كيف تساعد معلومات التهديدات SecOps في منع الأحداث الإلكترونية قبل حدوثها

يخبر CISOs VentureBeat أنهم يتطلعون إلى الحصول على قيمة أكبر من العمليات الأمنية (SecOps) من خلال تحديد التهديدات بدلاً من تحليلها بعد الحدث. يتمثل اتجاه Gartner في أن “هدف SecOps هو خلق فهم استباقي للمخاطر وتمكين الحد من التعرض للتهديدات بالإضافة إلى الكشف عن الأحداث السيبرانية التي تؤثر سلبًا على المؤسسة والاستجابة لها”.

تحتاج فرق SecOps إلى المساعدة للخروج من نهج تفاعلي لتحليل التنبيهات وأحداث التطفل والاختراق و botnet بعد حدوثها. كخطوة أولى لحل هذا التحدي ، تضغط فرق أمان المؤسسة ومسؤولو أمن المعلومات الذين يقودونهم من أجل رؤية أكبر في الوقت الفعلي. بالإضافة إلى ذلك ، فإن دمج مكدس التكنولوجيا ، والتركيز القوي على تقليل التكاليف ، والحاجة إلى الوقوف في مواقع SecOps البعيدة بشكل أسرع من الأنظمة المحلية وبنيتها التحتية التي تسمح بها ، كل ذلك يقود إلى حاجة فرق SecOps إلى استخبارات التهديدات والمزيد من البيانات في الوقت الفعلي.

تحسين عمليات SecOps باستخدام معلومات التهديدات في الوقت الفعلي

لكي تقدم SecOps إمكاناتها ، يجب أن تبدأ بتقليل الإيجابيات الكاذبة ، وتصفية الضوضاء الواردة ، وتوفير معلومات استخباراتية عن التهديدات تؤدي إلى إجراءات الكشف والمعالجة الآلية. باختصار ، تحتاج فرق SecOps إلى موفري معلومات التهديدات لتفسير الحزم الواردة والعمل عليها على الفور ، وإيجاد طرق جديدة للاستفادة من البيانات في الوقت الفعلي. لحسن الحظ ، تم تصميم الجيل التالي من حلول معلومات التهديدات لتوفير تحليلات ما بعد الهجوم ، بما في ذلك رؤية الطب الشرعي عبر جميع الأحداث.

يُعرِّف المعهد الوطني للمعايير والتكنولوجيا (NIST) استخبارات التهديد على أنها “معلومات التهديد التي تم تجميعها أو تحويلها أو تحليلها أو تفسيرها أو إثرائها لتوفير السياق اللازم لعمليات صنع القرار.” يذكر NIST ذكاء التهديدات في معايير NIST SP 1800-21 و NIST SP 800-150 و NIST SP 800-172A.

ومن بين البائعين الرائدين Centripetal ، الذي يعمل حل CleanINTERNET الخاص به على تشغيل ذكاء التهديدات الإلكترونية على نطاق واسع من خلال الجمع بين الحماية الآلية والكشف المتقدم عن التهديدات (ATD) والفرق المخصصة من محللي التهديدات البشرية. تشمل قاعدة عملاء Centripetal الوكالات الحكومية والمؤسسات المالية ومقدمي الرعاية الصحية ومقدمي البنية التحتية الحيوية.

قال ستيفن روجرز ، الرئيس التنفيذي لشركة Centripetal ، “يمكن أن تصبح استخبارات التهديدات ، إذا طبقتها بشكل صحيح ، أداة فعالة للغاية لتحديد من يجب أن يدخل إلى شبكتك ومن لا يجب أن يدخل تلقائيًا ، وبالتالي تمنح المؤسسة تحكمًا قائمًا على المخاطر”.

يوجد اليوم أكثر من 75 بائعًا في سوق استخبارات التهديدات ، بما في ذلك CrowdStrike و Egnyte و Ivanti و Mandiant و Palo Alto Networks و Splunk. يسعى الجميع إلى تعزيز استخبارات التهديدات الخاصة بهم باعتبارها جوهرًا لقدرتهم على المساهمة في احتياجات SecOps لعملائهم.

إن بنية Centripetal جديرة بالملاحظة في استخدامها للذكاء الاصطناعي (AI) وخوارزميات الملكية لتجميع الآلاف من الخلاصات العالمية وتصفيتها وربطها واكتشافها وفرزها وتحليلها على نطاق واسع وسرعة الماكينة. يعمل الذكاء الاصطناعي كتقنية تنسيق في نظامهم الأساسي ، حيث ينسق موجزات معلومات التهديدات وخوارزميات الإنفاذ ويقدم في نفس الوقت تقارير إلى كل من فريق محلل التهديدات الإلكترونية الداخلي في Centripetal وفريق العميل.

تحجيم معلومات التهديد في المؤسسة

اجتمع VentureBeat مؤخرًا بشكل افتراضي مع Chuck Veth ، رئيس CVM، Inc. ، للتعرف على كيفية قيام الشركات بوضع استخبارات التهديدات في العمل وكيف تساعد شركته في توسيع نطاق تطبيقاتها. CVM ، شركة خدمات تكنولوجيا المعلومات مع أكثر من 30 عامًا من الخبرة ، هي الفائز مرتين في Deloitte’s CT Fast 50. تقوم شركة Chuck بتنفيذ ودعم Centripetal وهي موزع رائد لحسابات المؤسسات والحسابات الحكومية. نعرض هنا شرائح مختارة من مقابلة VentureBeat مع تشاك:

VentureBeat: ما هي التحديات التي يواجهها عملاؤك والتي دفعتك إلى الاتصال بـ Centripetal لتكون موزعًا لهم؟

تشاك فيث:التحدي لتعزيز الأمن السيبراني أمر ثابت. علمنا أولاً عن Centripetal من أحد حساباتنا. بعد تقييمها وتقديمها لعملائنا ، أدركنا أن خدمة CleanINTERNET هي طبقة أخيرة ممتازة من الأمان للشبكات العامة. نحن ننظر إليها على أنها بوليصة تأمين ضرورية. عند تشغيل CleanINTERNET ، يتم استخدامه آلاف المرات في الدقيقة “.

VB: مع الحفاظ على تشبيه التأمين ، هل يمكنك التوسع في كيفية رؤيتك للقيمة التي توفرها Centripetal؟

فيث:انها ليست مثل التأمين على السيارات. يمكنك إجراء العمليات الحسابية بسهولة على تأمين حماية الأصول. إنه أشبه بمكون التأمين على السيارة الذي يغطي الضرر الذي يلحق بالركاب ، والذي لا تفكر فيه عادةً عند تقييم التأمين على السيارة. أنت تفكر في سيارتك. لكن الحقيقة هي أن التأمين على السيارات موجود حقًا للناس لأنه لا يمكن الاستغناء عنه. عند التفكير في أمان الشبكة ، فإنك تتعامل معه بشكل أساسي من منظور فحص الحزمة. تعمل خدمة CleanINTERNET من Centripetal من منظور مختلف تمامًا. هو تحديد ما إذا كان عنوان IP البعيد يمثل عامل تهديد ؛ إذا كان كذلك ، فإنه يمنعه. تحتاج إلى استخدام هذا المنظور أيضًا ؛ تكلفة فقدان ممثل التهديد يمكن أن تغلق عملك “.

VB: ما هي بعض الدروس الأكثر قيمة التي تم تعلمها فيما يتعلق بكيفية توفير Centripetal قدرًا أكبر من المعلومات المتعلقة بالتهديدات لعملائك التي تشاركها معهم؟

فيث: تتمثل إحدى النتائج الأكثر إثارة لامتلاك خدمة Centripetal CleanINTERNET في قدرتها على فصل ممثل التهديد عن الفاعل غير المهدد في بعض المسارات الشائعة جدًا على الإنترنت. تنتقل حركة مرور HTTPS على المنفذ 443 و HTTP على المنفذ 80 والبريد الإلكتروني ينتقل عبر المنفذ 25 وما إلى ذلك. منذ سنوات ، عندما كانت بعض الخدمات تعيش في موانئ فريدة نسبيًا ، كان من السهل مراقبتها بحثًا عن هجوم. أصبح الأمر أكثر صعوبة اليوم حيث انتقلت الصناعة إلى عالم يعيش في عدد قليل من المنافذ ، مثل 443 ، باستخدام شهادات SSL.

“على سبيل المثال ، غالبًا ما يلجأ الأفراد على الشبكات الخاصة إلى مواقع الويب الخاصة بخوادم الوكيل العامة لتجنب تصفية الشركات ، مثل حظر التداول اليومي. يتصل المستخدم بخدمة البروكسي ، ويقوم بتوصيل متصفحه بموقع التداول اليومي. كل ما يحتاجه المستخدم هو العثور على خدمة وكيل لا يتم حظرها بواسطة جدار حماية الشركة. غالبًا ما يقوم الفاعلون السيئون بتشغيل خدمات الوكيل هذه حيث يمكنهم تتبع كل تفاصيل النشاط عبر الإنترنت “.

VB: هذا هو خطر استخدام خدمة بروكسي لم يتم التحقق منها لزيارة موقع حجبته شركتك. كيف تساعد معلومات التهديد في تحديد التهديد وحماية البنية التحتية؟

فيث: تبحث Centripetal في عنوان IP وتقول ، “لدي قائمة بالمليارات من عناوين IP التي يُعرف أنها تديرها جهات تهديدات.” إنها طريقة مختلفة للنظر إلى الأشياء. وللقيام بذلك بشكل صحيح ، تقوم شركة Centripetal بجمع معلومات في الوقت الفعلي من مئات ومئات ، بل وحتى الآلاف ، من موجزات معلومات التهديدات. وهذه هي الخلصة السرية لخدمة Centripetal CleanINTERNET. إنهم يقومون بتطبيع البيانات من الآلاف من موجزات معلومات التهديدات في الوقت الفعلي ليقولوا ، ‘مرحبًا ، ظهر هذا الموقع المحدد في ثلاث أو أربع قواعد بيانات استخبارات تهديدات مختلفة. وبالنسبة لنا ، فهذه علامة على أنه يمثل تهديدًا. وهكذا ، سنقوم بحظره “.

VB: ما هو المثال المفضل لديك عن مدى فعالية Centripetal في الكشف عن استراتيجيات هجوم الجهات السيئة المخفية لتجنب الاكتشاف؟

فيث: “ذات يوم ، تلقينا ملاحظة من محلل الأمن Centripetal الخاص بنا ،” … يحاول ممثل التهديد هذا التواصل مع هذا العميل – إنه ممثل تهديد معروف يعمل خارج أوروبا – إنه عنوان IP هذا … “. نحن شركة تكنولوجيا معلومات ، لذلك بحثنا عن عنوان IP ، وكان عنوان IP في منشأة استضافة في نيويورك.

ونحن مثل ، “ماذا؟ لماذا أخبرنا محلل الأمن لدينا أن عنوان IP هذا كان في هذا البلد الأجنبي عندما وجد أحد موظفينا أنه في نيويورك؟ تصفحنا إلى عنوان IP. كانت شركة استضافة في نيويورك لا تأخذ الدفع إلا عن طريق العملة المشفرة ولا تتطلب أي تدقيق لمضيف على خدمتها. لذلك يمكن لأي مضيف الاشتراك في هذه الخدمة بدون مصادقة. لكن جهاز Centripetal عرف أن هذا الموقع ، على الرغم من استضافته في نيويورك ، كان يمثل تهديدًا من دولة أجنبية. لم يتم حظر هذا من خلال التصفية الجغرافية ، لكن خدمة Centripetal كانت قادرة على تحديده وحظره “.

كيف تمكّن ذكاء التهديدات من انعدام الثقة

يتطلب امتلاك معلومات عن التهديدات قيمة مضافة في إطار عمل عدم الثقة تحديد التهديدات وتصنيفها قبل أن تتمكن من الوصول إلى شبكة الشركة. يعد تفسير كل حزمة بيانات ثم تقييم مستوى المخاطر أو الثقة أمرًا ضروريًا – مع الأخذ في الاعتبار جميع موجزات التهديدات العالمية المعروفة والربط بينها في خدمة قابلة للتكيف وقابلة للتخصيص. يعد تحديد التهديدات وتصنيفها قبل وصولها إلى الشبكة أمرًا أساسيًا لمستقبل معلومات التهديد وقدرة SecOps على الترحيل إلى إطار عمل عدم الثقة.

يحتاج استخبارات التهديدات إلى القيام بما يلي لزيادة قيمته لمبادرات انعدام الثقة:

افرض عدم الثقة من خلال فحص كل حزمة من حركة المرور ثنائية الاتجاه

يضع البائعون أهدافًا للخدمة تركز على قدرتهم على حماية مؤسسات عملائهم من جميع الهجمات المعروفة. يتخذ كل من البائعين المتنافسين في استخبارات التهديدات نهجًا مختلفًا.

تحسين الرؤية في الوقت الفعلي باستمرار عبر نطاق التهديدات المعروف

يركز معظم بائعي معلومات التهديدات بشكل أكبر على تحليل البيانات من الأحداث السابقة. أثبت عدد قليل منهم استثنائهم في استخدام خوارزميات التعلم الآلي للنظر في الأنماط التنبؤية في بيانات حركة المرور والهجوم. ما نحتاجه هو نظام استخبارات تهديدات يمكنه تجميع بيانات كل حزمة واردة ، ثم ربط نتائج التحليل بالتهديدات المعروفة. يقارن Centripetal محتويات كل حزمة بجميع مؤشرات التهديد السيبراني المتاحة في الوقت الفعلي ، باستخدام الآلاف من موجزات التهديدات العالمية لدعم خدمتهم الفردية المُدارة بالكامل.

تقليل الإيجابيات الكاذبة والتنبيهات والأحداث غير الدقيقة عن طريق التحقق من كل محاولة وصول قبل دخولها إلى شبكة الشركة

المستأجر الأساسي لعدم الثقة هو افتراض أن الشبكة قد تم اختراقها بالفعل ويجب احتواء المهاجم حتى لا يتمكنوا لاحقًا من الانتقال إلى الأنظمة الأساسية وإلحاق الضرر. يقوم كبار مزودي أنظمة استخبارات التهديدات بتطبيق خوارزميات التعلم الآلي لتقليل الضوضاء الصادرة عن الشبكات الخارجية ، وتصفية البيانات الخارجية للعثور على التهديدات الفعلية. إلى جانب المساهمة في مبادرات عدم الثقة في أي مؤسسة ، فهي تساعد في تقليل العبء على مركز العمليات الأمنية (SOC) في الاضطرار إلى مسح الإيجابيات والتنبيهات الكاذبة.

يجب أن تتحسن عمليات SecOps في تقديم النتائج المدفوعة بالأعمال بناءً على رؤى البيانات في الوقت الفعلي ، وتعلم أن تكون أكثر تكيفًا وأسرع للاستجابة على نطاق واسع. كجزء من الجيل التالي من حلول استخبارات التهديدات ، تدعم شركات مثل Centripetal فرق SecOps من خلال التخصص في توفير معلومات استخباراتية عن التهديدات لتقليل الإيجابيات الكاذبة ، وتصفية الضوضاء الواردة وإطلاق إجراءات الكشف والمعالجة الآلية.