ممکن است هزینهی پاسخ به حادثه برای تیمهای امنیتی از آنچه ما تصور میکنیم بیشتر و پیچیدهتر باشد. برای درک بهتر موضوع، بیایید یک سناریو فرضی را در نظر بگیریم که برای اکثر تحلیلگران امنیت سایبری آشنا است.
یک داستان روزمره
یک مهندس امنیتی در حال تنظیم SIEM است تا بتواند تهدید بهخصوصی را شناسایی کند که برای سازمان ریسک محسوب میشود. مقدار زمان بهخصوصی نیز برای انجام این پروژه معین شده است. تحقیق و تستی که کیسی باید انجام دهد تا Query را بهطور درست، دقیق و کارآمد پیش ببرد برای کسب و کار ضروری است. این پروژه فقط یکی از پروژههایی است که این مهندس در برنامههای خود دارد. او تحقیق را شروع کرده است و به درکی از حمله رسیده است که میتواند برخی از عوامل اولیه هشدار را بنویسد و سپس …
یکی از کارمندان ایمیلی را Forward میکند که از نظر او مشکوک به فیشینگ است. مهندس امنیت ایمیل را میبیند و تایید میکند که نیاز به بررسیهای بیشتری دارد. اما مهندس باید به کاربر توضیح دهد که ایمیل را به صورت ضمیمه ارسال کند تا او بتواند Headerها و جزئیات دیگر را بررسی کرده و نشانههای ایمیل مخرب را در آنها شناسایی نماید. پس از آن مهندس ارزیابی خود را انجام میدهد و پاسخ مناسبی به رویداد ارائه میکند.
حالا ۲۵ دقیقه گذشته است. مهندس به تمرکز روی تنظیم هشدار برمیگردد اما لازم است کمی بیشتر روی تحقیقات خود کار کرده و نتایج خود را اعتبارسنجی کند. ۱۰ دقیقه دیگر گذشت و او برگشته است به جایی که در زمان دریافت ایمیل فیشینگ در آن بود. اکنون در حال جمعآوری اطلاعات مناسب برای پروژه است و سعی دارد افراد لازم را مطلع کند، سپس …
یک هشدار EDR میآید. این هشدار از لپتاپ مدیر است. این موضوع اولویت پیدا میکند، زیرا مدیر برای ارائه به یک مشتری، به این لپتاپ نیاز دارد و سه ساعت دیگر به سوی فرودگاه حرکت میکند. مهندس از کار خود فاصله میگیرد تا هشدار را بررسی کند، بدافزار را از بین ببرد و یک اسکن را در سازمان شروع کند تا مشخص شود که آیا مقدار Hash بدافزار جای دیگری دیده شده است یا خیر. ۳۰ دقیقه میگذرد، زیرا باید یک گزارش حادثه به Ticket اضافه شود. مهندس تکیه میدهد و باید ۲۰ دقیق دیگر را صرف این کند که افکار خود را به کار اصلی خود برگرداند.
زمان خاکستری
امروزه، چنین سناریوهایی تقریباً در تمام سازمانها رخ میدهند. پروژههای امنیتی با ریسک بالا عقب میافتند، زیرا هشدارهای فوری رخ میدهند و لازم است به آنها پاسخ داده شود. در سناریویی که بیان شد، این مهندس یک ساعت و ۲۵ دقیقه از زمان پروژه خود را به دلیل حوادث از دست داد. اگر به این حوادث رسیدگی نشود، ممکن است ریسک داشته باشند، اما پروژهای که مهندس روی آن کار میکند نیز اگر تکمیل نشود ریسک بالایی را همراه خواهد داشت.
کال نیوپورت، استاد علوم کامپیوتر در دانشگاه جورج تاون، در کتاب مهم خود به نام “Deep Work” توضیح میدهد که زمان لازم برای رفتن از یک کار به سراغ کار دیگر برای هر فرد متفاوت است. مغز اینگونه کار میکند. من نام این زمان لازم برای تغییر کار را «زمان خاکستری» میگذارم. زمان خاکستری معمولاً در زمان لازم برای پاسخگویی به حوادث محاسبه نمیشود، اما این مسئله باید تغییر کند.
فرقی نمیکند پاسخ به حادثه ۳۰ ثانیه طول بکشد یا ۵ دقیقه یا ۱۵ دقیقه، باید ۵ تا ۲۵ دقیقه زمان خاکستری نیز برای برگشتن به کاری که قبلاً انجام میشد اضافه کرد. هرچقدر فاصله گرفتن از کار طولانیتر باشد، بازگشتن به پروژه اصلی بیشتر زمان میبرد. زمان خاکستری درست بهاندازهی پاسخ ندادن به حوادث برای سازمان آسیبزا است. برخی از آمارها هستند که به ما کمک میکنند کمیت حواسپرتیها و وقفهها را تعیین کنیم:
- وقتی افراد فقط ۳ ثانیه حواسشان پرت شود، احتمال اشتباه کردن در آنها دو برابر میشود
- میانگین تعداد وقفهها در روز: ۵۶
- یک کارمند بهطور میانگین هر ۱۱ دقیقه یک بار حواسش پرت میشود
حوادث میتوانند حواسپرتی یا وقفه باشند. حقیقت این است که برخی از رویدادهایی که متخصصان امنیتی به آنها پاسخ میدهند بیخطر هستند و به ایجاد برنامه پاسخ به حادثه منجر نمیشوند یا باعث میشوند که کارهای اولویتدار انجام نشوند.
در اینجاست که اهمیت هماهنگی امنیتی، خودکارسازی و پاسخگویی یا SOAR مشخص میشود. کارهای دستی که متخصصان امنیتی انجام میدهند و تمرکزشان را از پروژههای مربوط به ریسک دور میکند میتوانند خودکارسازی شوند. اگر کارها بهطور کامل خودکارسازی نشوند، حداقل میتوانیم فرایند جابهجایی از یک ابزار به ابزار دیگر را خودکارسازی کنیم. SOAR میتواند یادداشت دستی در سیستم Ticketing و ثبت گزارش حادثه را خودکارسازی کند. همچنین میتواند زمان لازم برای پاسخ را کاهش داده و به حذف زمان خاکستری کمک کند.
کاهش زمان خاکستری از طریق SOAR
در صنعتی که خستگی ناشی از تعداد زیاد هشدارها و فرسایش کارمندان مشکلی متداول است، نیاز مبرمی به قابلیتهای خودکارسازی گسترده SOAR وجود دارد. کارهای زیادی در سازمان وجود دارند که افراد در صورت امکان آنها را خودکارسازی میکنند، زیرا زمان بیشتری از آنچه ضروری است میگیرند. ما میتوانیم با حساب و کتاب سریعی هزینهی سالانه هر پاسخ دستی را پیدا کنیم که شامل زمان خاکستری نیز باشد.
- در ابتدا به یک عمل تکراری فکر کنید که تیم همیشه آن را تکرار میکند.
- یک مقدار به نام دقیقههای کار (Task Minutes) را تعیین کنید که میگوید انجام یک کار بهصورت تقریبی چقدر طول میکشد.
- سپس مقدار «تعداد کار در هفته» (TI) را تخمین بزنید.
- این مقدار را در ۵۲ ضرب کنید که «دقیقههای کار در سال» به دست آید.
- این عدد را تقسیم بر ۶۰ کنید تا «ساعتهای کار در سال» به دست آید.
- این عدد را در میزان دستمزد ساعتی کارمندان ضرب کنید تا هزینهی سالانه پاسخ دستی به دست آید.
پیشنهاد میشود که این کار را برای هر برنامه یا فرایندی که دارید انجام دهید.
- دقیقههای کار (TM) x تعداد کار در هفته (TI) = کل دقیقههای کار در هفته (TTW)
- TW x 52 = کل دقیقههای کار در سال (TTY)
- TTY / 60 = کل ساعتهای کار در سال (TY)
- TY x دستمزد ساعتی کارمندان (HR) = هزینهی پاسخ دستی
در اینجا ما زمان خاکستری را در نظر نگرفتهایم. بهطور متوسط حدود ۲۳ دقیقه و ۱۵ ثانیه زمان میبرد که پس از یک حواسپرتی تمرکز بازگردد. پس با در نظر گرفتن این موضوع، بیایید کمیت داستان قبلی خود را مشخص کنیم.
بیایید فرض کنیم که کیسی، مهندس ما، ۳۰ دقیقه برای هر ایمیل Phishing وقت صرف میکند و کنترل و رفع نقضهای امنیتی بدافزار ۱۵ دقیقه زمان میبرد. هر دو گزارش حادثه حدوداً ۲۰ دقیقه زمان میبرد. بیایید فرض کنیم که سازمان ما هر هفته ۱۶ مورد حمله Phishing برایش رخ میدهد (TI) و Phishing همراه با گزارشدهی ۵۰ دقیقه زمان میبرد. زمان خاکستری ۲۰ دقیقه را نیز اضافه میکنیم و به ۷۰ دقیقه میرسیم (TM).
- ۷۰ x 16 = 1120 دقیقه (TW)
- ۱۱۲۰ x 52 = 58240 دقیقه (TTY)
- ۶۰/۵۸۲۴۰ = ۹۷۰.۷ ساعت (TY)
با استفاده از میانگین دستمزد یک تحلیلگر حادثه و نفوذ تازهکار با ۸۸۲۲۶$، میتوانیم به دستمزد ۴۲.۴۱$ در ساعت برسیم. سپس ۹۷۰.۷ (TY) x 42.41 (HR) = 41167.39$.
این یعنی هر سال بیش از چهل و یک هزار دلار روی فرایندهای دستی هزینه میشود. بدافزار چطور؟ بهطور خلاصه فرض کنیم که حوادث بدافزار ۱۰ بار در هفته رخ دهند.
- ۲۵ دقیقه + ۲۰ دقیقه = ۴۵ دقیقه (TM)
- ۴۵ x 10 = 450 (TTW)
- ۴۵۰ x 52 = 23400 (TTY)
- ۶۰/۲۳۴۰۰ = ۳۹۰ (THY)
- ۳۹۰ x41$ = 16539.90$
- ۹$ + ۴۱۱۶۷.۳۹$ = ۵۷۷۰۷.۲۹$
این عدد تقریباً مساوی دستمزد کامل یک کارمند است که فقط صرف دو فرایند دستی میشود!
SOAR روزبهروز بیشتر در برنامههای امنیت اطلاعات ما مورد نیاز میشود. نه تنها ما وقت خود را روی فرایندهای دستی که میتوانند خودکارسازی شوند تلف میکنیم، بلکه زمان خاکستری را به روزهای کاری خود اضافه کرده و زمان لازم برای کار روی پروژههای اولویتدار را که روی ریسک کسبوکار ما تأثیر دارند و برای حفاظت از درآمد و عملیات کسبوکار ضروری هستند کاهش میدهیم. با SOAR، میتوان تمرکز خود را روی کارهای مرتبط با ریسک گذاشت و وقفههای مربوط به کارهای دستی را کاهش داد. همچنین میتوان زمان خاکستری را کاهش داده و کارآمدی برنامه امنیتی خود را افزایش داد. با استفاده از SOAR آسمان آبی میشود و دیگر خبری از زمان خاکستری نیست.