شکار تهدیدات امنیت سایبری چگونه انجام می‌شود؟

شکار تهدیدات سایبری یک استراتژی مؤثر برای مبارزه با حملات سایبری به شبکه‌ها و سیستم‌های فناوری اطلاعات سازمان‌ها است. هرکسی که در حوزه امنیت فناوری اطلاعات کار می‌کند می‌داند که داشتن سیستم‌های مدیریت تهدید برای محافظت از سیستم‌ها، شبکه‌ها و داده‌ها بسیار مهم است، اما همه نمی‌دانند که چگونه به ‌صورت فعال در آن کار کنند و از داده‌های سازمان خود محافظت کنند. فایروال‌هایی مانند سیستم تشخیص نفوذ (IDS) یا سیستم اطلاعات امنیتی و مدیریت رخداد (SIEM) پس از شناسایی تهدید می‌توانند کار کنند و روش مناسبی برای جلوگیری از آسیب‌پذیری به‌صورت فعال نیستند.

پیش‌ازاین، سازمان‌ها باید نگران بدافزارها و ویروس‌های بودند که می‌توانستند به‌صورت خودکار به‌عنوان یک تهدید بالقوه برای سیستم‌های سازمان عمل کنند. اما امروزه این تهدید فقط یک بدافزار ویروس نیست، بلکه افرادی هستند که هوشمندانه و مداوم سیستم‌های یک سازمان را تهدید می‌کنند. امروزه سازمانی نیست که راهکارهای امنیتی مانند مرکز عملیات امنیت را نسبت به ابعاد سازمان خود پیاده‌سازی نکرده باشد. اما آیا سازمانی وجود دارد که اطمینان بدهد که یک عامل بیرونی در شبکه خود وجود ندارد؟

سازمان‌ها نباید منتظر بمانند تا مکانیزم‌های امنیتی هشداری را بسازد بلکه آنها باید به طور فعال به دنبال تهدیدات بگردند تا بتوانند به رخدادهای امنیتی به‌سرعت پاسخ دهند و با آنها مقابله کنند تا متوجه کمترین آسیب شوند.

اگر حمله‌ای پیشرفته که به سازمان شما، از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به‌احتمال زیاد مهاجم همچنان در شبکه سازمان حضور دارند و اکنون به‌عنوان یک عضو شبکه داخلی سازمان محسوب می‌شوند و به فعالیت خود ادامه می‌دهند و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریباً دیگر نقشی در مسدودسازی این مهاجمین ندارند.

سرویس شکار تهدیدات یا همان Threat hunting راهکار مؤثری است که با تحلیل اطلاعات از نگاه امنیتی می‌تواند به کشف تهدیدات موجود در یک سازمان بپردازد. در واقع تیم شکار تهدیدات به دنبال تهدیدهایی هستند که از قبل در سازمان شما وجود دارد.

در یک تعریف کلی می‌توانیم بگوییم شکار تهدید (Threat hunting) فرایندی است که یک تحلیلگر باتجربه امنیت سایبری با استفاده فعالانه (proactive) از تکنیک‌های دستی یا مبتنی بر ماشین برای شناسایی حوادث امنیتی یا تهدیدهایی که در حال حاضر در شبکه سازمانی در حال فعالیت هستند و یا برای پیشگیری از یک رخداد امنیتی، استفاده می‌کنند.

اهمیت شکار تهدید

نظرسنجی انجام شده توسط   Domaintools https://www.domaintools.com/در مورد اثربخشی استفاده از شکار تهدید نشان داد که:

74 درصد از شرکت‌کنندگان در این نظرسنجی به کاهش سطوح حمله اشاره کردند

59 درصد آنها سرعت و دقت بیشتر پاسخ‌ها را تجربه کردند

52 درصد تهدیداتی را که قبلاً شناسایی نشده بودند در شبکه‌های خود پیدا کردند.

میانگین زمان جهانی برای شناسایی یک نقض امنیتی از 146 روز در سال 2015 به 99 روز در سال 2016 کاهش‌یافته است. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستم‌های کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.

مهارت‌های ضروری و لازم برای تحلیلگران یا شکارچیان تهدید

برای موفقیت در شکار تهدید، تحلیلگران باید بدانند که چگونه ابزارهای خود را برای یافتن خطرناک‌ترین تهدیدها استفاده کنند. آنها همچنین به دانش کافی در مورد انواع مختلف بدافزارها، سوءاستفاده‌ها و پروتکل‌های شبکه نیاز دارند تا حجم زیادی از داده‌های که شامل گزارش‌ها، ابر داده‌ها و داده‌های ضبط شده (PCAP) را هدایت کنند. اگر به شغل شکارچی تهدید علاقه‌مند هستید، مهارت‌هایی وجود دارد که به آنها نیاز دارید:

1. تجزیه و تحلیل داده ها

از شکارچیان تهدید انتظار می‌رود که محیط سازمانی خود را زیر نظر داشته باشند، داده‌ها را جمع‌آوری کرده و آن را به طور جامع تجزیه‌وتحلیل کنند. این بدان معناست که یک شکارچی تهدید باتجربه باید از روش‌های علم داده و تجزیه‌وتحلیل داده‌ها، ابزارها و تکنیک‌ها آگاهی داشته باشد. آنها باید بتوانند از ابزارهای تجسم داده‌ها برای تولید نمودارها استفاده کنند که می‌تواند به آنها کمک کند تا الگوهایی را شناسایی کنند که بینش و دیدی در مورد بهترین اقدامات برای انجام تحقیقات و فعالیت‌های شکار ارائه می‌دهد.

2. تشخیص و شناسایی الگو و رفتارها

شکارچیان تهدید باید بتوانند الگوهایی که با تکنیک‌ها، تاکتیک‌ها، استراتژی‌ها و رویه‌های هکرها، بدافزارها و رفتارهای غیرعادی مطابقت دارند را تشخیص دهند. برای تشخیص این الگوها، ابتدا باید الگوهای رفتارهای عادی را در شبکه درک کنند تا بتوانند هرگونه فعالیت یا رفتار غیرمجاز و ناهنجار را تشخیص دهند و آنها را شناسایی کنند.

3. ارتباط خوب

شکارچیان تهدید باید مهارت‌های ارتباطی خوبی داشته باشند که این امر باعث می‌شود به‌راحتی و اطلاعات مربوط به تهدیدها یا ضعف‌های امنیتی را همراه با اقدامات توصیه‌شده که برای مقابله با آن ارائه می‌شود به افراد مربوط و مدیران در آن سازمان انتقال دهند.

4. قابلیت‌های جرم‌یابی (forensic) بر روی داده‌ها

یک شکارچی تهدید به مهارت‌های فارنزیک بر روی داده‌ها را نیاز دارد تا بتواند تهدیدات جدید را تجزیه‌وتحلیل کند و بفهمد که چگونه بدافزار وارد شبکه سازمان شده است، قابلیت‌های آن و آسیب‌هایی که ممکن است ایجاد کرده باشد را پیدا کند. آنها نباید متخصص فانزیک باشند، اما باید بدانند هنگام بازرسی پرونده‌ها به دنبال چه چیزی هستند.

5. نحوه عملکرد سیستم

یک شکارچی تهدید، باید درک عمیقی از نحوه عملکرد سیستم‌ها در سازمان خود داشته باشد. اینجا تاکید بردانش عملی است که بر اساس و برگرفته از دانش جامع در مورد نحوه کار سازمان و فرایند کسب‌وکار آن سازمان است. شکارچیان باید بدانید که چگونه به دنبال مشکلات در گوشه‌وکنار باشید. به‌عبارت‌دیگر، شکارچیان تهدید باید به‌اندازه کافی مهارت داشته باشند که به یک موقعیت نگاه کنند و فوراً پیامدهای آن چیزی که در حال وقوع است را دریابند. سپس آنها باید با تیم‌ها همکاری کنند و به آنها کمک کنند تا امنیت را بهبود بخشند.

انواع روش‌های شکار تهدید

شکارچیان تهدید کار خود را با یک فرضیه بر اساس داده‌های امنیتی یا با یک تریگر شروع می‌کنند. در واقع فرضیه یا محرک برای شروع به‌عنوان سکوی پرتابی برای تحقیقات عمیق‌تر در مورد خطرات احتمالی عمل می‌کند و این تحقیقات عمیق‌تر، به سه دسته: شکار ساختاری، بدون ساختار و موقعیتی تقسیم می‌شود.

• تحقیق و جستجو بر اساس فرضیه

تحقیقات مبتنی بر فرضیه اغلب توسط یک تهدید جدید آغاز می‌شود که از طریق مجموعه‌ای از اطلاعات crowdsource شناسایی شده است و دیدی درباره آخرین تاکتیک‌ها، تکنیک‌ها و رویکردهای مهاجمان (TTP) ارائه می‌کند. هنگامی که یک TTP جدید شناسایی شد، شکارچیان تهدید می‌توانند به دنبال کشف رفتارهای خاص مهاجم در سازمان خود باشند.

• بررسی بر اساس شاخص‌های شناخته شده سازش IOC  یا شاخص‌های حمله:

این رویکرد برای شکار تهدید شامل استفاده از اطلاعات تهدید تاکتیکی برای فهرست کردن  IOCها و IOAهای شناخته شده مرتبط با تهدیدات جدید است. این موارد سپس به محرک‌هایی تبدیل می‌شوند که شکارچیان تهدید از آنها برای کشف حملات احتمالی پنهان شده یا فعالیت‌های مخرب مداوم استفاده می‌کنند.

• تجزیه‌ وتحلیل پیشرفته و تحقیقات یادگیری ماشین machine learning:

رویکرد سوم، تجزیه‌وتحلیل داده‌های قوی را با یادگیری ماشینی machine learning ترکیب می‌کند تا حجم عظیمی از اطلاعات را به‌منظور شناسایی ناهنجاری‌هایی که ممکن است نشان‌دهنده فعالیت مخرب بالقوه باشد، بررسی کند. این ناهنجاری‌ها به سرنخ‌های شکار تبدیل می‌شوند که توسط تحلیلگران ماهر برای شناسایی تهدیدهای پنهان بررسی می‌شوند.

هر سه رویکرد نام‌برده‌شده، ترکیبی از تلاش نیروی انسانی با منابع اطلاعاتی تهدید که از فناوری‌های پیشرفته امنیتی کمک می‌گیرند است. تا به طور فعال از سیستم‌ها و اطلاعات سازمان محافظت کند.

مراحل شکار تهدید

فرایند شکار تهدیدهای سایبری فعال proactive معمولاً شامل سه مرحله محرک، بررسی و تجزیه تحلیل و راه‌حل‌ها است.

تریگر

هنگامی که ابزارهای تشخیص پیشرفته مانند Security enterprice اقدامات غیرمعمولی را شناسایی می‌کنند که ممکن است نشان‌دهنده فعالیت مخرب باشد، یک تریگر، شکارچیان تهدید را به سیستم یا منطقه خاصی از شبکه برای بررسی بیشتر سوق می‌دهد. اغلب، یک فرضیه در مورد یک تهدید جدید می‌تواند محرک برای شکارچیان باشد. به‌عنوان‌مثال، یک تیم امنیتی ممکن است تهدیدات پیشرفته‌ای را جستجو کند که از ابزارهایی مانند بدافزار بدون فایل برای فرار از دفاع موجود استفاده می‌کنند.

تحقیق و بررسی

در طول مرحله بررسی، شکارچی تهدید از فناوری‌هایی مانند EDR (تشخیص و پاسخ نقطه پایانی) استفاده می‌کند تا یک سیستم را به خطر بیندازد. تحقیقات تا زمانی ادامه می‌یابد که یا فعالیت خوش‌خیم تلقی شود یا تصویر کاملی از رفتار مخرب ایجاد شود.

وضوح

این مرحله شامل ارسال اطلاعات مربوط به فعالیت‌های مخرب به تیم‌های امنیتی است تا آنها بتوانند به حادثه پاسخ دهند و تهدیدات را کاهش دهند. داده‌های جمع‌آوری‌شده در مورد فعالیت‌های مخرب و سالم را می‌توان خودکارسازی کرد. در طول این فرایند، شکارچیان تهدیدات سایبری تاحدامکان اطلاعات بیشتری درباره اقدامات، روش‌ها و اهداف مهاجم جمع‌آوری می‌کنند. آنها همچنین داده‌های جمع‌آوری‌شده را تجزیه‌وتحلیل می‌کنند تا روندها در محیط امنیتی سازمان را تعیین کنند، آسیب‌پذیری‌های فعلی را از بین ببرند و پیش‌بینی‌هایی را برای افزایش امنیت در آینده انجام دهند.

شرکت فناوری راه سورین علاوه بر ارائه مشاوره مناسب امنیت سایبری کسب و کار شما، قادر به پیاده سازی حرفه ای نرم افزارهای امنیتی همچون اسپلانک و همچنین فروش لایسنس آنها است.