کمیته رکن چهارم – امروزه سازمانها همواره در حال نصب ابزارها و سرویسهای امنیتی جدید برای مقابله با تهدیدات و رفع نیازهای خودشان هستند. یکی از دغدغههای مهمی که در این زمینه وجود دارد یکپارچهسازی ابزارهای امنیتی و شیوه ادغام این محصولات متنوع در زیرساخت فعلی برای پشتیبانی از یک استراتژی امنیتی جامع است. در حال حاضر نیز بسیاری از شرکتهای ارایهدهنده در زمینه یکپارچه سازی ابزارهای امنیتی فعال بوده و مجموعهای ترکیبی از ابزارهای امنیتی را ارایه میدهند.
چالشهای اصلی یکپارچهسازی ابزارهای امنیتی
حرکت به سمت راهکارهای ابری باعث شده که عملیات ادغام و یکپارچهسازیهای امنیتی چندان کار سختی نباشد ولی همچنان انجام چنین فرایندی برای سازمانهایی که در پی حفاظت از خودشان در برابر مخاطرات امنیتی هستند سخت و چالش برانگیز است. در این مطلب یکسری از مشکلات و چالشهایی را که در مسیر ادغام و یکپارچهسازی ابزارهای امنیتی وجود دارند مورد بررسی قرار میدهیم.
۱. تنوع بسیار زیاد ابزارهای امنیتی
نصب محصولات و سرویسهای امنیتی متنوع و بسیار زیاد از جمله مشکلات رایجی است که در زمینه یکپارچهسازی ابزارهای امنیتی وجود دارد. بنا به گفته Chris Meenan معاون مدیریت محصولات بخش امنیت شرکت آیبیام (IBM): «حجم انبوه ابزارهای امنیتی گسسته و عدم قابلیت تعاملپذیری بومی در بین آنها یکی از مهمترین چالشهای پیش روی عملیات امنیتی امروزی است». هر ابزار امنیتی جدید باید با مجموعهای از ابزارهای دیگر ادغام شود. به این ترتیب تعداد بیشماری محصولات امنیتی مختلف که نتیجه ادغام یکسری ابزارهای متنوع هستند به وجود آمده و تعداد این محصولات نیز با سرعت چشمگیری رو به افزایش است. واضح است که عملکرد صحیح هر محصول به صورت جداگانه در گرو یک مدیریت حرفهای و کارآمد میباشد و در غیر این صورت محصول مدنظر کارایی چندان زیادی ندارد.
Kelly Bissell مدیر جهانی شرکت Accenture Security میگوید: «امروزه هزاران ابزار امنیت سایبری در بازار وجود دارند که هر یک از آنها دارای امکانات و قابلیتهای متنوع بسیار زیادی هستند. به این ترتیب مدیران امنیتی با چالشهای بیشماری برای مدیریت هر یک از این محصولات مواجه میشوند».
چنین شرایطی منجر به تشکیل زیرساختی متشکل از ۵۰ یا حتی ۱۰۰ ابزار امنیتی مختلف شده است. بنا به گفته Bissell: « این ابزارهای امنیتی مثل سنگریزه در هم میغلتند». او میگوید: «اضافه نمودن ابزارهای امنیتی جدید به زیرساخت یک سازمان و عدم امکان برقراری ارتباط بین این ابزارها با سایر محصولات و برنامههای امنیتی موجود، دستیابی به یک چشمانداز جامع از تهدیدات سایبری و مخاطرات امنیتی را غیرممکن میسازد».
Bissell میگوید: «سازمانها باید خانه تکانی کرده و فقط یکسری از ابزارهای امنیت سایبری کارآمد را نگه دارند. همچنین در راستای کاهش محصولات امنیتی که کارایی چندانی ندارند، صرف بودجه برای فراهم نمودنشان و در نهایت کاهش چالشهای اصلی یکپارچهسازی ابزارهای امنیتی شرکتها باید فقط چند فروشنده اصلی و مهم را انتخاب کرده و روابطشان را با این فروشندگان تقویت کنند. این اقدام سازمانها منجر به صرفهجویی در هزینههای کسب مجوز نیز میشود».
۲. عدم قابلیت تعاملپذیری در بین ابزارهای امنیتی
امروزه بسیاری از ابزارهای امنیتی از زبانهای تبادل داده و رابطهای کاربری اختصاصی استفاده میکنند. اگرچه این ابزارهای معمولاً API اختصاصی خودشان را دارند ولی Meenan میگوید: «این APIها لزوماً بر اساس استانداردهای یکسانی طراحی نشدهاند. در نتیجه برای ادغام محصول A با محصول B همچنان نیاز به کدنویسیهای اختصاصی وجود دارد. همچنین زبان تبادل داده، استانداردسازی نشده است».
در بین جامعه امنیت سایبری تلاشهایی برای رسیدگی به این مسئله در دست است. Meenan میگوید: «امکان حل این مشکل با استفاده از مدلهای دادهای مشترک، استانداردهای باز یا Open Standards (نوعی استاندارد که در دسترس عموم قرار دارد) و ابزارهای متن باز یا Open Source (کد منبع که در دسترس کاربران قرار میگیرد) و بکارگیری آنها در مجموعه ابزارهای مختلف وجود دارد. تیمهای امنیت سایبری میتوانند با استفاده از مدلهای دادهای و APIهای مشترک، به راحتی یک ابزار را با ابزاری دیگر جایگزین کنند. به این ترتیب امکان اضافه کردن ابزارهای جدید و یکپارچهسازی ابزارهای امنیتی به راحتی وجود داشته و وابستگی به فروشنده نیز کمتر میشود».
برای مثال اتحادیه امنیت سایبری آزاد با هدف استفاده از استانداردهای باز و متن باز برای ارتقای تعاملپذیری امنیتی و کاهش چالشهای یکپارچهسازی ابزارهای امنیتی تشکیل شده است. این اتحادیه شامل بخشهای مختلفی مثل فروشندگان، مشتریان و سازمانهای غیردولتی است که به صورت آزاد مدیریت میشوند.
بر اساس گفتههای Meenan: «سازمانهایی مثل اتحادیه امنیت سایبری آزاد در پی گردآوری بازیگران جامعه امنیت سایبری هستند. آنها خواهان توسعه، بازبینی و همچنین دریافت بازخورد از جامعه جهت تعریف این استانداردها به روشی شفاف میباشند. توصیه میکنم که سازمانها در اسرع وقت نرمافزارهایی را در کسبوکارشان بکار بگیرند که بر اساس استانداردها و ابزارهای متن باز طراحی شده و بار کلی ناشی از ادغام و یکپارچهسازیهای ابزارهای امنیتی را کاهش دهند و همچنین در آینده نیز قابل استفاده باشند».
۳. نقص عملکرد
ابزارهای امنیتی برای اجرای کار باید به سیستمها یا ترافیک خاصی از شبکه دسترسی داشته باشند. از طرفی ممکن است اضافه کردن ابزارهای جدید منجر به نقص عملکرد ابزارهای موجود شود. Eric Cole بنیانگذار و مدیرعامل شرکت مشاوره امنیت سایبری Secure Anchor Consulting میگوید: «براساس دیدگاه پیشفرض عملیات نصب ابزارهای جدید معمولاً باعث ایجاد تغییراتی مثل حذف یا بارگذاری فایلها، درایورها و کلیدهای رجیستری میشود در حالی که ابزارهای موجود از چنین قابلیتهایی بهره میگیرند. این چالش در ابزارهای امنیت نقاط پایانی یا ابزارهایی که باید به صورت مستقیم بر روی یک سیستم نصب شوند بسیار رایج است».
بنا به گفته Cole: «ایجاد چنین شرایطی برای لوازم یا دستگاههای شبکه چندان مشکلآفرین نیست. سازمانها از یک مجموعه یا یک ابزار واحد برای ابزارهای مبتنی بر سرور یا میزبانی که باید به صورت محلی نصب شوند استفاده نموده و به این ترتیب آلودگی بین محصولی را به حداقل میرسانند».
۴. عدم نظارت کامل بر شبکه
ابزارهای امنیتی جدید معمولاً متمرکز بر ایجاد مدلهای رفتارهایی هستند تا رفتار و ترافیک شبکه را درک نموده و با استفاده از این اطلاعات فعالیتهای غیرعادی را تشخیص دهند.
بر اساس گفتههای Cole: «کارایی چنین مدلهایی در گرو بررسی و تحلیل کل ترافیک شبکه است و در غیر این صورت عملکرد چندان قابل قبولی نخواهند داشت. این مسأله معمولاً مشکلات متعددی را برای لوازم و دستگاههای شبکه به وجود میآورد. اگر یک دستگاه شبکه جدید در مقابل فناوریهای فعلی نصب شود، ممکن است ترافیک را مسدود نموده و قابلیت نظارت بر روی سیستمهای موجود را محدود کند. از طرفی اگر دستگاه جدید پشت دستگاههای موجود نصب شود، اطلاعات محدودی خواهد داشت و کارایی لازم را هم ندارد».
یک راهکار کارآمد پیادهسازی ابزارهای شبکه به ازای هر شبکه مجازی یا هر بخش از شبکه است. به این ترتیب یک ابزار خاص نظارت کاملی بر روی بخشی از شبکه که از آن حفاظت میکند، دارد.
۵. افزایش هشدارهای کاذب
ابزارهای امنیتی جدید معمولاً با هدف قابلیت تشخیص حملات، ارایه شده و تمرکز چندانی بر روی ارایه اطلاعات دقیق ندارند.
Cole میگوید: «یکپارچهسازی ابزارهای امنیتی جدید و استفاده بیش از حد از آنها منجر به افزایش نصب تعداد هشدارها و تشخیصهای کاذب میشود. سازمانها باید از یک سیستم مدیریت رویداد و حوادث امنیتی استفاده نموده و در بین دادههای منابع مختلف ارتباط برقرار کنند. همچنین باید بر روی فعالیتهایی که منجر به ایجاد هشدار در چندین ابزار مختلف میشوند تمرکز کنند».
۶. انتظارات کاذب
Brian Wrozek مدیر ارشد امنیت اطلاعات شرکت امنیتی Optiv میگوید: «فروشندگان ابزارهای امنیتی معمولاً خواهان بزرگنمایی قابلیتهای محصولاتشان بوده و هیچ اشارهای به پیش شرطهای مورد نیاز برای دستیابی محصول به خروجی مطلوب ندارند. این مسئله باعث میشود که تیمها یا مدیران امنیت انتظاراتی برای کاربران سازمانیشان ایجاد کنند که قادر به برآورده کردن آنها نیستند».
بنا به گفته Wrozek: «مدیران کسبوکارها با برنامههای کاربردی مربوط به کسبوکار و نرمافزارهای امنیتی آشنایی داشته و میدانند که نرمافزاری مثل Zoom یا Salesforce چه امکاناتی را در اختیارشان قرار میدهند در حالی که اطلاعات چندان زیادی درباره ابزاری مثل کارگزار امنیت دسترسی به ابر ندارند. بنابراین باید علاوه بر مزایا، محدودیتهای راهکار مدنظر هم شرح داده شود».
۷. فقدان مهارت
همه مدیران امنیت سایبری در جریان هستند که خلأ مهارت و نیروی تخصصی تا چه حد میتواند برای سازمانها مشکلآفرین باشد. از طرفی کلیه حوزههای امنیت سایبری معمولاً با مشکلات و چالشهای ناشی از افزایش حجم تقاضا مواجه هستند. این چالشها شامل مشکلات مربوط به عدم دسترسی به مهارتهای مورد نیاز جهت ادغام و یکپارچهسازی سرویسها و ابزارهای امنیتی مختلف هم میشود.
بنا به گفته Bissell: «متأسفانه تعداد کارمندانی که آموزشهای کاربردی برای مدیریت ادغام ابزارهای امنیتی را فرا گرفته و توانایی تعیین اقدامات لازم را داشته باشند یک مشکل مهم محسوب میشود. همچنین هرچقدر که ابزارهای بیشتری داشته باشید باید تخصص و زمان بیشتری را نیز صرف کنید. این مسأله منجر به تخلیه شدید منابع میگردد».
منبع : فراست
