سلام، من محمد قنبری هستم و شما دارید به اپیزود اول پادکست سیم‌باز گوش می‌دید.
این پادکست برای اوناییه که دورهٔSplunk Enterprise Security من رو گذروندن یا در مسیر یادگیریش هستن و همچنین مهندسان SIEM طراحی شده و هدفمان اینه که مفاهیم تاکتیکی، تجربه‌های واقعی، و دیدگاه‌های تحلیلی رو بیرون از فضای کلاس، با زبانی ساده‌تر ادامه بدیم.
بریم شروع کنیم.

امروز می‌خواهیم به یک معمای بزرگ در دنیای امنیت سایبری بپردازیم؛ معمایی که احتمالاً ذهن خیلی از شما را درگیر کرده.

هر روز در اخبار می‌شنویم که یک شرکت بزرگ دیگر هک شده، اطلاعات میلیون‌ها کاربر به سرقت رفته و یک باج‌افزار جدید، زیرساخت‌های حیاتی را فلج کرده. اما نکته عجیب اینجاست: سازمان‌ها در حال سرمایه‌گذاری‌های هنگفت، مبالغی باورنکردنی، روی جدیدترین و پیشرفته‌ترین ابزارهای تشخیص تهدید هستند. با این حال، به نظر می‌رسد قابلیت‌های دفاعی آن‌ها بهتر نشده و حتی تعداد حملات روز به روز در حال افزایش است. این یک پارادوکس گیج‌کننده است.

در این قسمت، می‌خواهیم دلایل ریشه‌ای این شکست مداوم را کشف کنیم و نشان دهیم که چرا مشکل اصلی، آن چیزی نیست که اکثر مردم فکر می‌کنند. پس بیایید ببینیم که چرا اولین واکنش ما به این مشکل، یعنی سرزنش کردن ابزارها، ما را از مسیر اصلی منحرف می‌کند.

وقتی یک حمله بزرگ اتفاق می‌افتد، اولین انگشت اتهام معمولاً به سمت فناوری نشانه می‌رود: «آیا فایروال آن‌ها ضعیف بود؟» یا «از کدام محصول SIEM استفاده می‌کردند؟». این تمرکز بر فناوری به جای عوامل انسانی و فرآیندی، ما را به یک چرخه پرهزینه و بی‌نتیجه از شکست می‌اندازد.

در صنعت امنیت، پدیده‌ای رایج به نام «rip and replace» یا «بِکَن و جایگزین کن» وجود دارد. شرکت‌ها میلیون‌ها دلار صرف خرید یک محصول SIEM می‌کنند—که اساساً سیستم عصبی مرکزی یک تیم امنیتی است و هشدارها را از سراسر شبکه جمع‌آوری و تحلیل می‌کند—اما وقتی به نتایج دلخواه نمی‌رسند، به جای بررسی ریشه‌ای مشکل، آن ابزار را مقصر می‌دانند و هر چند سال یک‌بار آن را با یک محصول جدید و پر زرق و برق‌تر جایگزین می‌کنند. و من از تجربه شخصی خودم در این حوزه می‌توانم به شما بگویم که این فقط یک تئوری نیست؛ من بارها و بارها شاهد تکرار دقیق همین چرخه بوده‌ام. این رویکرد، مشکل اصلی را کاملاً نادیده می‌گیرد: فقدان کارکنان آموزش‌دیده و فرآیندهای کارآمد.

برای یافتن راه‌حل واقعی، باید نگاهمان را فراتر از فناوری ببریم و به داده‌های واقعی که توسط مطالعات گسترده صنعتی ارائه شده‌اند، توجه کنیم. این گزارش‌ها داستان بسیار متفاوتی را برای ما تعریف می‌کنند.

برای حل این معما، ما به شواهد نیاز داریم. من سه مدرک کلیدی را برای شما ارائه خواهم کرد—سه گزارش معتبر صنعتی که وقتی کنار هم قرار می‌گیرند، تصویر کاملی از مشکل را آشکار می‌کنند. تکیه بر این گزارش‌ها بسیار مهم است، زیرا این‌ها که توسط سازمان‌های مختلف و بر اساس داده‌های هزاران شرکت در سراسر جهان تهیه شده‌اند، به ما کمک می‌کنند تا از نظرات شخصی و حکایت‌های فردی فراتر برویم و روندهای مشترک و مشکلات ریشه‌ای را در مقیاس جهانی شناسایی کنیم.

اولین مدرک ما از شرکت معتبر Mandiant و گزارش سالانه آن به نام M-Trends می‌آید. بر اساس این گزارش، متوسط زمان جهانی برای شناسایی یک تهدید در شبکه یک سازمان، ۲۴ روز است.

در نگاه اول، این عدد ممکن است امیدوارکننده به نظر برسد. چند سال پیش، این عدد ۱۴۶ روز بود! پس ما پیشرفت کرده‌ایم، درست است؟ اما بیایید کمی عمیق‌تر شویم: آیا واقعاً ۲۴ روز زمان خوبی است؟

حالا این عدد را با آمار دیگری از همان گزارش مقایسه کنید: مهاجمان به طور متوسط تنها در عرض ۳ روز از زمان نفوذ اولیه، به دسترسی سطح مدیر کل دامنه (Domain Administrator) می‌رسند. برای کسانی که با این اصطلاح آشنا نیستند، این یعنی دستیابی به «کلیدهای پادشاهی». یعنی کنترل کامل و مطلق بر کل شبکه، شامل تمام حساب‌های کاربری و داده‌ها.

حالا این تمرین فکری را انجام دهید: آیا جرأت می‌کنید نزد مدیرعامل شرکت خود بروید و بپرسید: «آیا اینکه یک مهاجم بتواند ۲۱ روز قبل از اینکه ما حتی متوجه حضورش شویم، کنترل کامل شبکه ما را در دست داشته باشد، از نظر شما قابل قبول است؟»

پاسخ واضح است. این شکاف زمانی، یک ریسک غیرقابل قبول است.

دومین مدرک ما از شرکت Hewlett Packard (HP) می‌آید. این گزارش بلوغ مراکز عملیات امنیت (SOC) را بر اساس یک مدل امتیازبندی از ۰ (بدون بلوغ) تا ۵ (بلوغ کامل) ارزیابی می‌کند. جالب اینجاست که خود HP می‌گوید سطح ایده‌آل برای اکثر سازمان‌ها سطح ۳ است، نه ۵؛ زیرا بلوغ بیش از حد می‌تواند منجر به کاهش انعطاف‌پذیری شود.

و حالا نکته‌ای که این گزارش HP را بسیار قدرتمند می‌کند: این اعداد از نظرسنجی‌های ساده‌ای که در آن شرکت‌ها خودشان توانایی‌هایشان را گزارش می‌دهند، به دست نیامده‌اند. این‌ها حاصل ارزیابی‌های واقعی و عملی هستند که توسط کارشناسان HP انجام شده‌اند. این داده‌های میدانی و واقعی است، نه تبلیغات بازاریابی.

و نتایج تکان‌دهنده هستند:

پس حالا ارتباط را می‌بینیم: Mandiant به ما می‌گوید چه اتفاقی می‌افتد—یک شکاف خطرناک ۲۴ روزه در شناسایی تهدید. و گزارش HP به ما می‌گوید چرا این اتفاق می‌افتد: یک بلوغ ناکافی تکان‌دهنده که ریشه آن مشخصاً در افراد و فرآیندهاست، با میانگین امتیاز تنها ۱.۴۵ از ۵. گزارش HP به طور مداوم نشان می‌دهد که پایین‌ترین امتیازها در دو دسته ثبت شده‌اند: «افراد (People)» و «فرآیندها (Processes)».

گزارش به صراحت بیان می‌کند:

“داشتن افراد مناسب، اغلب می‌تواند عمیق‌ترین تأثیر را بر قابلیت کلی یک مرکز عملیات امنیت داشته باشد.”

و همچنین:

“منابع امنیتی ماهر تقاضای بسیار بالایی دارند. اکثر مراکز عملیات امنیت برای یافتن و حفظ افراد ماهر در تلاش هستند.”

این گزارش به وضوح نشان می‌دهد که مشکل اصلی ما کمبود ابزار نیست، بلکه کمبود تخصص و رویه‌های صحیح است.

ما «چه» را از Mandiant و «چرا» را از HP دیدیم. حالا بیایید به سراغ MITRE برویم، که «چگونه» را به ما می‌دهد—یک نقشه راه واضح برای خروج از این وضعیت.

حالا، سومین گزارش از MITRE می‌آید، و من از شما می‌خواهم که به این یکی با دقت ویژه‌ای توجه کنید. MITRE یک سازمان تحقیقاتی غیرانتفاعی است که بودجه آن توسط دولت تأمین می‌شود. این یعنی یافته‌های آن عاری از هرگونه سوگیری تجاری است—آن‌ها سعی نمی‌کنند به شما محصولی بفروشند. این یک تحلیل خالص و بدون روتوش است و به همین دلیل بسیار ارزشمند است. این سازمان کتابی فوق‌العاده با عنوان «۱۱ استراتژی یک مرکز عملیات امنیت سایبری در کلاس جهانی» منتشر کرده است.

در این کتاب، یک جمله کلیدی وجود دارد که جوهره تمام بحث ما را خلاصه می‌کند:

“کلید عملیات امنیتی مؤثر، داشتن افراد، فرآیند و فناوری مناسب است تا مرکز عملیات امنیت را قادر سازد به سرعت دشمن را شناسایی کرده، درک کند و به آن پاسخ دهد.”

از میان ۱۱ استراتژی ذکر شده، سه مورد مستقیماً با مشکل ما مرتبط هستند:

همانطور که می‌بینید، دو استراتژی از سه استراتژی اصلی، مستقیماً به افراد و فرآیندها اشاره دارند. در بخش بعدی، این سه استراتژی را عمیق‌تر بررسی می‌کنیم تا به یک نقشه راه عملی برای حل این معما برسیم.

تا اینجا مشکل را تحلیل کردیم. حالا بیایید از تحلیل مشکل به سمت ارائه یک چارچوب عملی برای راه‌حل حرکت کنیم. با تمرکز بر سه استراتژی کلیدی MITRE، می‌توانیم یک نقشه راه روشن برای بهبود واقعی قابلیت‌های تشخیص تهدید ترسیم کنیم.

گزارش MITRE با این جمله شروع می‌شود: «مردم مهم‌ترین جنبه در اداره یک مرکز عملیات امنیت در کلاس جهانی هستند.» این یعنی همه چیز از افراد شروع می‌شود. اما منظور از «افراد مناسب» چیست؟

استخدام نباید فقط بر اساس مهارت‌های فنی باشد. ویژگی‌هایی مانند ذهنیت، مهارت‌های نرم، پیشینه و اشتیاق به همان اندازه، و شاید حتی بیشتر، اهمیت دارند. شما باید به دنبال افرادی باشید که کنجکاو هستند، از حل معما لذت می‌برند، و مهم‌تر از همه، می‌دانند چگونه هم در حمله و هم در دفاع فکر کنند.
همانطور که استیو جابز موفقیت اپل را نه به فناوری، بلکه به داشتن افراد فوق‌العاده نسبت می‌داد، در امنیت سایبری نیز همین اصل صادق است. یک تحلیلگر باانگیزه و مشتاق با ابزارهای متوسط، بسیار کارآمدتر از یک تحلیلگر بی‌انگیزه با پیشرفته‌ترین ابزارهای جهان است.

بیایید یک بار برای همیشه این ایده را که «خرید یک فناوری جدید راه‌حل است» به چالش بکشیم. MITRE به نکته‌ای حیاتی اشاره می‌کند:

“فناوری‌های مقرون‌به‌صرفه برای ایجاد یک دفاع شایسته به طور گسترده در دسترس هستند؛ معمولاً مسائل مربوط به افراد و فرآیندها هستند که مراکز عملیات امنیت را از استفاده مؤثر از آن‌ها باز می‌دارند.”

برای اینکه این موضوع را بهتر درک کنید، به این حکایت واقعی توجه کنید: سازمانی پس از ۱۴ ماه تلاش ناموفق برای راه‌اندازی یک SIEM تجاری پیشرو، نتوانسته بود به موفقیت چشمگیری دست پیدا کند. اما همان سازمان، با راهنمایی صحیح، توانست در عرض یک ماه و با استفاده از ابزارهای رایگان، به پیشرفت بیشتری دست یابد.

یک لحظه به این فکر کنید. این داستان چه چیزی درباره محل واقعی مشکل به ما می‌گوید؟ این یک مثال ملموس است که نشان می‌دهد ابزار، تنها یک توانمندساز است. بدون افراد ماهر که بدانند چگونه از آن استفاده کنند و فرآیندهای مشخص که جریان کاری را هدایت کنند، گران‌ترین ابزارها نیز بی‌فایده خواهند بود.

یکی از بزرگترین چالش‌ها برای هر تیم امنیتی این است: «چه داده‌ای نیاز دارم و چه مدت باید آن را نگه دارم؟»

ابهامات در چارچوب‌های انطباق (Compliance) اغلب سازمان‌ها را به سمت جمع‌آوری «همه چیز» سوق می‌دهد، اما با توجه به محدودیت منابع (کارکنان، زمان و هزینه)، این رویکرد ناپایدار و ناکارآمد است. هر سازمان باید به طور فعال تصمیم بگیرد که چه داده‌هایی برایش حیاتی هستند و چگونه قرار است از آن‌ها برای شناسایی تهدیدات استفاده کند. این یک تصمیم فرآیندی است، نه تکنولوژیک.

این سه عنصر—افراد ماهر، فرآیندهای بهینه و داده‌های مرتبط—پایه‌های یک دفاع سایبری مؤثر را تشکیل می‌دهند.

بیایید نکات اصلی این بحث را مرور کنیم. ما با یک پارادوکس شروع کردیم: سرمایه‌گذاری‌های عظیم در امنیت، اما نتایج ضعیف. دیدیم که مقصر دانستن ابزارها یک تشخیص اشتباه است. سپس با استناد به گزارش‌های معتبر صنعتی از Mandiant، HP و MITRE، به یک نتیجه مشترک و غیرقابل انکار رسیدیم: فناوری عامل محدودکننده نیست.

کمبودهای کلیدی که بارها و بارها در این مطالعات تکرار می‌شوند، در دو حوزه نهفته‌اند: افراد و فرآیندها.

برای بهبود واقعی قابلیت‌های تشخیص تهدید، سازمان‌ها باید تمرکز خود را از خرید ابزار جدید به سرمایه‌گذاری روی کارکنان خود و پیاده‌سازی فرآیندهای کارآمد تغییر دهند. این به معنای آموزش مداوم، ایجاد جریان‌های کاری مشخص برای تحلیلگران، و تعریف دقیق داده‌های مورد نیاز است.

دفعه بعد که خبری از یک نشت اطلاعاتی بزرگ شنیدید، به جای اینکه بپرسید از چه ابزاری استفاده می‌کردند، این سوال را بپرسید: «آیا آن‌ها به اندازه کافی روی افراد و فرآیندهای خود سرمایه‌گذاری کرده بودند؟» پاسخ ممکن است شما را شگفت‌زده کند.

از اینکه در این قسمت همراه ما بودید سپاسگزارم. تا پادکست بعدی، امن بمانید.