بسیاری از SOCها هنوز امنیت هویت را به پایش ورودهای موفق و ناموفق محدود میکنند. اما در عصر سرقت Cookie، سوءاستفاده از Tokenها و حملات Account Takeover، ورود موفق دیگر به معنای اعتماد کامل نیست.
یکی از رویکردهای نوین در امنیت هویت، ارزیابی مستمر ریسک نشست (Continuous Session Risk Assessment) است. در این مدل، پس از ورود کاربر، رفتار نشست بهصورت مداوم تحلیل میشود. آیا کاربر از دستگاهی ناشناس متصل شده است؟ آیا موقعیت جغرافیایی او بهطور ناگهانی تغییر کرده است؟ آیا حجم دانلود دادهها غیرعادی است؟ آیا الگوی فعالیت او با رفتار تاریخیاش همخوانی دارد؟
در Splunk Enterprise Security میتوان با استفاده از قابلیت Risk-Based Alerting، برای رویدادهای مشکوک مرتبط با User، Host یا سایر Risk Objectها امتیاز ریسک تعریف و آنها را تجمیع کرد. این قابلیت بهصورت ذاتی یک موتور ریسک نشست نیست، اما زیرساخت لازم را برای پیادهسازی چنین رویکردی فراهم میکند.
آنچه این روزها ذهن مرا درگیر کرده، بررسی این موضوع است که آیا میتوان با ترکیب لاگهای هویت، وب، پروکسی و SSO، به سؤالاتی مانند این پاسخ داد: این Cookie متعلق به کدام نشست است؟ آیا این همان مرورگر قبلی است؟ آیا نشانهای از سرقت Token وجود دارد؟
شاید در دنیای امروز، مهمترین سؤال دیگر این نباشد که چه کسی وارد شد؟ بلکه این باشد که: آیا هنوز میتوان به این نشست اعتماد کرد؟
آیا شما تا امروز در پیادهسازی Splunk به این مرحله رسیدهاید؟ و به نظر شما، محدودیت دادهها و منابع تا چه حد اجازه تحقق چنین ایدهای را میدهند؟
