CTI در عملیات امنیتی

با توجه به اینکه دورنمای تهدیدها بطور مداوم در حال تغییر است و شمار مهاجمان پیشرفته بیش از هر زمان دیگری افزایش یافته، تیم‌های امنیتی باید برای پیشگیری، تشخیص و واکنش مؤثرتر به تهدیدها، هر کمکی که می‌توانند دریافت کنند. بر اساس چهارمین نظرسنجی سالیانه SANS در خصوص اطلاعات تهدید سایبری (CTI) ، خوشبختانه بسیاری از سازمان‌ها جزئیات حملات و مهاجمان را به اشتراک می‌گذارند و منابع رایگان و تجاری فراوانی نیز وجود دارد که می‌توان اطلاعات ارزشمندی را از آنها جمع‌آوری و یکپارچه‌سازی کرد.
در نظرسنجی امسال نیز برخی موردهای مشابه با سال ۲۰۱۷ مشاهده می‌شود. در این گزارش موارد کاربرد مهم CTI عبارتند از عملیات امنیت، واکنش به رخدادها و آگاهی‌رسانی امنیتی. بر این اساس، SIEM رایج‌ترین نقطه یکپارچه‌سازی برای جمع‌آوری و تحلیل داده‌های CTI است و از مهم‌ترین موارد بهبود در نتیجه‌ی استفاده از CTI، می‌توان به بهبود دیدپذیری تهدیدها و روش‌های حمله تأثیرگذار بر محیط، بهبود عملیات امنیت و تشخیص تهدیدهای ناشناخته اشاره کرد.
داده‌های مربوط به اطلاعات تهدید در سال ۲۰۱۷، معمولا از طریق APIها یکپارچه‌سازی می‌شد، اما در سال ۲۰۱۸، استفاده از پلتفورم‌های اطلاعات تهدید رواج بیشتری پیدا کرد. داده‌های CTI نیز بیشتر در مرکز عملیات امنیت (SOC) گنجانده می‌شود، زیرا ۵۳ درصد از سازمان‌های پاسخ‌دهنده در این نظرسنجی کارمندان CTI را در SOC خود مستقر کرده‌اند و ۳۲ درصد، این کارمندان را به عنوان بخشی از تیم‌های امنیت سازمانی خود تعیین کرده‌اند، در حالی که ۳۲ درصد بقیه، آنها را در تیم‌های واکنش به رخداد جای داده‌اند.

نکات کلیدی گزارش امسال به سودمندی روزافزون داده‌های CTI و نیاز به یکپارچه‌سازی بیشتر بین ابزارهای CTI و داده‌های خام اشاره دارد.
• بطور کلی CTI هر روز مفیدتر واقع می‌شود، به خصوص برای تیم‌های عملیات امنیت.
• CTI در حال یکپارچه‌تر شدن است و SIEM همچنان رایج‌ترین ابزار برای مدیریت CTI به شمار می‌رود. پلتفورم‌های مستقل CTI نیز امسال در مقایسه با سال‌های قبل، محبوبیت قابل توجهی به دست آورده‌اند.
• بهبود تشخیص و واکنش با نتایجی که از سال گذشته به دست آمده، همراستاست.
• استخدام کارکنان، کمبود بودجه و زمان درست بکارگیری CTI همچنان مهم‌ترین مشکلات در بسیاری از سازمان‌ها هستند.
• پیکربندی، یکپارچه‌سازی با دیگر سیستم‌ها و بطور کلی استفاده از ابزارهای CTI این امکان را فراهم می‌سازد تا کارکنان تازه‌کار بیشتری بتوانند در مدت زمان کمتر، کار کمتری انجام دهند.

عملیاتی کردن CTI
نتایج سالانه نشان می‌دهد که استفاده از داده‌های CTI در دو سال گذشته فراگیر شده است. رویهم رفته، این نتایج حاکی از این است که تعداد کمتری از سازمان‌ها از ارزش CTI چشم‌پوشی می‌کنند. در واقع، بیشتر آنها در حال حاضر از CTI برای تشخیص و واکنش استفاده می‌کنند.

تولید CTI و استفاده از آن
در جوامع امنیت و فورنسیک، تغییر ظریفی نیز در جهت ایجاد اطلاعات تهدید داخلی- به جای دریافت CTI از ارائه‌دهندگان این‌گونه اطلاعات- برای استفاده خود سازمان‌ها وجود داشته است، اگرچه، تولید CTI خام امسال تا اندازه‌ای کاهش داشت.

گنجاندن CTI در عملیات امنیت
پاسخ‌هایی که در نظرسنجی ۲۰۱۸ دریافت شده حاکی از کاهش استفاده از CTI برای آگاهی‌رسانی امنیتی و تأکید بیشتر بر مسئولیت‌های مرتبط با عملیات امنیت است، از جمله: تشخیص تهدیدات (۷۹٪)، مسدود کردن تهدیدات (۷۰٪) و شکار تهدیدات (۶۲٪). استفاده از شکار تهدیدات نیز بر اساس نظرسنجی شکار تهدیدات سال ۲۰۱۷ مؤسسه SANS در حال افزایش است. شکل ۲ جزئیات کاملی از چگونگی استفاده سازمان‌های پاسخ‌دهنده از داده‌های CTI را نشان می‌دهد.

نقش‌ها و مسئولیت‌ها
بیش از ۱۶ درصد شرکت‌کنندگان در این نظرسنجی در عملیات IT یا مدیریت IT فعالیت داشتند و علاوه بر این، نقش‌های زیاد دیگری از جمله معمار امنیت، پژوهشگر امنیت، تحلیل‌گر CTI و غیره نیز وجود داشت. شمار کمی نیز خود را به عنوان کارشناس شکار تهدید، تحلیل‌گر تحقیقات تهدید و مشاغل دیگری که در ایجاد یا استفاده از CTI به ایفای نقش می‌پردازند، مطرح کردند.
بر اساس پاسخ‌های نظرسنجی امسال، یافتن کارکنان ماهری که بتوانند با کنسول‌های CTI کار کنند دشوارتر شده است. در بخش‌های بعدی این گزارش، به بررسی موانع پیاده‌سازی یک برنامه CTI موفق پرداخته می‌شود، اما آمار برجسته‌ای وجود دارد که در اینجا می‌توان به آن اشاره کرد. در نظرسنجی امسال، ۶۲ درصد از پاسخ‌دهندگان فقدان کارشناسان آموزش‌دیده و ماهر CTI را به عنوان مانع اصلی مطرح کردند که این رقم نسبت به سال ۲۰۱۷ (۵۳ درصد) حدود ۱۰ درصد افزایش نشان می‌داد. این یعنی هرچقدر CTI بیشتر مورد استفاده قرار گیرد، تقاضای بیشتری برای مجموعه مهارت‌های مرتبط با آن وجود خواهد داشت.
پیدایش یک عنوان شغلی جدید
۱۲ درصد از پاسخ‌دهندگان این نظرسنجی تحت عنوان «تحلیل‌گر اطلاعات تهدید سایبری» یا چیزی شبیه به آن فعالیت می‌کردند که این شغل از سال ۲۰۱۷ دو برابر شده است. این می‌تواند نشان‌دهنده رشد مشاغل تخصصی مرتبط با CTI باشد.
نکته
گنجاندن CTI در فعالیت‌های SOC، بلوغ برنامه‌ها را نشان داده و توانایی استفاده از داده‌های خام برای پشتیبانی از قابلیت‌های چندگانه SOC را در اختیار سازمان‌ها قرار می‌دهد.

مزایای CTI
چند پاسخ زیر نشان می‌دهند که چگونه شرکت‌کنندگان نظرسنجی از CTI در اولویت‌بندی مدیریت آسیب‌پذیری‌ها استفاده می‌کنند:
• ‌وقتی یک آسیب‌پذیری جدید کشف می‌شود، جزئیات آن برای اولویت‌بندی به مدیریت آسیب‌پذیری‌ها ارسال خواهد شد. اگر این آسیب‌پذیری توسط یک مهاجم شناخته‌شده مورد استفاده قرار گرفته باشد، اطلاعات آن نیز به منظور ملاحظه و اولویت‌بندی برای مدیران ارسال می‌شود.
• رصد اخبار یا خواندن CTI توسط مرکز اشتراک‌گذاری و تحلیل اطلاعات (ISAC)، اطلاعات لازم را در ارتباط با تهدیدات جاری و بدافزارهایی که باید برای آنها وصله‌های امنیتی نصب کنیم یا اقدامات مسدودکننده یا کاهنده انجام دهیم، ارائه می‌کند. به عنوان مثال، به محض اینکه منابع، اطلاعاتی را راجع به آسیب‌پذیری‌های مرتبط با NotPetya ارائه کردند، نصب فعالانه وصله‌های امنیتی برای آنها انجام گرفت.
• CTI به سازمان ما این امکان را می‌دهد تا حملات را ردیابی کنیم و این در نهایت، راهنمای ما در تعیین اهداف استراتژی‌های دفاعی (مثلا، استقرار کنترل‌های بهتر) و استراتژی‌های مدیریت ریسک خواهد بود.

بیشتر تحلیل‌گران تا جایی که ممکن است، اطلاعات به شدت تخصصی را درخواست می‌کنند، اما مصرف‌کنندگان دیگر این اطلاعات ممکن است به «تصویر کلی» حملات نیز نیاز داشته باشند.

جمع‌آوری داده‌های CTI
تیم‌های امنیتی انواع گسترده‌ای از ابزارها را برای جمع‌آوری، تحلیل و ارائه CTI در محیط سازمانی خود مورد استفاده قرار می‌دهند که مهم‌ترین این ابزارها SIEM است. پس از SIEM نیز ابزارهای تحلیل ترافیک شبکه و صفحات گسترده و ایمیل در رده‌های بعدی قرار می‌گیرند. برای دریافت جزئیات کامل در مورد ابزارهای یکپارچه‌سازی و تحلیل، شکل ۷ را ببینید.
نکته
سازمان‌ها آشکارا با فرمت‌های متمایز داده‌های CTI دچار مشکل می‌شوند و احتمالا در تلفیق این داده‌ها با دیگر منابع حیاتی لاگ‌ها و رویدادها نیز دچار دردسرهای بیشتری خواهند شد.
نکته
پاکسازی سیستم‌های CTI و نگهداری از آنها کارکردهای مهمی هستند که نباید نادیده انگاشته شوند. اگر الگوها و روندها را بر اساس داده‌های اشتباه یا نادرست ایجاد کنیم، به سادگی ممکن است بر اولویت‌بندی تهدیدات اشتباه متمرکز شویم!

آیا CTI به سازمان‌ها کمک می‌کند؟
آیا CTI سازمان‌ها را در انجام بهتر وظیفه تشخیص تهدیدات یا پیشگیری از ظهور این تهدیدات کمک می‌کند؟ بطور خلاصه می‌توان گفت: بله. از واضح‌ترین روندهایی که در سه سال گذشته مشاهده شده این است که پاسخ‌دهندگان بطور فزاینده‌ای از بهبود قابلیت‌های پیشگیری، تشخیص و واکنش خود توسط CTI خبر داده‌اند. در سال ۲۰۱۸، ۸۱ درصد از پاسخ‌دهندگان، کمک‌کننده بودن CTI را مورد تأکید قرار دادند که این رقم نسبت به ۷۸ درصد سال ۲۰۱۷ و ۶۴ درصد سال ۲۰۱۶، یک افزایش را نشان می‌دهد. به علاوه، شمار شرکت‌کنندگانی که پاسخ «نامعلوم» را برای این پرسش انتخاب کردند (به عبارت دیگر، نتوانستند با اطمینان به این پرسش پاسخ دهند)، از ۳۴ درصد در سال ۲۰۱۶ به ۲۱ درصد در سال ۲۰۱۷ و ۱۵ درصد در سال ۲۰۱۸ کاهش داشته است.

نتیجه‌گیری
بر اساس پاسخ‌های دریافتی در نظرسنجی امسال، یقینا می‌توان ظهور روندهایی را مشاهده کرد. به نظر می‌رسد CTI به لحاظ عملی مفیدترین داده‌های ممکن برای تیم‌های عملیاتی باشد که در زمینه پایش رویدادها در محیط، جستجوی فعالانه تهدیدها و واکنش به رخدادها به فعالیت می‌پردازند.
CTI هر روز برای تیم‌های عملیاتی- و احتمالا دیگران- رایج‌تر شده و مفیدتر واقع می‌شود. برای بسیاری از سازمان‌ها، آموزش کارکنان امنیت و تأمین بودجه برای برنامه‌های CTI همچنان مسئله‌ای آزاردهنده است، اما با این حال، روندهای موجود به سادگی نشان می‌دهند که CTI در حال حاضر ارزشمند است و در آینده نیز احتمالا چنین خواهد بود. با توجه به بلوغ محصولات و آسان‌تر شدن کاربرد آنها، این امکان تا اندازه‌ای فراهم خواهد شد که کارکنان تازه‌کار بخش‌های امنیت ارتقاء سطح پیدا کرده و بتوانند استفاده‌های عملی بیشتری از CTI داشته باشند.