10 معیار خرید برای امنیت کلان داده

در این پست موارد زیر در رابطه با معیار خرید برای امنیت کلان داده ، بررسی خواهد شد.

▶_▶ پرهیز از پیشنهادات امنیت ابرداده ای سطح پایین

▶▶ ایجاد یک چک لیست از معیار های خرید

▶_▶ بفهمیم که در یک راه حل به دنبال چه باشیم

همه ی راه حل های امنیتی کلان داده ها به طور یکسان ایجاد نشده اند. 

بازده ، مقیاس پذیری و انعطاف پذیری راه حل به عنوان کیفیت کار فروشنده در نظر گرفته می شوند.

در این بخش ده معیار خرید برای ارزیابی راه حل های امنیتی کلان داده ها فراهم شده است

ابتدا از چند اشتباهی که در اینجا آورده شده باید پرهیز شود:

• راه حل هایی که بجای گرفتن همه ی بسته هایی که در شبکه گردش می کنند از بسته ها نمونه گیری میکنند.
• راه حل هایی که نمیتوانند با سرعت شبکه شما هماهنگ شوند.
• راه حل هایی که انعطاف پذیری گزینه های نرم افزار پایه و تجهیزات مجازی را فراهم نمی کنند (بنابراین شما را به یک فروشنده برای سخت افزار، نرم افزار وفضای ذخیره سازی وابسته می کنند)
• راه حل هایی که با زیرساخت های امنیتی شما یکپارچه نمی شوند.
• راه حل هایی که برای پیکربندی نیاز به یک دانشمند موشکی و برای استفاده نیاز به یک دانشمند شبکه دارند.
• فروشندگانانی که سابقه هیچگونه موفقیت در بخش های بازرگانی، دفاعی، آژانسها و بخش دولتی را ندارند.

حالا که متوجه شدیم نباید به دنبال چه چیزهایی باشیم به ادامه مطالعه در مورد بازبینی ویژگی های یک راه حل امنیت کلان داده که باید به دنبال آن باشیم می پردازیم.

انعطاف پذیری اسقرار

اگرچه اکثر سازمان ها ترجیه میدهند که راه حل هایی که شامل لوازم جانبی سخت افزاری هستند به دست آورند، برخی دیگر انعطاف پذیری انتخاب پلتفرم سخت افزاری خودشان را ترجیح می دهند، شاید به دلیل جا دادن آرایه های ذخیره سازی بزرگتری که بیشتر از چیزیست که فروشنده می تواند فراهم کند یا اینکه به سادگی از سخت افزار موجود دوباره استفاده کند.

همچنین برخی از آژانس های دولتی مخصوصا نظامی نیاز دارند که همه نرم افزارها بر روی سخت افزارهایی که در لیست محصولات تایید شده هستند نصب شوند.

با انتخاب فروشنده امنیت ابرداده ای که سخت افزار، نرم افزار و نسخه های ابزار مجازی ارائه می دهد از وابسته شدن به سخت افزار اختصاصی اجتناب کنید و انعطاف پذیری نصب را بر اساس نیازهای کسب و کارتان حفظ کنید.

به دست آوردن کامل بسته ها

بعضی تحلیل گران امنیتی بلند پرواز پیشنهاد میدهند که فقط ترافیک نمونه را به دست آوریم زیرا سخت افزار قدرت اسب بخار برای گرفتن تمام بسته ها با سرعت 10 گیگابایت بر ثانیه را ندارد. دیگر پیشنهاد های اولیه ممکن است توان پردازشی کافی داشته باشند ولی آنها فقط نمونه برداری آماری از داده ها با سرعت گزارش سازی را انجام می دهند. و دیگران نیز فقط وقتی که یک زنگ هشدار به صدا درآمده باشد ترافیک را ضبط می کنند و شواهد اینکه قبل از هشدار چه اتفاقی افتاده است را از بین می برند.

اگرچه نمونه برداری از بسته ها و ضبط کردن انتخابی میتواند کارائی را بهبود ببخشد ولی ریسک از دست دادن بسته های مهم برای شناسایی دقیق تهدیدات، قابل توجه است. شما یک سیستم نظارت ویدئویی که به جز اینکه هر 10 ثانیه عکس های ثابت بگیرد هیچ کاری دیگری نمی کند را نمی خرید. مطمئن شوید که توجه به راه حلهای تجزیه و تحلیل امنیتی محدود شود به آنهایی که به طور کامل بسته ها را ضبط و آنالیز می کنند و می توانند این کار را مثل ساعت انجام دهند.  

 

بازرسی عمیق بسته ها

یک راه حل با کیفیت امنیت ابرداده باید توانایی اجرای بازرسی عمیق بسته ها در لایه 2 تا 7 مدل OSI را داشته باشد. مهمتر از همه، کاربران باید قادر به مشاهده و تجزیه و تحلیل داده های خود را با زمینه کامل ارائه شده از جمله ویژگی های فراداده به عنوان نام کاربری و نام برنامه باشند.

دسته بندی کردن دقیق داده ها یکی از مهمترین کارهاست وقتی در حال بازرسی وقایع امنیتی باشیم کابران را قادر میسازد تا داده ها را سریعا پیدا کنند بجای اینکه مجبور باشیم بسته ها را به صورت دستی آنالیز کنیم تا ویژگیهایی مثل نام کاربری و اپلیکیشن ها را شناسایی کنیم. این نیز به علت پیروی از سیاست های استفاده قابل قبول از سازمان مهم است. به عنوان مثال، بسیاری از سازمانها دارای سیاست هایی هستند که اجازه می دهد در دفتر از فیس بوک دیدن کنند ولی در این نرم افزار پیام ارسال نکنند. فقط بهترین راه حل های امنیتی ابرداده می تواند این فعالیت ها را در یک برنامه واحد مانند فیس بوک تمایز دهد.

کارایی و مقیاس پذیری سازمانی

یک راه حل امنیت ابرداده می تواند هر ویژگی ممکنی که به ذهن خطور کند داشته باشد، اما اگر نمی تواند جمع آوری و تجزیه و تحلیل داده ها را هماهنگ با سرعت شبکه شما انجام دهد، از شانس بد شماست.

علاوه بر این راه حل شما، باید با رشد سازمانتان گسترش یابد (یا تصمیم بگیرد بر بخش های بیشتر شبکه نظارت کند). برای دستیابی به مقیاس پذیری سطح سازمانی که نیاز دارید، ممکن است نیاز به خرید چندین ابزار تجزیه و تحلیل امنیتی داشته باشید. اگر چنین است، مطمئن باشید که یک راه حل را با یک کنسول مدیریت مرکزی انتخاب کنید که بتواند داده ها را از ابزارهای لایه پایینی خود جمع کند، نما های متمرکز شده ای را فراهم کند که ساخت داشبورد ها ، گزارش ها و هشدارها را آسانتر سازد.

دیدگاه پلت فرم مجازی

ابزار تحلیل امنیت فیزیکی نمی توانند ترافیک VM-to-VM  (ماشین مجازی به ماشین مجازی) را دریافت و آنالیز کند، بنابراین یک پلت فرم تجزیه و تحلیل امنیتی که با نرم افزار مجازی دستگاه که به طور مستقیم به سوئیچ مجازی پلت فرم مجازی سازی شما ادغام می شود را انتخاب کنید. داده های دریافت شده توسط دستگاه مجازی باید از کنسول مدیریت مرکزی برای تجمیع، نظارت، گزارش گیری و هشدار مرکزی قابل دسترسی باشند.

بازسازی و پخش محتوا

در بخش 3، توصیف شد که چگونه سیستم های تجزیه و تحلیل امنیتی محتوا را برای مشاهده در قالب اولیه بازسازی می کنند – هر چیزی از اسناد و تصاویر تا پیام های چت و ایمیل ها. یک راه حل تجزیه و تحلیل امنیتی را انتخاب کنید که بازپخش محتوای کامل را برای به حداکثر رساندن اثربخشی تحقیقات کارکنان و تلاش های دید شما ارائه دهد.

پیشنهادات بهتر تحلیل امنیتی به شما این امکان را می دهد که سیاست هایی را تنظیم کنید که به طور خودکار محتوای بازسازی شده را برای تحلیل بیشتر به یک دستگاه امنیتی شخص ثالث دیگر ارسال می کنند – مانند یک سیستم پیشگیری از نفوذ (IPS)، سیستم پیشگیری از دست دادن داده (DLP) یا ابزارهای تحلیل بدافزار

اطلاعات تهدید جهانی

راه حل های تجزیه و تحلیل امنیتی از ابزارهایی که تهدیدات را وارسی می کنند به ابزارهایی که تهدیدات را  تشخیص نیز می دهند، تکامل یافته اند.

سیستم های تحلیلی امنیتی پیشرفته به طور مداوم تهدیدات اطلاعات جهانی به روز شده، که ویژگی های IP، URL، فایل های اعتبار بخار و اطلاعات جغرافیایی را دارند، ارائه می دهند.

اگر پلت فرم تجزیه و تحلیل امنیتی که می خواهید آن را ارزیابی کنید، اطلاعات تهدید جهانی تهیه شده توسط جوامع اطلاعاتی بزرگ را به منظور شناسایی تهدیدها ارائه نمی کند ، از آن صرف نظر کنید. در غیر این صورت، شما در یک راه حل سرمایه گذاری می کنید که سود کمی دارد.

یکپارچگی گسترده با شخص ثالث

شما باید راه حل امنیت ابرداده خود را با زیرساخت های امنیتی موجود خود یکپارچه سازی کنید تا هر زمان که خواستید بتوانید تحقیقات را سرعت ببخشید و تهدیدات سایبری را شناسایی کنید. عموم یکپارچه سازی امنیت ابرداده ها که از سوی سازمان های امنیتی IT پذیرفته شده شامل موارد زیر است:

• مدیریت اطلاعات امنیتی و رویدادها (SIEM)
• سیستم پیشگیری از نفوذ (IPS)
• دیوار آتش نسل جدید (NGFW)
• کاراگاه نقطه پایانی (Endpoint Forensics)
• ابزار های تحلیل بد افزار

برای اطلاعات بیشتر در مورد این موضوع، به بخش 5 مراجعه کنید.

تامین کننده امنیت ابرداده ای را انتخاب کنید که بتواند راه حل اش را در پلتفرم های محبوب امنیت شبکه ادغام کند. حداقل، یک فروشنده را انتخاب کنید که یک اتصال جهانی را ارائه می دهد (نگاه کنید به فصل 3)، که به راحتی بتوانید درخواست های تان را به راه حل امنیت ابرداده خود از طریق محصولات امنیتی شبکه ی مبتنی بر کنسول وب بفرستید.

راحتی در استفاده

مهم نیست که یک راه حل امنیت ابرداده چقدر قدرتمند، مقیاس پذیر و دارای ویژگی های غنی است، اگر کاربران نمی توانند بفهمند که چگونه از آن استفاده کنند عملا بی ارزش است. مطمئن شوید که فقط راه حل های امنیت ابرداده ای را که ویژگی های آن قابل استفاده آسان، دارای داشبورد قابل تنظیم، گزارش گیری (نگاه کنید به شکل 6-1) و هشدار باشد را در نظر بگیرید. چنین راه حل هایی باید یافتن و تجزیه و تحلیل جریان های ترافیکی مورد نظر و جمع آوری شواهد برای کمک به پاسخ دهندگان وقایع برای تعیین علت اصلی و تاثیرات اساسی حملات موفق را راحتتر کنند.

پاسخگویی و پشتیبانی مشتری

انتخاب یک فروشنده امنیت ابرداده اگر بیشتر از انتخاب محصولات امنیتی ابرداده ها مهم نباشد به همان اندازه اهمیت دارد. مطمئن شوید فروشنده ای را انتخاب می کنید که بر روی امنیت تمرکز دارد و آن را به عنوان یک محصول جانبی کاراگاهی (Forensics) یا نظارت بر عملکرد شبکه ارائه ندهد.

در طول مرحله ارزیابی، بهانه ای برای تماس با بخش پشتیبانی مشتری در چندین مورد پیدا کنید. در نظر بررسی کنید که فروشنده چگونه به هر تلفن و پست الکترونیکی شما پاسخ می دهد و اینکه آیا مشکل به طور رضایت بخشی حل شده است یا نه.

مترجم: علیرضا کامرانی

آدرس کانال تلگرام ما:

t.me/bigdata_channel

آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel

Visits: 671