ویرگول
ورودثبت نام
روزبه نوروزی
روزبه نوروزی
روزبه نوروزی
روزبه نوروزی
خواندن ۴ دقیقه·۶ ساعت پیش

چهارچوبی برای تریاژ:نقدی بر کتاب

فراتر از یک الرت قرمز: چارچوبی جامع برای تریاژ در SOC

نقدی بر کتاب زیر


چرا تریاژ ساده نیست؟
بسیاری از تحلیل‌گران تازه‌کار در SOC تصور می‌کنند تریاژ یعنی نگاه کردن به «شدت» یک الرت و تصمیم‌گیری بر اساس همان یک عدد. اما واقعیت میدان عملیاتی چیز دیگری می‌گوید: یک سازمان در روز ممکن است هزاران الرت دریافت کند، در حالی که منابع انسانی و زمانی تیم امنیت محدود است. تریاژ در حقیقت یک فرایند تصمیم‌گیری چندبعدی است، نه یک فیلتر تک‌متغیره. اگر این فرایند را به چهار معیار ساده تقلیل دهیم - شدت تهدید، همراستایی سازمانی، پوشش شناسایی، و وجود اکسپلویت فعال - بخش بزرگی از واقعیت را نادیده گرفته‌ایم. در این مقاله، یک چارچوب هفت‌بعدی تکمیلی معرفی می‌کنیم که می‌تواند مبنای طراحی سیاست‌های Escalation در یک SOC یا یک قرارداد MSSP باشد.


بعد اول: بحرانی بودن دارایی (Asset Criticality)
اولین نکته‌ای که در چارچوب‌های ابتدایی فراموش می‌شود این است که شدت یک تهدید بدون در نظر گرفتن جایگاه دارایی درگیر، معنای عملیاتی ندارد. یک اکسپلویت فعال با شدت بحرانی روی یک سرور تستی که ایزوله شده، اهمیت عملیاتی بسیار کمتری نسبت به یک الرت با شدت متوسط روی یک Domain Controller یا یک سیستم Core Banking دارد. به همین دلیل، هر چارچوب تریاژ باید یک لایه‌ی مستقل برای رتبه‌بندی دارایی‌ها داشته باشد؛ لایه‌ای که پیش از ورود الرت به فرایند تصمیم‌گیری، وزن آن را تعیین می‌کند.
بعد دوم: سطح اطمینان (Confidence Level)
هر مکانیزم شناسایی، از یک قانون Sigma گرفته تا یک مدل رفتاری در SIEM، دارای نرخی از False Positive است. یک الرت با شدت بالا اما با منبع پرنویز، نباید همان اولویتی را بگیرد که یک الرت با شواهد Correlation‌شده از چند منبع مستقل دریافت می‌کند. نادیده گرفتن این بعد باعث می‌شود تیم SOC دچار پدیده‌ای به نام «خستگی الرت» شود؛ جایی که تحلیل‌گران به مرور نسبت به هشدارهای پرتکرار و کم‌دقت بی‌تفاوت می‌شوند، و این دقیقاً همان نقطه‌ای است که یک تهدید واقعی می‌تواند در میان نویز گم شود.
بعد سوم: شعاع انفجار (Blast Radius)
وجود یک اکسپلویت فعال به‌تنهایی نمی‌گوید که تهدید تا کجا می‌تواند گسترش پیدا کند. باید پرسید: اگر این فعالیت مهار نشود، پتانسیل حرکت جانبی آن چقدر است؟ سرقت اطلاعات هویتی از یک ایستگاه کاری عادی، بار ریسکی بسیار متفاوتی نسبت به همان رخداد روی یک Jump Server متصل به سگمنت مالی دارد. تحلیل شعاع انفجار نیازمند شناخت معماری شبکه و نقشه‌ی ارتباطات بین سیستمی است، نه صرفاً بررسی یک رخداد منفرد.
بعد چهارم: حساسیت داده و الزامات قانونی
وقتی داده‌ی درگیر در یک رخداد شامل اطلاعات هویتی افراد، داده‌های مالی، یا اطلاعاتی است که تحت الزامات نظارتی مانند ISO 27001 یا مقررات نهادهای ناظر بانکی قرار دارد، حتی یک تهدید با شدت متوسط باید در اولویت بالاتری قرار گیرد. این دقیقاً همان نقطه‌ای است که مفهوم حقوقی Due Care وارد تصمیم فنی می‌شود: سازمان نه‌تنها باید تهدید را بشناسد، بلکه باید نشان دهد که برای کاهش آن اقدام کافی و مستمر انجام داده است.
بعد پنجم: زمان حضور مهاجم (Dwell Time)
یک تهدید که چند دقیقه پیش آغاز شده، از منظر پاسخ‌گویی با تهدیدی که مهاجم چند روز است در آن Persistence برقرار کرده، تفاوت اساسی دارد. هرچه Dwell Time بیشتر باشد، احتمال آن‌که مهاجم مسیرهای جایگزین برای حفظ دسترسی ایجاد کرده باشد بالاتر می‌رود. به همین دلیل، SLA پاسخ‌گویی باید بر اساس این بعد نیز تنظیم شود، نه فقط بر اساس شدت اولیه‌ی الرت.
بعد ششم: کنترل‌های جبرانی موجود
اگر یک رخداد به‌طور همزمان توسط یک کنترل جبرانی فعال، مانند Segmentation شبکه یا بلاک خودکار EDR، پوشش داده شده باشد، اولویت عملیاتی آن به‌طور طبیعی کاهش می‌یابد؛ چرا که Impact واقعی از قبل محدود شده است. این بعد اهمیت زیادی دارد چون از تخصیص نادرست منابع به رخدادهایی که در عمل قبلاً کنترل شده‌اند جلوگیری می‌کند.
بعد هفتم: زمینه‌ی نیت و اسناد مهاجم (Threat Actor Attribution)
آخرین بعد، شاید ظریف‌ترین آن‌هاست. زمانی که الگوی رفتاری یک رخداد با تاکتیک‌ها و تکنیک‌های یک گروه شناخته‌شده تطابق دارد، حتی در غیاب شواهد فنی قطعی، باید سطح تریاژ به‌صورت دستی افزایش یابد. این همان نقطه‌ای است که زمینه‌ی ژئوپلیتیکی و اطلاعاتی وارد یک تصمیم صرفاً فنی می‌شود؛ رخدادی که در نگاه اول یک الرت معمولی به نظر می‌رسد، ممکن است بخشی از یک عملیات هدفمند و از پیش برنامه‌ریزی‌شده باشد.
ترکیب ابعاد در یک ماتریس عملیاتی
برای آنکه این هفت بعد قابل استفاده در عمل باشند، باید آن‌ها را در یک ماتریس دوبعدی ترکیب کرد: محور «تأثیر» (که از ترکیب شدت تهدید، بحرانی بودن دارایی، شعاع انفجار و حساسیت داده به دست می‌آید) و محور «قطعیت» (که از ترکیب سطح اطمینان، پوشش شناسایی و زمینه‌ی اسناد مهاجم شکل می‌گیرد). هر رخداد بر اساس موقعیتش در این ماتریس، در یکی از سطوح Escalation مانند Standard، High یا Critical قرار می‌گیرد. چنین رویکردی، برخلاف چارچوب‌های چهاربعدی ساده، امکان تصمیم‌گیری قابل دفاع و مستندسازی‌شده را برای تیم امنیت فراهم می‌کند؛ چیزی که هم در حسابرسی‌های داخلی و هم در دفاع حقوقی از تصمیمات SOC اهمیت حیاتی دارد.
جمع‌بندی
تریاژ در امنیت سایبری، برخلاف تصور رایج، یک فرایند خطی و تک‌بعدی نیست. سازمان‌هایی که تریاژ را تنها بر اساس شدت تهدید یا وجود اکسپلویت فعال طراحی می‌کنند، در عمل ریسک تخصیص نادرست منابع را می‌پذیرند. یک چارچوب بالغ، دارایی، اعتماد به شواهد، پتانسیل گسترش، الزامات قانونی، زمان، کنترل‌های موجود، و زمینه‌ی مهاجم را هم‌زمان در نظر می‌گیرد. برای دانشجویانی که قصد ورود به حوزه‌ی عملیات امنیت را دارند، درک این چندبعدی بودن، نخستین گام برای تبدیل شدن از یک تحلیل‌گر سطح یک به یک تصمیم‌گیرنده‌ی راهبردی در SOC است.

امنیت سایبریمنابع انسانیبر اساس
۰
۰
روزبه نوروزی
روزبه نوروزی
شاید از این پست‌ها خوشتان بیاید