فراتر از یک الرت قرمز: چارچوبی جامع برای تریاژ در SOC
نقدی بر کتاب زیر
چرا تریاژ ساده نیست؟
بسیاری از تحلیلگران تازهکار در SOC تصور میکنند تریاژ یعنی نگاه کردن به «شدت» یک الرت و تصمیمگیری بر اساس همان یک عدد. اما واقعیت میدان عملیاتی چیز دیگری میگوید: یک سازمان در روز ممکن است هزاران الرت دریافت کند، در حالی که منابع انسانی و زمانی تیم امنیت محدود است. تریاژ در حقیقت یک فرایند تصمیمگیری چندبعدی است، نه یک فیلتر تکمتغیره. اگر این فرایند را به چهار معیار ساده تقلیل دهیم - شدت تهدید، همراستایی سازمانی، پوشش شناسایی، و وجود اکسپلویت فعال - بخش بزرگی از واقعیت را نادیده گرفتهایم. در این مقاله، یک چارچوب هفتبعدی تکمیلی معرفی میکنیم که میتواند مبنای طراحی سیاستهای Escalation در یک SOC یا یک قرارداد MSSP باشد.

بعد اول: بحرانی بودن دارایی (Asset Criticality)
اولین نکتهای که در چارچوبهای ابتدایی فراموش میشود این است که شدت یک تهدید بدون در نظر گرفتن جایگاه دارایی درگیر، معنای عملیاتی ندارد. یک اکسپلویت فعال با شدت بحرانی روی یک سرور تستی که ایزوله شده، اهمیت عملیاتی بسیار کمتری نسبت به یک الرت با شدت متوسط روی یک Domain Controller یا یک سیستم Core Banking دارد. به همین دلیل، هر چارچوب تریاژ باید یک لایهی مستقل برای رتبهبندی داراییها داشته باشد؛ لایهای که پیش از ورود الرت به فرایند تصمیمگیری، وزن آن را تعیین میکند.
بعد دوم: سطح اطمینان (Confidence Level)
هر مکانیزم شناسایی، از یک قانون Sigma گرفته تا یک مدل رفتاری در SIEM، دارای نرخی از False Positive است. یک الرت با شدت بالا اما با منبع پرنویز، نباید همان اولویتی را بگیرد که یک الرت با شواهد Correlationشده از چند منبع مستقل دریافت میکند. نادیده گرفتن این بعد باعث میشود تیم SOC دچار پدیدهای به نام «خستگی الرت» شود؛ جایی که تحلیلگران به مرور نسبت به هشدارهای پرتکرار و کمدقت بیتفاوت میشوند، و این دقیقاً همان نقطهای است که یک تهدید واقعی میتواند در میان نویز گم شود.
بعد سوم: شعاع انفجار (Blast Radius)
وجود یک اکسپلویت فعال بهتنهایی نمیگوید که تهدید تا کجا میتواند گسترش پیدا کند. باید پرسید: اگر این فعالیت مهار نشود، پتانسیل حرکت جانبی آن چقدر است؟ سرقت اطلاعات هویتی از یک ایستگاه کاری عادی، بار ریسکی بسیار متفاوتی نسبت به همان رخداد روی یک Jump Server متصل به سگمنت مالی دارد. تحلیل شعاع انفجار نیازمند شناخت معماری شبکه و نقشهی ارتباطات بین سیستمی است، نه صرفاً بررسی یک رخداد منفرد.
بعد چهارم: حساسیت داده و الزامات قانونی
وقتی دادهی درگیر در یک رخداد شامل اطلاعات هویتی افراد، دادههای مالی، یا اطلاعاتی است که تحت الزامات نظارتی مانند ISO 27001 یا مقررات نهادهای ناظر بانکی قرار دارد، حتی یک تهدید با شدت متوسط باید در اولویت بالاتری قرار گیرد. این دقیقاً همان نقطهای است که مفهوم حقوقی Due Care وارد تصمیم فنی میشود: سازمان نهتنها باید تهدید را بشناسد، بلکه باید نشان دهد که برای کاهش آن اقدام کافی و مستمر انجام داده است.
بعد پنجم: زمان حضور مهاجم (Dwell Time)
یک تهدید که چند دقیقه پیش آغاز شده، از منظر پاسخگویی با تهدیدی که مهاجم چند روز است در آن Persistence برقرار کرده، تفاوت اساسی دارد. هرچه Dwell Time بیشتر باشد، احتمال آنکه مهاجم مسیرهای جایگزین برای حفظ دسترسی ایجاد کرده باشد بالاتر میرود. به همین دلیل، SLA پاسخگویی باید بر اساس این بعد نیز تنظیم شود، نه فقط بر اساس شدت اولیهی الرت.
بعد ششم: کنترلهای جبرانی موجود
اگر یک رخداد بهطور همزمان توسط یک کنترل جبرانی فعال، مانند Segmentation شبکه یا بلاک خودکار EDR، پوشش داده شده باشد، اولویت عملیاتی آن بهطور طبیعی کاهش مییابد؛ چرا که Impact واقعی از قبل محدود شده است. این بعد اهمیت زیادی دارد چون از تخصیص نادرست منابع به رخدادهایی که در عمل قبلاً کنترل شدهاند جلوگیری میکند.
بعد هفتم: زمینهی نیت و اسناد مهاجم (Threat Actor Attribution)
آخرین بعد، شاید ظریفترین آنهاست. زمانی که الگوی رفتاری یک رخداد با تاکتیکها و تکنیکهای یک گروه شناختهشده تطابق دارد، حتی در غیاب شواهد فنی قطعی، باید سطح تریاژ بهصورت دستی افزایش یابد. این همان نقطهای است که زمینهی ژئوپلیتیکی و اطلاعاتی وارد یک تصمیم صرفاً فنی میشود؛ رخدادی که در نگاه اول یک الرت معمولی به نظر میرسد، ممکن است بخشی از یک عملیات هدفمند و از پیش برنامهریزیشده باشد.
ترکیب ابعاد در یک ماتریس عملیاتی
برای آنکه این هفت بعد قابل استفاده در عمل باشند، باید آنها را در یک ماتریس دوبعدی ترکیب کرد: محور «تأثیر» (که از ترکیب شدت تهدید، بحرانی بودن دارایی، شعاع انفجار و حساسیت داده به دست میآید) و محور «قطعیت» (که از ترکیب سطح اطمینان، پوشش شناسایی و زمینهی اسناد مهاجم شکل میگیرد). هر رخداد بر اساس موقعیتش در این ماتریس، در یکی از سطوح Escalation مانند Standard، High یا Critical قرار میگیرد. چنین رویکردی، برخلاف چارچوبهای چهاربعدی ساده، امکان تصمیمگیری قابل دفاع و مستندسازیشده را برای تیم امنیت فراهم میکند؛ چیزی که هم در حسابرسیهای داخلی و هم در دفاع حقوقی از تصمیمات SOC اهمیت حیاتی دارد.
جمعبندی
تریاژ در امنیت سایبری، برخلاف تصور رایج، یک فرایند خطی و تکبعدی نیست. سازمانهایی که تریاژ را تنها بر اساس شدت تهدید یا وجود اکسپلویت فعال طراحی میکنند، در عمل ریسک تخصیص نادرست منابع را میپذیرند. یک چارچوب بالغ، دارایی، اعتماد به شواهد، پتانسیل گسترش، الزامات قانونی، زمان، کنترلهای موجود، و زمینهی مهاجم را همزمان در نظر میگیرد. برای دانشجویانی که قصد ورود به حوزهی عملیات امنیت را دارند، درک این چندبعدی بودن، نخستین گام برای تبدیل شدن از یک تحلیلگر سطح یک به یک تصمیمگیرندهی راهبردی در SOC است.