التغييرات اللازمة لSOCs وCSIRTs، كما يدعي معهد الأبحاث الهولندي

يمكن أن تؤدي الأتمتة الواسعة النطاق لعمليات الأمن السيبراني إلى تغيير قواعد اللعبة مفهوم أتمتة أمنية تعتمد على قواعد اللعبة يتقدم بسرعة.

أصبحت الهجمات السيبرانية أكثر تعقيدا، وتأثيراتها التخريبية على الأعمال والمجتمع هي يزيدعمل بصورة مذهلة. كثير المنظمات هي لذلك سعياً لتعزيز أمنهم قدرات الرصد والاستجابة للحوادث. يتم تأسيس هذه في كثير من الأحيان في عمليات أمنية مخصصة جانتريه (SOCs) وفرق الاستجابة لحوادث أمن الكمبيوتر (CSIRTs).

في حين أن مثل هذه SOCs وCSIRTs قد نضجت بشكل كبير خلال العقد الماضي أو نحو ذلك، لا تزال هناك فجوة كبيرة بين المهاجمين والمدافعين. وأبرزها أين يمكن أن يكون الهجوم السيبراني الآلي أطلقت في ثوانٍ معدودة، غالبًا ما يستغرق الكشف والاستجابة أيام، أسابيع او حتى شهور.

ريتشارد كيركديك، مستشار أول لتقنيات الأمن السيبراني في شركة الأبحاث الهولندية المستقلة TNOقال: “عندما يتلقى فريق مركز العمليات الأمنية إخطارًا بحادث مشتبه به، فإنه يحتاج إلى تجميع تحليل ومعرفة الاستجابة الأنسب.

“بالنسبة للتهديدات والأحداث الشائعة والمعروفة، غالبًا ما يكون إجراء الاستجابة موحدًا، ولكن المهام الأساسية مثل البحث عن الأحداث ذات الصلة أو الإسناد الترافقي مع مصادر الاستخبارات المتاحة يمكن أن تستغرق وقتًا طويلاً. وإذا كان الحدث أكثر استثنائية، فإن المحللين الاحتياجات لحفر أبعد من ذلك.

SOC وCSIRT غالبًا ما تعتمد العمليات بشكل كبير على بشر الجهد والخبرة. تله هو بالضبط ما يسبب الحاضر عدم التطابق بين سرعة الهجوم وسرعة الرد. إلا إذا تغييرات جوهرية مصنوعة, قال كيركديك سوف عدم التوازن زيادة إلى أبعد من ذلك منذ عمل شركة نفط الجنوب وفرق CSIRT أصبح معقدا على نحو متزايد.

“إن البنى التحتية التي تحميها فرق SOC وCSIRT أصبحت معقدة ومتنوعة بشكل متزايد. “تتشابك الشبكات التقليدية داخل الشركة الآن مع مجموعة متنوعة من القائمة على السحابة الخدمات والبنى التحتية، ويمكن الوصول إليها من خلال وفرة من الأجهزة (المحمولة). وهذا يجعل من الصعب بطبيعته فهم الحدث الأمنيس إلى أقصى حد وإعداد استجابة فعالة عبر جميع التقنيات المعنية“.

ولتحويل هذا الاتجاه، سنحتاج إلى شيء من مغير اللعبة، و شاسِع أتمتة لعمليات الأمن السيبراني يمكن أن يصبح ذلك تماما.

“وقال كيركديك: “هناك الكثير من إمكانات الأتمتة في عمليات الأمن التشغيلي”. “الدافع الواضح لمثل هذه الأتمتة هو تسريع سرعة التحليل والاستجابة، ولكنه يمكن أيضًا أن يريح محللي الأمن من المهام الروتينية (المتكررة) ويحرر الموارد للأنشطة الأكثر تعقيدًا، مثل صيد التهديد أو يعالج استخبارات التهديدات السيبرانية“.

أحد التطورات الرئيسية في أتمتة SOC وCSIRT هو ظهور أتمتة أمنية تعتمد على قواعد اللعبة. جوهر هذا المفهوم هو أن الأحداث المحددة المحددة مسبقًا تؤدي إلى سير عمل استجابة موحد يتم تنفيذه بدون تدخل بشري أو تدخل محدود فقط. يتم التقاط سير العمل هذا بطريقة يمكن قراءتها آليًا كتب اللعب الأمنية التي تملي تسلسلاً محددًا مسبقًا لمهام التحقيق أو العلاج.

قال كيركديك: “تقليديًا، كانت أدلة التشغيل وإرشادات الاستجابة للحوادث عبارة عن تعليمات موثقة للمحللين والمشغلين البشريين”. “ومع ذلك، عند تجميعها بتنسيق يمكن قراءته بواسطة الآلة، يمكن تنفيذها تلقائيًا. إن تقنية التنفيذ التلقائي لقواعد اللعبة الأمنية موجودة بالفعل، ويشار إليها عادة باسم التنسيق الأمني ​​والأتمتة والاستجابة، أو SOAR.

وأضاف كيرديك: “غالبًا ما تقوم مراكز عمليات الأمن (SOCs) بتشغيل نظام إدارة المعلومات والأحداث الأمنية (SIEM) الذي يجمع البيانات من البنية التحتية المحمية وينتج أحداثًا وتنبيهات للمحللين لمتابعتها. SOAR هو حل من الجيل التالي يتم فيه أتمتة جزء كبير من الاستجابة.

تركز عمليات نشر SOAR الحالية عادةً على أتمتة تحليل حدث ما (على سبيل المثال، البحث عن الأحداث ذات الصلة التي تتضمن تقليديًا النسخ واللصق والتنقل بين الشاشات المختلفة).

ومع ذلك، في نهاية المطاف، يمكن لـ SOAR أيضًا تنسيق التخفيف الفعلي للحادث من خلال إعادة تكوين عناصر التحكم الأمنية ووظائف الشبكة تلقائيًا. وهذا يمكن أن يؤدي إلى توفير كبير في الوقت. كيرديك وقال إن اتخاذ الخطوة النهائية نحو التخفيف الآلي الكامل للحوادث لا يمثل في كثير من الأحيان تحديًا تكنولوجيًا بل تنظيميًا.

وقال: “ليس لدى شركات نفط الجنوب (SOC) في الوقت الحاضر تفويض محدود لتنفيذ التغييرات في البنية التحتية بنفسها، أو أنها تمتلك تفويضًا محدودًا فقط”. “تتطلب العمليات أنهم يطلبون مثل هذه التغييرات من فرق التكنولوجيا المسؤولة – عادةً عن طريق رفع تذكرة الدعم. دبليووعلى الرغم من أن التنفيذ الآلي للإجراءات سريعة الاستجابة أمر ممكن من الناحية الفنية، فإنه سيتطلب أيضًا إعادة النظر في إجراءات صيانة تكنولوجيا المعلومات وتفويض فرق SOC وCSIRT.

في نهاية المطاف، ينبغي لهذه الأنظمة العمل بطريقة آلية للغاية و مع زيادة الحكم الذاتي. وقال كيركديك: “نعم، هذا يتطلب الثقة في مثل هذا النظام”. “لم نصل هناك بعد. تيجب تطوير التكنولوجيا إلى مستوى يمكننا الوثوق به، و تالقبعة تستغرق وقتا.”

الجانب السلبي آخر من الخدمات الحالية لأتمتة الأمن السيبراني أن التكنولوجيا غالبًا ما تكون مملوكة. مأوست SOAR حلول نكون لذلك خاص بالمورد، مما يعني أنه لا يمكن تنفيذ سوى كتيبات اللعب بالتنسيق المحدد من قبل ذلك المورد المحدد.

التطور المهم الذي يحدث حاليا هو ذلك واحة يكون توحيد حماية تنسيقات قواعد اللعبة. TNO واتشارك بشكل وثيق في التيار معيار CACAOv2 ل أمان يمكن قراءته آليًا كتب اللعب. قال كيركديجك: “من خلال التقييس، تصبح قواعد اللعبة ملحدة ومستقلة عن مورد SOAR الذي تعمل معه”.

“كما أنها تصبح قابلة للمشاركة بين المؤسسات، حتى لو لم تستخدم نفس حل SOAR بالضبط. بينما قواعد اللعبة التي تمارسهاس لا يمكن المعتمدة من المنظمات الأخرى واحد على واحد لأن كل البنية التحتية يكون مختلف، تقاسم قواعد اللعبة المعممة قوالب يعطي المنظمات مفيد أساس التي يمكنهم تكوينها بشكل أكبر المعلمات الخاصة بهم.”

للمضي قدمًا، يتوقع كيركديك أن يرى مشاركة المجتمع لقواعد اللعبة الأمنية بتنسيق CACAO الموحد كمكمل للتبادل الحالي لمعلومات التهديدات السيبرانية. وبهذه الطريقة، لا يتعين على كل مؤسسة إعادة اختراع العجلة لكل حادث أو حدث.

تعتقد TNO أن هناك حاجة إلى خدمات SOAR المفتوحة لدفع تطوير واعتماد هذه التكنولوجيا إلى الأمام. لذلك تم بناء معهد الأبحاث عرض SOAR الخاص بها وأصدرتها كتقنية مفتوحة المصدر في منتصف مارس.

قال كيركديك لموقع Computer Weekly: “نحن مناصرون أقوياء للحلول المفتوحة والموحدة”. “وبالتالي فإن أداة SOARCA الخاصة بنا خالية من تبعيات البائعين وتأتي مع دعم أصلي لمعيار CACAOv2. لقد قمنا بإصداره كمصدر مفتوح حتى يتمكن مجتمع محترفي SOC وCERT من تجربة مفهوم الأتمتة الأمنية المستندة إلى قواعد اللعبة بحرية ونأمل أن يساهموا في مزيد من التقدم.”

صالأمان المستند إلى دفتر الملاحظات أتمتة يمكن أن يوفر الكثير من الوقت ومجاني حتى وقت المحلل لإجراء تحليلات أكثر تعقيدًا على أشياء أقل شهرة أو حوادث جديدة في نهاية المطاف، هذا سوف إعطاء منظمة وسيلة ل البقاء جذابة ل سعى خلف المتخصصين في مجال الأمن.

وقال: “هناك طلب كبير على متخصصي SOC وCSIRT”. “إذا تم إعفاؤهم من المهام المملة والمتكررة محاباة من العمل الأكثر تحديًا، أستطيع أن أتخيل جيدًا أن وظيفتهم تصبح أكثر إثارة للاهتمام وأنه يصبح من الأسهل الاحتفاظ بهم.

TNO هو متابعة مجموعة متنوعة من التقنيات المبتكرة لأتمتة الأمن السيبراني. “على سبيل المثال، نحن نتعمق في المفهوم الذي نسميه الآلي حماية قال كيركديك. “متى مراقبة أمنية أنظمة رفع حالة تأهب، رإن عملية التفكير في التشخيص وتحديد الطريق الصحيح للمضي قدمًا لا تزال إلى حد كبير مهمة الخبراء البشريين. ونعتقد أنه يمكن دعم هذه العملية بشكل مباشر أكثر من خلال استخدام تقنيات نمذجة البنية التحتية وسلوك المهاجمين السيبرانيين.

تجري TNO أيضًا بحثًا مكثفًا فيما يتعلق بـ أنظمة الشفاء الذاتي التي تتوقع التهديدات والهجمات وتقاومها وتتعافى منها بشكل مستقل. هذا المفهوم مستوحى من دفاع أنماط جهاز المناعة عند الإنسان و ينطبق مبادئ مثل تجديد الخلايا إلى البنى التحتية للأمن السيبراني.

“سوف تقوم SOCs وCSIRTs بذلك ستتخذ مظهرًا مختلفًا في السنوات القادمة، ويرجع ذلك جزئيًا إلى وجود الكثير من التغييرات في مشهد التهديدات، ولكن أيضًا لأن البنية التحتيةما تحميه فرق SOC وCSIRT هو إلى حد كبير تتطور، ولأن التنظيم الجديدس مثل 2 شيكل، ال قانون الأمن السيبراني و سوف يأتي Cyber ​​Shield مع طلب جديدس“،” قال كيركديك. “سيتم أتمتة عمليات SOC وCSIRT محتمل تلعب دورا محوريا في هذا جاري التنفيذ تطوير.“