آمارهای منتشر شده از حملات اخیر در دنیا از جمله گزارش شرکت Yahoo مبنی بر افشای حسابهای کاربری افراد، آمار گسترده حملات بر روی حسابهای کاربری در Twitter، همچنین سرعت و ابعاد وسیع حملات اخیر باجافزارها و نفوذ به شبکههای رایانهای و بسیاری دیگر از حوادث اخیر، مدیران را با این حقیقت روبرو نموده است که تشخیص و کاهش تهدیدات یک موضوع کلیدی برای تیمهای مرکز عملیات امنیت میباشد. امنیت سایبری از چالشهای عمده سازمانها بوده و موجب نگرانی آنها درباره نفوذ به داده و گزینش روشهای جدید برای امنسازی داراییهای آسیبپذیر و تحلیل و پاسخگویی به حوادث سایبری بهمنظور مقابله با آنها شده است.
یکی از چالشهایی که سازمانها با آن روبرو هستند، افزایش حجم تولید دادهها (دادههای کلان) و گسترش خطرات ناشی از حرکت سازمانها به سمت استفاده از فنآوریهای دادههای بزرگ جهت ذخیرهسازی و تحلیل داده برای افزایش بینش و آگاهی تیمهای پاسخگویی به حوادث سایبری است. همچنین مقدار زیادی از دادهها از منابع متعدد مانند حسگرها تولید شده و ردپای مهاجمان میتواند همچنان ناشناخته باقی بماند. با وجود آنکه برخی سازمانها در مسیر بهبود تجربه مشتری با نوآوری در محصولات خود قرار گرفتهاند اما میزان و حجم بالای دادههای جریان، آنها را از پیمایش کلیه اطلاعات باز میدارد. راهحلهای موجود و سنتی SIEM قادر به مدیریت تولید حجم بالای داده نیستند و نیاز به تحلیل این دادهها با کمترین تأخیر ممکن و همچنین افزایش فشار محاسباتی و پردازش داده، سازمانها را به استفاده از نسل جدید SIEM مبتنی بر معماری کلان داده سوق میدهد.
در SIEMهای نسل جدید مبتنی بر کلان داده معمولا دو رویکرد مطرح میشود:
1. استفاده از معماریها و فنآوریهای مقیاسپذیر و مبتنی بر جامعه مانند OpenSOC و Apache Metron
2. امکان و استفاده از فنآوریها و چارچوبهایی که سازمان خود مبادرت به ساخت و ارائه آنها میکند، که اصطلاحاً به آنها DIY گفته میشود.
با توجه به انفجار اطلاعات، SOCها نیاز به نمایش بیدرنگ دادهها دارند تا قادر به پردازش و تحلیل آنها باشند. در این حالت رویکرد مبتنی بر جامعه براساس فنآوریهای مقیاسپذیر به سازمان نه تنها قابلیت مقیاسپذیری را افزایش میدهد بلکه به سازمان در حل مؤثر معضلات مقابله با حوادث سایبری کمک میکند. یادگیری ماشین، خودکارسازی و غنیسازی بیدرنگ کلیه دادهها بایستی از مؤلفههای کلیدی چنین فنآوریهایی باشند تا باعث ایجاد یک ساختار مقیاسپذیر در پاسخگویی به حملات سایبری مدرن امروزی گردند. در این سناریو سازمانها قادر به تحلیل سریعتر تهدیدات، ضبط داده با هزینه کمتر و مقابله آشکار با چالشهای جدید امنیت سایبری در مقیاس وسیعتر خواهند بود. رویکرد دیگر DIY است که سازمان خود اقدام به طراحی و تولید یک برنامه برای تحلیل دادهها میکند. اما استفاده از محصولات مبتنی بر جامعه که با یکدیگر برای مقابله با حملات همکاری میکنند همیشه گزینه بهتری است. یکی از این تلاشها توسط بنیاد آزاد نرمافزار آپاچی (ASF) پشتیبانی گردید که بر پایه Apache Metron، چارچوب برنامه کاربردی امنیت سایبری کلان داده ایجاد شد تا امکان مشاهده یکپارچه دادههای مختلف امنیتی را در مقیاس بزرگتر بهمنظور کمک به SOCها در تشخیص سریع و پاسخگویی به تهدیدات فراهم کند و تلاش دیگر نیز بهرهگیری از پشته متن باز ELK توسط الستیک میباشد.
بنابراین فنآوریهای گذشته به مبارزه با چالشهای امنیت سایبری امروزی کمکی چندانی نمیکنند. از آنجایی که جرایم سایبری از فیشینگ ساده و کلاهبرداری پستهای الکترونیکی به حلقههای اخاذی پیچیده پیشرفت نمودهاند، بایستی از فنآوریهای متن بازی که رویکرد مبتنی بر جامعه دارند بهره برد. از همه مهمتر یک رویکرد مبتنی بر کلان داده از اهمیت اساسی برخوردار است.
- 6