چگونه یک پلتفرم تحلیل امنیتی یکپارچه را انتخاب کنیم؟

زیرساخت تحلیل امنیتی چیست؟

در زیرساخت‌های تحلیل تهدیدات امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تحلیل اتفاقات استفاده می‌شود. به‌طور معمول، این ابزارها از کانال‌های خاصی داده‌های مورد نیاز را دریافت می‌کنند که همگی این کانال‌ها متصل به مولفه‌های کلیدی شبکه مثل سرورها و استوریج‌ها هستند. این زیرساخت‌ها، ترافیک شبکه را که از دستگاه‌های مختلف عبور می‌کند، بررسی و داده‌های مربوط به ترافیک را گردآوری می‌کنند و آن‌ها را با خط‌مشی‌ها و دیگر پارامترهای ذخیره‌شده در بانک اطلاعاتی ازقبل‌ساخته‌شده، مقایسه می‌کنند. اگر بسته‌های داده مشکوکی شناسایی شوند، این ابزارها از طریق یک داشبورد مرکزی و سیستم اطلاع‌رسانی، گزارش‌ ناهنجاری‌ها را تولید کرده و موارد بحرانی را نشانه‌گذاری می‌کنند.

یک سطح بالاتر از زیرساخت‌های تحلیل تهدیدات امنیت سایبری، راه‌حل‌های SIEM هستند که از الگوریتم‌های قدرتمند و دیگر ابزارها برای ارزیابی دقیق‌تر و بهتر ترافیک شبکه استفاده می‌کنند. سامانه‌هایSIEM  ترافیک شبکه را تحلیل می‌کنند و پیشنهادهای لازم برای انجام اقدامات لازم را به کارشناسان امنیت اعلام می‌کنند. البته، در برخی موارد، این سامانه‌ها قادر به انجام خودکار برخی از کارها هستند. پلتفرم‌های تحلیل امنیت، در بالاترین سطح مجهز به ابزارهای ارزیابی تهدیدات سایبری هستند. این ابزارها با استفاده از راه‌حل‌های هوشمند و به‌ویژه یادگیری ماشین، کارهای دیگری مثل تحلیل رفتار کاربر را انجام می‌دهند تا در مورد تهدیدات و منابعی که عامل بروز حمله‌ها هستند و کاری که ممکن است یک هکر در مرحله بعد انجام دهد، به کارشناسان امنیتی اطلاعات بیشتر و دقیق‌تری بدهند. همچنین، پلتفرم‌های تحلیل امنیت قادر هستند بر اساس تجزیه‌و‌تحلیل رفتار توصیه‌هایی را ارائه دهند که از مهم‌ترین آن‌ها باید به اقدامات لازم برای کاهش سطح حمله و کاهش شدت اثرگذاری یک حمله سایبری بر فعالیت‌های تجاری اشاره کرد. 

به طور معمول، همه این راه‌حل‌ها با تحلیل تهدید از طریق نظارت بر ترافیک و گزارش اتفاقات کار خود را آغاز می‌کنند. کانال‌های انتقال داده‌ها، ابزارها را به بخش‌های مختلف شبکه ارتباط می‌دهند تا داده‌های لازم را برای تحلیل گردآوری کنند.

تقریبا امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه تحت شبکه وجود دارد. شکل ۱، نشان می‌دهد که چگونه ابزارهای رایج شبکه مثل فایروال، روتر و سوئیچ به این پلتفرم‌های تحلیل‌گر متصل می‌شوند. علاوه بر این، کارشناسان امنیت آشنا به زبان‌های برنامه‌نویسی می‌توانند این ابزارها را به‌گونه‌ای سفارشی‌سازی کرده و در صورت لزوم برنامه‌نویسی کنند تا ابزار توانایی نظارت دقیق‌تر بر ترافیک شبکه و شناسایی ناهنجاری را بر مبنای الگوهای ذخیره‌شده در پایگاه داده داخلی داشته باشد. سازمان‌هایی که نیازمند مدیریت حوادث و داده‌های بیشتر هستند، قادر هستند سامانهSIEM  را به‌عنوان لایه‌ای روی سامانه پایه قرار دهند. 

همچنین، اگر شدت حملات سایبری به شبکه سازمانی زیاد باشد، این قابلیت وجود دارد که از پلتفرم تحلیل امنیتی دیگری نیز همزمان با SIEM استفاده کرد تا اطلاعات دقیق‌تری به‌دست آید. در چنین شرایطی، ابزارهای تحلیل امنیتی، اطلاعات را از دو سطح دیگر گردآوری می‌کنند و با استفاده از الگوریتم‌های هوشمند تحلیل‌های پیشرفته‌تری را انجام می‌دهد تا داده‌ها را بررسی و توصیه‌ها و بینش مفصل‌تری ارائه کند. لازم به توضیح است که برخی از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه می‌دهند.

چرا ابزارهای تحلیل امنیتی نقش مهمی در پیشبرد کارهای کارشناسان امنیتی دارند؟ 

مدیریت امنیت سایبری، شبیه به بازی شطرنج است. توسعه‌دهندگان نرم‌افزار دائما در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آن‌ها ارائه دهند. در نقطه مقابل، هکرها به‌شکل مستمر تکنیک‌های بدافزاری و کدهای مخرب جدیدی تولید می‌کنند تا دیوارهای آتش و دیگر سازوکارهای دفاعی شبکه را دور زده و به داده‌ها، سامانه‌ها و شبکه‌های داخلی آسیب وارد کنند. 

حفاظت از داده‌های ارزشمند و حیاتی برای استمرار فعالیت‌های تجاری و محافظت از اطلاعات شخصی و هویتی کاربران، اصل مهمی است که همه شرکت‌ها باید به آن دقت نظر خاصی داشته باشند. به همین دلیل، انتظار می‌روند در سال 1402، سرمایه‌گذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از موضوعات مهمی باشد که شرکت‌ها روی آن تمرکز خواهند کرد. شاید مشاغل کوچک به‌دلیل هزینه زیادی که یک ابزار تحلیل امنیتی دارد از خرید آن صرف‌نظر کنند، اما سازمان‌های بزرگ برای استمرار فعالیت‌های تجاری مجبور به تهیه چنین ابزارهایی هستند. 

پلتفرم تحلیل امنیتی چه کاربردهایی دارد؟

ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شده‌اند. به‌طور معمول، پلتفرم‌های تحلیل امنیتی از الگوریتم‌های هوشمند استفاده می‌کنند تا پیشنهادهای لازم را برای حل مشکلات دستگاه‌ها و ترمیم آسیب‌پذیرهای دستگاه‌ها و پیشگیری از بروز اتفاقات مشابه در آینده ارائه دهند. این ابزارها، داده‌های امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر الگوریتم‌های هوشمند بررسی می‌کنند. 

برای آن‌که یک پلتفرم‌ تحلیل امنیتی بتواند فرآیندهای مرتبط با نظارت بر شبکه را به‌خوبی انجام دهد مجموعه اقداماتی را انجام می‌دهد که از مهم‌ترین آن‌ها به اسکن و ارزیابی آسیب‌پذیری، تست نفوذ و شکار تهدید، اقدامات لازم برای پاسخ‌گویی به حوادث سایبری، ارزیابی رعایت استانداردها و قوانین و تشخیص و واکنش به مشکلات احتمالی مرتبط با نقاط پایانی اشاره کرد. یکی از مهم‌ترین عملکردهای این ابزارها، تحلیل رفتار است که داده‌های مربوط به اتفاقات را در شرایط مختلف بررسی می‌کنند تا بتواند اطلاعات زیر را ارائه دهند: 

• ارائه الگوهای خاصی که در اجرای حملات مورد استفاده قرار گرفته است. 
•  روش حمله‌ای که هکرها برای نفوذ به یک منبع از آن استفاده کرده‌اند. 
•  شناسایی نشانه‌هایی که پس از حمله وجود دارند و می‌توانند اطلاعات بیشتری درباره هکرها ارائه کنند. 

چگونه یک پلتفرم تحلیل امنیتی درست را انتخاب کنیم؟

به طور معمول، سازمان‌های بزرگ از فناوری‌های پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده می‌کنند. با این‌حال، سازمان‌ها بر اساس تعداد و شدت حملاتی که آن‌ها را هدف می‌گیرند از ابزارهای مختلفی استفاده می‌کنند. در حالت کلی، پیشنهاد می‌شود از زیرساختی استفاده کنید که قابلیت‌های کاربردی را به‌شکل ساده ارائه می‌کند و می‌توان به‌راحتی مولفه‌های قدرتمندتری به آن افزود. نکته مهمی که باید در این زمینه به آن دقت کنید این است که ممکن است در هنگام استفاده از محصولات شرکت‌های مختلف، کار تحلیل و ارزیابی گزارش‌ها کمی سخت شود. به همین دلیل، پیشنهاد می‌کنیم قبل از سرمایه‌گذاری‌ برای خرید این راه‌حل‌ها به نکات زیر دقت کنید: 

•  شرایط را مشخص کنید. به‌طور مثال آیا سامانه موجود نیاز به ارتقاء دارد؟
•  با هئیت مدیره و مدیرعامل درباره نیاز به تهیه ابزار تحلیل امنیت گفت‌وگو کنید تا بتوانید تاییده و سرمایه لازم را به‌دست آورید.
•  در رابطه با بازار، محصولات و خدمات موجود تحقیق کنید و مدل استقرار (درون‌سازمانی، در محیط ابر یا سرویس مدیریت‌شده) مناسب را انتخاب کنید. 
•  گزینه‌های انعطاف‌پذیر را که با استانداردها هم‌خوانی دارند و می‌توان آن‌ها را با زیرساخت‌های موجود یکپارچه‌سازی کرد انتخاب کنید.
•  گزینه‌ها را به‌لحاظ قیمت بررسی کنید. به طور معمول، هزینه استفاده از پلتفرم‌های تحلیل امنیت ابرمحور بر مبنای حجم داده‌ای است که در هر ماه تحلیل می‌کنند. برخی محصولات هزینه‌های اولیه‌ای به‌همراه هزینه‌های نگه‌داری و دسترسی به قابلیت‌های پیشرفته دارند. 
•  قابلیت‌های سامانه انتخابی را بر مبنای نیازهای جاری و پیش‌بینی‌شده‌ خود ارزیابی کنید.
•  به آموزش‌های مورد نیاز کارمندان‌ دقت کنید و از فروشنده سوال کنید که آموزش‌های لازم را ارائه می‌دهد یا خیر. 
•  حجم داده‌ها و گزارش‌هایی را که در داشبورد پلتفرم انتخابی نمایش داده می‌شود بررسی کنید. 
•  سطح ارزیابی و تحلیلی که ابزار انجام می‌دهد، نوع گزارش‌های ساخته‌شده و دیگر قابلیت‌هایی را که ممکن است ارزش افزوده داشته باشند بررسی کنید. 
•  مشخص کنید که چگونه کاربران می‌توانند با سامانه و بخش‌های مختلف آن در ارتباط باشند، به‌ویژه اگر از یک راه‌حل ابرمحور استفاده می‌کنید. 
•  دیگر خدمات ارائه‌شده توسط فروشنده مثل تست نفوذ و آسیب‌پذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری را بررسی کنید.
•  به دنبال سرویس‌هایی باشید که بالاترین سطح از هماهنگی با استانداردهای امنیت سایبری را دارند. 
•  در مراحل برنامه‌ریزی و پیاده‌سازی، از چرخه حیات توسعه سیستم‌ها استفاده کنید.
•  آموزش‌ها و مستندات ارائه‌شده را به‌همراه امکان پیاده‌سازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید. 

آشنایی با 10 پلتفرم تحلیل امنیت سایبری

سازمان‌هایی که به دنبال افزایش حداکثر توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری هستند، بهتر است از یک ابزار تحلیل امنیت سایبری استفاده کنند. به طور معمول، این ابزارها قابلیت‌های SIEM و مدیریت گزارش اتفاقات را در قالب یک پلتفرم امنیتی واحد ترکیب می‌کنند و دیگر قابلیت‌های تحلیلی امنیتی را در قالب یک افزونه در اختیار کارشناسان امنیتی قرار می‌دهند. 

ابزارهای تحلیل اتفاقات امنیتی قادر هستند به دقیق‌ترین شکل ممکن داده‌ها را تحلیل کرده و گزارش دقیقی در اختیار کارشناسان امنیتی قرار دهند، اما به همان نسبت قیمت بالایی دارند. به‌طور کلی، ابزار مناسب، امکان نظارت بیشتر بر شبکه را ارائه می‌کند، مانع از اتلاف وقت می‌شود و تشخیص‌های کاذب را به‌حداقل می‌رساند. امروزه، ابزار‌ها و پلتفرم‌های امنیت سایبری مختلفی در دسترس کارشناسان امنیتی قرار دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

•  Splunk Enterprise Security یک پلتفرم SIEM است که امکانات پیشرفته‌ای ارائه می‌کند. این ابزار به‌همراه نسخه سازمانی اسپلانک و پلتفرم ابرمحور اسپلانک، راهکار جامع و یکپارچه‌ای برای محافظت از زیرساخت‌ها ارائه می‌کند. 

مزایا: سامانه قدرتمند، داشبورد مرکزی و امکانات کاربردی مختلف.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  ابزار مدیریت رویدادهای امنیتی SolarWinds نیز در گروه نرم‌افزارهای SIEM قرار می‌گیرد. 

مزایا: گردآوری کارآمد داده‌ها، گزارش‌های جامع و داشبوردهای کاربرمحور روشن.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  IBM Security Guardium، یک پلتفرم حفاظت از داده‌ها است که برای شبکه‌های سازمانی بزرگ طراحی شده است. 

مزایا: تحلیل‌های امنیتی دقیق، داشبوردهای روشن و قابلیت‌های دقیق نظارتی.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

•  LogRhythm SIEM ، یک پلتفرم SIEM است که یک لایه تحلیل امنیتی مضاعف در اختیار کارشناسان امنیتی قرار می‌دهد. 

مزایا: قابلیت‌های تحلیلی پیشرفته و داشبوردهای خوش‌ساخت.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، پیچیده بودن روند ارتقاء.

•  Securonix Next-Gen SIEM ، مجهز به قابلیت‌های پیشرفته تحلیل‌های امنیتی است. 

مزایا: پشتیبانی از تحلیل امنیتی، داشبورد مرکزی، گزارش‌دهی دقیق.

معایب: مورد خاصی وجود ندارد. 

•  Exabeam Fusion، یک پلتفرم SIEM است که قابلیت‌های پیشرفته‌ای برای تحلیل امنیتی ارائه می‌دهد. 

مزایا: قابلیت‌های تحلیلی قدرتمند، دارای نسخه ابرمحور و درون‌سازمانی.

معایب: مورد خاصی وجود ندارد. 

•  ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور نیز یک ابزار جایگزین برای تحلیل تهدیدات پیشرفته است. این ابزار ابرمحور و درون‌سازمانی قابلیت‌های تحلیل امنیتی پیشرفته‌ای دارد که امکان تحلیل و بررسی ناهنجاری‌های امنیتی را به‌شکل یکپارچه دارد. 

مزایا: قابلیت‌های تحلیل امنیتی، برنامه‌های کاربردی سازمانی، امکان نصب درون‌سازمانی و ابرمحور، توانایی حل مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقاء نسبتا پیچیده، هزینه‌های اضافه

•  Sumo Logic Platform with Cloud SIEM and Cloud SOAR ، یک پلتفرم ابرمحور با امکانات SIEM و هماهنگ‌سازی، خودکارسازی و واکنش امنیتی است.

مزایا: قابلیت‌های تحلیل امنیتی خوب، مقیاس‌پذیری بالا، گزارش‌دهی دقیق

معایب: مورد خاصی وجود ندارد. 

•  Forcepoint Behavioral Analytics، پلتفرمی است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌کند. 

مزایا: قابلیت‌های تحلیل امنیتی پیشرفته.

معایب: مورد خاصی گزارش نشده است. 

•  Rapid7 InsightIDR، یک پلتفرم SIEM ابرمحور است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌دهد. 

مزایا: قابلیت‌های تحلیل امنیتی سفارشی، داشبورد و گزارش‌دهی دقیق.

معایب: مورد خاصی گزارش نشده است. 

•  Nemasis – Pro، پلتفرم پیکربندی و اسکن قدرتمند است که بالاترین سطح از انعطاف‌پذیر را همراه با قابلیت ارزیابی امنیتی و گزارش‌دهی متنوع در اختیارتان قرار می‌دهد. 

مزایا: اسکن نامحدود منابع سازمانی، ارزیابی طیف گسترده‌ای از آدرس‌های آی‌پی با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت مبتنی بر SNMP، اسکن‌های احراز هویت مبتنی بر SMB، اسکن‌های احراز هویت مبتنی بر SSH، اسکن‌های احراز هویت ESXi، انجام انواع مختلف ارزیابی‌ها بر مبنای پروتکل‌های TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارش‌های دقیق از آسیب‌پذیری‌ها بر مبنای CVSS، ارائه داشبوردهای تعاملی و تخصصی شبکه در یک واسط کاربری قدرتمند همراه با داده‌های زمان واقعی، ارائه گزارش فعالیت‌های مشکوک پیرامون شبکه، امکان بررسی سریع تنظیمات با هدف هماهنگ بودن آن‌ها با خط‌مشی‌های ازپیش‌تعیین‌شده یا استانداردهای صنعتی PCI DSS، شناسایی شکاف‌های امنیتی در زیرساخت شبکه، شناسایی و اولویت‌بندی مخاطرات، ایجاد گزارش‌های آسیب‌پذیری‌های شناسایی‌شده مثل CVSS، Scan plugins، Port، اشتراک گزارش‌ها با تیم یا سازمان از طریق ایجاد گزارش‌ها در قالب‌های مختلف