها، تکنیک ها و روش های آنها را تعیین کند. CTI این به تحلیلگران SOC کمک می کند تا چشم انداز تهدید فعلی را درک کنند و اقدامات لازم را برای مقابله با این تهدیدات انجام دهند.
در انتشارات CTI چه اطلاعاتی وجود دارد؟
در حالی که فیلتر کردن داده های مفید و واقعی برای پیاده سازی مدیریت موثر تهدید و فرآیندهای نظارت بر امنیت معمولاً کار آسانی نیست، با ارزش ترین و عملی ترین داده ها ثابت شده است که اطلاعات مربوط به رویداد به دست آمده از فیدهای اطلاعاتی تهدید است. انتشارات CTI آنها به طور خاص تمام راه های اصلی، از جمله لینک های مخرب، کلاهبرداری های فیشینگ، بدافزارها، منابع هرزنامه، بات نت ها، تروجان ها، نرم افزارهای جاسوسی/آگهی، باج افزار و غیره را پوشش می دهند. تحلیلگران SOC می توانند از داده های این برنامه برای بهبود دقت و ثبات عملیات امنیتی استفاده کنند. آنها می توانند از این داده ها استفاده کنند و CTI یک دید کلی از تهدیدات ایجاد کنید.
بستر، زمینه CTI به چه سوالاتی پاسخ می دهند؟
بستر، زمینه CTI آنها می توانند با ایجاد پاسخ های بهتر به سوالات زیر به شناسایی تهدیدات سایبری کمک کنند.
- آخرین روند تهدیدات سایبری چیست؟
- اخیراً مهاجمان چه زمانی و در چه قسمتی از سطوح مهاجم دیده شده اند؟
- مهاجمان و افراد مخرب معمولاً در کدام کشورها یا صنایع فعالیت می کنند؟
- آیا یک کمپین هماهنگ فعال علیه یک منطقه خاص وجود دارد؟
- در حال حاضر از چه نوع ابزار یا بدافزاری برای حملات سایبری استفاده می شود؟
- چه فعالیت های مخربی در سطح سازمان مشاهده شده است؟
- کدام آسیبپذیریهای تازه کشفشده به طور فعال مورد سوء استفاده قرار میگیرند و چگونه میتوان با آنها مقابله کرد؟
- چه تاکتیکها، روشها و بارهایی در فعالیتهای مخرب فعلی استفاده میشود و چگونه میتوان از این نقشهبرداری برای زمینهسازی و طبقهبندی اطلاعات استفاده کرد؟
- نشانه های نفوذ یا حمله در فعالیت های سایبری مورد نظر چیست و چگونه می توان به آنها پاسخ داد؟
نتیجه
یک SOC می تواند داده های تولید شده توسط محصولات مختلفی را که به آن متصل هستند ذخیره کند CTI با یکدیگر یکپارچه شوند، از جمله فیدهای داده به روز شده از طریق API یا گزارش های اطلاعاتی تهدیدات بین پلتفرمی سالانه CTI. تحلیلگران SOC می توانند استفاده کنند CTI دانش بیشتری از جمله اطلاعات داخلی و خارجی به دست آورید و بهترین راه را برای مدیریت SOC خود و حرکت رو به جلو انتخاب کنید. راه حل های پیشنهادی برای بهبود عملکرد SOC CTI روشهای مختلفی برای انتخاب بهترین روش برای پردازش اطلاعات اطلاعات تهدید و ادغام آن در عملیات امنیت فناوری اطلاعات مورد بررسی و آزمایش قرار گرفتهاند.
[۱] مرکز عملیات امنیتی
[۲] اطلاعات تهدید سایبری
منبع: socradar