امنیت، یک مشکل اساسی در حوزه Big Data

امنیت، یک مشکل اساسی در حوزه Big Data

در یک مقاله در سایت Securityweek، محقق امنیتی مارک سولومون درخصوص بزرگترین چالش‌های حوزه Big Data یا "کلان داده" توضیحاتی را ارائه کرده است. حل مشکل امنیتی کلان داده، مربوط به جریان داده های اولویت دار، پردازش مداوم داده ها برای تجزیه و تحلیل و ترجمه و استخراج آن برای ایجاد یک زیرساخت امنیتی واحد است. به طور معمول، وقتی شخصی می گوید "امنیت یک مشکل کلان داده است"، به حجم زیادی از تهدیدات داخلی و داده های رویداد که از منابعی مانند سیستم های SIEM شما، گزارشات، تیکتینگ و مدیریت فایل تولید می شود، اشاره می کند. حجم هشدارهای این منابع باعث می شود بسیاری از متخصصان امنیتی از این حجم آلارم‌ها رنج ببرند. میلیون ها تحلیلگر امنیتی هر روز از طریق منابع متعددی که دارای حق اشتراک هستند - تجاری، منبع باز، دولتی، صنعتی، فروشندگان امنیتی موجود - و همچنین چارچوب هایی مانند MITER ATT & CK بمباران خبری در حوزه امنیت سایبری می شوند. و این مشکل در حال بدتر شدن است. با تغییر مدل های کسب و کار، مهاجمان از بردارهای جدید حمله استفاده می کنند - مانند دستگاه های اینترنت اشیا، فناوری عملیاتی (OT) و چندین دستگاه شخصی و کاری که کاربران در حال حاضر بین آن ها حرکت می کنند. آن ها همچنین از نقص‌ها و آسیب‌های انسانی استفاده می کنند، و با جعل هویت همکاران مورد اعتماد و اشخاص ثالث به سازمان ها نفوذ می کنند. ایجاد راه حل های جدید و عضویت در فیدهای بیشتر در تلاش برای برطرف کردن شکاف های امنیتی، انواع و قالب های جدیدی از داده ها را جمع آوری می کند و حجم زیادی دارد. فراتر از هشدارها و فیدها با این حال، این تنها یک طرف مشکل کلان داده است - چالش‌های دیگر در قسمت ورود داده ها است و از طرف دیگر استخراج داده نیز چالش‌برانگیز است. این جنبه کمتر توجه را به خود جلب کرده است زیرا ما معمولاً به نحوه عملکرد داده های یک منبع یا راه حل با سیستم ها و فرآیندهای موجود فکر نمی کنیم. به عنوان مثال، شما می خواهید یک داده تهدید به شما کمک کند تا بفهمید عوامل تهدید چگونه عمل می کنند و در محیط خود باید به دنبال چه چیزی باشند، اما چگونه می خواهید از آن استفاده کنید؟ اگر داده های تهدید را مستقیماً به SIEM اعمال کنید و نتیجه مثبت کاذب باشد چه؟ مثال دیگر، پلتفرم ها و ابزارهای سازماندهی امنیتی، اتوماسیون و پاسخ (SOAR) برای تسریع واکنش با خودکارسازی فرآیندها به وجود آمده است. اما شما نمی توانید فقط بر تعریف یک فرآیند و خودکارسازی مراحل مورد نیاز برای تکمیل آن تمرکز کنید. شما باید مطمئن شوید که معیارها و فعال کننده های مناسب برای این فرآیند را تعیین کرده اید و در یک محیط پویا و متغیر، واقعیت عملیاتی این است که شما باید دائماً از داده های مناسب برای تمرکز بر آنچه واقعاً برای سازمان شما مهم است، و فرآیندهای مناسب برای انجام اقدامات مناسب، سریعتر اطمینان حاصل کنید. برای بررسی واقعی یوزکیس های SOAR، ما باید رویکرد فرآیند محور را به رویکرد داده محور که داده ها را در اولویت قرار داده و سیستم ها را با آن داده ها متصل می کند، تغییر دهیم. خودکارسازی و تنظیم داده های خطادار فقط میزان خطاهای سیستم را بیشتر می کند. جدیدترین راهکارهای امنیتی Extended Detection and Response (XDR) است که به عنوان راهی برای فعال کردن تشخیص و پاسخ در سراسر شرکت، مورد توجه بسیاری قرار گرفته است. XDR به همه ابزارها و همه تیم هایی که به صورت هماهنگ کار می کنند نیاز دارد، اما چالش این است که سازمان ها معمولاً با استفاده از فناوری های مختلف امنیتی، در فضای ابری و داخلی، که از فروشندگان مختلف هستند از خود محافظت می کنند. ناگفته نماند که همه اطلاعات شخص ثالث و منابع اطلاعاتی که آن ها برای محتوا به آن ها متصل می شوند. به اشتراک گذاشتن داده ها بین ابزارها یا تیم ها به طریقی واقعی را بسیار دشوار کرده و در نهایت یک مانع برای مهاجم ایجاد می کنند. حرکت حول XDR یک معماری باز و توسعه یافته را متمرکز می کند که بر امکان ایجاد یکپارچگی و جریان داده در زیرساخت ها برای پیشگیری، تشخیص و پاسخ متمرکز است. این در مورد جریان داده های اولویت بندی شده است تیم های امنیتی در واقع با یک مشکل کلان داده که "4 Vs" کلاسیک را بررسی می کند، دست و پنجه نرم می کنند: حجم عظیم، تنوع، سرعت و صحت داده هایی که باید استخراج شوند. برای حل این مشکل کلان داده، ما نیاز به یک رویکرد داده محور برای عملیات امنیتی داریم. با بستری که بتواند داده ها را در قالب ها و زبان های مختلف از فروشندگان، سیستم ها و منابع مختلف برای همکاری با یکدیگر دریافت کند، می توانیم یک جریان داده مداوم، معنی دار و قابل استفاده ایجاد کنیم، در ادامه این موارد شرح داده می‌شود: جریان داده‌ها، نرمال سازی و همبستگی داده ها برای شناسایی روابط و غنی سازی داده ها با محتوا شروع می شود. سپس داده ها باید به طور ایده آل به شیوه ای خودکار در اولویت قرار گیرند، برای کاهش خطا و اجازه دادن به تحلیلگران امنیتی برای تمرکز بر آنچه برای سازمان خود بیشتر اهمیت دارد. اکنون می توان بر روی داده ها کار کرد. برای انجام این کار، داده ها باید به قالب و زبان قابل استفاده برگردانده شوند تا توسط ابزارها و تیم هایی که باید از آن ها استفاده کنند، مورد استفاده قرار گیرد. امنیت یک مشکل کلان داده است. حل همه چیز مربوط به جریان داده های اولویت بندی شده، پردازش مداوم داده ها برای تجزیه و تحلیل و ترجمه و استخراج آن برای ایجاد یک زیرساخت امنیتی واحد است. یک رویکرد مبتنی بر داده برای عملیات امنیتی تنها راه برای برطرف کردن شکاف های امنیتی با یک سیستم دفاعی یکپارچه است و نه تنها یک جریان مانع دیگر، هرچند دشوارتر، برای هدایت مهاجمان ایجاد کنید. در نهایت توصیه می‌شود که هرچقدر کلان داده‌ها حجیم می‌شوند، باید به امنیت آنها نیز توجه داشت وگرنه به یک چالش بسیار جدی تبدیل خواهد شد.