همه چیز در مورد تخصص تحلیل‌گر SOC – قسمت 2| مهارت‌های اساسی برای تحلیلگران

با افزایش پیچیدگی و فراوانی تهدیدات امنیت سایبری، تقاضا برای تحلیل‌گران ماهر SOC همچنان در حال افزایش است. علاوه بر استراتژی‌های دفاعی و نرم‌افزارهای امنیتی پیشرفته، تحلیل‌گران SOC نقشی حیاتی در حفظ امنیت شرکت‌ها در برابر حملات ایفا می‌کنند. آن‌ها مسئول شناسایی و کاهش تهدیدات پیش رو، حفاظت از اطلاعات حساس‌ و تضمین امنیت کلی دارایی‌های دیجیتال یک سازمان هستند. با افزایش تقاضا برای تحلیل‌گران ماهر SOC، تحلیل‌گران تازه‌کار باید اطمینان حاصل کنند که از دانش فنی، مهارت‌های تحلیلی و توانایی‌های تفکر انتقادی مورد نیاز برای این شغل برخوردار هستند. مقاله‌ی حاضر، بخش دوم از یک سری مقاله‌ی سه قسمتی است که برترین نکات و مهارت‌هایی که تحلیلگران تازه‌کار برای تسلط بر آن‌ها در مسیر موفقیت در زمینه تحلیل SOC نیاز دارند را پوشش می‌دهد. در این بخش، با چهار موضوع مهم برای ایجاد درکی از پلتفرم‌ها و ابزارهای امنیتی مورد نیاز در تحلیل SOC آشنا خواهید شد. برای مطالعه‌ی بخش اول این مقاله، به لینک زیر مراجعه کنید.

همه چیز در مورد تخصص تحلیل‌گر SOC – قسمت ۱ | مهارت‌های اساسی برای تحلیلگران تازه‌کار

1- آشنایی با سرویس‌های مبتنی بر ابر

درک نحوه‌ی کارکرد رایانش ابری و ریسک‌های امنیتی آن از اهمیت بالایی برخوردار است‌‌.‌ مفاهیم ابری و بهترین شیوه‌های‌ ‌‌پاسخ به حادثه را بیاموزید.

کسب و کارها در هر اندازه‌ای، برای فعالیت کارآمد خود به شدت به فناوری متکی هستند. تحلیل‌گران کارآمد SOC برای درک عمیق از جدیدترین فناوری‌ها و ابزارهای مورد استفاده در امنیت سایبری تلاش می‌کنند. یکی از حوزه‌هایی که هر روز بر اهمیت آن افزوده می‌شود، رایانش ابری است. رایانش ابری به ارائه خدمات محاسباتی از طریق شبکه اشاره دارد که با استفاده از آن، به جای میزبانی برنامه‌های نرم‌افزاری و داده‌ها روی سرورهای محلی یا دستگاه‌های شخصی، کاربران می‌توانند از راه دور و از طریق اینترنت به این منابع دسترسی داشته باشند. خدمات رایانش ابری می تواند شامل زیرساخت به عنوان سرویس ‌(IaaS)، پلتفرم به عنوان سرویس (PaaS) و نرم افزار به عنوان سرویس (SaaS) باشد. مفاهیم ابری ضروری برای تحلیل‌گران SOC شامل مدل‌های خدمات ابری، مدل‌های استقرار، کنترل‌های امنیتی، چارچوب‌های انطباق، و پاسخ به حادثه است. مزایای زیادی برای استفاده از رایانش ابری وجود دارد که از میان آن‌ها می‌توان به صرفه‌جویی در هزینه، مقیاس‌پذیری و انعطاف پذیری اشاره کرد. با این حال، خطرات بالقوه مانند امنیت داده‌ها و انطباق نیز باید در نظر گرفته شوند. به عنوان یک تحلیل‌گر‌SOC، درک اصول اولیه رایانش ابری برای نظارت و پاسخ موثر به حوادث امنیتی بسیار مهم است. رایانش ابری، شیوه‌ی طراحی، پیاده‌سازی و ایمن‌سازی زیرساخت فناوری اطلاعات را به نحوی اساسی تغییر داده است. با پذیرش سرویس‌های ابری، دیگر اقدامات امنیتی سنتی مانند فایروال‌ها و سیستم‌های تشخیص نفوذ برای محافظت در برابر تهدیدات سایبری مدرن کافی نیستند. اکنون تحلیل‌گران SOC باید بتوانند داده‌های محیط‌های ابری و سیستم‌های سنتی در محل را نظارت و تجزیه و تحلیل کنند. یکی از چالش‌های رایانش ابری، مدل مسئولیت مشترک (Shared Responsibility Model) است. ارائه‌دهندگان ابری، مسئول امنیت زیرساخت‌های زیربنایی هستند؛ در حالی که مشتری، مسئول ایمن‌سازی داده‌ها و برنامه‌های خود است. این بدان معناست که تحلیل‌گران SOC باید کنترل‌های امنیتی ارائه‌دهنده ابری و مشتری را درک کنند تا بتوانند به‌طور مؤثر حوادث امنیتی را شناسایی کرده و به آن‌ها پاسخ دهند.

2- اکتیو دایرکتوری (Active Directory) را بشناسید

اکتیو دایرکتوری یک پایگاه داده متمرکز است که اطلاعات مربوط به کاربران، گروه‌ها، سیستم‌ها و سایر منابع را ذخیره می‌کند و در زمینه‌ی ایمن‌سازی دسترسی به داده‌های حساس، از اهمیت بالایی برخوردار است. اکتیو دایرکتوری به عنوان ستون فقرات سیستم‌های مدیریت هویت و دسترسی اکثر سازمان‌ها شناخته می‌شود. یک تحلیل‌گر SOC خوب، مفاهیم اکتیو دایرکتوری مانند دامنه‌ها، کاربران، گروه‌ها و مجوزها را به طور کامل درک می‌کند. اکتیو دایرکتوری به دلیل ماهیت خود، هدفی جذاب برای مهاجمان محسوب می‌شود.

برای نظارت و ایمن‌سازی مؤثر اکتیو دایرکتوری، تحلیل‌گران SOC باید مفاهیم کلیدی آن، از جمله دامنه‌ها، کاربران، گروه‌ها و مجوزها را درک کنند. دامنه‌ها گروه‌بندی‌های منطقی از رایانه‌ها و سایر منابع هستند که تحت عنوان یک واحد منفرد مدیریت می‌شوند. کاربران، حساب‌های کاربری فردی هستند که دسترسی به منابع درون دامنه به آن‌ها اعطا می‌شود. گروه‌ها مجموعه‌هایی از کاربران یا رایانه‌ها هستند که مجوزهای مشترکی به آن‌ها اختصاص داده می‌شود‌ و مجوزها تعیین می‌کنند که کاربران چه اقداماتی را می‌توانند روی منابع خاص انجام دهند.

تحلیلگران SOC باید بتوانند به طور مؤثر بر اکتیو دایرکتوری نظارت و آن را مدیریت کنند تا حوادث امنیتی را شناسایی کرده و به آن‌ها پاسخ دهند. آن‌ها باید به طور کامل بهروش‌های امنیتی اکتیو دایرکتوری مانند پیاده‌سازی سیاست‌های قوی برای رمزهای عبور، محدود کردن دسترسی مدیریتی‌ و حساب‌رسی منظم فعالیت‌های اکتیو دایرکتوری را درک کنند.

آن‌ها همچنین باید با ابزارهای Microsoft’s Active Directory Users and Computers (ADUC) console که به آن‌ها اجازه می‌دهد کاربران‌، گروه ها و سایر اشیاء تبلیغاتی را مدیریت کنند، آشنا باشند. ابزار دیگری به نام Active Directory Domain Services (ADDS) برای مدیریت کنترلرهای دامنه و همانندسازی (replication) استفاده می‌شود. تحلیل‌گران SOC از اکتیو دایرکتوری برای انجام وظایف زیر استفاده می‌کنند:

• ‌ مدیریت متمرکز هویت و دسترسی (Centralized Identity and Access Management): اکتیو دایرکتوری ابزار مدیریت متمرکز هویت و دسترسی مایکروسافت است که به مدیران سیستم امکان می‌دهد حساب‌های کاربری را مدیریت کرده و به منابع در سراسر سازمان دسترسی داشته باشند. این امر برای تحلیل‌گران SOC حیاتی است زیرا آن‌ها باید این امر که چه کسی به چه منابعی دسترسی دارد را به سرعت شناسایی کنند تا بتوانند به درستی حوادث امنیتی را بررسی کنند.
• تجزیه و تحلیل لاگ (Log Analysis‌): لاگ‌های اکتیو دایرکتوری می‌توانند بینش‌های ارزشمندی در مورد رفتار کاربران و سیستم‌ها در یک سازمان ارائه دهند. تحلیل‌گران SOC باید بتوانند این لاگ‌ها را تجزیه و تحلیل کنند تا ناهنجاری‌ها را شناسایی کرده و تهدیدات امنیتی بالقوه را تشخیص دهند.
• سیاست گروهی (Group Policy): سیاست گروهی اکتیو دایرکتوری به مدیران سیستم این امکان را می‌دهد تا سیاست‌های امنیتی را در زیرساخت فناوری اطلاعات سازمان اعمال کنند. این امر برای تحلیل‌گران SOC بسیار مهم است زیرا آن‌ها باید به سرعت هرگونه نقض سیاست امنیتی که می‌تواند منجر به یک حادثه امنیتی شود را شناسایی کنند.
• کاهش سطح حمله (Attack Surface Reduction): اکتیو دایرکتوری شامل ابزارهایی مانند سیاست‌های گروهی و خطوط پایه امنیتی است که می‌توان از آن‌ها برای کاهش سطح حمله یک سازمان استفاده کرد. تحلیل‌گران SOC باید عمیقاً این ابزارها را درک کنند تا بتوانند حوادث امنیتی را به طور مؤثر تجزیه و تحلیل کرده و کاهش دهند.

ابزارها و مفاهیم اکتیو دایرکتوری برای تسلط بر تحلیل SOC

• کنترلر دامنه (Domain Controller): کنترلر دامنه، قلب اکتیو دایرکتوری محسوب می‌شود و مسئول احراز هویت کاربران، ذخیره اطلاعات حساب کاربری و اجرای سیاست‌های امنیتی است. تحلیل‌گران SOC باید نحوه عملکرد کنترلرهای دامنه را درک کنند تا بتوانند به درستی حوادث امنیتی را بررسی کنند.

• پروتکل (LDAP): پروتکل (LDAP) برای دسترسی و مدیریت سرویس‌های دایرکتوری استفاده می‌شود. تحلیل‌گران SOC باید بتوانند از LDAP برای پرس و جو از اکتیو دایرکتوری استفاده کنند و اطلاعات ارزشمندی را برای تجزیه و تحلیل امنیتی به دست آورند.
• پاور شِل (PowerShell): پاور شل یک ابزار خط فرمان قدرتمند است که می‌توان از آن برای مدیریت اکتیو دایرکتوری استفاده کرد. تحلیل‌گران SOC برای خودکارسازی وظایف و انجام تجزیه و تحلیل امنیتی پیشرفته، به درک عمیق پاور شل نیاز‌ دارند.
• پایه‌های امنیتی (Security Baselines): پایه‌های امنیتی اکتیو دایرکتوری، تنظیمات امنیتی پیشنهادی هستند که می‌توانند بر روی زیرساخت فناوری اطلاعات سازمان اعمال شوند. تحلیلگران SOC باید این پایه‌های امنیتی را درک کنند تا بتوانند وضعیت امنیتی یک سازمان را به درستی پیکربندی کرده و بر آن ‌نظارت کنند.

3- شناسایی و شکار تهدیدات

نوشتن فیلترهایی که برای شکار یا شناسایی تهدیدات استفاده می‌شود، جزء اصلی مجموعه مهارت‌های اکثر تحلیل‌گران است.

تهدیدات در دیدرس ظاهر شده و از آن خارج می شوند و ممکن است اثری در شبکه، لاگ‌ها یا ردپایی در نقاط انتهایی باقی نگذارند. علاوه بر این، احتمالاً شما یکی از منابع داده‌‌ی مذکور را جمع‌آوری یا نظارت نمی‌کنید. تشخیص‌ حمله‌ی بروت-فورس (Brute Force) باید برای هر منبع انجام شود. اگر SSO شما مورد هدف باشد، ممکن است اثری در شبکه یا میزبان نداشته باشد. همین امر در مورد سایر حملات نیز صدق می‌کند و در SOC، مقداری نمایی از تشخیص‌ها را ایجاد می‌کند.‌ SOCها اغلب در حالی که سعی می‌کنند فعالیت‌های مشکوک را از طریق منابع مختلف شناسایی کنند، می‌توانند از هشدارهای زیاد و ناکارآمد نیز رنج ببرند. این امر، نیاز به تشخیص‌های باکیفیت را برای شناسایی فعالیت‌های مخرب بدون گم شدن در میان نویز ایجاد می‌کند.

انجام تشخیص‌های با کیفیت، یک مهارت محسوب می‌شود. پس از یادگیری این مهارت‌ها می‌توان آن‌ها را در پلتفرم‌ها و فناوری‌های مختلف به کار برد. یک نمونه از تشخیص پیشرفته‌تر می‌تواند موردی باشد که تاریخچه رایج‌ترین آدرس‌های IP یک کاربر را شناسایی کنید. این ‌تشخیص پیشرفته ‌می‌تواند هشدار دادن در مورد فعالیت‌هایی که قبلاً بیش از حد نویزدار بودند ‌و شناسایی آن‌ها دشوار بود‌ را تسهیل کند. توانایی عملیاتی کردن و بهبود بهره‌وری هشدارها شما را به یک نقطه قوت در SOC تبدیل می‌کند.

به همین ترتیب، شکار تهدید نیز یک مهارت است. شما اغلب در ابزاری که قصد دارید در آن قوانینی را ایجاد کنید، ‌داده‌ها را ‌جمع‌آوری کرده و یک زیر‌مجموعه از بین داده‌های موجود انتخاب می‌کنید؛ سپس تجزیه و تحلیل انجام می‌دهید و هشدارها را بررسی می‌کنید. توسعه توانایی تجسم (visualize) داده‌ها به گونه‌ای که سرنخ‌های باکیفیت، منجر به شکار تهدید شود، امری حیاتی است؛ همچنین شناسایی و برجسته کردن فعالیت‌های مبهم نیز از اهمیت بالایی برخوردار است.

پلتفرم‌های شکار تهدید و شناسایی

• EDR – XDR: امکان دریافت اطلاعات از منابع مختلف را فراهم می‌کند.
• ELK Stack: لاگستش‌‌(Logstash) متن‌باز (Open Source) به شما این امکان را می‌دهد که داده‌های منابع مختلفی را دریافت کنید.
• Splunk‌‌: یک پلتفرم برای مدیریت لاگ‌ها و پایش سیستم‌ها

4- طرز فکر مستقل از ابزار داشته باشید

تحلیلگران SOC از ابزارهای مختلفی برای اهداف مختلف استفاده می‌کنند. یاد بگیرید که انعطاف‌پذیر باشید و با ابزارهای مختلف سازگار شوید، به‌جای اینکه به یک ابزار خاص وابسته باشید.

تحلیلگران SOC باید در زمینه‌ی ابزارها و فناوری‌های مختلف مورد استفاده در امنیت سایبری مهارت داشته باشند. با این حال، وابستگی بیش از حد به یک ابزار یا فناوری خاص می تواند توانایی تحلیل‌گران SOC برای تجزیه و تحلیل و پاسخگویی مؤثر به حوادث امنیتی را مختل کند. وابستگی بیش از حد به یک ابزار یا فناوری خاص می‌تواند منجر به خطرات متعددی برای تحلیل‌گران SOC شود. اولاً، اگر تحلیل‌گران فقط به یک ابزار یا فناوری خاص متکی باشند، ممکن است نتوانند تصویر کاملی از وضعیت امنیتی سازمان خود را ببینند. این امر می‌تواند منجر به‌ حوادث امنیتی و آسیب‌پذیری‌ شود. استفاده از چندین ابزار که باید یکپارچه شوند، یکی از دلایل رایج ناکارآمدی در گردش کار تحلیل‌گران SOC است که‌ می‌تواند منجر به تأخیر در زمان پاسخ‌گویی به حوادث و افزایش حجم کار شود. وابستگی بیش از حد به ابزار یک فروشنده خاص می‌تواند منجر به vendor lock-in شود که تغییر ابزار یا فروشنده را‌ در صورت لزوم، دشوار می‌سازد. برای تسلط مؤثر بر مهارت تحلیل SOC و مستقل بودن از ابزار‌، تحلیل‌گران SOC باید از این‌‌ شیوه‌ها پیروی کنند:

•  از ابزارها و فناوری‌های مختلف مورد استفاده در امنیت سایبری، درکی عمیق پیدا کنید.
• برای کاهش ناکارآمدی‌های گردش کار و بهبود دید، بر ادغام ابزارها تمرکز کنید.
• برای کاهش خطر vendor lock-in، از ترکیبی از ابزارهای تجاری و متن‌باز (Open-Source) استفاده کنید.
• ابزارها را بطور منظم ارزیابی و به‌روز رسانی کنید تا با نیازهای امنیتی در حال تحول سازمان مطابقت داشته باشند.
• تحلیل‌گران SOC با تکامل چشم‌انداز تهدیدها، باید چابک و سازگار باقی بمانند تا بتوانند حوادث امنیتی را به‌طور مؤثر شناسایی کنند، به آن‌ها پاسخ دهند و آن‌ها را کاهش دهند.
• مستقل از ابزار بودن، یک جزء حیاتی از این سازگاری است و تحلیلگران SOC را قادر می‌سازد تا بهترین ابزار را صرف‌نظر از فروشنده یا فناوری، برای کار انتخاب و استفاده کنند‌.

نتیجه‌گیری

با توجه به اینکه نقض گسترده داده‌ها در سراسر جهان و ایران، مدیران شرکت‌ها نیاز مطلق به خدمات امنیت سایبری قوی مانند ‌SOC را درک می‌کنند. سرمایه‌گذاری روی متخصصان مشتاق امنیت به این معناست که تیم‌های عملیاتی می‌توانند نفوذها را شناسایی کرده و آن‌ها را قبل از اینکه به محیط حساس راه یابند و آسیب‌های ماندگاری ایجاد کنند، به سرعت ایزوله سازند. تحلیل‌گران ‌SOC، یک بخش اساسی از این سیستم دفاعی هستند؛ ‌آن‌ها‌ به ‌طور فعال نظارت می‌کنند تا نشانه‌های اولیه تهدید را شناسایی کنند؛ سپس پاسخ‌های بلادرنگ به وقایع امنیتی ارائه داده و اقدامات را اولویت‌بندی می‌کنند، دارایی‌ها را بازیابی می‌کنند و مکانیسم‌های بازیابی را فعال می‌کنند. ترکیبی از دانش فنی، مهارت‌های تحلیلی و توانایی‌های تفکر انتقادی به تحلیل‌گران تازه‌کار ‌SOC این اطمینان را می‌دهد که محیط دیجیتال تحت محافظتشان را به‌درستی درک کنند. تحلیل‌گران SOC همراه با مجموعه‌ای مناسب از ابزارهای امنیتی، استراتژی امنیت سایبری‌ و حمایت از بالا به پایین (top-down) رهبری سازمانی، می‌توانند کسب‌وکار خود را از تهدیدات در حال تکامل در فضای سایبری ایمن نگه دارند. اگر از این مقاله لذت بردید، فراموش نکنید که قسمت اول را بررسی کنید یا به خواندن قسمت سوم و پایانی این سری مقالات ادامه دهید.