হুমকি গোয়েন্দার সারসংক্ষেপ

যেকোনো নিরাপত্তা দল কর্তৃক মোকাবেলা করার সবচেয়ে বড় চ্যালেঞ্জ হল ব্যবসায়িক প্রক্রিয়ায় সর্বনিম্ন বিঘ্ন সৃষ্টির মাধ্যমে হুমকির শনাক্তকরণ এবং প্রতিরোধ। আক্রমণকারীদের উদ্ভাবনের ব্যাপ্তি এবং গতি সাধারণ এন্টারপ্রাইজকে প্রতিরক্ষা অবস্থায় রাখে। আইটি দলগুলো প্রায়ই হুমকি প্রতিরোধ করার জন্য প্রয়োজনীয় দক্ষতা এবং সরঞ্জামের অভাব বোধ করে। যদিও তাদের এই কাঁচামালগুলো থাকে, তবুও এন্টারপ্রাইজ কেবলমাত্র সামগ্রিক হুমকি দৃশ্যপটের একটি ছোট অংশই দেখতে পায়।

হুমকি গোয়েন্দা সেবাসমূহ এই ফাঁকগুলি পূরণ করার দাবি করে, সুনির্দিষ্ট হুমকির শনাক্তকরণ এবং প্রতিরোধের জন্য প্রয়োজনীয় তথ্য প্রদান করে। TI ফিডগুলির IoCs এর তালিকাগুলি নিয়ে গঠিত, যেমন সম্ভাব্য ক্ষতিকারক IP ঠিকানা, ইউআরএল, এবং ডোমেইনস। অনেকগুলিতে হুমকির গুরুতরতা এবং ফ্রিকোয়েন্সিও অন্তর্ভুক্ত থাকবে।

এখন পর্যন্ত, বাজারে শত শত প্রদত্ত এবং অপ্রদত্ত TI ফিডস রয়েছে। হুমকি দৃশ্যপটের সম্পূর্ণ পরিসর জানা ছাড়া ফিডের গুণগত মান নির্ধারণ করা কঠিন। মিথ্যা ইতিবাচকের সম্ভাবনা কমানোর জন্য নির্ভুলতা বিশেষভাবে গুরুত্বপূর্ণ। অনেক ভুল ইতিবাচক অপ্রয়োজনীয় সতর্কতা সৃষ্টি করে যা নিরাপত্তা দলের উপর বোঝা সৃষ্টি করে, তাদের বৈধ হুমকি শনাক্তকরণে বাধা দেয়। মিথ্যা ইতিবাচকগুলি ব্যবসায়ও বিঘ্নিত করে, ব্যবহারকারীদের বৈধ সম্পদে অ্যাক্সেস করতে বাধা দেয়।

নিরাপত্তা বিশ্লেষকরা মিথ্যা ইতিবাচক প্রতিরোধ করার চেষ্টা করেছেন একাধিক ফিডের মধ্যে সাধারণ IoCs অনুসন্ধান করে। যে ফিডগুলির মধ্যে আরও বেশি শেয়ার করা IoCs থাকে সেগুলি আরও প্রামাণিক হিসেবে বিবেচিত হয়। তবে, ৩০ TI ফিড ব্যবহার করার পরেও, Cato এর নিরাপত্তা দলটি এখনও দেখতে পেয়েছিল যে যে ফিডগুলি সঠিক হিসেবে বিবেচিত হয়েছে সেগুলির ৭৮ শতাংশ মিথ্যা ইতিবাচকের সমস্যা ধরে রাখে।

চিত্র ১। এই ম্যাট্রিক্সে, আমরা TI ফিডগুলির মধ্যে IoC ওভারল্যাপের ডিগ্রি প্রদর্শন করি। হালকা রঙ বেশি ওভারল্যাপ এবং উচ্চতর ফিড সঠিকতা নির্দেশ করে। সমগ্রভাবে, ৭৫% TI ফিডগুলি উল্লেখযোগ্য ওভারল্যাপ প্রদর্শন করেছে।

নিরাপত্তা ফিডগুলিকে আরও পরিমার্জন করতে, আমরা দেখেছি যে আমাদের নিরাপত্তা ডেটাকে নেটওয়ার্ক প্রবাহের ডেটা দিয়ে বর্ধিত করা ফিডের সঠিকতা নাটকীয়ভাবে উন্নত করতে পারে। পূর্বে, নেটওয়ার্কিং প্রবাহের ডেটার সুযোগ নেয়া অনেক প্রতিষ্ঠানের জন্য অবাস্তব ছিল। নিরাপত্তা এবং নেটওয়ার্কিং যন্ত্রপাতি থেকে ইভেন্ট ডেটা নেওয়া, ডেটা স্বাভাবিক করা, ডেটা সংরক্ষণ করা এবং তারপর সেই ডেটাস্টোরে প্রশ্ন করার জন্য প্রয়োজনীয় অনুসন্ধান সরঞ্জাম তৈরির জন্য উল্লেখযোগ্য বিনিয়োগ প্রয়োজন হত।

তবে, সিকিউর অ্যাক্সেস সার্ভিস এজ (SASE) সমাধানে স্থানান্তর, নেটওয়ার্কিং এবং নিরাপত্তাকে একত্রিত করে। নিরাপত্তা বিশ্লেষকরা এখন পূর্বে অনুপলব্ধ নেটওয়ার্কিং ইভেন্ট ডেটা ব্যবহার করে তাদের নিরাপত্তা বিশ্লেষণ সমৃদ্ধ করতে সক্ষম হবেন। এই ক্ষেত্রে বিশেষভাবে সহায়ক হল বাস্তব ব্যবহারকারীদের মধ্যে প্রদত্ত IoC এর জনপ্রিয়তা।

আমাদের অভিজ্ঞতায়, বৈধ ট্রাফিক ব্যবহারকারীদের দ্বারা প্রায়ই পরিদর্শিত ডোমেইন বা IP ঠিকানায় সমাপ্ত হয়। আমরা এটি স্বতঃপ্রণোদিতভাবে বুঝি। ব্যবহারকারীরা প্রায়ই যেসব সাইট পরিদর্শন করেন তারা সাধারণত কিছু সময়ের জন্য চলমান থাকে। (আপনি যদি গবেষণা পরিবেশের সাথে কাজ না করেন, যেখানে প্রায়ই নতুন সার্ভার তৈরি হয়।) অপহরণকারীদের বিপরীতে, প্রায়ই নতুন সার্ভার এবং ডোমেইন তৈরি করে যাতে তারা URL ফিল্টারের মাধ্যমে ক্ষতিকারক হিসেবে শ্রেণিবদ্ধ না হয় এবং তাই তারা ব্লক করা না হয়।

ফলে, বাস্তব ব্যবহারকারীরা IoC লক্ষ্যসমূহে কতবার ভিজিট করেন – যাকে আমরা জনপ্রিয়তা স্কোর বলি – তা নির্ধারণ করে নিরাপত্তা বিশ্লেষকরা সম্ভাব্য মিথ্যা ইতিবাচক IoC লক্ষ্য গুলি চিহ্নিত করতে পারেন। যত কম ব্যবহারকারী ট্রাফিক কোনো IoC লক্ষ্যবস্তুতে যায়, তার জনপ্রিয়তা স্কোর তত কম হয়, এবং লক্ষ্যবস্তুটি ক্ষতিকারক হওয়ার সম্ভাবনা তত বেশি হয়।

কাটো-তে, আমরা আমাদের সকল গ্রাহকদের ব্যবহারকারীদের প্রতিটি প্রবাহ থেকে মেটাডেটা থেকে তৈরি করা একটি ডেটা ওয়্যারহাউসে মেশিন লার্নিং অ্যালগরিদম চালিয়ে জনপ্রিয়তা স্কোরিং নির্ধারণ করি। আপনি আপনার নেটওয়ার্কের বিভিন্ন লগ এবং সরঞ্জাম থেকে নেটওয়ার্কিং তথ্য সংগ্রহ করে অনুরূপ কিছু করতে পারেন।

TI ফিডগুলিতে পাওয়া ভুল ইতিবাচকগুলি আলাদা করতে, আমরা দুটি উপায়ে ফিডগুলির স্কোর করেছি: "ওভারল্যাপ স্কোর" যা ফিডগুলির মধ্যে ওভারল্যাপিং IoC-গুলির সংখ্যা নির্দেশ করে এবং "জনপ্রিয়তা স্কোর"। আদর্শভাবে, আমরা চাই যে TI ফিডগুলির উচ্চ ওভারল্যাপ স্কোর এবং নিম্ন জনপ্রিয়তা স্কোর থাকুক। অত্যন্ত ক্ষতিকারক IoC'গুলি সাধারণত একাধিক হুমকি গোয়েন্দা পরিষেবা দ্বারা সনাক্ত করা যায় এবং, যেমনটি উল্লেখ করা হয়েছে, আসল ব্যবহারকারীদের দ্বারা খুব কমই তাদের অ্যাক্সেস করা হয়।

তবে, আমরা যা পেয়েছি তা ঠিক তার বিপরীত ছিল। অনেক TI ফিডগুলির (৩০ শতাংশ) IoCs এর নিম্ন ওভারল্যাপ স্কোর এবং উচ্চ জনপ্রিয়তা স্কোর ছিল। এই TI ফিডগুলিতে IoCs ব্লক করা অপ্রয়োজনীয় নিরাপত্তা সতর্কতা তৈরি করবে এবং ব্যবহারকারীদের হতাশ করবে।

চিত্র 2। নেটওয়ার্কিং তথ্য যুক্ত করার মাধ্যমে, আমরা সাধারণত হুমকি গোয়েন্দা ফিডগুলিতে পাওয়া ভুল ইতিবাচকগুলি বাদ দিতে পারি। এই উদাহরণে, আমরা ৩০টি হুমকি গোয়েন্দা ফিডের গড় স্কোর দেখি (নাম সরানো হয়েছে)। রেখার উপরে যারা আছে তাদের সঠিক বিবেচনা করা হয়। স্কোর হল ফিডের জনপ্রিয়তা এবং অন্যান্য TI ফিডের সাথে ওভারল্যাপের সংখ্যার অনুপাত। সাধারণভাবে, ৩০% ফিড ভুল ইতিবাচক অন্তর্ভুক্ত করে বলে পাওয়া গেছে।

নেটওয়ার্কিং তথ্য ব্যবহার করে, আমরা বেশিরভাগ ভুল ইতিবাচকগুলি দূর করতে পারতাম, যা একেতেই সংস্থার জন্য উপকারী। নিরাপত্তা প্রক্রিয়ায় এই অন্তর্দৃষ্টি ফিরিয়ে নিয়ে যাওয়া হলে, ফলাফল আরও উন্নত হয়। একবার সম্পদকে কম্প্রোমাইজ হিসেবে বিবেচনা করা হলে, বাহ্যিক হুমকি বুদ্ধিমত্তা স্বয়ংক্রিয়ভাবে প্রতিটি যোগাযোগ যা হোস্ট তৈরি করে তার সাথে সমৃদ্ধ করা যায়, নতুন বুদ্ধিমত্তা উৎপন্ন করতে। সংক্রামিত হোস্ট যে ডোমেইন এবং আইপি সংযুক্ত করেছিল, এবং ডাউনলোড করা ফাইলগুলি, স্বয়ংক্রিয়ভাবে ক্ষতিকারক চিহ্নিত করা যায় এবং IoC তে যোগ করা যেতে পারে যা নিরাপত্তা ডিভাইসগুলেতে যায় যাতে আরও বেশি সুরক্ষা হয়।

কাটো গ্রাহকদের অভ্যন্তরীণ হুমকি সনাক্তকরণ ক্ষমতা সুসংহতভাবে প্রসারিত করে, যাতে সংযোগের সংক্রমিত বা ম্যালওয়্যার আক্রান্ত এন্ডপয়েন্টের জন্য নেটওয়ার্ক নিয়মিত মনিটর করে। কারণ নেটওয়ার্ক ট্রাফিক কাটো মধ্য দিয়ে প্রবাহিত হয়, আমরা এজেন্ট বা ডিভাইস ইনস্টল না করেই চলমান হুমকির শূন্য পাদচিহ্ন শনাক্তকরণ সরবরাহ করতে পারি।

কাটো সেবা একটি পরিচালিত হুমকি সনাক্তকরণ এবং প্রতিক্রিয়া (MDR) প্রদান করে যা আপনার নেটওয়ার্ক এবং সংযুক্ত ডিভাইসগুলির সুরক্ষায় সাহায্য করতে সহায়ক হয়। কাটো MDR নেটওয়ার্ক ট্রাফিক থেকে সমঝোতার সূচক খুঁজতে মেশিন লার্নিং অ্যালগরিদমের মিশ্রণ এবং সনাক্ত অস্বাভাবিক কার্যকলাপের মানব যাচাইকরণ ব্যবহার করে। তারপর কাটো বিশেষজ্ঞরা গ্রাহকদের কম্প্রোমাইজ এন্ডপয়েন্ট ব্যবস্থা করার জন্য দিকনির্দেশনা দেন।

MDR সেবা সম্পর্কে আরও তথ্যের জন্য, ইনসার্ট করুন থাম্বপ্রিন্ট ৪০ অক্ষরের কোড।