security

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و پاسخگویی امنیتی) به مطالعه بر روی 522 نفر شاغل در زمینه امنیت پرداختیم. هدف ما یافتن چالش های موجود در هر یک از مراحل پاسخ به حادثه، نحوه کمک کردن محصولات…

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و پاسخگویی امنیتی) به مطالعه بر روی 522 نفر شاغل در زمینه امنیت پرداختیم. هدف ما یافتن چالش های موجود در هر یک از مراحل پاسخ به حادثه، نحوه کمک کردن محصولات فعلی برای غلبه بر این چالش ها و کمبودهای محصولات امنیتی امروزه بود.

چرخه پاسخ به حادثه، فرایندی مداوم و گردشی است که از موارد زیر تشکیل می شود:

  • هضم و غنی سازی داده های حادثه
  • مدیریت حادثه
  • تحقیق و بررسی
  • پاسخگویی و اقدامات اجرایی
  • ارزیابی عملکرد

ما برای هر یک از مراحل این چرخه از افراد شرکت کننده سؤال کردیم:

  1. از چه ابزارهایی استفاده کردند؟
  2. چه امکاناتی را در فهرست خواسته های خود قرار می دهند؟

داده ها نشان می دهند درک تیم های امنیتی از قدرت اتوماسیون در حال افزایش است. شرکت کنندگان این تحقیق گرایش محسوسی به پاسخگویی خودکار و هماهنگ به حادثه داشتند. حتی در حوزه هایی که گرایش خاصی وجود نداشت باز هم متخصصین امنیتی نیاز به اتوماسیون و هماهنگ سازی محصولات را اعلام کردند.

در این پست به بررسی یافته های کلیدی این گزارش خواهیم پرداخت.

تیم های امنیتی به دنبال اتوماسیون بیشتری هستند

گرایش مشترک شرکت کنندگان این نظرسنجی، تمایل شدید به اتوماسیون و افزایش آگاهی در مورد نیاز به اتوماسیون در پاسخگویی به حوادث امروزی بود. در ادامه به چند نکته بدست آمده از گزارش می پردازیم:

  • افزایش پلی بوک های خودکار: بیش از 50 درصد از شرکت کنندگان برای اجرای فرایندهای پاسخ به حادثه از پلی بوک های خودکار یا ترکیبی از پلی بوک های خودکار و دستی استفاده می کردند. این یافته ها نشان می دهند گرایش به فرایندهای پاسخگویی خودکار و استانداردی که در محصولات امنیتی به صورت هماهنگ عمل می کنند افزایش یافته است.
  • تیم های امنیتی نیازمند داده های دقیق تری هستند: در مرحله «هضم و غنی سازی داده های حادثه»، 56 درصد از شرکت کنندگان «غنی سازی خودکار داده ها» را در فهرست خواسته های خود قرار داده بودند. «اولویت بندی خودکار هشدارها» و «یکپارچه سازی هشدارها/شاخص ها در محصولات» به ترتیب با 47.8 درصد و 47.5 درصد در رتبه های دوم و سوم خواسته های شرکت کنندگان قرار داشتند. تیم های امنیتی برای داشتن زمان و اطلاعات بیشتر در زمان تصمیم گیری به داده های دقیق تری نیاز دارند.
  • اتوماسیون برای بهینه سازی: حدود 61 درصد از شرکت کنندگان برای بهبود عملیات های امنیتی خود خواهان «توصیه های یادگیری ماشین» بودند، در حالی که فقط 30 درصد از آن ها اعلام کردند این قابلیت از قبل در محصولاتشان قرار دارد. این «ابزارهای کمکی ارزیابی» در صورت اجرای صحیح به تیم های امنیتی زمان بیشتری برای تصمیمات مهمتر می دهند.
  • SOAR در پاسخگویی اهمیت زیادی دارد: حدود 60 درصد از شرکت کنندگان مجبور بودند عملیات های مسدودسازی و بروزرسانی محصولات امنیتی مختلف را به صورت دستی انجام دهند. اما حدود 61 درصد شرکت کنندگانی که از SOAR استفاده می کردند مجبور نبودند محصولات مختلف را به صورت دستی بروزرسانی کنند. ابزارهای SOAR پاسخگویی را به صورت خودکار و استاندارد درمی آورند.

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

چالش های مخفی امنیت

در حال حاضر متأسفانه تیم های امنیتی با چالش کمبود دانش اولیه مواجه اند. افزایش دائمی حجم هشدارها، کمبود مهارت های امنیتی و فرایندهای پراکنده، عملیات های امنیتی را بسیار دشوار کرده اند. در واقع این چالش ها آنقدر در جریان فکری رایج ریشه دار شده اند که صنعت از چالش های دردسرساز دیگر غافل شده است.

در ادامه به چند چالشی می پردازیم که در گزارش به آن ها دست یافتیم:

  • محصولات مجزا و جدا از هم هنوز هم مورد استفاده قرار می گیرند: حدود 50 درصد از شرکت کنندگان برای پاسخ به حوادث از شش یا بیش از شش ابزار امنیتی مجزا استفاده می کنند. پاسخگویی به هشدارها اغلب نیازمند جابجایی میان تب های مختلف، رابط کاربری های متعدد و محصولات مجزاست و در نتیجه زمان از دست می رود، نرخ خطا افزایش می یابد و محیط کار پر از استرس و فشار خواهد شد.
  • امنیت یک کار تیمی است: تیم های امنیتی اغلب برای پاسخگویی به حوادث باید با تیم های آی تی (85 درصد)، تیم های NOC (53 درصد) و تیم های دواپس (39 درصد) کار کنند. هماهنگ سازی این تیم ها می تواند سبب ایجاد اختلال، انحراف فرایند و مستندسازی پراکنده شود.
  • کار در نقش های مختلف: تیم های امنیتی می توانند چندکاره باشند و به سرعت خود را با کارهای پیش رو منطبق می کنند. صرف نظر از پاسخگویی به حوادث، آن ها باید آسیب پذیری ها را مدیریت کنند (71 درصد)، بررسی های پیروی از قوانین را انجام دهند (61 درصد) و امنیت کلود را تحت نظر داشته باشند (41 درصد).

آینده SOAR چگونه خواهد بود؟

  • ابزارهای SOAR همواره در چرخه های پاسخگویی به حوادث وجود خواهند داشت: ابزارهای SOAR از ابزارهای رایجی تشکیل شده اند که در تمام مراحل چرخه عمر مورد استفاده قرار می گیرند (از 28 درصد تا حدود 34 درصد). پیش بینی ما این است هر چه سازمان ها ارزش ابزارهای SOAR را بیشتر درک کنند، این تعداد رو به رشد هم افزایش خواهد یافت.
  • ابزارهای SOAR به تکامل می رسند و راهنمایی بیشتری برای استانداردسازی و کاربر ارائه خواهند کرد: حدود 54 درصد از شرکت کنندگان به نیاز به قالب های پاسخگویی مختص صنعت اشاره کردند و 47 درصد از شرکت کنندگان خواهان این بودند که عرضه کنندگان، پلی بوک های جامعی ارائه دهند. تیم های امنیتی هنگام ارزیابی عرضه کنندگان SOAR اغلب جذب ابزارهایی می شوند که تعادل خوبی را میان محتوای آماده و انعطاف پذیری در ایجاد محتوای سفارشی ایجاد کرده اند.
  • ابزارهای SOAR از ماهیت چندکاره بودن خود برای افزایش دامنه کاربردشان استفاده می کنند: ما قبلاً در مورد این که تیم های امنیتی کارهایی بیش از پاسخگویی به حادثه را انجام می دهند صحبت کردیم. علاوه بر این حدود 62 درصد از شرکت کنندگان اظهار داشتند که قوانین اعلام نفوذ، بر عملیات های روزانه ها تأثیرگذار بودند. چون ابزارهای SOAR از یکپارچه سازی محصولات قابل توسعه، پلی بوک های درگ و دراپ و اتوماسیون API-محور تشکیل شده اند می توانند هم در موقعیت های غیرعادی و هم در پاسخگویی به حوادث امروزی به خوبی عمل کنند.

شاید این مطالب نیز برای شما جالب باشد

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و...

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز