5 تصور غلط در مورد سازماندهی امنیتی

ابزارهای ارکستراسیون، اتوماسیون و پاسخ (SOAR) هنوز در حال توسعه هستند. بنابراین، تصورات نادرستی در مورد دامنه اثربخشی و کارایی آنها برای تیم های سیستم امنیت عملیاتی (SOC) وجود دارد.

در این مقاله توسط فراست، به تعدادی از باورهای غلطی که در این زمینه وجود دارد، می پردازیم.

خطای № 1: ابزارهای اتوماسیون امنیتی کار می کنند.

قبل از اینکه به این واقعیت فکر کنید که ربات ها و سیستم های خودکار جایگزین عملیات SOC در آینده خواهند شد، اصل نابرابری همه تهدیدات سایبری را نادیده نگیرید. برخی از خطرات امنیتی ممکن است خیلی پیچیده نباشند، اما با توجه به اندازه و وسعتی که اشغال می‌کنند، این پتانسیل را دارند که کل یک سازمان را درگیر کنند.

به عنوان مثال، به دلیل اینکه مسیر حمله تهدید فیشینگ بدون تغییر باقی می ماند و فرآیند مرتب سازی تکرار می شود. اتوماسیون می‌تواند به ارتباطات کاربر نهایی، مرتب‌سازی، شناسایی آلارم‌های مخرب یا جعلی، قرنطینه و حذف ایمیل‌های مشکوک کمک کند. این امر نیاز به دخالت انسان را به شدت کاهش می دهد و بسیاری از اقداماتی را که باید توسط یک تحلیلگر انسانی انجام شود حذف می کند. با توجه به کمبود متخصصان واجد شرایط در حوزه امنیت سایبری، فعالیت زیادی برای این افراد وجود دارد.

همچنین به تحلیلگران امنیت سایبری اجازه می‌دهد تا بر روی حوزه‌های تخصصی خود، مانند شکار تهدید، تمرکز مجدد کنند تا از خستگی و گردش کار دیگر کارکنان جلوگیری کنند.

خطای 2: امکان خودکارسازی هر فرآیند امنیتی وجود دارد.

توجه داشته باشید که همه فعالیت ها و فرآیندهای امنیتی را نمی توان خودکار کرد. برخی از عملیات امنیتی نیاز به نظارت مداوم و بازرسی دستی دارند. حتی از نظر حملات فیشینگ، سازمان باید تعادلی بین اتوماسیون مبتنی بر ماشین و تصمیم گیری انسانی ایجاد کند. تصمیم برای بررسی مخرب بودن ایمیل فقط توسط انسان ها می تواند انجام شود، اما می توان مراحل اولیه و قرنطینه نهایی را خودکار کرد.

بر اساس یک اصل ثابت شده اتوماسیون، ماشین ها در عملیات های تکراری و معمول بهتر عمل می کنند. وقتی نوبت به هشدارها می رسد، موارد مثبت کاذب و موارد تکراری زمان قابل توجهی را برای تیم عملیات امنیتی تلف می کند. اتوماسیون می تواند زمان از دست رفته را جبران کند. تحلیلگران معمولاً زمانی را صرف کپی و چسباندن اطلاعات بین ابزارهای شناسایی مختلف می کنند. استفاده از اتوماسیون برای انجام هشدارها و به روز رسانی ها که یک کار تکراری است و نیاز به تفکر زیادی ندارد بسیار مفید است.

خطای 3: همگام سازی امنیتی مانند SIEM است.

ممکن است فکر کنید که عملکرد ابزار مدیریت اطلاعات امنیت و رویداد (SIEM) مشابه ابزارهای اتوماسیون است در حالی که اینطور نیست. اگرچه ابزارهای همگام سازی امنیتی و SIEM از نظر ویژگی های سطحی مانند اتوماسیون وظایف، یکپارچه سازی محصول و ارتباطات داده مشابه هستند، اما هیچ یک از این ابزارها قادر به انجام تمام قابلیت های ابزارهای دیگر نیستند.

در این زمینه دو طرز فکر متفاوت وجود دارد:

1. ابزارها و ابزارهای همگام سازی امنیتی SIEM آنها یکسان هستند. اگرچه SIEM داده‌های ماشین را جمع‌آوری، ارتباط و جمع‌آوری می‌کند، ابزارهای فعلی SIEM توانایی همگام‌سازی پاسخ به هشدار و غنی‌سازی سیگنال‌ها (با استفاده از اطلاعات) را ندارند. به این ترتیب، ابزارهای همگام‌سازی امنیتی می‌توانند پاسخ محصولات سیگنال متعدد را همگام‌سازی و خودکار کنند، اما در وهله اول قادر به تشخیص سیگنال‌ها نیستند. در این مورد خاص، SIEM داده های پراکنده را جمع آوری کرده و در یک سیگنال خلاصه می کند. ابزارهای همگام سازی امنیتی هشدارها را دریافت می کنند و آنها را برای پاسخگویی راهنمایی می کنند.
2. در نهایت SIEM تمام ویژگی های ابزارهای همگام سازی امنیتی را خواهد داشت. حتی اگر ابزارهای SIEM در آینده توانایی پاسخگویی خودکار و انجام کارهای دستی را به جای یکدیگر پیدا کنند، باز هم به دلیل تمرکز کم روی تشخیص، با ابزارهای همگام سازی امنیتی برابری نخواهند کرد. ابزارهای همگام سازی امنیتی برای فعال کردن پاسخ و پردازش مشترک و جامع برای تیم های فناوری اطلاعات و امنیت طراحی شده اند. این ابزارها سیگنال هایی را دریافت و تجزیه و تحلیل می کنند که ممکن است توسط ابزارهای SIEM یا به دلیل آسیب پذیری ها، ایمیل ها و داده های ابری تولید شوند، و همه این داده ها برای رسیدن به یک راه حل خودکار به یکدیگر متصل می شوند.

خطای 4: ابزارهای همگام سازی امنیتی و اتوماسیون امنیتی یکسان هستند.

این اصطلاحات برای افرادی که در صنعت امنیت سایبری کار می کنند متفاوت است.

اتوماسیون امنیتی معادل فعالیت های انسانی است که توسط ماشین ها انجام می شود. همگام سازی امنیتی همچنین به معنای اتصال محصولات مختلف و خودکار کردن وظایف در آن محصولات با ایجاد گردش کار و همچنین ارائه توانایی نظارت و تعامل با کاربر نهایی است.

اتوماسیون امنیتی زیرمجموعه ای از ابزارهای همگام سازی امنیتی است. همگام سازی امنیتی شامل ترکیب افراد، فرآیندها و فناوری ها برای بهبود وضعیت امنیتی است. اتوماسیون امنیتی معمولاً بر جنبه فناوری متمرکز است.

خطای 5: همگام سازی امنیتی فقط برای سازمان های بزرگ است.

ممکن است فکر کنید که ارزش همگام سازی فقط توسط شرکت های بزرگ با مرکز تخصصی برای عملیات امنیتی و سبد محصولات گسترده قابل استفاده است. طبق گزارش Verizon در مورد نظرسنجی پیشرفت امنیتی 2021: «تعداد قربانیان نفوذ اطلاعاتی به مشاغل کوچک و سازمان‌های بزرگ نزدیک است. بنابراین نیاز به یک واکنش خودکار و تکراری به این حادثه، صرف نظر از اندازه کسب و کار وجود دارد.»

معیار دقیق برای تعیین این موضوع این است که آیا سازمان شما نیاز به رسیدگی به حجم زیادی از سیگنال‌ها و حوادث دارد و محیطی پویا با تغییرات مداوم دارد یا خیر. در چنین شرایطی، حتی اگر یک تیم عملیات امنیتی کوچک با سه تا پنج تحلیلگر امنیتی و تعدادی ابزار داشته باشید، همچنان همگام سازی امنیتی با ایجاد فرآیندهای کاملاً تعریف شده، افزایش بهره وری کارکنان و تنظیم مقیاس SOC به شما کمک می کند.

منبع: bankinfosecurity