در بخش قبل تفکر دفاع فعال در امنیت سایبری و تفاوت آن با رویکردهای دفاع غیرفعال صحبت کردیم. در این بخش یکی از چرخه های پر استفاده برای به کارگیری دفاع فعال در امنیت شبکه را مورد بررسی قرار می دهیم.

چرخه دفاع فعال سایبری

یکی از رویکردهای موجود برای دفاع سایبری فعال استفاده از در چرخه دفاع سایبری فعال(Active Cyber Defense Cycle) است. چرخه دفاع فعال سایبری، بر پایه وضعیت شبکه، فرآیندی شامل پاسخ دهی، یادگیری و اعمال دانش تهدیدات تشکیل می دهد. دانش بدست آمده از هوشمندی تهدید(با استفاده از مدل های تهدید) برای دفاع کارآمدتر به کار گرفته می شود. مدل چرخه حیاط دفاع فعال از چهار مرحله تشکیل شده است که هر کدام به صورت یک فرآیند پیوسته عمل می کند.

  • استفاده از هوشمندی تهدید: در مرحله مصرف هوشمندی تهدید تحلیلگران و کارشناسان امنیت سازمان زیرساخت و ماموریت سازمان را شناسایی می کنند. این کار به درک پیامد ناشی از یک تهدید واقعی کمک می کند. به عمل ترکیب اطلاعات زیرساخت سازمان با تهدیدات احتمالی، شناسایی قلمرو تهدید گفته می شود. در اینجا تحلیلگر باید با استفاده از منابع اطلاعاتی تهدید(داخلی و بیرونی) اقدام به ترسیم قلمرو تهدید سازمان نماید. این اطلاعات می تواند به اعضای تیم های دیگر موجود در چرخه دفاع برای کمک به اجرای پایش امنیت شبکه تحویل داده شود.
  • شناسایی دارایی و پایش امنیت شبکه: اعضای فعال در این مرحله، مسئول شناسایی تغییرات شبکه(بخش شناسایی دارایی) برای درک بهتر زیرساخت هستند. نگهداری معماری شبکه، و خطوط مبنای پیکربندی شبکه برای شناسایی و اطلاع رسانی سریع سبت به تغییرات باید نگهداری شود. شناسایی تغییرات شبکه می تواند به بخش هوشمندی اطلاعات بازخورد داده شود تا اعضای آن برای شناخت تغییرات احتمالی در قلمرو تهدید از آن بهره بگیرند. اعضایی که وظیفه پایش امنیت شبکه را برعهده دارند از اطلاعات پردازش شده توسط بخش هوشمندی تهدید مانند IoC، و TTPs ها استفاده می کنند. بر اساس این درک آن ها تشخیص می دهند که یک تهدید واقعی است و آیا شرایط لازم برای تحویل به تیم پاسخگویی به رخداد برای رسیدگی بیشتر را دارد یا خیر.
  • پاسخگویی به رخداد: در این مرحله کارشناسان پاسخگویی به تهدید اقدام به بررسی بیشتر محدوده حضور تهدید در شبکه کرده و رویه های مهار و ریشه کن کردن آن در شبکه را دنبال می کنند. اطلاعات هوشمندی تهدید در این مرحله نیز می تواند مفید باشد. به عنوان مثال نشانگرهای تهدید نظیر کلیدهای رجیستری، فایل های خاص یا الگوهای ناهنجاری شناخته شده می توانند به سرعت در کل زیرساخت سازمان پویش شوند. استفاده از TI در فرآیند IR به کوتاه شدن زمان و سرعت رسیدگی به رخداد کمک می کند.
  • تغییر محیط و تهدید: در این گام تلاش می شود تهدید شناسایی و اطلاعات بدست آمده پیرامون آن مستند شوند. اعضای فعال در این بخش همزمان به کارشناسان زیر ساخت و شبکه برای ایجاد اصلاح و تغییرات فیزیکی/منطقی مورد نیاز برای کاهش مخاطره تهدید همکاری می کند.

برای مثال اگر تهدید بدافزار باشد و نیاز به تحلیل و مهندسی معکوس آن باشد ممکن است بدافزار نیازمند برقراری ارتباط با C&C داشته باشد. در این مورد نیاز به مسیر دهی منطقی شبکه باشد. و یا ممکن است نیاز به بروز رسانی نسخه های آسیب پذیر نرم افزارهای سازمان توسط کارشناسان امنیت باشد.

بخش هوشمندی تهدید در این بخش با ارائه اطلاعات جانبی و زمینه ای می تواند به تحلیلگران کمک می کند. همچنین اطلاعات بدست آمده در چرخه شناسایی تهدید نظیر IoC ها و TTPها می تواند در اختیار تیم هوشمندی اطلاعات تهدید قرار گیرد.

همه مراحل چرخه دفاع فعال سایبری مهم هستند. اما بخش هوشمندی تهدید، هر مرحله را پشتیبانی می کند و به آن ارزش افزوده می دهد.

پیاده سازی دفاع فعال در برنامه امنیت سایبری

برای تغییر رویکرد در امنیت سایبری و به کارگیری دفاع فعال سایبری موارد زیر باید مد نظر قرار گیرد:

  • اولویت دهی دارایی ها پرخطر: هر سازمانی ممکن است چندین مرکز داده داشته باشد، اما همه آن ها حیاتی نباشند یا ارزشمند ترین دارایی های سازمان(crown jewels) در آن ها قرار نداشته باشد. بسته به نوع سازمان دارایی ها/زیرساخت های حیاتی را می توان در دو دسته کلی شامل داده کاربران و مالکیت معنوی(اسرار کسب و کار) در نظر گرفت. این کار در فرآیند مدیریت مخاطره سایبری باید پیاده شود.
  • سنجش وضعیت دفاع فعال: وضعیت سنجی دفاع فعال شامل استفاده از هوشمندی تهدید بر پایه آزمون های امنیتی خودکار و لحظه ای است. در این فرآیند با بررسی جزئیات وضعیت فعلی امنیت سازمان و در نظر گرفتن تهدید اصلی کسب و کار آن، حوزه های قابل دسترس برای آزمون بردارهای حمله در بازه های مختلف زمانی و چگونگی بهره برداری از آن ها ترسیم می شود.
  • شبیه سازی مداوم مسیرهای حمله احتمالی بر روی دارایی های حیاتی: برای شروع شبیه سازی، تیم های امنیتی باید دانش وسیعی نسبت به طراحی زیرساخت سازمان، توجه به عامل های انسانی و آسیب پذیری ها شکاف های امنیتی عمده آنها داشته باشند. ابزارهای شبیه سازی حملات سایبری می توانند با شبیه سازی حملات مهاجمان واقعی بسیاری از ضعف های امنیتی و الگوهای حمله مهاجمان را برای مقابله موثر در اختیار داشته باشند.

مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *