عدم پاسخگویی سریع به نفوذ اطلاعات یا سایر حوادث امنیت سایبری می تواند منجر به از دست رفتن زمان و منابع سازمان و آسیب به اعتبار آن شود. اخیرا، Magnet Forensics، یک شرکت تحقیقاتی دیجیتال جرایم، نرم افزار جدیدی به نام Magnet Automate Enterprise توسعه داده است. این نرم افزار به سازمان ها اجازه می دهد تا به طور خودکار نقض های امنیتی را تجزیه و تحلیل و بررسی کنند و توانایی واکنش سریع به حوادث سایبری و همگام سازی اقدامات مورد نیاز برای شناسایی و پاسخ به یک حادثه با ابزارهای شخص ثالث را داشته باشند.
Automate Enterprise توسط Magnet Forensics به طور خاص برای سازمان ها طراحی شده است و به آنها اجازه می دهد شواهدی از حوادث سایبری را از شبکه های شرکتی و نقاط پایانی راه دور استخراج کنند. مرکز تحقیقات قانونی مگنت همچنین نرم افزار تحقیق و تجزیه و تحلیل را برای پردازش شواهد از رایانه ها، دستگاه های تلفن همراه، تجهیزات اینترنت اشیا و خدمات ابری طراحی می کند. بسیاری از مؤسسات دولتی و مجالس قانونگذاری از مشتریان این مرکز هستند.
نرم افزار Automate Enterprise بر اصلاح تأخیرهای زیادی که معمولاً در پاسخ به یک حادثه امنیت سایبری ناشی از مواردی مانند شیفت کاری، تعطیلات آخر هفته و غیره با آن مواجه می شود، تمرکز دارد.
همگام سازی فن آوری ها و ابزارهای EDR، SIEM برای جرم شناسی دیجیتال
ابزار Automate Enterprise برای خودکارسازی اقدامات ساده و تکراری در تمام ساعات شبانه روز بدون دخالت انسان طراحی شده است و دارای ویژگی های بسیاری مانند ادغام با ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) است.[۱]، مدیریت رویداد و اطلاعات امنیتی (SIEM[۲]) و ابزار تجزیه و تحلیل پس از تصادف. هدف از چنین ابزاری فعال کردن خودکار پاسخ به حوادث امنیتی و همگام سازی کسب شواهد از دستگاه های مختلف، محیط های رایانه ای و خدمات ارتباطی است.
به عنوان مثال، ابزارهای تشخیص تصادف و پاسخ می توانند ایمیل های فیشینگ ارسال شده به شبکه شرکتی را که منتظر کلیک کاربر برای دانلود بدافزار از منبع دیگری هستند، شناسایی کنند. در غیر این صورت، نتیجه عدم شناسایی این گونه تلاش های مخرب، نصب نرم افزارهای مخرب در سیستم قربانی و رمزگذاری داده ها خواهد بود.
آدام بلشر، مدیر اجرایی Magnet Forensics، میگوید: «تحلیلگران امنیت سایبری میتوانند گردشهای کاری سفارشی ایجاد کنند و با استفاده از یک رابط کاربری بصری و قابل درک، در سریعترین زمان ممکن به حوادث امنیت سایبری پاسخ دهند. همچنین با توجه به وابستگی سازمان ها به استفاده از راهکارهای امنیتی که متعلق به چندین شرکت مختلف است، می توان به راحتی و به سادگی Automate Enterprise را با سایر محصولات حوزه امنیت سایبری و جرم شناسی دیجیتال ادغام کرد.
به گفته بلشر: «امکان ادغام تمام نرم افزارهایی که دارای خط فرمان یا API هستند در یک گردش کاری خاص در Automate Enterprise وجود دارد. ایجاد و اجرای یک گردش کار سفارشی با ابزارهای EDR، SIEM و جرم شناسی دیجیتال با استفاده از روش کشیدن و رها کردن[۳] «(ترک و انداختن) می توان انجام داد».
با استفاده از Automate Enterprise، شرکتها به دادههای مرتبط با امنیت از رایانهها، تلفنهای هوشمند و فضای ذخیرهسازی ابری مانند سرویسهای وب آمازون و مایکروسافت آزور، و همچنین خدمات و ابزارهای ارتباطی مانند Microsoft Teams و Slack دسترسی دارند. : Slack) برای پردازش همزمان به دست می آیند.
تأثیر اتوماسیون گردش کار بر فرآیند بررسی حادثه
ویژگی Watch Folder در Automate Enterprise به شما امکان می دهد حادثه را بررسی کرده و به آن پاسخ دهید. مشاهده پوشه ها تصاویری از سیستمی هستند که از آن عبور می کنید ابزار گردآوری شواهد ایجاد می شوند. این ابزارها حتی ممکن است رابط خط فرمان نداشته باشند (مانند نرم افزار GrayKey، F-Response و Tableau TX1 Forensic Imager).
مشاهده پوشه ها همچنین به کاربران اجازه می دهد تا یک فایل یا مسیر شبکه را پیکربندی کنند که به محل ذخیره تصاویر ایجاد شده توسط گیرنده با استفاده از یک ابزار بصری ایجاد محتوا اشاره می کند. کاربران همچنین می توانند تنها یک ناحیه خاص از دیسک را با استفاده از توابع مرتب سازی (یا اولویت بندی) برای سرعت بخشیدن به کارها اسکن کنند. علاوه بر این، کاربران میتوانند از پوشههای نظارت برای راهاندازی گردشهای کاری خودکار، همگامسازی تحلیلها، ایجاد محرکها و هشدارها برای نرمافزارهای امنیتی مختلف استفاده کنند.
بلشر میگوید: «در جریان کار، ابزارهای SIEM معمولاً ابتدا به تیمهای امنیت سایبری هشدارهای لازم را درباره یک تهدید بالقوه میدهند. سپس یک اسکن تریاژ برای شناسایی نقاط پایانی تحت تأثیر تهدید آغاز می شود و در نهایت یک تحلیل جرم شناسی دیجیتال برای بررسی آسیب انجام می شود. همچنین بین هر مرحله یک فرآیند دستی وجود دارد که زمان پاسخگویی را کاهش می دهد.
یک ابزار کاربردی در محیطی با پیچیدگی فزاینده
پیچیدگی زیرساخت سازمان ها به طور مداوم در حال افزایش است و این امر منجر به آسیب پذیری آنها در برابر حملات سایبری و خرابی ها می شود. ابزار Automate Enterprise ارائه شده توسط Magnet Forensics امکانات زیادی دارد. افزایش سرعت پاسخ و زمان بازیابی به ویژه زمانی که سازمان ها در تلاش برای مقابله با آسیب های ناشی از حملات سایبری هستند، اهمیت دارد.
گری مک آلوم، تحلیلگر ارشد در TAG Cyber گفت: «تیمهای امنیتی میگویند که راهحلهای اتوماسیون و اتوماسیون جریان کار چند بعدی را تسریع میکنند و به رویدادها به موقع پاسخ میدهند.» امروزه ابزارهای امنیتی مختلفی در بازار وجود دارد تا پاسخ های خودکار به حوادث امنیتی را انجام دهند. بنابراین، به کارگیری رویکردها و قابلیتهای جدید مانند محکگذاری و مقیاسپذیری جامع توسط Magnet Forensics در Automate Enterprise منجر به تمایز این راهحل از سایر ابزارهای موجود در بازار میشود.»
مک آلوم میگوید: «بسیاری از دستگاههای پاسخ خودکار فقط در محیطهای کوچک کار میکنند و در موقعیتهای بحرانی پیچیده چندان مؤثر نیستند». ما انتظار داریم که Automate Enterprise بتواند رویدادهای در مقیاس بزرگ را پوشش دهد، به ویژه در محیط های ناهمگون IT، جایی که داده ها و سیستم ها در محیط های ابری و سازمانی توزیع می شوند.
[۱] تشخیص و پاسخ نقطه پایانی
[۲] اطلاعات امنیتی و مدیریت رویداد
[۳] عملیات کشیدن و رها کردن شامل گرفتن یک شی مجازی مانند یک فایل PDF، Word، تصویر و غیره است. در محیط کامپیوتر و جابجایی آن.
منبع: csoonline