آشنایی با زبان امنیت اطلاعات از ارکان اساسی بهبود فرهنگ امنیت سایبری محسوب میشود و داشتن یک واژهنامه به عنوان مرجعی برای این اصطلاحات، یکی از مهمترین پیشنیازهای یک کسب وکار و به بهبود این فرهنگ است. همانطور که در قسمت اول این مقاله، به معرفی برخی از این اصطلاحات مرتبط با مرکز عملیات امنیت پرداخته شد، قسمت دوم این مقاله نیز به بیان سایر اصطلاحات تخصصی مربوطه میپردازد.
فرایندها: استانداردها و رهنمودهای انطباقی
استانداردها و قواعد امنیت اطلاعات مولفههای بسیار مهمی برای ایجاد یک وضعیت امنیتی مناسب هستند. نقض قواعد انطباقی میتواند منجر به برخی مجازاتها و خسارتهای قانونی شده و بیتوجهی نسبت به استانداردهای توصیه شده نیز کاهش تاثیر اقدامات امنیتی را به همراه خواهد داشت.
FISMA: “قانون مدیریت امنیت اطلاعات فدرال”[۲] (FISMA) ایالات متحده در سال ۲۰۰۲ و با هدف ایجاد یک چارچوب برای محافظت از داراییها، عملیاتها و اطلاعات دولتی در مقابل تهدیدات طبیعی یا تصنعی به تصویب رسیده است. علاوهبراین، FISMA مسئولیت اطمینان از تامین امنیت دادههای دولت فدرال را برعهده آژانسهایی مشخص قرار داده است.
GDPR: “قوانین عمومی حفاظت از دادهها”[۳] (GDPR) مقرراتی هستند که شرکتهای فعال در حداقل یکی از کشورهای عضو اتحادیه اروپا را ملزم به حفاظت از دادههای شخصی و محرمانگی شهروندان این اتحادیه میکند.
HIPPA: “قانون انتقال و پاسخگویی الکترونیک بیمه سلامت”[۴] از سوابق اطلاعات پزشکی بیماران محافظت میکند. این قانون به طور مشخص، بر ذخیرهسازی، پردازش، انتقال و دسترسی امن به “اطلاعات سلامت الکترونیکی حفاظت شده”[۵] (ePHI) حاکم است.
NIST: “موسسهی ملی فناوری و استانداردها”[۶] یک نهاد غیرنظارتی است که تحت نظر وزارت بازرگانی آمریکا فعالیت میکند. انتشارات سری ۸۰۰ این موسسه لیست کاملی از معیارها و کنترلهای امنیت اطلاعات را ارائه میکند که به واسطه تحقیقات گسترده به دست آمده است،.
PCI: “استاندارد امنیت اطلاعات در صنعت کارتهای پرداخت”[۷] (PCI-DSS) برای محافظت از معاملات مبتنی بر کارتهای اعتباری و بانکی، همچنین جلوگیری از سوءاستفاده توسط شرکتها و فروشندگان (که به صورت الکترونیکی دادههای دارندگان کارتها را جمعآوری میکنند) از اطلاعات شخصی دارندگان کارتها توسعه داده شده است.
SOC 2: گزارش “کنترل خدمات سازمان ۲”[۸] برای هر سازمانی که اطلاعات مشتریان را بر روی بستر ابری ذخیره مینماید، نیازمندیهای کنترل امنیتی حداقلی را تعیین کرده است. اکثر ارائهدهندگان خدمات امنیتی مدیریت شده (MSSPها) در ذیل این گزارش قرار میگیرند. هدف این گزارش کاهش حداکثری ریسکها و خطرات مربوط به اطلاعات مبتنی بر ابر است
SOX: “قانون ساربنز-آکسلی”[۹] در سال ۲۰۰۲ ارائه شده و به واسطهی آن، ذخیرهسازی امن تمام سوابق شرکتها برای یک بازهی زمانی حداقل ۵ ساله، قبل از پاک کردن آنها، اجباری شده است. هدف اصلی این قانون جلوگیری از تقلب در شرکتهاست.
فناوری: محصولات امنیتی
معمولا ابزارها، فناوریها و روشهای استفاده شده در هر SOC، ترکیبی دلخواه از موارد زیر است:
AV: آنتیویروس (AV) نوعی نرمافزار امنیتی در فناوری اطلاعات است که جستجو، شناسایی، مسدودسازی و حذف بدافزارها را انجام میدهد. برنامههای آنتیویروس به طور معمول در پسزمینه اجرا شده و به جستجوی امضاهای متناظر با بدافزارهای شناخته شده و الگوهای رفتاریای میپردازند که ممکن است نمایانگر حضور بدافزار باشند،.
CASB: یک “کارگزار امنیت دسترسی به ابر”[۱۰] یک نرمافزار مبتنی بر ابر یا مستقر در محل است که بین یک مصرفکننده و یک ارائهدهندهی خدمات ابری قرار گرفته و به عنوان ابزاری برای اجرای سیاستهای امنیتی یک سازمان از طریق شناسایی خطرات و انطباق با قواعد نظارتی، در زمان دسترسی به دادههای ذخیره شده بر روی ابر آن سازمان به کار میرود.
EDR: “شناسایی و پاسخگویی به تهدیدات در نقاط پایانی” (EDR) دستهای نوظهور از ابزارها و راهکارهای امنیتی هستند که بر تشخیص، بررسی و مقابله با فعالیتهای مشکوک در نقاط پایانی و Hostها تمرکز دارند. توانایی EDR در تشخیص تهدیدهای پیشرفته (که ممکن است الگوهای رفتاری شناخته شده نداشته باشند) و بدافزارهایی که امضا متناظر با آنها ناشناخته است، ارزش آنر ا مشخص میکند. EDR همچنین میتواند بر اساس ماهیت تهدیدات تشخیص داده شده منجر به یک پاسخ انطباقپذیر شود.
EPP: “حفاظت از نقاط پایانی”[۱۱] یک نسخه کمتر پیشرفته و به صورت مرکزی مدیریت شده از EDR است که دستگاهها (لپتاپها، تبلتها و تلفنهای هوشمند) را در یک شبکه شرکتی ایمن مینماید. EPP با دیگر راهکارهای امنیتی مبتنی بر نقطه پایانی (مانند آنتیویروس، که به طور معمول در نقاط پایانی مستقل مدیریت میشوند)، تفاوت دارد.
IAM: “مدیریت هویت و دسترسی”[۱۲] به چارچوب و مجموعهای از سیاستها اشاره دارد که مدیریت هویت الکترونیکی کاربران را ایجاب میکنند. اطمینان از دستیابی کاربران به درجات دسترسی و امتیازات مناسب برای سیستمهای IT و همچنین در نظر گرفتن شاخصهای احراز هویت برای الزام اجرای این امتیازات، هدف IAM است.
IDS/IPS: سیستمهای تشخیص نفوذ [۱۳] (IDS) و سیستمهای پیشگیری از نفوذ[۱۴] (IPS) نظارت بلادرنگ بر ترافیک شبکه و هشداردهی خودکار در صورت تشخیص نشانههای به مخاطرهافتادگی (IoCها) را ارائه میدهند. تنها تفاوت مابین IDS و IPS در این است که سیستمهای پیشگیری از نفوذ گاهی میتوانند با تشخیص یک نفوذ، اقداماتی را نیز تجویز نمایند.
IR: “پاسخگویی به حوادث”[۱۵] (IR) به پروتکلها و فرایندهایی سازمانیافته اطلاق میشود که در صورت تشخیص یک نشانهی بهمخاطرهافتادگی یا تایید یک نفوذ به طور خودکار اجرا میشوند. هدف IR در یک SOC مقابلهی سریع با تهدیداتی مانند نفوذ یک بدافزار، نشت داده یا دیگر حملات سایبری و محدودسازی آسیبهای بیشتر است. بازیابی دادههای از دست رفته و احیای سیستمهای مختل شده و همچنین تجزیه و تحلیلهای پس از حادثه برای شناسایی درسهای آموخته شده از واقعه، تماما در حیطهی IR قرار دارند.
NGFW: فایروال نسل بعدی (NGFW) سیستمهای امنیت شبکهای هستند که از ترکیبی از فایروالهای شرکتی[۱۶]، فناوریهای پیشگیری از نفوذ و کنترل برنامه برای شناسایی و مسدودسازی تهدیدات پیشرفتهتر استفاده میکنند. یک NGFW میتواند با معنا بخشیدن به ترافیک برنامههای تحت وب، شناسایی و مسدودسازی فعالیتهای مخرب بسیار ماهرانه را، بهطور موثرتر انجام دهد. ابزارهای NGFW میتوانند به صورت مستقر در محل یا بر بستر فضای ابری مدیریت شوند.
SIEM: یک ابزار مدیریت وقایع و امنیت اطلاعات به متمرکزسازی تمام دادههای Log مربوط به امنیت در یک نقطه مرجع میپردازد. نرمافزار SIEM باید با طیف گستردهای از منابع داده از جمله ابزارهای امنیتی (فایروال، IDS،AV و…) ادغام شده تا بتواند تمام دادههای مرتبط را به یک کنسول مدیریت مرکزی هدایت کرده تا در آنجا به طور مداوم تجزیه و تحلیل شوند. ابزار SIEM یک مولفهی اساسی برای هر SOC میباشد.
UEBA: فناوری “تجزیه و تحلیل رفتار کاربران و موجودیتها”[۱۷] به بررسی فعالیتهای کاربران برای تمایز انحرافات از رفتارهای عادی میپردازد. فناوری UEBA به کاهش اختلالاتی مانند مثبتهای کاذب که ممکن است در تجزیه و تحلیل دادههای Log روی دهند، کمک میکند.
VM: “مدیریت آسیبپذیری”[۱۸] عبارت است از بررسی آسیبپذیریهای بالقوه به صورت پویا و در ادامه انجام اقدامات تاییدی، مقابلهای و اصلاحی موردنیاز برای بهبود کلی امنیت شبکه.
WAF: یک “فایروال برنامههای تحت وب” به نظارت، جداسازی و در صورت نیاز مسدودسازی بستههای دادهای میپردازد که از برنامههای تحت وب خارج شده یا به آنها منتقل میشوند. ابزارهای WAF در مسدودسازی حملات به برنامههای مبتنی بر وب ِ شناخته شدهای مفید هستند، که به طور معمول NGFWها را دور می زنند.
[۱] Security Operation Center
[۲] Federal Information Security Management Act
[۳] General Data Protection Regulation
[۴] Health Insurance Portability and Accountability Act
[۵] Electronic Protected Health Information
[۶] National Institute of Standards and Technology
[۷] Payment Card Industry Data Security Standard
[۸] Service Organization Control 2
[۹] Sarbanes-Oxley Act
[۱۰] Cloud Access Security Broker
[۱۱] Endpoint Protection
[۱۲] Identity Access and Management
[۱۳] Intrusion Detection System
[۱۴] Intrusion Prevention System
[۱۵] Incident Response
[۱۶] Enterprise firewall
[۱۷] User and Entity Behavior Analytics
[۱۸] Incident Response
[۱۸] Enterprise firewall
[۱۸] User and Entity Behavior Analytics
[۱۸] Vulnerability Management