إضفاء الطابع الديمقراطي على المعلومات الأمنية باستخدام Forcepoint Dynamic Intelligence Manager
كتب : نهله مقلد
كشفت دراسة استقصائية حديثة حول الأمن السيبراني ومتخصصي تكنولوجيا المعلومات أن 78٪ من المؤسسات تستخدم أكثر من 50 منتجاً مختلفاً للأمن السيبراني لمعالجة أهدافها الأمنية وحماية مواردها. في غضون أيام قليلة ، أبرز استطلاع آخر أن 86٪ من المؤسسات تعتمد على ما يصل إلى 20 من مزودي خدمات الأمن. لن أناقش ما إذا كانت هذه الأرقام كبيرة جداً أو صحيحة تماماً: فلكل شركة وضع أمان مختلف، وتصور مختلف للمخاطر ومحيط فريد مصنوع من الخدمات داخل الشركة والسحابة.
تكمن المشكلة مع مجموعة متزايدة باستمرار من منتجات ومزودي خدمات الأمان في أنه على الرغم من المعايير العديدة المتوفرة حالياً في مجال الأمن السيبراني الحديث، فإن النتائج الأمنية التي تم تحديدها بواسطة منتج واحد لا تتوفر عادةً عبر جميع المنتجات ، بل إن النتائج تكون أقل احتمالاً للتبادل عبر الحلول من مزودين مختلفين. هذا هو السبب في أن المنظمات تشتري أدوات SIEM لتلقي النتائج والتنبيهات وتجميعها وربطها.
النتيجة النهائية ، ينتهي الأمر بالمؤسسات إلى بناء أنظمة بيئية صغيرة من منتجات رائعة للأجهزة التي يمكن أن توفر حماية أفضل إذا تم تحديد رؤى الأمان فقط بواسطة كل منتج حيث يتم مشاركتها تلقائياً وفي الوقت المناسب عبر جميع المكونات التي تؤمن الحماية للطبقات المختلفة لمجموعة التكنولوجيا.
والأهم من ذلك، أنه ينبغي أن يكون بإمكان المطورين داخل المؤسسة الوصول لهذا التيار من المعلوامت من خلال دمج المزيد من المصادر، وأتمتة تبادل المعلومات الاستخبارية مع منتجات الجهات الخارجية. من الناحية المثالية ، يجب أن يتم ذلك باستخدام مجموعة نظيفة من واجهات برمجة التطبيقات التي توفر القدرة على استيعاب / تصدير البيانات وإجراء الاستعلامات وعمليات البحث في مخزن المعلومات بأكمله.
للمساعدة في معالجة كل هذه المشكلات ، طورت Forcepoint منتجاً مجانياً ومفتوح المصدر لمساعدة مجتمع المطورين على زيادة فعالية أمان مؤسساتهم.
Dynamic Intelligence Manager (DIM)
Forcepoint Dynamic Intelligence Manager (DIM) هو حل معياري يوفر استيعاباً آلياً لنتائج الأمان من مصادر متعددة وغير متجانسة وكذلك يوفر التصدير الأوتوماتيكي إلى وجهات متعددة غير متجانسة ، بحيث يمكن للمؤسسات الاستفادة بسهولة من مجموعة متنوعة من المعلومات وجعلها متاحة عبر التنسيقات والمنتجات من أجل أجهزتهم الأمنية وتطبيقاتها.
في إصداره الأول DIM يعالج العناصر التالية:
→ عناوين IPv4 والإدخالات الفردية والنطاقات بأكملها.
→ أسماء النطاقات ، دعم أحرف البدل (على سبيل المثال * .badsite.com)
→ عناوين المواقع
ويوفر العديد من الوحدات النمطية الافتراضية التي يمكن للعملاء استخدامها لاستيراد المعلومات الأمنية من:
→ أي مصدر مخصص عبر الشبكة (تنسيقات CSV و TXT) أو تحميل الملفات محلياً في سيناريوهات الأجهزة المعزولة
← أي موجز TAXII يقدم معلومات استخبارية بتنسيق STIX (2.0)
→ Amazon GuardDuty
القائمة الكاملة للعناصر المخزنة في DIM متاحة من أجل:
→ Forcepoint Secure Web Gateway ، لحماية جميع المستخدمين في جميع أنحاء المؤسسة من التهديدات المستندة إلى الويب
→ Forcepoint Next Generation Firewall ، لتأمين حركة مرور الشبكة للمستخدمين والأجهزة وأحمال العمل سواء في مكان العمل أو عبر موفري السحابة
→ أي منتج تابع لجهة خارجية ، باستخدام وحدة DIM Lookup التي توفر نقطة نهاية آمنة لواجهة برمجة التطبيقات للتحقق من DIM بحال عُرف عنصر معين
المميزات:
تم تصميم Dynamic Intelligence Manager مع وضع المنظمات الحديثة في الاعتبار: فهو يقوم بالمهمة تلقائياً ، بأقل قدر من الموارد ، بطريقة شفافة تماماً مع القدرة على التوسع دون المزيج المعتاد من التحديثات والترقيات.
بداية، يتم تشغيل DIM على أي مضيف دوكر (Docker host) (بسعة 2 غيغابايت فقط من ذاكرة RAM و 2 vCPU) مما يخرج تعقيدات التثبيت من المعادلة. يتم توفير صورة الدوكر (Docker Image)مجاناً ، دون الحاجة إلى التسجيل ، ويبلغ حجمها 70 ميجا بايت فقط! إذا كنت ستستخدمه على مدار الساعة طوال أيام الأسبوع على AWS (باستخدام مثيل EC2 الصغير) ، فإن التكلفة الإجمالية للملكية ستكون حوالي 50 دولاراً فقط.
يتم تثبيت جميع الوحدات باستخدام واجهة المستخدم الخاصة بـ DIM نفسها: انقر فوق علامة التبويب "السوق" وانقر لتثبيت الوحدة. في بضع لحظات ، يتم نشر حاوية للوحدة وتكون الوحدة متاحة للتكوين: بعد ذلك تصبح الوحدة جاهزة للعمل وستستمر في العمل على فترات متكررة كما حددها المستخدم. في أي وقت تُنشئ فيه Forcepoint وحدات جديدة ، تظهر هذه الوحدات تلقائياً في السوق: لست بحاجة إلى متابعة التحديثات والترقية لإضافة وظائف جديدة.
صديقة للمطورين:
يمكن للمطورين بناء وحدات مخصصة ببساطة باتباع وثائق DIM العامة. DIM هي لغة حيادية ويمكن كتابة الوحدات بأي لغة طالما أنها تلتزم بعقود API. تمت كتابة جميع الوحدات التي طورتها Forcepoint بلغة Go أو Python ، نظراً لسهولة التطوير والأداء وقابلية إعادة الاستخدام ثم دمجها في صور عامل الإرساء لسهولة النقل.
قد ترغب المنظمات التي لديها سياسات أمنية صارمة للغاية في النظر تحت الغطاء قبل تشغيل أداة جديدة في بنيتها التحتية. شفرة المصدر لجميع الوحدات التي تستخدمها DIM متاحة للجمهور داخل GitHub في Forcepoint ويمكن فحصها قبل نشر DIM. علاوة على ذلك ، تم ترخيص DIM بترخيص Apache 2.0 ، والذي يسمح للمطورين بالبناء استناداً على عملنا. الأهم من ذلك: لا يوجد تتبع أو تتبع عن بُعد ، لذا تظل معلوماتك واستخدامك لها أمراً خاصاً.
أخيراً، إذا كنت تستخدم شيئاً مشابهاً في الماضي ، فربما تكون قد شاهدت إيجابيات خاطئة ناتجة عن أدوات آلية ذهبت بعيداً بعض الشيء. تأتي DIM مع ميزة Safelist التي تمكن المستخدمين من تحديد العناصر الآمنة المعروفة (على سبيل المثال ، مجالات الشركة الخاصة بك ، وعناوين IP العامة لأحمال العمل والموارد عبر المواقع الجغرافية) وسيتم تصفية العناصر الموجودة في Safelist قبل أن يتم التصدير ، بحيث لا يتلقى أي منتج متراجع ايجابيات كاذبة.
ماذا بعد
تعمل Forcepoint بنشاط على تطوير Dynamic Intelligence Manager ، بحيث يمكن توفير أنواع ووحدات ذكاء جديدة للمستخدمين لزيادة تحسين مخزون معلوماتهم المبني على DIM. على سبيل المثال ، نحن نعمل على استيعاب وتخزين وتصدير تواقيع SNORT وتجزئة ملفات SHA256 بنفس سهولة الاستخدام المتاحة حالياً لجميع أنواع المعلومات الاستخباراتية الأخرى.
في غضون ذلك ، إذا كنت تريد معرفة المزيد وتجربة Dynamic Intelligence Manager في مؤسستك ، فاستخدم الروابط التالية:
→ Dynamic Intelligence Manager - معلومات المنتج
