اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

بررسی ویژگی نسل جدید SOC

بررسی ویژگی نسل جدید SOC

در دنیای فیزیکی، انسان‌ها در اتصال سیگنال‌های بیکیفیت به تجزیه و تحلیل‌های دقیق فوق العاده هستند. صحبت کردن با فردی در مکانی شلوغ را در نظر بگیرید. شما ممکن است هر کلمه‌ای که گفته می‌شود را نشنوید، اما به دلیل اینکه شما در آن زبان روان بوده و می‌توانید کلیت جمله را از چند کلمه تشخیص دهید، قادر به فهمیدن معنی و مفهوم خواهید بود. به عنوان مثال، اگر شخصی با همکارش در یک ایستگاه پر سر و صدا باشد و همکارش بگوید: « (کلمه‌ی شنیده نشده) ما در حال رسیدن است»، شما می‌توانید بر اساس مکانی که در آن حاضر هستید و طرز حرکت دهان‌شان، با اطمینان بالا بگویید که کلمه‌ی شنیده نشده قطار است.

در دنیای دیجیتال، ما به ابزارهایی نیاز داریم که می‌توانند این چنین تجزیه و تحلیل‌های انطباقی را انجام دهند. امنیت سایبری موثر به تشخیص و ترمیم سریع، برای محدود کردن آسیب‌های ناشی از فعالیت‌های تاثیر گذار بستگی دارد. این هدف همچنین به اطلاعات در محیط‌های داخلی، محیط‌های Cloud ترکیبی، دستگاه‌های تلفن همراه، اینترنت اشیا، آگاهی از تهدیدات، اطلاعات شرکا و دیگر Endpointها برای کشف حملات مخفی نیز نیاز دارد.

نسل بعدی SOC

نسل بعدی مرکز عملیات امنیتی (Security Operations Center و یا به اختصار SOC)، به تحلیل وقایع کم خطر، که سیستم‌های فعلی قادر به انجام آن نیستند، نیز نیاز دارند. همچنین شیوه‌های جدید حمله‌ی مهاجمان و قدم بعدی در Kill Chain نیز باید درنظر گرفته شوند. شناسایی ترکیبی برای انجام همین کار طراحی شده است. مایکروسافت اخیرا پیش نمایش عمومی فناوری Fusion، که بر اساس شناسایی ترکیبی است را ارائه داد که فناوری تجزیه و تحلیل تسریع شده و استفاده از اطلاعات میان Data Lakeها را فراهم می‌کند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

استفاده از قانون جاذبه برای داده‌ها

قانون گرانش داده‌ها بیان می‌کند که هرچه حجم داده‌ها بزرگتر باشد، سرویس‌ها و برنامه‌های بیشتری به آن جذب می‌شوند، که توسط نیاز به کاهش زمان تاخیر و افزایش پهنای باند تسریع می‌شود. با توجه به این قانون، هر زمان که ممکن باشد، باید تجزیه و تحلیل را در محل داده‌ها انجام داد. هنگامی که این قانون به امنیت اعمال شود، به این معنی است که بجای انتظار برای جمع‌آوری تمام فایل‌های Log در یک سیستم مرسوم اطلاعات امنیتی و مدیریت رویداد‌ها (Security Information and Event Management و یا به اختصار SIEM)، برای انجام تجزیه و تحلیل، می‌توان داده‌های امنیتی را که شرکت‌های ارائه‌دهنده در Cloudهای خود جمع‌آوری کرده برای تشخیص و رسیدگی به تهدیدات استفاده کرد. برای مثال، اگر بدافزار در یک Cloud Endpoint شناسایی شود، می‌توان آن را به سرعت در تمام Endpointها مسدود کرد و از انتشار تهدیدات جلوگیری کرد. پس از آن می‌توان توانایی‌های هر یک از پلتفرم‌های امنیتی خود را برای کشف حملات مخفی یا رویکردهای جدید تجمیع کرد.

SIEMهای مرسوم برای مدیریت داده‌های مرتبط در چندین سیستم محلی طراحی شده‌‌اند. با این حال، SIEMها از دو مشکل مرتبط رنج می‌برند. آنها هشدارهای بسیاری را نشان می‌دهند، که بسیاری از آن‌ها تشخیص False-Positive هستند. این بار عظیمی را بر دوش تحلیلگران امنیتی ایجاد می‌نماید که باید هشدارها را درجه‌بندی کرده و آن‌ها را با هشدارهای دیگر محصولات مرتبط سازند. قواعد SIEM و Static می‌تواند باعث از دست رفتن رویدادهای مهم شود و تشخیص False-Negetive اعلام شود. جای تعجب نیست که تحلیلگران از هشدارهای فراوان خسته می‌شوند. فناوری Fusion، به عنوان بخشی از Azure Sentinel، ابزار Cloud Nativeی است که برای اولین بار، باری را از دوش تحلیل‌گران امنیتی بر‌می‌دارد. Fusion با استفاده از الگوریتم‌های مقیاس‌پذیر یادگیری ماشینی، برای کاهش هزاران هشدار به یک لیست قابل کنترل از موارد قابل اعتماد استفاده می‌کند.

حتما بخوانید : SIEM چیست ( کلیک کنید ) 

کاهش تشخیص های اشتباه با Fusion

فناوری Fusion بر اساس مفهوم شناسایی ترکیبی ابداع شده است. همانطور که از کمبودهای SIEMهای مرسوم مطلع شدیم، ما به ابزارهایی نیاز داریم که می‌توانند دقت خود را در طول زمان بهبود بخشند و به سرعت بتوانند هشدارها را در پلتفرم‌ها با یکدیگر مقایسه کنند تا تعداد تشخیص‌های مثبت کاذبی که تحلیلگران باید آن‌ها را بررسی کنند کاهش یابد.

شناسایی ترکیبی با ایجاد نمودارهای هشدارهای کم خطر و پرخطر، پیوند عناصر و فعالیت‌های با تاثیر بسیار بالا، مانند یک کمپین Phishing موفق، کار می‌کند. الگوریتم‌های احتمالات، رفتار بین هشدارها و فعالیت‌های با تأثیر بالا را مرتبط ساخته و مسیرهای مختلف حمله را شبیه‌سازی می‌کنند. از آنجایی که الگوریتم‌های یادگیری ماشینی می‌توانند سریع‌تر از تجزیه و تحلیل انسانی کار کنند، شناسایی ترکیبی می‌تواند تمام وقایع را، حتی در موارد کم خطر، تجزیه و تحلیل کند. شناسایی ترکیبی همچنین می‌تواند حملات چند مرحله‌ای را نیز کشف کرده و برای بهبود توانایی شناسایی مراحل اولیه یک حمله جدید، مدل Kill Chain خود را به‌روزرسانی کند. هنگامی که این تجزیه و تحلیل انجام می‌شود، میلیون‌ها فعالیت غیرعادی می‌تواند به ده‌ها مورد قابل اطمینان کاهش یابند، تا تحلیلگران امنیتی بتوانند این زمان را برای تمرکز بر مسائل امنیتی که بزرگترین تفاوت را ایجاد می‌کنند، اختصاص دهند.

موتورهای مرتبط‌سازی مرسوم فناوری Fusion
فرض می‌کنند که مهاجم تنها از یک مسیر برای رسیدن به هدف خود استفاده می‌کند. شبیه‌سازی مکرر‌ حمله: با شبیه‌سازی مسیرهای مختلف حمله، احتمال نفوذ را در مراحل و مسیرها را درنظر می‌گیرد.
فرض می‌کنند که مهاجم هنگام اجرا شدن حمله، یک Kill Chain ایستا را دنبال می‌کند. Kill Chain روشهای Cloud: Fusion با استفاده از یک تابع احتمالی سفارشی قبلا تعریف شده، به طور پیوسته احتمال انتقال به مرحله بعدی در Kill Chain را بررسی می‌کند.
فرض می‌کنید که تمام اطلاعات برای گرفتن مهاجم در Logها موجود می‌باشد. پیشرفت‌هایی در روش‌های گرافیکی: در کامل بودن و متصل بودن اطلاعات حاضر در Kill Chain تردید کرده که به تشخیص حملات جدید کمک می‌کند.