اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

اهمیت شبکه در شناسایی رخدادهای زیرساخت های حیاتی سازمان

شناسایی رخدادهای زیرساخت

شبکه نقشی کلیدی در شناسایی رخدادهای زیرساخت  و حفاظت از زیرساخت حیاتی و IoT دارد. تجهیزاتی که با اتصال به آن‌ها باعث جهت‌گیری سازمان به سمت پیشرفت می‌شوند، به ما در تصمیم‌گیری هوشمندانه‌تر و کسب کارایی بهتر از طریق دیجیتال‌سازی کمک می‌کنند. اما چگونه اطمینان حاصل کنیم که تجهیزات متصل‌شده آنگونه که باید عمل می‌کنند؟ از چشم‌انداز ساختارهای صنعتی به جز موارد امنیت سایبری، عملیات‌ ماشینی بسیار کم هزینه هستند. شبکه‌ها به صورتی طراحی شده اند که در مواقع لزوم در شناسایی رخدادهای زیرساخت و تجهیزات مخرب کمک کنند.

اهمیت شبکه در شناسایی رخدادها در زیرساخت حیاتی

قابلیت دید بهتر با Network Telemetry

به منظور اطمینان از سرویس‌دهی سازمان، داشتن قابلیت دید و آگاهی از آنچه که هر لحظه در شبکه اتفاق می‌افتد حیاتی و مهم است. فرآیند بررسی و انتقال داده‌ها از راه دور (Telemetry) شبکه، قابلیت‌های شناسایی وسیع و مفیدی ارائه می‌دهد که با سیستم‌های ویژه‌ی تحلیلی یکپارچه‌سازی می‌شوند تا فعالیت‌های مشاهده‌شده را همبسته و جمع‌آوری کرده و به آنها جهت دهد. در دنیای امنیت می‌توان از Telemetry شبکه، رفتارهای بدافزاری و شناسایی تا نقل و انتقال غیر مجاز داده‌ها استنتاج بسیاری کرد. حتی ممکن است تا حدی نتیجه گرفت که چه چیزی در ترافیک رمزگذاری‌شده وجود دارد. نه تنها از این ترافیک برای شناسایی می‌توان استفاده کرد، بلکه برای تحقیق و بررسی نیز مناسب است. ضبط بلند مدت ارتباطات نیز در فرآیند بررسی حوادث کمک می‌کند. به عنوان مثال، می‌توان دید که سایر میزبانان به سرور صدور و کنترل چه گفتند یا می‌توان به هر حرکت جانبی از سوی میزبان توجه کرد.

اولین گام، جمع آوری Netflow است که یک توالی یک‌طرفه از Packetهایی با چند ویژگی مشترک است که از تجهیزات شبکه عبور می‌کنند. این جریان‌های جمع‌آوری‌شده به تجهیزات خارجی NetFlow منتقل می‌شوند. جریان‌های شبکه بسیار جزئی و دقیق هستند؛ به عنوان مثال، موارد ضبط‌شده‌ی جریان‌ها شامل اطلاعاتی مانند IPها، Packet و تعداد بایت‌ها، زمان‌سنج‌ها، (Type of Service (ToS، پورت‌های Applicationها و Interfaceهای ورودی و خروجی‌ است.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

داده‌های استخراج شده‌ی NetFlow برای بسیاری از کارها قابل استفاده است که شامل حسابرسی سازمانی و بازپرداخت دپارتمانی، صدور صورت‌حساب ISP، ذخیره داده‌ها، مانیتور کردن شبکه، برنامه‌ریزی برای ظرفیت‌ها، مانیتور کردن و پروفایل‌بندی برنامه‌های کاربردی ، مانیتور کردن و پروفایل‌بندی کاربر، تحلیل امنیتی و داده‌کاوی (Data Mining) برای مقاصد تجاری سازمان می‌شود.

بیشتر بخوانید: مانیتورینگ امنیتی با Flexible NetFlow  

برای بسیاری از تجهیزات شبکه‌ای (که شامل تجهیزات استفاده شده در محیط IoT هستند)، Netflow قابلیتی آسان است که تنها با روشن کردن ارسال داده به Netflow Collector انجام می‌شود. سوئیچ هایی که در لایه‌های پایین فعالیت میکنند، شاید این قابلیت را نداشته باشند، با این حال یک پورت با قابلیت پوشش امنیتی می‌تواند ترافیک را به Netflow Sensor ارسال کند تا Task انجام شود. ایجاد قابلیت دید Telemetry شبکه اولین گام برای سازمان‌هاست. گام‌های بعدی، استفاده از ابزارهایی است که می‌توانند ترافیک را تحلیل نموده و اختلالات رفتاری را جست‌وجو کنند. برای موارد استفاده‌ی پیشرفته‌تر، (Encrypted Traffic Analytics (ETA دیدگاه‌هایی درباره‌ی ترافیک رمزگذاری‌شده ارائه می‌دهد.

شناسایی رخدادهای زیرساخت

تسریع در شناسایی با ابزارهای هوشمندتر

مشکل مقیاس‌پذیری در IoT، در شناسایی رخدادهای امنیتی و پاسخگویی به آن‌ها نیز مشهود است، به خصوص زمانی که ترافیک و به دنبال آن رویدادهای  بیشتری برای بررسی وجود دارد. برای تسریع در شناسایی ابزارهایی مبتنی بر یادگیری ماشینی (ML) و هوش مصنوعی (AI) لازم هستند، به ویژه زمانی که بحث رفتار شبکه‌ای درمیان باشد. تجهیزات در تضاد با انسان‌ها، تمایل دارند که رفتار تعریف‌شده‌ای داشته باشند. بنابراین توانمندسازی ML و AI برای مشاهده و مبنا قرار دادن این رفتار، منابع هشداری با دقت بالایی را ارائه می‌دهد.

شناسایی محتوا برای نتایج بهتر

به منظور شتابدهی به شناسایی و کم کردن زمان مربوط به این امر، نیاز است تا تمامی ابزارها باهم کار کنند. پیشتر محتوای شبکه و درک Policy تجهیزات مورد بحث قرار گرفت. با استفاده از این قابلیت‌ها میتوان به شناسایی بهتر کمک نمود و فهم اطلاعات محتوایی و Policy تجهیزات نیز می‌تواند دقت در شناسایی رفتارهای خطرناک را بیشتر کند. محققان نیز از یکپارچه‌سازی این اطلاعات با ابزارهایشان  سود می‌برند و سرعت شناسایی را بیشتر می‌کنند.