همه چیز در مورد تخصص تحلیلگر SOC – قسمت ۲| مهارتهای اساسی برای تحلیلگران
با افزایش پیچیدگی و فراوانی تهدیدات امنیت سایبری، تقاضا برای تحلیلگران ماهر SOC همچنان در حال افزایش است. علاوه بر استراتژیهای دفاعی و نرمافزارهای امنیتی پیشرفته، تحلیلگران SOC نقشی حیاتی در حفظ امنیت شرکتها در برابر حملات ایفا میکنند. آنها مسئول شناسایی و کاهش تهدیدات پیش رو، حفاظت از اطلاعات حساس و تضمین امنیت کلی داراییهای دیجیتال یک سازمان هستند. با افزایش تقاضا برای تحلیلگران ماهر SOC، تحلیلگران تازهکار باید اطمینان حاصل کنند که از دانش فنی، مهارتهای تحلیلی و تواناییهای تفکر انتقادی مورد نیاز برای این شغل برخوردار هستند. مقالهی حاضر، بخش دوم از یک سری مقالهی سه قسمتی است که برترین نکات و مهارتهایی که تحلیلگران تازهکار برای تسلط بر آنها در مسیر موفقیت در زمینه تحلیل SOC نیاز دارند را پوشش میدهد. در این بخش، با چهار موضوع مهم برای ایجاد درکی از پلتفرمها و ابزارهای امنیتی مورد نیاز در تحلیل SOC آشنا خواهید شد. برای مطالعهی بخش اول این مقاله، به لینک زیر مراجعه کنید.
همه چیز در مورد تخصص تحلیلگر SOC – قسمت ۱ | مهارتهای اساسی برای تحلیلگران تازهکار
۱- آشنایی با سرویسهای مبتنی بر ابر
درک نحوهی کارکرد رایانش ابری و ریسکهای امنیتی آن از اهمیت بالایی برخوردار است. مفاهیم ابری و بهترین شیوههای پاسخ به حادثه را بیاموزید.
کسب و کارها در هر اندازهای، برای فعالیت کارآمد خود به شدت به فناوری متکی هستند. تحلیلگران کارآمد SOC برای درک عمیق از جدیدترین فناوریها و ابزارهای مورد استفاده در امنیت سایبری تلاش میکنند. یکی از حوزههایی که هر روز بر اهمیت آن افزوده میشود، رایانش ابری است. رایانش ابری به ارائه خدمات محاسباتی از طریق شبکه اشاره دارد که با استفاده از آن، به جای میزبانی برنامههای نرمافزاری و دادهها روی سرورهای محلی یا دستگاههای شخصی، کاربران میتوانند از راه دور و از طریق اینترنت به این منابع دسترسی داشته باشند. خدمات رایانش ابری می تواند شامل زیرساخت به عنوان سرویس (IaaS)، پلتفرم به عنوان سرویس (PaaS) و نرم افزار به عنوان سرویس (SaaS) باشد. مفاهیم ابری ضروری برای تحلیلگران SOC شامل مدلهای خدمات ابری، مدلهای استقرار، کنترلهای امنیتی، چارچوبهای انطباق، و پاسخ به حادثه است. مزایای زیادی برای استفاده از رایانش ابری وجود دارد که از میان آنها میتوان به صرفهجویی در هزینه، مقیاسپذیری و انعطاف پذیری اشاره کرد. با این حال، خطرات بالقوه مانند امنیت دادهها و انطباق نیز باید در نظر گرفته شوند. به عنوان یک تحلیلگرSOC، درک اصول اولیه رایانش ابری برای نظارت و پاسخ موثر به حوادث امنیتی بسیار مهم است. رایانش ابری، شیوهی طراحی، پیادهسازی و ایمنسازی زیرساخت فناوری اطلاعات را به نحوی اساسی تغییر داده است. با پذیرش سرویسهای ابری، دیگر اقدامات امنیتی سنتی مانند فایروالها و سیستمهای تشخیص نفوذ برای محافظت در برابر تهدیدات سایبری مدرن کافی نیستند. اکنون تحلیلگران SOC باید بتوانند دادههای محیطهای ابری و سیستمهای سنتی در محل را نظارت و تجزیه و تحلیل کنند. یکی از چالشهای رایانش ابری، مدل مسئولیت مشترک (Shared Responsibility Model) است. ارائهدهندگان ابری، مسئول امنیت زیرساختهای زیربنایی هستند؛ در حالی که مشتری، مسئول ایمنسازی دادهها و برنامههای خود است. این بدان معناست که تحلیلگران SOC باید کنترلهای امنیتی ارائهدهنده ابری و مشتری را درک کنند تا بتوانند بهطور مؤثر حوادث امنیتی را شناسایی کرده و به آنها پاسخ دهند.
۲- اکتیو دایرکتوری (Active Directory) را بشناسید
اکتیو دایرکتوری یک پایگاه داده متمرکز است که اطلاعات مربوط به کاربران، گروهها، سیستمها و سایر منابع را ذخیره میکند و در زمینهی ایمنسازی دسترسی به دادههای حساس، از اهمیت بالایی برخوردار است. اکتیو دایرکتوری به عنوان ستون فقرات سیستمهای مدیریت هویت و دسترسی اکثر سازمانها شناخته میشود. یک تحلیلگر SOC خوب، مفاهیم اکتیو دایرکتوری مانند دامنهها، کاربران، گروهها و مجوزها را به طور کامل درک میکند. اکتیو دایرکتوری به دلیل ماهیت خود، هدفی جذاب برای مهاجمان محسوب میشود.
برای نظارت و ایمنسازی مؤثر اکتیو دایرکتوری، تحلیلگران SOC باید مفاهیم کلیدی آن، از جمله دامنهها، کاربران، گروهها و مجوزها را درک کنند. دامنهها گروهبندیهای منطقی از رایانهها و سایر منابع هستند که تحت عنوان یک واحد منفرد مدیریت میشوند. کاربران، حسابهای کاربری فردی هستند که دسترسی به منابع درون دامنه به آنها اعطا میشود. گروهها مجموعههایی از کاربران یا رایانهها هستند که مجوزهای مشترکی به آنها اختصاص داده میشود و مجوزها تعیین میکنند که کاربران چه اقداماتی را میتوانند روی منابع خاص انجام دهند.
تحلیلگران SOC باید بتوانند به طور مؤثر بر اکتیو دایرکتوری نظارت و آن را مدیریت کنند تا حوادث امنیتی را شناسایی کرده و به آنها پاسخ دهند. آنها باید به طور کامل بهروشهای امنیتی اکتیو دایرکتوری مانند پیادهسازی سیاستهای قوی برای رمزهای عبور، محدود کردن دسترسی مدیریتی و حسابرسی منظم فعالیتهای اکتیو دایرکتوری را درک کنند.
آنها همچنین باید با ابزارهای Microsoft’s Active Directory Users and Computers (ADUC) console که به آنها اجازه میدهد کاربران، گروه ها و سایر اشیاء تبلیغاتی را مدیریت کنند، آشنا باشند. ابزار دیگری به نام Active Directory Domain Services (ADDS) برای مدیریت کنترلرهای دامنه و همانندسازی (replication) استفاده میشود. تحلیلگران SOC از اکتیو دایرکتوری برای انجام وظایف زیر استفاده میکنند:
- مدیریت متمرکز هویت و دسترسی (Centralized Identity and Access Management): اکتیو دایرکتوری ابزار مدیریت متمرکز هویت و دسترسی مایکروسافت است که به مدیران سیستم امکان میدهد حسابهای کاربری را مدیریت کرده و به منابع در سراسر سازمان دسترسی داشته باشند. این امر برای تحلیلگران SOC حیاتی است زیرا آنها باید این امر که چه کسی به چه منابعی دسترسی دارد را به سرعت شناسایی کنند تا بتوانند به درستی حوادث امنیتی را بررسی کنند.
- تجزیه و تحلیل لاگ (Log Analysis): لاگهای اکتیو دایرکتوری میتوانند بینشهای ارزشمندی در مورد رفتار کاربران و سیستمها در یک سازمان ارائه دهند. تحلیلگران SOC باید بتوانند این لاگها را تجزیه و تحلیل کنند تا ناهنجاریها را شناسایی کرده و تهدیدات امنیتی بالقوه را تشخیص دهند.
- سیاست گروهی (Group Policy): سیاست گروهی اکتیو دایرکتوری به مدیران سیستم این امکان را میدهد تا سیاستهای امنیتی را در زیرساخت فناوری اطلاعات سازمان اعمال کنند. این امر برای تحلیلگران SOC بسیار مهم است زیرا آنها باید به سرعت هرگونه نقض سیاست امنیتی که میتواند منجر به یک حادثه امنیتی شود را شناسایی کنند.
- کاهش سطح حمله (Attack Surface Reduction): اکتیو دایرکتوری شامل ابزارهایی مانند سیاستهای گروهی و خطوط پایه امنیتی است که میتوان از آنها برای کاهش سطح حمله یک سازمان استفاده کرد. تحلیلگران SOC باید عمیقاً این ابزارها را درک کنند تا بتوانند حوادث امنیتی را به طور مؤثر تجزیه و تحلیل کرده و کاهش دهند.
ابزارها و مفاهیم اکتیو دایرکتوری برای تسلط بر تحلیل SOC
- کنترلر دامنه (Domain Controller): کنترلر دامنه، قلب اکتیو دایرکتوری محسوب میشود و مسئول احراز هویت کاربران، ذخیره اطلاعات حساب کاربری و اجرای سیاستهای امنیتی است. تحلیلگران SOC باید نحوه عملکرد کنترلرهای دامنه را درک کنند تا بتوانند به درستی حوادث امنیتی را بررسی کنند.
- پروتکل (LDAP): پروتکل (LDAP) برای دسترسی و مدیریت سرویسهای دایرکتوری استفاده میشود. تحلیلگران SOC باید بتوانند از LDAP برای پرس و جو از اکتیو دایرکتوری استفاده کنند و اطلاعات ارزشمندی را برای تجزیه و تحلیل امنیتی به دست آورند.
- پاور شِل (PowerShell): پاور شل یک ابزار خط فرمان قدرتمند است که میتوان از آن برای مدیریت اکتیو دایرکتوری استفاده کرد. تحلیلگران SOC برای خودکارسازی وظایف و انجام تجزیه و تحلیل امنیتی پیشرفته، به درک عمیق پاور شل نیاز دارند.
- پایههای امنیتی (Security Baselines): پایههای امنیتی اکتیو دایرکتوری، تنظیمات امنیتی پیشنهادی هستند که میتوانند بر روی زیرساخت فناوری اطلاعات سازمان اعمال شوند. تحلیلگران SOC باید این پایههای امنیتی را درک کنند تا بتوانند وضعیت امنیتی یک سازمان را به درستی پیکربندی کرده و بر آن نظارت کنند.
۳- شناسایی و شکار تهدیدات
نوشتن فیلترهایی که برای شکار یا شناسایی تهدیدات استفاده میشود، جزء اصلی مجموعه مهارتهای اکثر تحلیلگران است.
تهدیدات در دیدرس ظاهر شده و از آن خارج می شوند و ممکن است اثری در شبکه، لاگها یا ردپایی در نقاط انتهایی باقی نگذارند. علاوه بر این، احتمالاً شما یکی از منابع دادهی مذکور را جمعآوری یا نظارت نمیکنید. تشخیص حملهی بروت-فورس (Brute Force) باید برای هر منبع انجام شود. اگر SSO شما مورد هدف باشد، ممکن است اثری در شبکه یا میزبان نداشته باشد. همین امر در مورد سایر حملات نیز صدق میکند و در SOC، مقداری نمایی از تشخیصها را ایجاد میکند. SOCها اغلب در حالی که سعی میکنند فعالیتهای مشکوک را از طریق منابع مختلف شناسایی کنند، میتوانند از هشدارهای زیاد و ناکارآمد نیز رنج ببرند. این امر، نیاز به تشخیصهای باکیفیت را برای شناسایی فعالیتهای مخرب بدون گم شدن در میان نویز ایجاد میکند.
انجام تشخیصهای با کیفیت، یک مهارت محسوب میشود. پس از یادگیری این مهارتها میتوان آنها را در پلتفرمها و فناوریهای مختلف به کار برد. یک نمونه از تشخیص پیشرفتهتر میتواند موردی باشد که تاریخچه رایجترین آدرسهای IP یک کاربر را شناسایی کنید. این تشخیص پیشرفته میتواند هشدار دادن در مورد فعالیتهایی که قبلاً بیش از حد نویزدار بودند و شناسایی آنها دشوار بود را تسهیل کند. توانایی عملیاتی کردن و بهبود بهرهوری هشدارها شما را به یک نقطه قوت در SOC تبدیل میکند.
به همین ترتیب، شکار تهدید نیز یک مهارت است. شما اغلب در ابزاری که قصد دارید در آن قوانینی را ایجاد کنید، دادهها را جمعآوری کرده و یک زیرمجموعه از بین دادههای موجود انتخاب میکنید؛ سپس تجزیه و تحلیل انجام میدهید و هشدارها را بررسی میکنید. توسعه توانایی تجسم (visualize) دادهها به گونهای که سرنخهای باکیفیت، منجر به شکار تهدید شود، امری حیاتی است؛ همچنین شناسایی و برجسته کردن فعالیتهای مبهم نیز از اهمیت بالایی برخوردار است.
پلتفرمهای شکار تهدید و شناسایی
- EDR – XDR: امکان دریافت اطلاعات از منابع مختلف را فراهم میکند.
- ELK Stack: لاگستش(Logstash) متنباز (Open Source) به شما این امکان را میدهد که دادههای منابع مختلفی را دریافت کنید.
- Splunk: یک پلتفرم برای مدیریت لاگها و پایش سیستمها
۴- طرز فکر مستقل از ابزار داشته باشید
تحلیلگران SOC از ابزارهای مختلفی برای اهداف مختلف استفاده میکنند. یاد بگیرید که انعطافپذیر باشید و با ابزارهای مختلف سازگار شوید، بهجای اینکه به یک ابزار خاص وابسته باشید.
تحلیلگران SOC باید در زمینهی ابزارها و فناوریهای مختلف مورد استفاده در امنیت سایبری مهارت داشته باشند. با این حال، وابستگی بیش از حد به یک ابزار یا فناوری خاص می تواند توانایی تحلیلگران SOC برای تجزیه و تحلیل و پاسخگویی مؤثر به حوادث امنیتی را مختل کند. وابستگی بیش از حد به یک ابزار یا فناوری خاص میتواند منجر به خطرات متعددی برای تحلیلگران SOC شود. اولاً، اگر تحلیلگران فقط به یک ابزار یا فناوری خاص متکی باشند، ممکن است نتوانند تصویر کاملی از وضعیت امنیتی سازمان خود را ببینند. این امر میتواند منجر به حوادث امنیتی و آسیبپذیری شود. استفاده از چندین ابزار که باید یکپارچه شوند، یکی از دلایل رایج ناکارآمدی در گردش کار تحلیلگران SOC است که میتواند منجر به تأخیر در زمان پاسخگویی به حوادث و افزایش حجم کار شود. وابستگی بیش از حد به ابزار یک فروشنده خاص میتواند منجر به vendor lock-in شود که تغییر ابزار یا فروشنده را در صورت لزوم، دشوار میسازد. برای تسلط مؤثر بر مهارت تحلیل SOC و مستقل بودن از ابزار، تحلیلگران SOC باید از این شیوهها پیروی کنند:
- از ابزارها و فناوریهای مختلف مورد استفاده در امنیت سایبری، درکی عمیق پیدا کنید.
- برای کاهش ناکارآمدیهای گردش کار و بهبود دید، بر ادغام ابزارها تمرکز کنید.
- برای کاهش خطر vendor lock-in، از ترکیبی از ابزارهای تجاری و متنباز (Open-Source) استفاده کنید.
- ابزارها را بطور منظم ارزیابی و بهروز رسانی کنید تا با نیازهای امنیتی در حال تحول سازمان مطابقت داشته باشند.
- تحلیلگران SOC با تکامل چشمانداز تهدیدها، باید چابک و سازگار باقی بمانند تا بتوانند حوادث امنیتی را بهطور مؤثر شناسایی کنند، به آنها پاسخ دهند و آنها را کاهش دهند.
- مستقل از ابزار بودن، یک جزء حیاتی از این سازگاری است و تحلیلگران SOC را قادر میسازد تا بهترین ابزار را صرفنظر از فروشنده یا فناوری، برای کار انتخاب و استفاده کنند.
نتیجهگیری
با توجه به اینکه نقض گسترده دادهها در سراسر جهان و ایران، مدیران شرکتها نیاز مطلق به خدمات امنیت سایبری قوی مانند SOC را درک میکنند. سرمایهگذاری روی متخصصان مشتاق امنیت به این معناست که تیمهای عملیاتی میتوانند نفوذها را شناسایی کرده و آنها را قبل از اینکه به محیط حساس راه یابند و آسیبهای ماندگاری ایجاد کنند، به سرعت ایزوله سازند. تحلیلگران SOC، یک بخش اساسی از این سیستم دفاعی هستند؛ آنها به طور فعال نظارت میکنند تا نشانههای اولیه تهدید را شناسایی کنند؛ سپس پاسخهای بلادرنگ به وقایع امنیتی ارائه داده و اقدامات را اولویتبندی میکنند، داراییها را بازیابی میکنند و مکانیسمهای بازیابی را فعال میکنند. ترکیبی از دانش فنی، مهارتهای تحلیلی و تواناییهای تفکر انتقادی به تحلیلگران تازهکار SOC این اطمینان را میدهد که محیط دیجیتال تحت محافظتشان را بهدرستی درک کنند. تحلیلگران SOC همراه با مجموعهای مناسب از ابزارهای امنیتی، استراتژی امنیت سایبری و حمایت از بالا به پایین (top-down) رهبری سازمانی، میتوانند کسبوکار خود را از تهدیدات در حال تکامل در فضای سایبری ایمن نگه دارند. اگر از این مقاله لذت بردید، فراموش نکنید که قسمت اول را بررسی کنید یا به خواندن قسمت سوم و پایانی این سری مقالات ادامه دهید.
مطالب زیر را حتما بخوانید
-
مقایسه جامع Zeek و Splunk Stream: یک راهنمای کامل برای انتخاب ابزار مناسب
158 بازدید
-
Splunk Stream چیست و چه کاربردی دارد؟
169 بازدید
-
راهنمای جامع Event IDهای ویندوز برای متخصصان SOC: شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی
295 بازدید
-
مرکز عملیات امنیت (SOC): قلب تپنده دفاع سایبری و ابزارهای پیشرفته آن
7.93k بازدید
-
تحليل رفتار (Behavioral Analytics) چیست؟ و در امنیت سایبری چه کاربردی دارد
882 بازدید
-
تحلیل لاگ (Log Analysis) چیست؟ و چگونه به امنیت شما کمک میکند
1.03k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.