اشتراک‌گذاری اطلاعات برای افزایش امنیت

hlkdjکمیته رکن چهارم – جهان امنیت و فناوری تازه شروع به یادگیری این نکته کرده‌است که دیگر نمی‌توان به ایجاد یک شبکه امنیتی پرداخت که دستگاه‌های آن از هم جدا بوده و نمی‌توانند اطلاعات تهدید را به اشتراک گذاشته و در پاسخ به تهدید با همدیگر هماهنگ باشند.

به گزارش کمیته رکن چهارم،اگر می‌خواهیم از تهدیدات سایبری که امروز به‌صورت فزاینده‌ای سازمان‌ها را تهدید می‌کنند جلوتر حرکت کنیم‌ باید به اشتراک‌گذاری داده‌ها اهمیتی خاصی بدهیم. جهان امنیت و فناوری تازه شروع به یادگیری این نکته کرده‌است که دیگر نمی‌توان به ایجاد یک شبکه امنیتی پرداخت که دستگاه‌های آن از هم جدا بوده و نمی‌توانند اطلاعات تهدید را به اشتراک گذاشته و در پاسخ به تهدید با همدیگر هماهنگ باشند. همچنان که شبکه‌ها پیچیده‌تر شده و توسعه‌ بیشتری می‌یابند؛ توانایی حفظ امنیت حجم عظیمی از محموله‌های در حال حرکت در طول شبکه از یک نقطه‌ انتهایی به فضای ابری اهمیتی بیشتر از همیشه یافته‌است.

همین موضوع برای به اشتراک‌گذاری اطلاعات حیاتی میان سازمان‌های مرتبط باهم نیز صدق می‌کند. هرچند قابل درک است که ما یک مقاومت طبیعی برای به اشتراک‌گذاری اطلاعات امنیتی حساس را با سایر سازمان‌ها مشاهده کنیم،‌ اما ارتباط متقابل زیرساخت‌های ما و نقشی حیاتی که آنها هم در بخش خصوصی و هم عمومی بازی می‌کنند این مشکل را مهم‌تر از آن می‌کند که بتوان نادیده گرفته و یا به تأخیر انداخت. البته مشکل بیشتر در چگونگی انجام کار است تا چرایی آن.

تا همین اواخر تلاش‌هایی که برای انتقال اطلاعات میان نهادهای مختلف صورت می‌گرفت با استفاده از روش‌های موقتی پیچیده شده‌بود. خوش‌بختانه، در‌نهایت تعدادی از روش‌های منطقی که به‌خوبی تعریف شده‌بودند، برای تبادل اطلاعات ایجاد شده‌اند. این روش‌ها عبارت‌اند از STIX (تشریح اطلاعات تهدید ساختاری)، TAXII (تبادل خودکار مطمئن اطلاعات شاخص) و این اواخر CybOX (زبان استاندارد برای نمایش مشاهدات سایبری). هرچه بازخوردهای بیشتری به حمایت از این استانداردها می‌پردازند، تلاش‌های لازم برای پشتیبانی از بازخوردهای متعدد ساده‌تر می‌شوند.

درنهایت همه‌ اینها با توجه به تنوع و گستردگی داده‌ها، به‌عنوان یک مشکل تجزیه‌و‌تحلیل ابر داده در نظر گرفته می‌شوند. حتی نشانی‌های IP تنها برای مدت کوتاهی معنادار هستند. فناوری‌هایی نظیر تکرار‌زدایی و ارتباط داده‌ها نیاز دارند تا در یک راه‌حل کلی گنجانده شوند تا حجم وسیع داده‌ها به یک‌میزان مناسب تقلیل پیدا کنند. علاوه‌بر این تبدیل داده‌ها به شکلی که به‌راحتی قابل‌مصرف باشند نیاز به تکنیک‌های جدیدی برای تجسم داده‌ها دارد.

این چالش در مورد حجم داده‌‌ها اخیراً با افزایش در تعداد بسترهایی که مورد حمله قرار می‌گیرند، پیچیده‌تر شده‌است. دستگاه‌های هوشمند همه‌جا هستند و درحالی‌که دارای قدرتی خوب و با اتصالی قوی هستند اغلب به‌خوبی محافظت نمی‌شوند. حتی اگر شما در ردیابی حملات علیه یک یا دو بستر یا سامانه عامل مهارت داشته‌باشید اما درنهایت بعید است که بتوانید هرچه را که می‌تواند به شبکه شما دسترسی داشته‌باشد ردیابی کنید، به‌ویژه که حملات دستگاه‌های اینترنت اشیا به شبکه‌های شرکت‌ها رو به افزایش هستند.

یکی از راه‌های مؤثر در کاهش تعداد اطلاعات بازخوردی که شما به آنها نیاز دارید این است که تشخیص دهید همکار امنیتی و یا شریک سازنده شما چه بازخوردهایی را ارائه می‌کند. درحالی‌که به احتمال زیاد آنها در‌حال‌حاضر اطلاعات زیادی را در یک جریان واحد ارائه‌می‌کنند ممکن است بسیاری از این فعالیت‌های مربوط به این داده‌ها تا آن زمان انجام شده‌باشند و درواقع هزینه‌های اجرای آنها کاهش یافته‌باشد. شما هزینه‌های این کار را از یک نوع هزینه‌ مبتنی‌بر منابع به یک هزینه‌ عملیاتی تبدیل کرده‌اید.

همچنین چندین دامنه از بازخوردهای اطلاعاتی متن‎باز نیز نظیر haliataxil وجود دارند که یک نقطه‌ شروع مناسب به سمت یک بازخورد اطلاعاتی مطمئن هستند و راه خوبی که برای شروع وجود دارد این است که شما درک صحیحی از پیچیدگی‌های کاری داشته باشید که با آن درگیر می‌شوید.

استفاده از این اطلاعات ارائه‌شده به‌وسیله‌ این منابع بازخورد، به شکل قابل‌توجهی پیچیده‌تر از موضوع افزایش تعداد خود بازخوردها است. هنگامی‌که شما به این داده‌ها دسترسی داشته‌باشید؛ چالش بزرگ‌تر این است که چگونه آن‌ها را برای تصمیم‌گیری آگاهانه‌تر و عملی‌تر به‌کار گیرید. تنها تبدیل این داده‌ها به چیزی که مورد بررسی قرار خواهد‌گرفت، ارزش چندانی نخواهد داشت، مگر اینکه شما قادر باشید تا از این اطلاعات تهدید خارجی به نحو مناسبی استفاده کنید.

درحالی‌که یکپارچه‌سازی، مصرف و ارتباط دادن داده‌ها باهم مزایای آشکاری دارد، همواره به خاطر داشته‌باشید که سازمان شما به تغذیه‌‌ این اطلاعات نیز کمک کند. مزایای ملموسی در انجام این کار برای سازمان شما وجود دارد، به‌ویژه با تکامل حملات گسترده‌ای که بر بسترهای خاص به شکل بسیار پیچیده و به‌گونه‌ای چند برداری تمرکز کرده‌اند؛ بنابراین هرچه فضای دید بیشتر باشد (برای مثال با به اشتراک‌گذاری داده‌های تهدید) ما بیشتر قادر خواهیم بود تا این حملات را شناسایی و خنثی کنیم.

برای کمک به این فرایند تعدادی از گروه‌های به اشتراک‌گذاری به‌عنوان ISAC ایجاد شده‌اند. تعداد زیادی از صنایع در این‌گونه گروه‌‌ها عضو هستند: خدمات مالی (FS-ISAC)، تولید انرژی (E-ISAC)، نفت و گاز (ONG-ISAC)، مراقبت‌های بهداشتی (NH-ISAC)، سامانه‌های کنترل صنعتی (ISC-ISAC) و حتی فناوری اطلاعات (IT-ISAC).

فرض کنید که می‌خواهید چیزی را فراتر از به اشتراک‌ گذاشتن بار داده مخرب با سایرین به اشتراک بگذارید. مفیدترین اطلاعاتی که در اینجا می‌توان ارائه کرد رفتارها و فعالیت‌های مخرب است به‌ویژه ارتباط با کارگزارهای کنترل و فرماندهی (C۲C) و … .

هنگامی‌که شما تصمیم گرفتید که این اطلاعات تهدید را جمع‌آوری و منتشر کنید، چگونه آنها را اولویت‌بندی می‌کنید؟ به ارزیابی ورود به سامانه و تجزیه‌و‌تحلیل بسترها بپردازید تا ببینید که آیا می‌توانید آنها را با منابع خارجی به‌اشتراک بگذارید. شما باید ببینید که آیا سامانه شما می‌تواند اطلاعات کاربردی تولید کند و یا اینکه شما باید به‌صورت دستی فعالیت‌های زیادی را برای این کار انجام دهید.

به ‌آرامی شروع کنید تا درک خوبی از مقیاس مسئله داشته‌باشید. روی کاربرد داده‌ها در سازمان‌هایی تمرکز کنید که در حال حاضر داده‌ها را از منابع متعدد یکپارچه می‌کنند.

به استفاده از داده‌ها از سازمان‌هایی بپردازید که خود در مورد تهدیدات تحقیق می‌کنند، به‌ویژه در زمینه حملات روز-صفرم و تهدیدهایی که علیه بسترهای نوظهور نظیر اینترنت اشیا وجود دارند.

به یک ISAC قابل‌اجرا و یا یک جامعه‌ به اشتراک‌گذاری اطلاعات تهدید بپیوندید. شما باید قادر باشید تا از اطلاعات این جامعه‌ اطلاعاتی برای مدیریت عملکردهای خود بهره ببرید.

در نظر بگیرید که شما چگونه می‌توانید به جامعه‌ بزرگ کمک کنید و چه نوع اطلاعاتی را می‌توانید برای آن به اشتراک‌ گذارید.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات