وقتی لاگ دیگر کافی نیست؛ ضرورت بازنگری در رویکرد افتا و شاپرک

لاگ‌ در دنیای امنیت سایبری سال‌هاست که به‌عنوان ستون اصلی پایش و پاسخ‌گویی به رخدادهای امنیتی عمل می‌کند. لاگ‌ها در دورانی که حملات سایبری ساده‌تر بودند، کارکرد قابل قبولی داشتند و هنوز هم برای بسیاری از مراکز عملیات امنیت و سامانه‌های SIEM کارآمد است. اما با پیچیده‌تر شدن حملات سایبری، لاگ‌ها به‌تنهایی برای پوشش کامل رخدادها کافی نیستند و سازمان‌ها به منابع داده و ابزارهای تکمیلی دیگری نیز نیاز دارند.

مهاجمان امروزی صرفاً به یک رفتار قابل مشاهده کاربر در سیستم‌ها دسترسی ندارند، بلکه تکنولوژی موجب شده تا آن‌ها امکان نفوذ همزمان به هویت کاربران، دسترسی‌ها، ترافیک شبکه، سرویس‌های ابری و حتی حافظه سیستم را داشته باشند.

حتی بررسی کارشناسان از رخدادهای امنیتی نیز نشان می‌دهد که در برخی سناریوها، مهاجمان حرفه‌ای توانایی دستکاری لاگ‌ها را دارند؛ آن‌ها می‌توانند بخشی از لاگ‌ها را حذف کنند، سطح ثبت رویداد را تغییر دهند یا فعالیت خود را به لایه‌هایی ببرند که در لاگ‌های سنتی قابل مشاهده نیست. در نتیجه، این وضعیت باعث می‌شود تیم امنیتی سازمان‌ها در بسیاری از موارد تنها با نشانه‌های پراکنده مواجه شوند و به یک روایت کامل و قابل اتکا از حمله دسترسی نداشته باشند.

بر اساس استانداردهای بین‌المللی امنیت اطلاعات نیز لاگ‌ها برای ثبت رویدادها طراحی شده‌اند و به‌تنهایی برای بازسازی کامل زنجیره حمله کارآیی ندارند. همچنین لاگ در پاسخ به رخداد، بیمه سایبری، دعاوی قضایی یا گزارش‌دهی به رگولاتور، در صورتی که به‌درستی جمع‌آوری، نگهداری و زنجیره صحت (chain of custody) آن حفظ نشده باشد، نمی‌تواند به‌عنوان مدرک قابل استناد استفاده شود. NIST نیز در راهنماهای مدیریت رخداد تأکید می‌کند که پاسخ‌گویی مؤثر به رخداد باید مبتنی بر جمع‌آوری، نگهداری و تحلیل شواهد باشد، نه صرفاً ذخیره لاگ‌ها.

 نگاه جدید به امنیت سازمانی

استفاده صرف از لاگ‌ها برای امنیت سازمان‌ها موجب شکل‌گیری شکاف بین «ثبت رویداد» و «درک رخداد» می‌شود؛ وضعیتی که صرفاً وقوع حمله را نشان می‌دهد، اما نمی‌تواند ماهیت، مسیر، هدف و اثر آن را به‌صورت قابل استناد توضیح دهد. به همین دلیل، در چارچوب‌های بین‌المللی مانند راهنماهای NIST نیز تأکید می‌شود که مدیریت رخداد نباید صرفاً بر ذخیره‌سازی لاگ متکی باشد، بلکه باید بر مجموعه‌ای گسترده‌تر از داده‌ها و شواهد استوار شود.

در چنین شرایطی، مفهوم «شواهد امنیتی» وارد ادبیات امنیت سایبری شده است؛ رویکردی که در آن صرفاً یک رویداد مهم نیست، بلکه آنچه اهمیت دارد ترکیبی از داده‌های مختلف است؛ از تله‌متری ابزارهای امنیتی و داده‌های شبکه گرفته تا اطلاعات هویتی، آثار باقی‌مانده از بدافزارها و داده‌های جرم‌شناسی دیجیتال. با مدیریت شواهد امنیتی، تیم سازمان این امکان را دارد تا به‌جای مشاهده پراکنده رویدادها، بتواند رفتار مهاجم و زنجیره کامل حمله را دقیق‌تر بازسازی کند.

در ایران نیز بخش قابل توجهی از الزامات امنیتی سازمان‌ها، به‌ویژه در حوزه‌های حساس مانند نظام بانکی و پرداخت، توسط نهادهایی مانند مرکز افتا و شاپرک تعریف و ابلاغ می‌شود. هرچند این الزامات بر وجود سامانه‌های ثبت رویداد (لاگ)، پایش امنیتی و استفاده از سامانه‌های مدیریت رخداد تأکید دارند، اما دیگر صرف جمع‌آوری و نگهداری لاگ معیار کافی برای ارزیابی امنیت سازمان‌ها نیست. به همین دلیل، کارشناسان امنیت پیشنهاد می‌دهند که افتا و شاپرک در الزامات امنیتی کشور بازنگری کنند و رویکرد مبتنی بر مدیریت شواهد امنیتی را مدنظر قرار دهند. در این رویکرد، ممیزی امنیتی نباید تنها بر وجود SIEM یا مدت نگهداری لاگ متمرکز باشد، بلکه باید مشخص شود چه تهدیدهایی پایش می‌شوند، چه سناریوهای کشف حمله پیاده‌سازی شده‌اند، چه هشدارهایی بررسی شده‌اند و مستندات پاسخ به رخدادها چگونه نگهداری می‌شود.

این تحول می‌تواند الزامات جدیدی نظیر نگاشت Detectionها به MITRE ATT&CK، ثبت فرآیند Threat Hunting، مدیریت پرونده‌های رخداد (Case Management) و نگهداری Audit Trail تصمیمات امنیتی را در زیرساخت‌های حیاتی کشور الزامی کند. نتیجه این رویکرد، افزایش تاب‌آوری سایبری و امکان اثبات اثربخشی واقعی کنترل‌های امنیتی در برابر ممیزان و نهادهای نظارتی خواهد بود.

بر اساس این چارچوب‌ها، کارشناسان معتقدند که مسئله اصلی دیگر کمبود لاگ نیست، بلکه ناکافی بودن لاگ برای تبدیل داده‌های پراکنده به شواهد قابل اتکا و قابل استناد است. به عبارت دیگر، چالش امروز امنیت سایبری نه در حجم داده‌ها، بلکه در کیفیت، همبستگی و قابلیت استناد آن‌ها برای تحلیل و تصمیم‌گیری عملیاتی و حقوقی است؛ چالشی که به‌ویژه برای نهادهای حاکمیتی و نظام مالی کشور اهمیت دوچندان پیدا می‌کند. همچنین حرکت از رویکرد لاگ‌محور به سمت مدیریت شواهد امنیتی را می‌توان از یک انتخاب فنی به یک ضرورت راهبردی در بازنگری الزامات امنیت سایبری کشور تبدیل کرد.