کنترل های امنیتی مناسب و سهولت استفاده سیمانتک:
ما با دوران هالسیون فاصله زیادی داریم، زمانی که پول آزادانه به مراکز عملیات امنیتی سازمانی (SOC) سرازیر می شد. امروزه، SOCها، که مراکز هزینه برای شرکت هستند، مجبور هستند کارهای بیشتری را با کمتر انجام دهند، حتی اگر بار کاری آنها همیشه سنگین تر شود.
به همین دلیل است که ممکن است زمان آن باشد که بپرسیم چگونه میتوانیم SOCها را کارآمدتر کنیم و قادر به مدیریت بیشمار تهدیدهایی که وظیفه بررسی آنها را دارند، بهتر شوند.
امروزه، SOCها، که مراکز هزینه برای شرکت هستند، مجبور هستند کارهای بیشتری را با کمتر انجام دهند، حتی اگر بار کاری آنها همیشه سنگین تر شود.
سیمانتک Symantec به عنوان بخشی از Broadcom ، راههایی برای بازنگری در نحوه برخورد شرکتها با پیشگیری و تشخیص زودهنگام تهدیدات جدید ارائه کرد. اما ابتدا، اجازه دهید این را در یک ساختار تاریخی قرار دهیم تا چالش را درک کنیم.
به طور سنتی، SOC ها توسط متخصصان امنیتی کار نمی کردند. در روزهای اولیه، SOCها به افرادی وابسته بودند که قبلاً نقش های IT/SysAdmin را بر عهده داشتند. با گذشت زمان، SOCها به بلوغ رسیدند و متخصصین را جذب کردند که به این رشته اختصاص داشتند. اما با مستقلتر شدن عملکرد SOC، کارمندان فناوری اطلاعات برای اعتماد به توصیههای تشخیص و پاسخ از سوی تحلیلگرانی که احساس میکردند فاقد تجربه کافی SysAdmin یا همدلی با کاربران نهایی هستند، مشکل داشتند.
اما وقتی نوبت به پاسخ به تهدیدات می رسید، هیچ کدام از اینها کمکی نکرد. در شرایطی که سرعت اهمیت دارد، این قطع ارتباط توانایی SOC را برای پاسخگویی به تهدیدات جدید کند کرد.
تشخیص زودهنگام یک حادثه منجر به اصلاح آسانتر میشود – بهویژه اگر سازمان بتواند قبل از اینکه مهاجمان قادر به حرکت جانبی باشند، واکنش نشان دهد. از لحاظ تاریخی، مدیران SOC توسط ابزارهای امنیتی که برای شناسایی و نه برای جلوگیری از تهدیدات طراحی شده اند، محدود شده اند. این امر به رویکرد سازمانی نامطلوب برای جدا نگه داشتن تیم های SOC و تیم های عملیاتی دامن زد. سازمانها و فرآیندها میتوانند منجر به ناکارآمدی شوند، زیرا ممکن است تیمها از تواناییهای یکدیگر برای شناسایی و پیشگیری از تهدیدات آگاه نباشند.
تشخیص ویروس و تهدیدات و پاسخ مناسب، واقعاً گرانترین بخش فرآیند امنیتی یک Endpoint می باشد. سوال این است که چگونه می توان پیشگیری را تا حد امکان بارگذاری کرد و در عین حال تلاش، زمان و هزینه صرف شده برای بررسی و پاسخ به یک نقض احتمالی را به حداقل رساند.
هنگامی که محصولات پیشگیری معمولاً شکست میخورند، به این دلیل است که موارد حساس، موارد مثبت کاذب مخرب ایجاد میکنند، بنابراین رفتار مخرب مسدود نمیشود. بسیاری از سازمانها بیشتر با مشکل مواجه میشوند، زیرا پیکربندیهای لازم یا نرم افزارهای پیشگیری از حمله را ندارند تا بدانند چه چیزی را میتوان و چه چیزی را نمیتوان در محیطهای خاص خود پیکربندی کرد. که بار بیشتری را بر دوش تیمهای SOC میاندازد!
همچنین به همین دلیل است که ما در سیمانتک بر روی سیستمهای مهندسی تمرکز کردهایم که بهترین پیشگیری را با تشخیص زودهنگام تهدیدها در صورت شکست پیشگیری ترکیب میکنند.
هدف باید این باشد که در وهله اول از بروز انواع خاصی از رفتارها در نقطه پایانی جلوگیری شود. برای مثال، ممکن است کنترلهای امنیتی را پیادهسازی کنید که برنامههای خاصی را از اجرای اسکریپتهای PowerShell، ایجاد فایلهای اجرایی یا ایجاد اتصالات شبکه مسدود میکند. این اسکریپتها هستند که اغلب در اسناد آفیس یافت میشوند – برخی بالقوه مخرب، که از طریق پیوندهای فیشینگ یا ایمیل به نقاط پایانی میرسند.
جلوگیری از نفوذ به کمک سیمانتک
سیمانتک این کار را با ارائه کنترلهای پیشگیری به چارچوب MITER ATT&CK آسانتر میکند تا تکنیکهای مختلف حمله مورد استفاده مهاجمان را مسدود کند. این فراتر از تشخیص است و زبان مشترکی را برای تحلیلگران فراهم می کند تا در هنگام مقایسه تکنیک های حمله مختلف از آن استفاده کنند. با همه این کنترلهای کاهش سطح حمله که نقشهبرداری شدهاند، مدافعان میتوانند این تکنیکهای مختلف را دوباره به خط مشی پیشگیری خود متصل کنند.
با اتخاذ این رویکرد، روند سنتی بررسی فعالیت های مشکوک و پاسخ به حملات اکنون فرصتی برای جلوگیری از وقوع آنها در آینده می شود. این به راحتی با پیوند مستقیم تشخیص رفتار مشکوک به کنترل های پیشگیری مبتنی بر سیاست انجام می شود. از نظر عملیاتی، این به سرعت توسط یک تحلیلگر با استفاده از یک کنسول واحد که در آن همه سیاستهای تشخیص EDR و پیشگیری وجود دارند، انجام میشود. تاکتیکها و تکنیکهای MITER ATT&CK، دنیای پیشگیری و جهان تشخیص را به هم الحاق می دارد.
با اتخاذ این رویکرد، روند سنتی بررسی فعالیت های مشکوک و پاسخ به حملات اکنون فرصتی برای جلوگیری از وقوع آنها در آینده می شود.
ارائه کنترل های امنیتی مناسب تنها نیمی از کار است. نیمی دیگر این است که اطمینان حاصل شود که آنها می توانند به طور موثر بدون ایجاد اختلال در کاربران نهایی استفاده شوند. سیمانتک قادر است اطلاعات لازم را ارائه دهد که به تعیین اینکه آیا یک تکنیک خاص قبلاً در محیط مشتری استفاده شده است یا خیر. اگر نه، احتمالاً مسدود کردن از قبل امن تر است. این نوع راهنمایی تا کنون در ابزارهای امنیتی موجود نبوده است زیرا فروشندگان قادر به پیوند دادن تکنیک ها به حوادث امنیتی یا استفاده تاریخی نبوده اند.
نتیجه استفاده از آموخته های تحقیقات قبلی کاهش تعداد حوادثی است که SOC ها در نهایت باید در آینده بررسی کنند. نمی توان مزایای کاهش صدای هشدار در طول زمان را بیش از حد بیان کرد. از یک طرف، احتمال کمتری وجود دارد که اجازه دهید حملات واقعاً مهم از بین بروند. از سوی دیگر، زمان بیشتری برای بررسی و رسیدگی به حملاتی که واقعاً به توجه شما نیاز دارند، خواهید داشت.