براساس آخرین خبرهای منتشر شده، AWS و Splunk، ابزارهایی را با هدف ایجاد استانداردی باز برای دریافت و تجزیه و تحلیل دادهها ایجاد خواهند کرد که تیمهای امنیتی سازمانها را قادر خواهد ساخت تا به صورتی سریعتر به تهدیدات سایبری پاسخ دهند.
17 شرکت از حاضرین در نمایشگاه Black Hat USA 2022 که در زمینه امنیت سایبری و فناوری فعالیت میکنند، این هفته از پروژهای تحت عنوان Open Cybersecurity Schema Framework که در آینده با نام OCSF شناخته خواهد شد، رونمایی کردند که از الگو ICD توسعه داده شده توسط Symantec به عنوان پایهای برای استاندارد vendor-agnostic استفاده میکند.
OCSF زمانی انجام خواهد شد که سازمانها با گسترش سریع سطوح مختلف حمله سایبری مواجه شده باشند، چرا که محیطهای مربوط به فناوری اطلاعات آنها به صورت فزایندهای غیرمتمرکز است و از مراکز داده اصلی تا فضای ابری و حتی لبه خروجی اطلاعات از شرکت امتداد دارد. به موازات این موضوع، تعداد و پیچیدگی حملات سایبری که آنها با آن روبهرو هستند هم به سرعت در حال افزایش است.
یکی از مقامات شرکت فعال در زمینه امنیت سایبری Trend Micro، یکی از اولیه اعضای OCSF، در یک پست وبلاگی نوشت:
رهبران شرکتهای امنیتی در دنیای امروز با تعداد بسیار زیادی از هکرهای سریع، مصمم و متنوع روبهرو هستند. از اصلیترین هکرها میتوان به نمونههای فراوان وابسته به دولتها و همچنین باجافزار به عنوان سرویس یا همان RaaS اشاره کرد. این هکرها تاکتیکها، تکنیکها و رویههای بسیار عجیبی را در مقیاسی بیسابقه به کار میبرند تا به هدف خود برسند.
براساس آمارهای منتشر شده از سوی Trend Micro، این شرکت توانسته تا در سال 2021 بیش از 94 میلیارد حمله سایبری را مسدود کند که افزایشی 42 درصدی را در مقایسه با سال قبلش نشان میدهد. همچنین، 43 درصد از سازمانهایی که در نظرسنجی Trend Micro شرکت کردهاند، گفتهاند که سطح حملات انجام شده دیجیتالی به آنها از کنترل خارج شده است.
تعدادی از شرکتهای فعال در زمینه امنیت سایبری با ایجاد پلتفرمهایی که مدیریت سطح حمله، پیشگیری از تهدید و شناسایی و پاسخ را با هم ترکیب میکند، سعی کردهاند تا پاسخدهی شرکتها به حملات سایبری را آسانتر و سریعتر کنند. آنها در طول توسعه محصولات خود تلاش میکنند تا فرایند گفته شده را به صورتی سادهتر ارائه دهند، شکافهای امنیتی را از بین ببرند و هزینهها را به کمترین شکل ممکن برسانند.
با توجه به تمام موارد گفته شده در مورد محصولات مربوط به امنیت سایبری، هنوز در دنیای امروزی شاهد انجام حملاتی هستیم که از اصلیترین عوامل فلجکننده شرکتها خواهد بود. در واقع، میتوانیم بگوییم که این هر کدام از این پلتفرمها در زمینهای خاص عملکرد خوبی دارند و نمیتوانیم از آنها برای همه مقاصد استفاده کنیم.
از طرفی دیگر هم این امکان وجود دارد تا ارائهدهندگان چنین خدماتی از فرمتهای دادههای متفاوتی در محصولات خود استفاده کنند، به این معنی که انتقال مجموعهای از دادهها از محصولی از یک شرکت به محصولی از یک شرکت دیگر، اغلب نیازمند کار زمانبر تغییر قالب دادهها خواهد بود.
Trend Micro سپس ادامه داد:
متاسفانه، عادیسازی و یکسانسازی دادهها از ابزارهای متفاوت فرایندی زمانبر و همراهبا هزینه زیاد خواهد بود. این کار میتواند واکنش به تهدیدات مختلف انجام شده را کند کند و تحلیلگرانی را که باید روی وظایف با ارزش بالاتر خود کار کنند را به هم پیوند میزند. با این حال، میتوانیم بگوییم که این یکسانسازی به هزینهای پذیرفته شده برای امنیت سایبری تبدیل شده است. تصور کنید که اگر راهی برای رهایی تیمها از این بار عملیاتی پیدا کنیم؛ چقدر میتواند به آنها کمک کند؟
دن شوفیلد، مدیر برنامه برای مشارکتهای فناوری در قسمت امنیتی شرکت IBM که یکی دیگر از اعضای OCSF است، نوشت که فقدان استانداردهای مربوط به صنعت امنیتی سایبری که به صورتی عمومی در دسترس همه قرار داشته باشد، وجود دارد. او سپس ادامه داده که شرکتها میتوانند از این استانداردها برای انجام کارهایی مانند گزارشگیری استفاده و چالشهای پیشروی مربوط به مهندسی تشخیص، شکار تهدید و تجزییه و تحلیل دادهها را برطرف کنند.
مارک رایلند، مدیر دفتر سیسکو در AWS، در پستی وبلاگی نوشت:
سازمانها گفتهاند که قابلیت همکاری و عادیسازی دادههای در بین محصولات امنیتی کاری بسیار دشوار است و تیمهای امنیتی را مجبور میکند تا دادهها را در چندین محصول از فروشندگان مختلف در قالبی اختصاصی مرتبط و یکسان کنند.
او سپس در مورد طرح OCSF گفت:
این استاندارد میتواند دریافت و مرتبط کردن دادههای گزارشات امنیتی از منابع مختلف برای تیمهای امنیتی را آسانتر کند و امکان تشخیص دقیقتر و پاسخدهی سریعتر به چالشهای امنیتی را فراهم آورد. اگرچه ما به عنوان یک صنعت نمیتوانیم رفتار افراد سودجو را کنترل کنیم، اما میتوانیم دفاع جمعی خودمان را با آسانتر کردن کار تیمهای امنیتی در انجام کارآمدتر وظایف خود بهبود ببخشیم.
AWS با سایر اعضای این پروژه در ارتباط بوده و کار کرده است تا مشخصات ابزارهایی را ایجاد کند که در دسترس فروشندگان و شرکا فعال در زمینه امنیت سایبری آنها و همچنین شرکتها و سایر سازمانها قرار دارد. این غول دنیای فناوریهای ابری در زمینه استانداردسازی، مهندسی، آموزش و پشتیبانی هم راهنماییهایی را ارائه میکند تا شرکتها مسیری هموارتر را در راه رسیدن به اهداف خود داشته باشند.
تبادل یکپارچه دفاع سایبری یا همان ICD ارائه شده توسط Symantec به عنوان زیرمجموعهای از شرکت Broadcom، برای عادهسازی دادههای ورودی برای الگو ICD این شرکت استفاده میشود که ویژگیها و اشیا را در انواع مختلفی از حملات سایبری سازماندهی میکند.
Trend Micro ابتکار OCSF را برتر از سایر چارچوبهای مبتنیبر امنیت، مانند MITRE ATT&CK برای طبقهبندی تاکتیکها و STIX/TAXII برای اطلاعات تهدید میداند. فروشندگان پلتفرمهای مقابله با حملات سایبری در طول سالهای اخیر با یکدیگر، شرکتها و دولتهای مختلف در زمینههایی، از جمله اشتراکگذاری اطلاعات برای مقابله با تهدیدات مربوط به امنیت سایبری همکاری کردهاند. البته، هنوز مسیر بسیار طولانی را برای رسیدن به حد مطلوب پیش رو دارند و برای رسیدن به آن باید کارهای بسیار زیاد دیگری را انجام دهند.
شرکت تحلیلی ESG در گزارش امنیت سایبری خود که در ماه گذشته منتشر شده بود، گفت که 77 درصد از پاسخدهندگان به نظرسنجیهای مختلف، مایل هستند که همکاری بیشتری بین شرکتهای فروشنده پلتفرمهای امنیت سایبری برای توسعه استانداردهای باز وجود داشته باشد. البته 85 درصد از شرکتکنندگان در این نظرسنجی هم گفتهاند که توانایی یک محصول برای ادغام با سایر محصولات اهمیت بسیار زیادی دارد و شرکتها باید روی آن تمرکز ویژهای کنند.
پل آگبابیان، مهندس ارشد و معاون استراتژی فناوری واحد تجاری امنیتی Splunk نوشت:
به خوبی درک شده است که دادهها رگ حیاتی مراکز عملیات امنیتی هستند، اما اغلب این دادهها باید دستکاری و عادیسازی شوند تا به شکلی در آیند که تیمها و ابزارهای آنها بتوانند از این اطلاعات استفاده کنند. بسیاری از فعالین این صنعت حمایت خود را از عادیسازی دادهها اعلام کردهاند و تمایل دارند که هر چه زودتر این اتفاق بیفتد.