چرا باید از تشخیص هوشمند تهدیدات (Threat Intelligence) در محصول SIEM استفاده میکنیم؟

    اطلاعات تهدید یا TI (Threat Intelligence)  بینشی از مهاجمان و قابلیت‌های آن‌ها را فراهم می‌کند و اطلاعات ارزشمندی را برای افزایش سطح امنیت فراهم می‌آورد. هنگامی‌که سازمانها از این اطلاعات استفاده می‌کنند، می‌توانند اقدامات خود را براساس موارد مهم زیر قرار دهند تا سازمان خود را در برابر تهدیدات محافظت کنند:

    • چگونه عمل می‌کنند؟ تاکتیک‌ها، تکنیک‌ها و شیوه‌های عمل  (Tools, Techniques, and Protocol (- TTPs)، اطلاعات مهمی را درباره روشی که دشمنان معمولاً عمل می‌کنند، را مشخص و شفاف می نماید.
    • چگونگی تشخیص مهاجمان: همچنین نشانه های رخنه (IOC- Indicator Of Comprimise)  این نشانه‌های فنی (آدرس‌های IP، هش ها و غیره) اطلاعات مشخصی را ارائه می‌دهد که می‌تواند برای شناسایی و اعلام وجود حضور مخرب استفاده شود.
    • انگیزه مهاجمان چیست؟ دانستن اینکه چه کسی در پشت حملات قرار دارد، به شرکتها کمک می‌کند انگیزه‌های دشمن خود را درک کند، چه مقدار تلاش برای تهدیدات پیشرفته و مستمر(Advanced Persistent Threat) و نحوه اجرای چنین تهدیداتی چگونه می‌تواند باشد.
    • کاهش هشدارها و تشخيص های اشتباه( False Positive)    : مراکز عملیات امنیت سنتی با انبوهی از تعداد هشدارهای اشتباه درگیر هستند، TI  کمک شایانی به کاهش این هشدارها می نماید.
    • تشخیص گروه مهاجمی که حمله می‌کند؟ TI به سازمان کمک می‌کند تا حملات / فعالیت‌های مخرب را به گروه‌های خاص مهاجم (مجرمان اینترنتی، سازمان‌های دولتی / ملی و …) نسبت دهند.
    • به دنبال چه هستند؟ با این اطلاعات سازمان ها می‌توانند اقدامات خود را بر اساس اهمیت دارایی یا دارایی‌های خود که مهاجمان هدف قرار می‌دهند، اولویت‌بندی کنند.
    • وضعیت جغرافیایی مهاجمان کجا است؟ ارتباط دادن کشور مبدأ دشمن با وضعیت جغرافیایی‌اش می‌تواند به دفاع از دشمنان کمک کند.
    • چگونگی کاهش حملات: اطلاعات در مورد مراحلی که شرکت می‌تواند برای محافظت از خود طی کند مشخص میگردد.

     

    pic

    داده هایی که نرمال، تصدیق شده و غنی سازی شده اند باید به سیستم هایی تحویل داده شوند که بتوانند از آنها برای اجرای خودکار و اتوماتیک نمودن فعالیتهای یک مرکز عملیات امنیت استفاده کنند.STIX و TAXII استانداردهایی به منظور  بهبود پیشگیری و کاهش حملات سایبری میباشند که توسط شرکت MITRE پیشرو در زمینه مرکز عملیات امنیت و امنیت سایبری پیشتیبانی میگردد، STIX آنچه در مورد اطلاعات تهدید TI است را بیان می کند ، در حالی که TAXII نحوه انتقال اطلاعات را تعریف می کند. برخلاف روشهای قبلی به اشتراک گذاری ، STIX و TAXII قابل خواندن با ماشین هستند و بنابراین در سیستم SIEM خودکار می شوند. و کمک شایانی به بیان خودکار و اتوماتیک نمودن فعالیتها می کند.

    تمام موارد ذکر شده به‌طور مستقیم به یکدیگر متصل هستند. با تطبیق اطلاعات تهدید TI با اطلاعات داخلی جمع‌آوری‌شده توسط ‌راهکارSIEM ، سازمانها دید بهتری از حملات را در حوزه‌ی خود خواهند داشت همچنین سازمانها را قادر می سازد تا یک وضعیت امنیتی سایبری پیش دستانه (Proactive) را تقویت کنند و سیاست های کلی مدیریت ریسک را تقویت کنند و تصمیم گیری بهتری را قبل، هنگام و بعد از یک نفوذ سایبری آگاه می کندو می‌توانند از خود در برابر بروز تهدیدات دفاع کنند.

    گروه شبکه امن حارس پویا با دارا بودن کارشناس های مجرب و با سابقه فعالیت در پروژه های ملی مفتخر به ارائه خدمات آموزش، مشاوره ، اجرا و نظارت در زمینه امنیت شبکه و مراکز عملیات امنیت میباشد.

    تماس: ۰۹۳۶۲۴۳۷۶۷۳

    پاسخ دهید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *