Backstory

پروژه ۱ ساله گوگل به نام Chronicle در تاریخ ۵ مارس ۲۰۱۹ از اولین محصول تجاری خود به نام Backstory رونمایی کرد. گوگل در حقیقت یک پلت فرم تجزیه‌وتحلیل تهدید مبتنی بر cloud را برای کمک به شرکت‌ها در ارتباط با تحقیق در مورد حوادث، تشخیص آسیب‌پذیری‌ها و شکار تهدیدات بالقوه طراحی کرده است.

زیرساخت‌های شبکه در اکثر شرکت‌ها به‌طور مرتب مقدار زیادی از داده‌های شبکه و log ها را به‌صورت روزانه تولید می‌کنند که می‌تواند مفید باشد تا مشخص شود هنگام وقوع یک حادثه امنیتی دقیقه چه اتفاقی افتاده است.

بااین‌حال، متأسفانه، اکثر شرکت‌ها یا telemetry درست را جمع‌آوری نمی‌کنند و یا حتی زمانی که این کار را انجام می‌دهند، عملاً غیرممکن است که این telemetry را بیش از یک یا دو هفته حفظ کنند و تحلیلگران در صورت وقوع حادثه امنیتی قبل از این زمان عملاً داده‎ای برای تحلیل ندارند.

Backstory با اجازه دادن به سازمان‌ها به صورتی که به‌طور خصوصی حجم بسیار زیادی از telemetry امنیتی داخلی خود را روی پلتفرم cloud گوگل ذخیره کنند این مشکل را حل می‌کند. در مرحله بعد استفاده از فناوری‌های یادگیری ماشین و تجزیه‌وتحلیل داده‌ها برای نظارت و تجزیه‌وتحلیل آن به‌طور مؤثر برای تشخیص و بررسی هرگونه تهدید بالقوه از یک داشبورد یکپارچه فراهم می‌شود.

Alphabet یکی از شرکت‌های تابعه Chronicle در یک پست وبلاگ دراین‌باره گفته است[۱]: “Backstory در حقیقت داده‌ها را در برابر خودش و شخص ثالث نرمالایز، شاخص سازی و مرتبط می‌کند و سیگنال‌های تهدید را سازمان‌دهی می‌کند تا تحلیل‌های فوری و زمینه‌ای را در مورد فعالیت‌های خطرآفرین ارائه دهد.”

“با Backstory، تحلیلگر ما در کمتر از یک ثانیه می‌داند که هر وسیله‌ای که در شرکت وجود دارد، با هر یک از این دامنه‌ها یا آدرس‌های IP ارتباط برقرار کرده است.”

درست مانند راه‌حل‌های SIEM، در حقیقت Backstory اطلاعات Log را مانند ترافیک DNS، NetFlow، log های endpoint و logهای پروکسی‌ها را به اطلاعات معنی‌دار، باقابلیت جستجوی سریع و اطلاعات عملی تبدیل می‌کند تا به شرکت‌ها در درک تهدیدهای دیجیتال و حملات روی شبکه‌هایشان کمک کند، اما در مقیاسی برای ارائه یک تصویر کامل از چشم‌انداز تهدید موردنظر.

Backstory همچنین اطلاعات را نسبت به سیگنال‌های اطلاعات تهدیدآمیز جمع‌آوری‌شده از شرکای مختلف و سایر منابع، ازجمله Alphabet-owned VirusTotal، Avast، Proofpoint و Carbon Black مقایسه می‌کند[۱].

Chronicle دراین‌باره می‌گوید: “Backstory فعالیت شبکه شما را با یک جریان پیوسته از سیگنال‌های اطلاعاتی تهدید، که از منابع مختلف تأمین می‌شود، برای تشخیص فوری تهدیدات بالقوه مقایسه می‌کند.”

“این ابزار همچنین به‌طور مداوم هر قسمت جدیدی را با فعالیت قبلی شرکت شما مقایسه می‌کند تا شما را در رابطه با هرگونه دسترسی تاریخی به دامنه‌های شناخته‌شده بد، فایل‌های آلوده‌شده به دژافزار و سایر تهدیدات آگاه کند.”

ازآنجاکه Chronicle می‌خواهد مشتریان اطلاعات را تا جای ممکن جمع‌آوری و بارگذاری کند، Backstory نمی‌خواهد بر اساس حجم اطلاعات مشتری ابزار خود را قیمت‌گذاری کند، اما Chronicle می‌خواهد مجوز نرم‌افزار خود را بر اساس اندازه اطلاعات شرکت موردنظر بفروشد.

Chronicle دراین‌باره توضیح می‌دهد: “ایجاد یک سیستم که می‌تواند مقادیر زیادی از telemetry را برای شما تجزیه کند، اگر شما برای بارگیری تمام این اطلاعات مجبور به پرداخت هزینه شوید، مفید نخواهد بود. اغلب، فروشندگان بر اساس میزان اطلاعاتی که پردازش می‌کنند، از مشتریان هزینه دریافت می‌کنند.”

“ازآنجایی‌که اکثر سازمان‌ها هرساله اطلاعات بیشتری را تولید می‌کنند، صورتحساب‌های امنیتی آن‌ها افزایش می‌یابد، اما آن‌ها امن‌تر نمی‌شوند.”

مایکروسافت نیز اخیراً سرویس‌های تجزیه‌وتحلیل امنیتی مشابهی را به نام Threat Hunter وAzure Sentinel معرفی کرده است که مایکروسافت آن را به‌عنوان اولین SIEM در یک پلتفرم cloud، به‌منظور کمک به شرکت‌ها در شناسایی، جلوگیری از تهدیدات و پاسخ به تهدیدات آن‌ها در شبکه‌های خود، معرفی کرده است.

همچنین سهام Splunk، شرکتی که محصول مشابهی را ارائه می‌دهد، در مقایسه با روزی که Backstory معرفی شد، ۵ درصد کاهش یافته است.

منابع

[۱] https://medium.com/@chroniclesec/introducing-backstory-45dd9b4d4a6d

[۲] https://youtu.be/SyX0bydMkOE

[۳] https://thehackernews.com/2019/03/backstory-cybersecurity-software.html