مقدمه
اسپلانک یک پلتفرم تجاری برای مدیریت و جمعآوری دادههای لاگ (Log) است. این سیستم به شما کمک میکند تا دادههای لاگ را از منابع مختلف مانند سرورها، برنامهها، دستگاهها و سایر سیستمها جمعآوری کنید و سپس این دادهها را جهت تحلیل، مانیتورینگ، گزارشدهی و استخراج اطلاعات مفید مورد نیاز بررسی کنید.
برخی از ویژگیها
✔ جمعآوری دادههای لاگ: اسپلانک به شما این امکان را میدهد که دادههای لاگ را از منابع مختلف مانند سیستمهای عامل، برنامهها، دستگاهها، دیتابیسها و سرویسهای وب جمعآوری کنید.
✔ جستجو و استعلام: اسپلانک یک موتور قدرتمند جستجو دارد که به شما این امکان را میدهد تا به سرعت و با دقت دادههای لاگ را جستجو و استعلام کنید.
✔ تحلیل و گزارشدهی: با استفاده از اسپلانک میتوانید دادههای لاگ را تحلیل کرده و گزارشهای جامع و سفارشی ایجاد کنید.
✔ مانیتورینگ و هشداردهی: میتوانید اسپلانک را برای مانیتور کردن عملکرد سیستمها، شبکهها و برنامهها استفاده کنید و در صورت وقوع حوادث مشخص، هشدارها را دریافت کنید.
✔ امنیت و پیگیری رویدادها: اسپلانک به عنوان یک ابزار امنیتی نیز استفاده میشود تا به دنبال الگوها و نشانگرهای امنیتی در دادههای لاگ بگردد و به این ترتیب کمک کند تا به سرعت به تهدیدات پاسخ داده شود.
به طور کلی، اسپلانک یکی از ابزارهای مهم در زمینه مدیریت و تحلیل دادههای لاگ است که برای سازمانها در فهم بهتر عملکرد سیستمها و افزایش امنیت بسیار مفید است.
مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از دادهها هستند. مدیریت حساب به فرآیند نظارت و کنترل حسابهای کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیتهایی مانند ایجاد حسابهای کاربری، اعطا یا لغو امتیازات دسترسی، اجرای سیاستهای رمز عبور و نظارت بر فعالیت کاربر است. مدیریت موثر حساب برای حفظ امنیت و یکپارچگی سیستمها و دادههای یک سازمان بسیار مهم است. از سوی دیگر، سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس و اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن آن است. ISMS چارچوبی را برای ایجاد، پیادهسازی، بهرهبرداری، نظارت، بررسی، حفظ و بهبود امنیت اطلاعات یک سازمان فراهم میکند. وقتی صحبت از مدیریت حساب در چارچوب ISMS میشود، تمرکز بر اجرای کنترلها و فرآیندهای مناسب برای مدیریت ایمن حسابهای کاربری است. این شامل اقداماتی مانند: تامین کاربر (User provisioning): ایجاد فرآیندهایی برای ایجاد و اصلاح حسابهای کاربری بر اساس نقشها و مسئولیتهای تعریف شده. کنترل دسترسی (Access control): اجرای مکانیسمهایی برای اعطای امتیازات دسترسی مناسب به کاربران بر اساس نقش آنها و اجرای اصل کمترین امتیاز. احراز هویت قوی (Strong authentication): استفاده از رمزهای عبور قوی، احراز هویت چند عاملی (MFA) یا سایر مکانیسمهای احراز هویت برای تأیید هویت کاربران. نظارت کاربر (User monitoring): اجرای مکانیسمهایی برای نظارت بر فعالیتهای کاربر، تشخیص رفتار مشکوک و پاسخ به حوادث امنیتی. حذف حساب (Account deprovisioning): ایجاد فرآیندهایی برای غیرفعال کردن یا حذف حسابهای کاربری در زمانی که دیگر نیازی به آنها نیست یا زمانی که یک کارمند سازمان را ترک میکند. ممیزی و بازبینی منظم (Regular audits and reviews): انجام ممیزی و بررسی دورهای حسابهای کاربری برای اطمینان از انطباق با خط مشیها و شناسایی هرگونه شکاف یا خطر امنیتی. ادغام شیوههای مدیریت حساب در چارچوب ISMS برای اطمینان از امنیت کلی داراییهای اطلاعاتی سازمان مهم است. با انجام این کار، سازمانها میتوانند به طور موثر چرخه عمر حسابهای کاربری را مدیریت کنند، خطرات مرتبط با دسترسی غیر مجاز را کاهش دهند و از اطلاعات حساس در برابر افشای غیر مجاز یا دستکاری محافظت کنند.
هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیشبینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولتها و سازمانها تبدیل شده است. اما آینده AI در امنیت سایبری با چالشهایی نیز مواجه است؛ به عنوان مثال گرچه AI به سازمانها، امکان ساخت دفاع قویتری میدهد، اما ابزارهای متعددی نیز برای انجام حملات پیچیده و پنهانی در اختیار مهاجمان و هکرها قرار داده است. در این مطالعه به بررسی تاثیر AI روی امنیت سایبری از اوایل ۲۰۰۰ پرداخته میشود. AI در امنیت سایبری: موج اول (2010 – 2000) در آغاز هزارهی جدید، گامهای ابتدایی دیجیتالی شدن، زندگیهای شخصی و حرفهای ما را تحت تأثیر قرار داد. در بیشتر سازمانها، کارمندان از کامپیوترها و لپتاپها به همراه مراکز داده درون سازمانی که زیرساخت IT سازمان را تشکیل میدادند، استفاده میکردند. تهدیدات سایبری در این زمان، به شکل عمده بر ایجاد هرج و مرج تمرکز داشته و در جستجوی کسب شهرت بودند. دهه اول هزارهی جدید، شاهد ظهور نرمافزارهای مخربی همچون ILOVEYOU، Melissa و MyDoom بود که در اینرنت آن زمان دنیا اختلالات مهمی ایجاد کردند. در میانه دهه اول ۲۰۰۰، کسب سود مالی منجر به افزایش فیشینگ و بدافزارهای مختلف مالی شد. تروجان بانکی Zeus ظاهر شد که بهطور پنهانی اطلاعات ورود به حساب بانکی کاربران را میدزدید. در آن زمان، سازمانها تنها بر کنترلهای امنیتی پایه، مانند آنتی ویروس مبتنی بر امضا و فایروال تکیه داشتند. از این رو مفهوم امنیت شبکه با ورود سیستمهای تشخیص نفوذ (IDS) شروع به تکامل کرد. احراز هویت دو عاملی (2FA) در این زمان محبوبیت پیدا کرد و لایهی اضافی امنیت برای سیستمها و دادههای حساس اضافه شد. در همین زمان بود که AI، ارزش خود را در دفاع از سازمان نشان داد. زیرا در این زمان، حجم ایمیلهای اسپم و ناخواسته حاوی بدافزار، که بار کاری زیادی به سرورهای ایمیل تحمیل میکردند، و همچنین کاربران را با فریبهای گوناگون، وادار به افشای اطلاعات شخصی ارزشمند میکردند، افزایش یافت. AI ابزاری ایدهآل برای تشخیص سریع و مسدود کردن پیامهای مخرب بود و کمک شایانی به کاهش ریسک کرد. هوش مصنوعی در این زمان، هنوز در مراحل نخستین خود بود اما برای دفاع از سازمانها در برابر تهدیداتی که به سرعت و در مقیاس گسترده در حال رشد بودند، پتانسیل زیادی نشان داد. AI در امنیت سایبری: موج دوم (2020 – 2010) با ورود به دههی دوم هزارهی جدید، زیرساخت IT تغییرات قابل توجهی را تجربه کرد. انفجار نرمافزارهای Software-as-a-Service، رایانش ابری و سیاستهای Bring-Your-Own-Device، دامنه فناوری اطلاعات را پویاتر از هر زمان دیگری کرد و در عین حال، سطوح حمله در برابر تهدیدات سایبری را به طور بیسابقه گسترش داد. عوامل تهدید به مراتب پیچیدهتر شدند و هدفهای حمله بالقوه به شدت گسترش یافت؛ سرقت مالکیت معنوی، خرابکاری در زیرساختها و کسب سود از طریق حملات در مقیاس بزرگ، به شدت رواج یافتند. سازمانها از تهدیدهای امنیتی کلان بین حکومتها آگاه شدند که از حمایت مالی و تکنیکی فراوان دولتها بهره میبردند. این امر، به دفاعهای پیچیدهای با امکان یادگیری خودکار و سریع منجر شد. حوادت امنیتی همچون Stuxnet که هدف آن تأثیرگذاری بر تاسیسات هستهای کشور ما، ایران بود و همچنین حملات ویرانکننده علیه شرکتهای معروف مانند Target و Sony Pictures رخ دادند و بر خطرات فزاینده سایبری، مهر تایید زدند. در همان زمان، آسیبپذیری زنجیرههای تأمین به شدت مورد توجه قرار گرفت؛ به عنوان مثال افشا اطلاعات SolarWinds، برای دهها هزار سازمان در کل دنیا تبعاتی مخرب داشت. همچنین حملاتی مانند WannaCry و NotPetya خسارات فراوانی در سراسر جهان به بار آوردند. گرچه حملات اخیر، نسبتاً به آسانی قابل شناسایی بودند، اما حجم تهدیدات و نشانههای آنها، نیازمند دفاع با سطحی از سرعت و دقت بود که از توان تحلیلی نیروی انسانی خارج است. در این دوره، AI به ابزار ضروری برای تیم دفاعی تبدیل شد. شرکت Cylance، که در سال ۲۰۱۲ تأسیس شد، با هدف جایگزینی آنتیویروسهای پیچیده با مدلهای سبک یادگیری ماشین آغاز به کار کرد. مدلهای کامپیوتری آموزش داده شدند تا به سرعت و با بهرهوری زیاد، بدافزارها را شناسایی و متوقف کنند. بدین ترتیب AI در امنیت سایبری گسترش بیشتری یافت و تکنیکهای یادگیری ماشین برای تشخیص آنومالیها، الگوهای یا رفتارهای غیرعادی نشاندهنده یک حمله پیچیده، و تحلیلهای پیشبینیکننده برای شناسایی و جلوگیری از مسیرهای حمله ممکن، به کار گرفته شد.
مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را
انواع SOAR در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود. سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از: SOAR محصول محور SOAR گسترده Next-Gen SOAR SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به حوادث، ارکستراسیون، اتوماسیون و مدیریت اطلاعات تهدید را در یک پلتفرم ترکیب کرده است. اما برخی از قابلیتهای ارکستراسیون و اتوماسیون در فناوریهای امنیتی دیگر مانند EDR نیز وجود دارد. لذا این نوع از SOAR که همه قابلیتهای گفته شده رادر یک ابزار مجرد ارائه میدهد، محصول محور نامیده میشود. SOAR گسترده: «رویکرد بهترین ابزار(Best-of-breed approach)» یا «بهترین ابزار در دسته» به معنی استفاده از بهترین و کارآمدترین ابزارها یا راهکارهای موجود در هر دستهای از فناوری یا صنعت است. به طور معمول، «رویکرد بهترین ابزار» به این معناست که به جای استفاده از یک راهکار یکپارچه از ابزارهای یک فروشنده، بهتر است از مجموعهای از بهترین ابزارها و راهکارهای موجود در بازار استفاده شود، حتی اگر این ابزارها از فروشندگان مختلف باشند. بدین ترتیب سازمان میتواند بر اساس نیازهای خاص خود، بهترین گزینه را انتخاب کند و آنها را با یکدیگر یا با سایر سیستمها و ابزارها ادغام کنند تا یک اکوسیستم امن و کارآمد بسازند. از این رو، اکثر تیمهای امنیتی در سازمان و همچنین درMSSP نیازمند SOAR گسترده هستند زیرا از مجموعه متنوعی از ابزارهای امنیتی استفاده میکنند. SOAR گسترده اتوماسیون و ارکستراسیون بین صدها ابزار مختلف برقرار کرده و انعطافپذیری و یکپارچگی فراهم میکند. حتی به شرکتهایی که به تعداد کمی از فروشندگان وابسته هستند، نیز توصیه میشود که پلتفرم SOAR گسترده را انتخاب کنند، زیرا این امکان را به آنها میدهد که ابزارهای مختلف را به آسانی به یکدیگر متصل کنند. Next-Gen SOAR: نوع پیشرفتهتری از SOAR گسترده است که سعی در برطرف کردن نواقص مشاهده شده در پلتفرم قبلی دارد. این نوع از SOAR، مشکلاتی مانند وابستگی به اتصالات و یا کدنویسی پیچیده برای ایجاد و استقرار پلیبوک در SOAR را حل میکند. همچین امکاناتی مانند اتصال به ابزار سازنده یا سفارشیسازی از طریق رابطهای برنامه نویسی REST را فراهم میکند. به علاوه، ممکن است فروشندگان قابلیتهای ویژه دیگری نیز به برنامه بیفزایند؛ به عنوان مثال ابزارهایی که برای اتوماسیون پاسخگویی به رویدادهای امنیتی پیچیده کاربرد دارند. و یا از اطلاعات MITRE ATT&CK برای تجزیه و تحلیل، واکنش و جستجوی پیشرفته استفاده میکند.
امنیت عامل انسانی – قسمت اول ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی مقدمه امنیت سایبری در محیطهای سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با همگرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این معنی است که سازمانها، شرکتها، صنایع و کارخانههای صنعتی از برقراری امنیت پایدار اطلاعات صنعتی خود استقبال میکنند. پارادایمهای اینترنت اشیا (IIoT) به زیرساختهای فناوری اطلاعات، استانداردها و فناوریهای باز و اینترنت متکی هستند. بنابراین این پلتفرمها در محیط های صنعتی در معرض تهدیدات سایبری، آسیبپذیری ها و حملات در سیستمهای ICS (سیستمهای صنعتی خودکار) کنترل، نظارت و مدیریت فرآیندهای صنعتی قرار دارند. عملکردهای اساسی یک ICS عبارتند از: عملیات اندازهگیری توسط سنسورها کنترل سختافزاری برای محرکها (فشارشکنها، سوئیچ و…) رابط انسان و ماشین (HMI) ابزارهای تشخیص و کنترل از راه دور و تعمیر و نگهداری ICS مدرن و روندهای توسعه آن، سودآوری تجاری و عملیاتی با کیفیت را در صنعت ممکن میسازد و در مقابل مجموعهای اجتنابناپذیر از حساسیتهای امنیتی را نیز به وجود می آورد که قابلیت امنیت و اطمینان از عملکرد صحیح عملیات را تهدید میکند. در حوزه صنعتی طی سالهای گذشته، افزایش تهدیدهای امنیتی سایبری در حوزه صنعتی باعث به همریختگی تمرکز صنعتگران و نگرانیهایی در این بخش گردیده است. تهدیدات و حملات علیه ICS در سطح جهانی، چشمانداز حمله علیه ICSE ها با الگوریتمهای هوشمند، امنیت سایبری صنعتی، امنیت SCADA و غیره، کلمات مهیجی هستند که اخیرا به موضوعات رایج گفتگو در میان کاربران روزمره فناوریهای صنعتی تبدیل شدهاند. الزامات و اولویت بندی تهدیدات امنیتی سایبری در شبکه صنعتی برخلاف فناوری اطلاعات و در اکثر موارد امنیتی ICS دارای خطرات جبران ناپذیری هستند و پیامدها و اثرات فیزیکی مرتبط با آنها اغلب شدیدتر و ناگهانیتر از حوزه فناوری اطلاعات هستند. مسائل و مشکلات امنیتی در محیط ICS اغلب به شکل خرابی های تعمیر و نگهداری معمول و سایر ناهنجاریهای فرآیند ظاهر میشوند که تشخیص و حل مسائل را دشوار میکند. دلایل اصلی دشواری مدیریت امنیت ICSE شامل موارد زیر هستند: داراییهای پراکنده و بسیار زیاد الزامات دسترسی از راه دور اجباری و مکرر فناوری کنترل و ناوبری سنتی برنامههای نامناسب امنیتی مانند آنتی ویروسها و فایروالها که در صورت به وجود آمدن مشکل امنیت سایبری، این مشکل می تواند در دسترس بودن سیستم را تحت تاثیر قرار دهد که برای ICS به عنوان یک سیستم در دسترسپذیری بالا قابل قبول نیست. عدم امکان ارتقاء ICSهای قدیمیتر به دلیل باز نبودن و عدم دسترسی به سورسهای نرمافزارهای صنعتی. توجه به هوشمندی امنیتی نیروی انسانی یکی از شگردهای دشمنان برای دسترسی به اهداف خرابکاریهای سایبری در سطح صنعت، سوءاستفاده از پرسنل ناآگاه و غیرماهر و فریب آنها برای انجام عملیاتهای خرابکاری میباشد. همچنین اپراتورها و کاربران سیستمهای ICS بیاطلاع و آموزش ندیده، به راحتی به انجام اقدامات و فعالیتهایی میپردازند که میتواند به مهاجمان برای دسترسی آسان به ظرفیتهای اطلاعاتی مهم برای اجرای مقاصد مخرب خود کمک کند و اینگونه رخدادها اغلب تا زمانی که آسیب ها و ناهنجاریهای جدی ظهور نکنند، توسط سیستمهای هشدار امنیتی نیز قابل شناسایی نیستند. تشدید حملات سایبری، نگرانی سازمانها برای نحوه واکنش به رخدادهای امنیتی که صنعت را مورد تهدید قرار می دهند بسیار زیاد کرده است. با توجه به رقابتهای شدید فعلی در ارتباط تجاری و عملیاتی در صنایع، تهدیدهای سایبری در صنعت، میتواند برای اعتبار و ارتباطات تجاری هم مشکل آفرین باشد و سوءاستفاده و بهره برداری از عامل انسانی می تواند راه حل موثری برای نفوذهای سایبری صنعتی باشد. در واقع عدم دانش و مهارت های فنی و امنیتی عناصر انسانی، می تواند دسترسی به داراییهای صنعتی و حیاتی امنیتی سایبری را به یک هدف اصلی برای سودجویان تبدیل کند. عملکردهای صنعتی بدون وقفه و در یک محیط پویا در حال تغییر هستند و امنیت سایبری در اینگونه محیطها می تواند الزامی باشد. برای تعریف امنیت سایبری می توانیم به متن زیر اشاره کنیم: «قابلیت هماهنگی افراد، فرآیندها و فناوریها برای ایمن سازی و کنترل دسترسی غیرقانونی، اختلال، تخریب یا اصلاح سیستم های محاسباتی الکترونیکی (سخت افزار، نرم افزار و شبکهها)، دادهها و اطلاعاتی که در اختیار دارند را امنیت سایبری در نظر می گیریم» با این حال، اکثر راه حل های امنیتی موقتی هستند و الزامی است که به صورت مستمر مورد بازبینی و ارزیابی قرار گیرند. نرم افزارهای امنیتی تنها کسری از مشکلات امنیت سایبری را حل می کنند، افراد (نیروی کار) که نرم افزار را توسعه و (یا) راه اندازی و به کارگیری می کنند، و فرآیند(های) طراحی و ساختار یافته برای استفاده از آن تعریف می نمایند می توانند نقش موثری در برقراری امنیت سایبری داشته باشند. به عنوان مثال، فرض کنید آقای اکبری یک مهندس فرآیند است که دارایی ایستگاه کاری مهندسی یک ICS را اداره و از فناوری آن استفاده می کند. فایروال “A” و فناوری “B” سیستم تشخیص نفوذ (IDS) برای محافظت از ایستگاه کاری او در برابر خطرات امنیتی هستند. با فرض اینکه آقای اکبری بیاطلاع است و قادر به تشخیص اَشکال و امضاهای مختلف طرح های حمله مهندسی اجتماعی نیست، علی به عنوان یک مهاجم باهوش و با نقشه از پیش تعیین شده، از یک ابزار فریبنده “نیزه فیشینگ” استفاده می کند که برای آقای اکبری ناشناخته است. و از این طریق او را فریب می دهد تا روی پیوندها یا پیوست هایی بر روی ایستگاه کاری او کلیک کند که به معنای واقعی کلمه، یک درب پشتی (نقطه ورودی) را فعال میکند. لذا به سیستم و شبکه آقای اکبری از طریق یک دسترسی مستقیم از راه دور با وجود قابلیت های ویژه امنیتی سخت افزاری و نرم افزاری فایروال”A” و فناوری”B” و از طریق سوءاستفاده از ناآگاهی امنیتی آقای اکبری، نفوذ می شود. سناریوی نظری بالا اهمیت عوامل انسانی در تضمین امنیت سایبری ICSE را برجسته می کند، به ویژه با تاکید بر اهمیت دانش امنیتی (آگاهی) و مهارت های عملی پرسنلی که در فرآیندهای صنعتی مشغول هستند. تاکید می کنیم که عامل انسانی به همان اندازه مهم است که دستگاه ها و فناوری های فنی در امنیت ICSE ، و سناریوهای واقعی نیز این دیدگاه را تثبیت میکنند. احتمالاً عوامل حمله استاکسنت در سال 2013 چالش نفوذ به شبکه نیروگاه هستهای ایران را داشته است، زیرا شبکه دارای ویژگی های مربوط به نفوذ سخت افزاری از بیرون از نیروگاه نبوده است. بنابراین، مهاجمان از تکنیک حمله از
مدیریت ریسک مدیریت ریسک مستمر برای دستیابی به اهداف تجاری در سازمانها امری غیر قابل اجتناب است. ریسکهای موجود میتواند شامل ریسک مالی، خطر خرابی تجهیزات و خطر ایمنی پرسنل و … باشد. سازمانها باید فرآیندهایی را برای ارزیابی ریسکهای
