زمان خاکستری: هزینه‌ی پنهان پاسخ به حوادث

ممکن است هزینه‌ی پاسخ به حادثه برای تیم‌های امنیتی از آنچه ما تصور می‌کنیم بیشتر و پیچیده‌تر باشد. برای درک بهتر موضوع، بیایید یک سناریو فرضی را در نظر بگیریم که برای اکثر تحلیلگران امنیت سایبری آشنا است.

یک داستان روزمره

یک مهندس امنیتی در حال تنظیم SIEM است تا بتواند تهدید به‌خصوصی را شناسایی کند که برای سازمان ریسک محسوب می‌شود. مقدار زمان به‌خصوصی نیز برای انجام این پروژه معین شده است. تحقیق و تستی که کیسی باید انجام دهد تا Query را به‌طور درست، دقیق و کارآمد پیش ببرد برای کسب و کار ضروری است. این پروژه فقط یکی از پروژه‌هایی است که این مهندس در برنامه‌های خود دارد. او تحقیق را شروع کرده است و به درکی از حمله رسیده است که می‌تواند برخی از عوامل اولیه هشدار را بنویسد و سپس …

یکی از کارمندان ایمیلی را Forward می‌کند که از نظر او مشکوک به فیشینگ است. مهندس امنیت ایمیل را می‌بیند و تایید می‌کند که نیاز به بررسی‌های بیشتری دارد. اما مهندس باید به کاربر توضیح دهد که ایمیل را به صورت ضمیمه ارسال کند تا او بتواند Headerها و جزئیات دیگر را بررسی کرده و نشانه‌های ایمیل مخرب را در آن‌ها شناسایی نماید. پس از آن مهندس ارزیابی خود را انجام می‌دهد و پاسخ مناسبی به رویداد ارائه می‌کند.

حالا ۲۵ دقیقه گذشته است. مهندس به تمرکز روی تنظیم هشدار برمی‌گردد اما لازم است کمی بیشتر روی تحقیقات خود کار کرده و نتایج خود را اعتبارسنجی کند. ۱۰ دقیقه دیگر گذشت و او برگشته است به جایی که در زمان دریافت ایمیل فیشینگ در آن بود. اکنون در حال جمع‌آوری اطلاعات مناسب برای پروژه است و سعی دارد افراد لازم را مطلع کند، سپس …

یک هشدار EDR می‌آید. این هشدار از لپ‌تاپ مدیر است. این موضوع اولویت پیدا می‌کند، زیرا مدیر برای ارائه به یک مشتری، به این لپ‌تاپ نیاز دارد و سه ساعت دیگر به سوی فرودگاه حرکت می‌کند. مهندس از کار خود فاصله می‌گیرد تا هشدار را بررسی کند، بدافزار را از بین ببرد و یک اسکن را در سازمان شروع کند تا مشخص شود که آیا مقدار Hash بدافزار جای دیگری دیده شده است یا خیر. ۳۰ دقیقه می‌گذرد، زیرا باید یک گزارش حادثه به Ticket اضافه شود. مهندس تکیه می‌دهد و باید ۲۰ دقیق دیگر را صرف این کند که افکار خود را به کار اصلی خود برگرداند.

زمان خاکستری

امروزه، چنین سناریوهایی تقریباً در تمام سازمان‌ها رخ می‌دهند. پروژه‌های امنیتی با ریسک بالا عقب می‌افتند، زیرا هشدارهای فوری رخ می‌دهند و لازم است به آن‌ها پاسخ داده شود. در سناریویی که بیان شد، این مهندس یک ساعت و ۲۵ دقیقه از زمان پروژه خود را به دلیل حوادث از دست داد. اگر به این حوادث رسیدگی نشود، ممکن است ریسک داشته باشند، اما پروژه‌ای که مهندس روی آن کار می‌کند نیز اگر تکمیل نشود ریسک بالایی را همراه خواهد داشت.

کال نیوپورت، استاد علوم کامپیوتر در دانشگاه جورج تاون، در کتاب مهم خود به نام “Deep Work” توضیح می‌دهد که زمان لازم برای رفتن از یک کار به سراغ کار دیگر برای هر فرد متفاوت است. مغز این‌گونه کار می‌کند. من نام این زمان لازم برای تغییر کار را «زمان خاکستری» می‌گذارم. زمان خاکستری معمولاً در زمان لازم برای پاسخگویی به حوادث محاسبه نمی‌شود، اما این مسئله باید تغییر کند.

فرقی نمی‌کند پاسخ به حادثه ۳۰ ثانیه طول بکشد یا ۵ دقیقه یا ۱۵ دقیقه، باید ۵ تا ۲۵ دقیقه زمان خاکستری نیز برای برگشتن به کاری که قبلاً انجام می‌شد اضافه کرد. هرچقدر فاصله گرفتن از کار طولانی‌تر باشد، بازگشتن به پروژه اصلی بیشتر زمان می‌برد. زمان خاکستری درست به‌اندازه‌ی پاسخ ندادن به حوادث برای سازمان آسیب‌زا است. برخی از آمارها هستند که به ما کمک می‌کنند کمیت حواس‌پرتی‌ها و وقفه‌ها را تعیین کنیم:

• وقتی افراد فقط ۳ ثانیه حواسشان پرت شود، احتمال اشتباه کردن در آن‌ها دو برابر می‌شود
• میانگین تعداد وقفه‌ها در روز: ۵۶
• یک کارمند به‌طور میانگین هر ۱۱ دقیقه یک بار حواسش پرت می‌شود

حوادث می‌توانند حواس‌پرتی یا وقفه باشند. حقیقت این است که برخی از رویدادهایی که متخصصان امنیتی به آن‌ها پاسخ می‌دهند بی‌خطر هستند و به ایجاد برنامه پاسخ به حادثه منجر نمی‌شوند یا باعث می‌شوند که کارهای اولویت‌دار انجام نشوند.

در اینجاست که اهمیت هماهنگی امنیتی، خودکارسازی و پاسخگویی یا SOAR مشخص می‌شود. کارهای دستی که متخصصان امنیتی انجام می‌دهند و تمرکزشان را از پروژه‌های مربوط به ریسک دور می‌کند می‌توانند خودکارسازی شوند. اگر کارها به‌طور کامل خودکارسازی نشوند، حداقل می‌توانیم فرایند جابه‌جایی از یک ابزار به ابزار دیگر را خودکارسازی کنیم. SOAR می‌تواند یادداشت دستی در سیستم Ticketing و ثبت گزارش حادثه را خودکارسازی کند. همچنین می‌تواند زمان لازم برای پاسخ را کاهش داده و به حذف زمان خاکستری کمک کند.

کاهش زمان خاکستری از طریق SOAR

در صنعتی که خستگی ناشی از تعداد زیاد هشدارها و فرسایش کارمندان مشکلی متداول است، نیاز مبرمی به قابلیت‌های خودکارسازی گسترده SOAR وجود دارد. کارهای زیادی در سازمان وجود دارند که افراد در صورت امکان آن‌ها را خودکارسازی می‌کنند، زیرا زمان بیشتری از آنچه ضروری است می‌گیرند. ما می‌توانیم با حساب و کتاب سریعی هزینه‌ی سالانه هر پاسخ دستی را پیدا کنیم که شامل زمان خاکستری نیز باشد.

1. در ابتدا به یک عمل تکراری فکر کنید که تیم همیشه آن را تکرار می‌کند.
2. یک مقدار به نام دقیقه‌های کار (Task Minutes) را تعیین کنید که می‌گوید انجام یک کار به‌صورت تقریبی چقدر طول می‌کشد.
3. سپس مقدار «تعداد کار در هفته» (TI) را تخمین بزنید.
4. این مقدار را در ۵۲ ضرب کنید که «دقیقه‌های کار در سال» به دست آید.
5. این عدد را تقسیم بر ۶۰ کنید تا «ساعت‌های کار در سال» به دست آید.
6. این عدد را در میزان دستمزد ساعتی کارمندان ضرب کنید تا هزینه‌ی سالانه پاسخ دستی به دست آید.

پیشنهاد می‌شود که این کار را برای هر برنامه یا فرایندی که دارید انجام دهید.

• دقیقه‌های کار (TM) x تعداد کار در هفته (TI) = کل دقیقه‌های کار در هفته (TTW)
• TW x 52 = کل دقیقه‌های کار در سال (TTY)
• TTY / 60 = کل ساعت‌های کار در سال (TY)
• TY x دستمزد ساعتی کارمندان (HR) = هزینه‌ی پاسخ دستی

در اینجا ما زمان خاکستری را در نظر نگرفته‌ایم. به‌طور متوسط حدود ۲۳ دقیقه و ۱۵ ثانیه زمان می‌برد که پس از یک حواس‌پرتی تمرکز بازگردد. پس با در نظر گرفتن این موضوع، بیایید کمیت داستان قبلی خود را مشخص کنیم.

بیایید فرض کنیم که کیسی، مهندس ما، ۳۰ دقیقه برای هر ایمیل Phishing وقت صرف می‌کند و کنترل و رفع نقض‌های امنیتی بدافزار ۱۵ دقیقه زمان می‌برد. هر دو گزارش حادثه حدوداً ۲۰ دقیقه زمان می‌برد. بیایید فرض کنیم که سازمان ما هر هفته ۱۶ مورد حمله Phishing برایش رخ می‌دهد (TI) و Phishing همراه با گزارش‌دهی ۵۰ دقیقه زمان می‌برد. زمان خاکستری ۲۰ دقیقه را نیز اضافه می‌کنیم و به ۷۰ دقیقه می‌رسیم (TM).

• ۷۰ x 16 = 1120 دقیقه (TW)
• ۱۱۲۰ x 52 = 58240 دقیقه (TTY)
• ۶۰/۵۸۲۴۰ = ۹۷۰.۷ ساعت (TY)

با استفاده از میانگین دستمزد یک تحلیلگر حادثه و نفوذ تازه‌کار با ۸۸۲۲۶$، می‌توانیم به دستمزد ۴۲.۴۱$ در ساعت برسیم. سپس ۹۷۰.۷ (TY) x 42.41 (HR) = 41167.39$.

این یعنی هر سال بیش از چهل و یک هزار دلار روی فرایندهای دستی هزینه می‌شود. بدافزار چطور؟ به‌طور خلاصه فرض کنیم که حوادث بدافزار ۱۰ بار در هفته رخ دهند.

• ۲۵ دقیقه + ۲۰ دقیقه = ۴۵ دقیقه (TM)
• ۴۵ x 10 = 450 (TTW)
• ۴۵۰ x 52 = 23400 (TTY)
• ۶۰/۲۳۴۰۰ = ۳۹۰ (THY)
• ۳۹۰ x41$ = 16539.90$
• ۹$ + ۴۱۱۶۷.۳۹$ = ۵۷۷۰۷.۲۹$

این عدد تقریباً مساوی دستمزد کامل یک کارمند است که فقط صرف دو فرایند دستی می‌شود!

 SOAR روزبه‌روز بیشتر در برنامه‌های امنیت اطلاعات ما مورد نیاز می‌شود. نه تنها ما وقت خود را روی فرایندهای دستی که می‌توانند خودکارسازی شوند تلف می‌کنیم، بلکه زمان خاکستری را به روزهای کاری خود اضافه کرده و زمان لازم برای کار روی پروژه‌های اولویت‌دار را که روی ریسک کسب‌وکار ما تأثیر دارند و برای حفاظت از درآمد و عملیات کسب‌وکار ضروری هستند کاهش می‌دهیم. با SOAR، می‌توان تمرکز خود را روی کارهای مرتبط با ریسک گذاشت و وقفه‌های مربوط به کارهای دستی را کاهش داد. همچنین می‌توان زمان خاکستری را کاهش داده و کارآمدی برنامه امنیتی خود را افزایش داد. با استفاده از SOAR آسمان آبی می‌شود و دیگر خبری از زمان خاکستری نیست.