سلب مسئولیت: دیجیاتو صرفا نمایشدهنده این متن تبلیغاتی است و تحریریه مسئولیتی درباره محتوای آن ندارد.
شکار تهدیدات سایبری یک استراتژی مؤثر برای مبارزه با حملات سایبری به شبکهها و سیستمهای فناوری اطلاعات سازمانها است. هرکسی که در حوزه امنیت فناوری اطلاعات کار میکند میداند که داشتن سیستمهای مدیریت تهدید برای محافظت از سیستمها، شبکهها و دادهها بسیار مهم است، اما همه نمیدانند که چگونه به صورت فعال در آن کار کنند و از دادههای سازمان خود محافظت کنند. فایروالهایی مانند سیستم تشخیص نفوذ (IDS) یا سیستم اطلاعات امنیتی و مدیریت رخداد (SIEM) پس از شناسایی تهدید میتوانند کار کنند و روش مناسبی برای جلوگیری از آسیبپذیری بهصورت فعال نیستند.
پیشازاین، سازمانها باید نگران بدافزارها و ویروسهای بودند که میتوانستند بهصورت خودکار بهعنوان یک تهدید بالقوه برای سیستمهای سازمان عمل کنند. اما امروزه این تهدید فقط یک بدافزار ویروس نیست، بلکه افرادی هستند که هوشمندانه و مداوم سیستمهای یک سازمان را تهدید میکنند. امروزه سازمانی نیست که راهکارهای امنیتی مانند مرکز عملیات امنیت را نسبت به ابعاد سازمان خود پیادهسازی نکرده باشد. اما آیا سازمانی وجود دارد که اطمینان بدهد که یک عامل بیرونی در شبکه خود وجود ندارد؟
سازمانها نباید منتظر بمانند تا مکانیزمهای امنیتی هشداری را بسازد بلکه آنها باید به طور فعال به دنبال تهدیدات بگردند تا بتوانند به رخدادهای امنیتی بهسرعت پاسخ دهند و با آنها مقابله کنند تا متوجه کمترین آسیب شوند.
اگر حملهای پیشرفته که به سازمان شما، از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، بهاحتمال زیاد مهاجم همچنان در شبکه سازمان حضور دارند و اکنون بهعنوان یک عضو شبکه داخلی سازمان محسوب میشوند و به فعالیت خود ادامه میدهند و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریباً دیگر نقشی در مسدودسازی این مهاجمین ندارند.
سرویس شکار تهدیدات یا همان Threat hunting راهکار مؤثری است که با تحلیل اطلاعات از نگاه امنیتی میتواند به کشف تهدیدات موجود در یک سازمان بپردازد. در واقع تیم شکار تهدیدات به دنبال تهدیدهایی هستند که از قبل در سازمان شما وجود دارد.
در یک تعریف کلی میتوانیم بگوییم شکار تهدید (Threat hunting) فرایندی است که یک تحلیلگر باتجربه امنیت سایبری با استفاده فعالانه (proactive) از تکنیکهای دستی یا مبتنی بر ماشین برای شناسایی حوادث امنیتی یا تهدیدهایی که در حال حاضر در شبکه سازمانی در حال فعالیت هستند و یا برای پیشگیری از یک رخداد امنیتی، استفاده میکنند.
اهمیت شکار تهدید
نظرسنجی انجام شده توسط Domaintools https://www.domaintools.com/در مورد اثربخشی استفاده از شکار تهدید نشان داد که:
۷۴ درصد از شرکتکنندگان در این نظرسنجی به کاهش سطوح حمله اشاره کردند
۵۹ درصد آنها سرعت و دقت بیشتر پاسخها را تجربه کردند
۵۲ درصد تهدیداتی را که قبلاً شناسایی نشده بودند در شبکههای خود پیدا کردند.
میانگین زمان جهانی برای شناسایی یک نقض امنیتی از ۱۴۶ روز در سال ۲۰۱۵ به ۹۹ روز در سال ۲۰۱۶ کاهشیافته است. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستمهای کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.
مهارتهای ضروری و لازم برای تحلیلگران یا شکارچیان تهدید
برای موفقیت در شکار تهدید، تحلیلگران باید بدانند که چگونه ابزارهای خود را برای یافتن خطرناکترین تهدیدها استفاده کنند. آنها همچنین به دانش کافی در مورد انواع مختلف بدافزارها، سوءاستفادهها و پروتکلهای شبکه نیاز دارند تا حجم زیادی از دادههای که شامل گزارشها، ابر دادهها و دادههای ضبط شده (PCAP) را هدایت کنند. اگر به شغل شکارچی تهدید علاقهمند هستید، مهارتهایی وجود دارد که به آنها نیاز دارید:
۱. تجزیه و تحلیل داده ها
از شکارچیان تهدید انتظار میرود که محیط سازمانی خود را زیر نظر داشته باشند، دادهها را جمعآوری کرده و آن را به طور جامع تجزیهوتحلیل کنند. این بدان معناست که یک شکارچی تهدید باتجربه باید از روشهای علم داده و تجزیهوتحلیل دادهها، ابزارها و تکنیکها آگاهی داشته باشد. آنها باید بتوانند از ابزارهای تجسم دادهها برای تولید نمودارها استفاده کنند که میتواند به آنها کمک کند تا الگوهایی را شناسایی کنند که بینش و دیدی در مورد بهترین اقدامات برای انجام تحقیقات و فعالیتهای شکار ارائه میدهد.
۲. تشخیص و شناسایی الگو و رفتارها
شکارچیان تهدید باید بتوانند الگوهایی که با تکنیکها، تاکتیکها، استراتژیها و رویههای هکرها، بدافزارها و رفتارهای غیرعادی مطابقت دارند را تشخیص دهند. برای تشخیص این الگوها، ابتدا باید الگوهای رفتارهای عادی را در شبکه درک کنند تا بتوانند هرگونه فعالیت یا رفتار غیرمجاز و ناهنجار را تشخیص دهند و آنها را شناسایی کنند.
۳. ارتباط خوب
شکارچیان تهدید باید مهارتهای ارتباطی خوبی داشته باشند که این امر باعث میشود بهراحتی و اطلاعات مربوط به تهدیدها یا ضعفهای امنیتی را همراه با اقدامات توصیهشده که برای مقابله با آن ارائه میشود به افراد مربوط و مدیران در آن سازمان انتقال دهند.
۴. قابلیتهای جرمیابی (forensic) بر روی دادهها
یک شکارچی تهدید به مهارتهای فارنزیک بر روی دادهها را نیاز دارد تا بتواند تهدیدات جدید را تجزیهوتحلیل کند و بفهمد که چگونه بدافزار وارد شبکه سازمان شده است، قابلیتهای آن و آسیبهایی که ممکن است ایجاد کرده باشد را پیدا کند. آنها نباید متخصص فانزیک باشند، اما باید بدانند هنگام بازرسی پروندهها به دنبال چه چیزی هستند.
۵. نحوه عملکرد سیستم
یک شکارچی تهدید، باید درک عمیقی از نحوه عملکرد سیستمها در سازمان خود داشته باشد. اینجا تاکید بردانش عملی است که بر اساس و برگرفته از دانش جامع در مورد نحوه کار سازمان و فرایند کسبوکار آن سازمان است. شکارچیان باید بدانید که چگونه به دنبال مشکلات در گوشهوکنار باشید. بهعبارتدیگر، شکارچیان تهدید باید بهاندازه کافی مهارت داشته باشند که به یک موقعیت نگاه کنند و فوراً پیامدهای آن چیزی که در حال وقوع است را دریابند. سپس آنها باید با تیمها همکاری کنند و به آنها کمک کنند تا امنیت را بهبود بخشند.
انواع روشهای شکار تهدید
شکارچیان تهدید کار خود را با یک فرضیه بر اساس دادههای امنیتی یا با یک تریگر شروع میکنند. در واقع فرضیه یا محرک برای شروع بهعنوان سکوی پرتابی برای تحقیقات عمیقتر در مورد خطرات احتمالی عمل میکند و این تحقیقات عمیقتر، به سه دسته: شکار ساختاری، بدون ساختار و موقعیتی تقسیم میشود.
- تحقیق و جستجو بر اساس فرضیه
تحقیقات مبتنی بر فرضیه اغلب توسط یک تهدید جدید آغاز میشود که از طریق مجموعهای از اطلاعات crowdsource شناسایی شده است و دیدی درباره آخرین تاکتیکها، تکنیکها و رویکردهای مهاجمان (TTP) ارائه میکند. هنگامی که یک TTP جدید شناسایی شد، شکارچیان تهدید میتوانند به دنبال کشف رفتارهای خاص مهاجم در سازمان خود باشند.
- بررسی بر اساس شاخصهای شناخته شده سازش IOC یا شاخصهای حمله:
این رویکرد برای شکار تهدید شامل استفاده از اطلاعات تهدید تاکتیکی برای فهرست کردن IOCها و IOAهای شناخته شده مرتبط با تهدیدات جدید است. این موارد سپس به محرکهایی تبدیل میشوند که شکارچیان تهدید از آنها برای کشف حملات احتمالی پنهان شده یا فعالیتهای مخرب مداوم استفاده میکنند.
- تجزیه وتحلیل پیشرفته و تحقیقات یادگیری ماشین machine learning:
رویکرد سوم، تجزیهوتحلیل دادههای قوی را با یادگیری ماشینی machine learning ترکیب میکند تا حجم عظیمی از اطلاعات را بهمنظور شناسایی ناهنجاریهایی که ممکن است نشاندهنده فعالیت مخرب بالقوه باشد، بررسی کند. این ناهنجاریها به سرنخهای شکار تبدیل میشوند که توسط تحلیلگران ماهر برای شناسایی تهدیدهای پنهان بررسی میشوند.
هر سه رویکرد نامبردهشده، ترکیبی از تلاش نیروی انسانی با منابع اطلاعاتی تهدید که از فناوریهای پیشرفته امنیتی کمک میگیرند است. تا به طور فعال از سیستمها و اطلاعات سازمان محافظت کند.
مراحل شکار تهدید
فرایند شکار تهدیدهای سایبری فعال proactive معمولاً شامل سه مرحله محرک، بررسی و تجزیه تحلیل و راهحلها است.
تریگر
هنگامی که ابزارهای تشخیص پیشرفته مانند Security enterprice اقدامات غیرمعمولی را شناسایی میکنند که ممکن است نشاندهنده فعالیت مخرب باشد، یک تریگر، شکارچیان تهدید را به سیستم یا منطقه خاصی از شبکه برای بررسی بیشتر سوق میدهد. اغلب، یک فرضیه در مورد یک تهدید جدید میتواند محرک برای شکارچیان باشد. بهعنوانمثال، یک تیم امنیتی ممکن است تهدیدات پیشرفتهای را جستجو کند که از ابزارهایی مانند بدافزار بدون فایل برای فرار از دفاع موجود استفاده میکنند.
تحقیق و بررسی
در طول مرحله بررسی، شکارچی تهدید از فناوریهایی مانند EDR (تشخیص و پاسخ نقطه پایانی) استفاده میکند تا یک سیستم را به خطر بیندازد. تحقیقات تا زمانی ادامه مییابد که یا فعالیت خوشخیم تلقی شود یا تصویر کاملی از رفتار مخرب ایجاد شود.
وضوح
این مرحله شامل ارسال اطلاعات مربوط به فعالیتهای مخرب به تیمهای امنیتی است تا آنها بتوانند به حادثه پاسخ دهند و تهدیدات را کاهش دهند. دادههای جمعآوریشده در مورد فعالیتهای مخرب و سالم را میتوان خودکارسازی کرد. در طول این فرایند، شکارچیان تهدیدات سایبری تاحدامکان اطلاعات بیشتری درباره اقدامات، روشها و اهداف مهاجم جمعآوری میکنند. آنها همچنین دادههای جمعآوریشده را تجزیهوتحلیل میکنند تا روندها در محیط امنیتی سازمان را تعیین کنند، آسیبپذیریهای فعلی را از بین ببرند و پیشبینیهایی را برای افزایش امنیت در آینده انجام دهند.
شرکت فناوری راه سورین علاوه بر ارائه مشاوره مناسب امنیت سایبری کسب و کار شما، قادر به پیاده سازی حرفه ای نرم افزارهای امنیتی همچون اسپلانک و همچنین فروش لایسنس آنها است.