به گفته شرکت تحقیقاتی Cyber Ventures، انتظار میرود هزینه سالانه جرایم سایبری تا پایان سال جاری به بیش از ۸ تریلیون دلار برسد. برای کاهش پیامدهای حملات امنیت سایبری، تیم های امنیت سایبری به طور مستمر روش های خلاقانه ای را برای پاسخگویی و آمادگی ارزیابی و توسعه می دهند. پیشرفتها در نظارت، شناسایی و تجزیه و تحلیل میتواند به عنوان یک ضربکننده نیرو برای بسیاری از خدمههای پرتعداد و اشباع از وظایف که وظیفه حفاظت از نرمافزار و فناوری را بر عهده دارند، عمل کند.
ArcGIS AllSource، نرم افزار اطلاعاتی جدید Esri، تجزیه و تحلیل تحقیقاتی، مکانی و پیوندها را تسهیل می کند. AllSource را می توان در تمام مراحل چرخه اطلاعاتی تهدیدات سایبری، از توسعه درک تهدید و جمع آوری، پردازش و تجزیه و تحلیل داده ها تا انتشار نتایج و جمع آوری بازخورد استفاده کرد. AllSource کاربران را قادر می سازد تا از تجزیه و تحلیل پیشرفته ArcGIS Enterprise به همراه دانش ArcGIS برای شناسایی ناقلان تهدید و استقرار استراتژی های کاهشی استفاده کنند که از زیرساخت سایبری سازمان محافظت می کند.
شش مرحله ای را که تیم های امنیت سایبری معمولاً برای یافتن و مطالعه تاکتیک ها، تکنیک ها و رویه های دشمنان استفاده می کنند، مرور کنید. با استفاده از یک حمله نادیده گرفتن از راست به چپ – که افراد را فریب می دهد تا روی فایل های متنی مخرب کلیک کنند – به عنوان مثال، دریابید که چگونه AllSource به ایجاد استراتژی های دفاعی کمک می کند و با پیچیدگی هر تهدید تکامل می یابد.
- اقدامات مناسب برای انجام را تعیین کنیدهمه ذینفعان در یک سازمان باید بتوانند درک واضح و مشخصی از تأثیرات احتمالی یک مصالحه امنیت سایبری و همچنین نقش آنها در جلوگیری از آن به دست آورند. AllSource می تواند به عنوان نقطه شروعی باشد که از آنجا یک برنامه امنیت سایبری رشد می کند و به تحلیلگران اجازه می دهد تا ابتدا روش های حمله، مهاجمان شناخته شده و زیرساخت های سازمانی را که باید در اولویت قرار گیرند، ثبت کنند.شناسایی مواردی که سازمان باید از آن محافظت کند، مانند شبکه ها، دارایی های فیزیکی، داده های مشتری و اسرار تجاری ضروری است. از آنجا، تیم امنیت سایبری سازمان می تواند یک استراتژی اطلاعاتی تهدید را توسعه و اجرا کند. این تضمین میکند که همه اعضای تیم اولویتهای کلیدی سازمان را درک میکنند و به آنها اجازه میدهد تا در واکنش به حمله یا جلوگیری از آن، دفاعی بسیار پاسخگو داشته باشند.
- جمع آوری داده ها در مورد تهدیدهاهنگامی که تحلیلگران امنیت سایبری فعالیتی را بر اساس یک بردار تهدید خاص تشخیص می دهند – روشی که یک دشمن می تواند به یک شبکه یا سیستم نفوذ کند یا نفوذ کند – آنها می توانند از AllSource برای بررسی تهدید استفاده کنند و مجموعه ای از مراحل را برای کاهش پیشگیرانه یک حمله انجام دهند.در طول یک حمله نادیده گرفتن از راست به چپ، تحلیلگران میتوانند دادهها را به AllSource وارد کنند و با منابعی مانند چارچوب MITER ATT&CK، یک پایگاه دانش در دسترس تاکتیکها و تکنیکهای حمله سایبری، ارتباط برقرار کنند. سپس میتوانند اطلاعات تهدید و دادههای عملیاتی را لایهبندی کنند و از ابزارهای تجزیه و تحلیل پیوند، نمودارها و جدولهای زمانی در AllSource استفاده کنند تا الگوهای حمله را ببینند و بینشی در مورد وضعیت به دست آورند.
- داده های تهدید را پردازش کنیدهنگامی که منابع داده نقشه برداری می شوند و اطلاعات به AllSource جریان می یابد، معمولاً لازم است داده ها برای استفاده در سازمان عادی سازی شوند.به عنوان مثال، مجموعه داده MITER ATT&CK راههای زیادی را برای دسترسی به دادهها ارائه میکند، از جمله بهعنوان فایل نمادگذاری شی جاوا اسکریپت (JSON)، کتابخانه پایتون یا کتاب کار مایکروسافت اکسل. ابزارهای موجود در AllSource به تحلیلگران کمک می کند تا داده ها را آماده و تمیز کنند تا استفاده از آن برای دیگران آسان تر باشد.فرض کنید مجموعه داده MITER ATT&CK به عنوان یک کتاب کار اکسل دانلود شده است. یک تحلیلگر هر برگه را به یک پایگاه جغرافیایی سیار در AllSource وارد می کند تا مطمئن شود که همه انواع فیلدها صحیح هستند و امکان تجربه تحلیلی قوی تری را فراهم می کند. برای مثال، با استفاده از ابزار Convert Time Field، تحلیلگر میتواند بسیاری از انواع فیلدها را به فیلد تاریخ (یا متن یا فیلد عددی) تغییر دهد. این به سازمان داده های تمیز و قابل استفاده MITER ATT&CK را در یک پایگاه جغرافیایی سیار می دهد که می تواند به اشتراک گذاشته شود یا به عنوان یک کپی محلی تنظیم شود.
- تجزیه و تحلیل و ارائه داده هابا دادههایی که برای استفاده آماده شدهاند، تحلیلگران میتوانند از عملکرد تحلیل پیشرفته ارائه شده توسط سایت ArcGIS Knowledge Server که در ArcGIS Enterprise مستقر شده است، استفاده کنند تا درک عمیقتری از بردار تهدید – در این مورد، نادیده گرفتن راست به چپ – به دست آورند.یک تحلیلگر اطلاعات را بیشتر بررسی می کند تا تعداد، سرعت و مکان حملات مشابهی را که هم در سازمان و هم از سازمان های دیگر گزارش شده است در یک دوره مشخص تشخیص دهد. با گسترش نمودار دانش حاصل از مجموعه داده MITER ATT&CK در AllSource، تحلیلگر میتواند تعداد انگشت شماری از سازمانها را که مستعد این نوع حملات هستند شناسایی کند. سپس تحلیلگر می تواند بردارهای تهدید خاصی را مشخص کند و ببیند که موجودیت 1 تمایل دارد از این بردارهای تهدید استفاده کند. اگر تحلیلگر موجودیت 1 را در نمودار دانش انتخاب کند، می تواند ببیند که یک سازمان تروریستی است.از طریق روابطی که در نمودار دانش ایجاد می شود، به نظر می رسد که موجودیت 1 شناخته شده است که از بردارهای تهدید اضافی در حملات خود استفاده می کند. با استفاده از AllSource، تحلیلگر می تواند چنین حملاتی را شناسایی کرده و بهترین گام ها را برای کاهش آنها تعیین کند. با مشاهده اینکه Entity 1 به خوبی با شرح فعالیتهای موجود در مجموعههای اطلاعاتی منبع باز مطابقت دارد، تحلیلگر همچنین میتواند توصیههایی با سطح قابل توجهی از اطمینان در مورد چگونگی کاهش اثرات چنین حملهای و تقویت وضعیت امنیتی سازمان خود ارائه دهد.
- انتشار نتایج تجزیه و تحلیلهنگامی که تمام داده های مربوطه تجزیه و تحلیل شدند، تحلیلگران می توانند گزارش هایی را مستقیماً در AllSource با اقدامات کاهشی توصیه شده ایجاد کنند که راه رو به جلو نشان می دهد. این امر به ذینفعان و تصمیم گیرندگان دامنه کاملی از چشم انداز عملیاتی که تیم امنیت سایبری در آن فعالیت می کند، می دهد.همچنین تحلیلگران می توانند به راحتی اطلاعات مهم را با سایر تحلیلگران به اشتراک بگذارند، مانند خدمات ویژگی، نقشه های وب، طرح بندی ها، گزارش ها و بسته های لایه و پروژه. این به آنها امکان دسترسی به دادههای منبع را میدهد و به هر کسی که در یک تیم یا در شیفتها کار میکند اجازه میدهد تحقیقات خود را انجام دهند و به تلاشهای کاهش تهدید یا پاسخ ادامه دهند. این تیمهای امنیت سایبری را قادر میسازد تا اقدامات کاهشی را انجام دهند و اقدامات بیشتری را برای جلوگیری یا عایقسازی معماری سازمانشان از حملات بعدی انجام دهند.
- دریافت انتقادات و پیشنهاداتتیمهای امنیت سایبری برای اطمینان از اینکه وضعیت امنیتی یک سازمان با یک تهدید مداوم تکامل مییابد و تهدیدهای جدید را در نظر میگیرد، به طور مستمر اثربخشی پاسخهای خود به حملات و همچنین تلاشهای خود را برای جلوگیری از آنها و کاهش شدت آنها در صورت وقوع تجزیه و تحلیل میکنند. در یک جلسه postaction، ذینفعان می توانند از AllSource برای بدست آوردن بینش حیاتی استفاده کنند و مراحل کاهش را بر این اساس تنظیم کنند تا مطمئن شوند که هر گونه الزامات جدید در تاکتیک های دفاعی گرفته شده و فهرست بندی می شود.
حجم انبوه داده هایی که برای پشتیبانی از عملیات اطلاعاتی تهدیدات سایبری در دسترس است، می تواند بسیار زیاد باشد. AllSource به تیمهای امنیت سایبری کمک میکند تا با استخراج اطلاعات دقیق از آن دادهها و آوردن زمینه به فعالیتهای مشکوک، آن دادهها را درک کنند.
نظرات کاربران