شکار تهدیدات (Threat Hunting)
منظور از شکار تهدیدات فرآیند جستجوی پیشکنشانه، مداوم و مبتنی بر عامل انسانی در شبکهها، سیستمهای کاربران و یا Datasetها با هدف شناسایی فعالیتهای مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز ماندهاند.
Threat Hunting یا شکار تهدیدات فرآیند جست و جو و یافتن مهاجمان قبل از اجرای یک حمله توسط آنان است. این روش بسیار متفاوتتر از روشهای امنیتی مبتنی بر تشخیص و پیشگیری عمل میکند. در واقع Threat Hunting یک روش پیشگیری است که ابزارهای امنیتی، تجزیه و تحلیل و هوش تهدید (Threat Intelligence) را با تحلیل و غریزه انسانی ترکیب کرده است.
فرآیند Threat Hunting معمولاً با یک فرضیه شروع میشود که از طریق یک هشدار امنیتی، ارزیابی ریسک، تست نفوذ، یا کشف دیگری از فعالیتهای غیرعادی از تهدید موجود در سیستم ایجاد میشود. این فرآیند توسط هر فردی در تیم امنیت به صورت دستی قابل انجام است. به عبارت دیگر شامل مجموعه فرآیندهایی است که به صورت مستمر و بی وقفه، در حال جست و جو در مؤلفههای شبکه، جهت یافتن و شناسایی تهدیدات پیشرفته که از نظر راهکارهای امنیتی پنهان هستند، مورد استفاده قرار میگیرند.
تشخیص تهدید یک مجموعه فرآیند کامل در تشخیص و ارزیابی تهدیدات، قبل یا بعد از مخاطره است. ابزارهای تشخیص تهدید به تجزیه و تحلیل شبکه، اپلیکیشن، داده و رفتارهای کاربران میپردازند تا فعالیتهای غیرعادی که نشاندهنده یک تهدید هستند را شناسایی نمایند. پیش نیاز فرآیند شکار تهدیدات، اتوماسیون و خودکارسازی فرآیندهای کلاسیک است تا تهدیدات رایج قابل شناسایی مشخص شوند.
در فرآیند شکار تهدیدات، برخلاف فرآیندهای تشخیص تهدید گذشته، تحلیلگران پیش از آنکه رخدادی به وقوع بپیوندد، دادهها را بررسی و تحلیل میکنند، از این رو شکار تهدیدات یک فرآیند پیشکنشانه است. همچنین حتماً عامل انسانی در فرآیند بررسی و شکار تهدیدات نقش خواهد داشت؛ البته این بدان معنا نیست که ابزار و فرآیندهای خودکار هیچ نقشی ندارد. به بیان دیگر از آنجایی که یکی از اهداف فرآیند شکار تهدیدات شناسایی تهدیدات ناشناخته است، لذا وجه تمایز آن با سایر روشهای مشابه استفاده از عامل انسانی در تحلیل و بررسی به جای ماشین و عاملهای خودکار است. لازم به ذکر است که Threat Hunting جزئی از مفهوم کلیتر Proactive Defense است.
همچنین این فرآیند کمک میکند تا سازمان ها پیش از اینکه مورد حمله قرار بگیرند، به صورت جامع مورد بررسی امنیتی قرار گرفته و خطر تهدیدات را به حداقل کاهش دهند.
شکار تهدیدات فرآیند جدیدی نیست اما اخیراً توجه مراکز پیشرفته عملیات امنیت را به خود معطوف ساخته است. Hunting میتواند روشها و تلاشهای تشخیص تهدیدات را دگرگون سازد و بسیاری به این باور رسیدهاند که شکار پیشکنشانه باید نقش مهمی را در فرآیند تشخیص تهدیدات ایفا کند. در بررسیای که اخیراً توسط مؤسسه SANS صورت گرفته نشان داد 91 درصد از سازمانهایی که شکار تهدیدات را در دستور کار خود قرار دادهاند، بهبود در سرعت و دقت در تشخیص را تجربه کردهاند.
شکار تهدیدات موفق منوط به داشتن سه قابلیت زیر است. البته این بدان معنا نیست که نداشتن قابلیت کافی در یکی از این سه حوزه شکار تهدیدات را با شکست مواجه میکند؛ بدیهی است هر چه در این سه حوزه بهبود حاصل شود، شکار تهدیدات موفقیت آمیزتر خواهد بود.
- برنامهریزی، آمادهسازی و پردازش
- تخصص، تجربه و بهرهوری
- ابزارها، روش ها و فناوری