شکار تهدید و چگونگی کارکرد آن
شکار تهدید عبارت است از فرایند جستجوی متخاصمین قبل از اجرای موفقیتآمیز یک حمله توسط آنها. مفهوم شکار تهدید مفهومی جدید نیست اما به دلیل توانایی روزافزون خرابکاران در گریز از روشهای سنتی تشخیص، در سالهای اخیر تاکیدی روزافزون بر شکار تهدید برنامهریزیشده، توسط سازمانهای مختلف شده است. این رویکرد از اغلب روشهای امنیتی مبتنی بر تشخیص و پیشگیری متفاوت است. شکار تهدیدات، تکنیکی پیشنگر است که ابزارهای امنیتی، تحلیل و هوش تهدید را با تحلیلهای انسانی و غریزه ترکیب میکند. فرایند شکار تهدید به طور معمول با یک فرضیه به دست آمده به واسطه یک هشدار امنیتی، ارزیابی امنیتی، تست نفوذ یا کشف یک فعالیت نامتعارف مبتنی بر وجود یک تهدید در سیستمها شروع میشود. در ادامه، شکارچیان تهدید با استفاده از تحقیقاتی گسترده و انجام مجموعهای از تحلیلها این فرضیات را بررسی کرده و مورد آزمایش قرار میدهند و به جستجوی تهدیدات پنهان که هنوز منجر به فعال شدن روشهای تشخیص نشدهاند، میپردازند. در ادامه این مطلب تفاوت شکار تهدید و تشخیص تهدید، مزایا و چالشهای استفاده از شکار تهدید و روشهای ایدهآل برای راهاندازی یک برنامه شکار تهدید را بررسی خواهیم کرد.
شکار تهدید در مقابل تشخیص تهدید
شکار تهدید از مولفههای آغازین تشخیص تهدید است و بر شناسایی تهدیدات در اولین فاز ممکن از یک حمله یا بهمخاطرهافتادگی[۳] تمرکز دارد. تشخیص تهدید به عنوان یک اصطلاح وسیعتر بیانگر مجموعه کامل فرایندهای کشف و شناسایی تهدیدات، قبل، در حین و بعد از وقوع بهمخاطرهافتادگی است. ابزارهای تشخیص تهدید با هدف یافتن فعالیتی نامتعارف که نشاندهنده یک تهدید باشد به تحلیل و بررسی شبکهها، applicationها، دادهها، و رفتارهای کاربران میپردازند.
وضعیت فعلی شکار تهدید: مزایا و چالشها
علیرغم استفاده از برخی از تکنیکهای شکار تهدید در چند سال گذشته، استفاده از این تکنیک به عنوان یک مولفه اختصاصی از برنامههای امنیت اطلاعات شرکتها، روندی نوظهور محسوب میشود. با توجه به این مساله، برنامههای تشخیص تهدید و سطح بلوغ آنها از کسبوکاری به کسبوکار دیگر میتواند بسیار متفاوت باشد. موسسه SANS به بررسی وضعیت فعلی فعالیتهای سازمانها برای شکار تهدیدات پرداخته است. نتایج به دست آمده بیانگر این است که از نظر اغلب پاسخدهندگان، نتیجه استفاده از برنامههای کشف تهدید دستیابی به موفقیت بوده است. ۷۵% از پاسخدهندگان بیان کردهاند که با اتخاذ رویکردی جدیتر درباره شکار تهدید، سطح حمله[۴] آنها کاهش یافته است. ۵۹% از پاسخدهندگان باور داشتند که شکار تهدید سرعت و دقت شرکت آنها را در پاسخ به وقایع افزایش داده است. ۵۲% گزارش دادهاند که استفاده از شکار تهدید منجر به شناسایی تهدیدات ناشناخته شده است.
با این حال، بررسی موسسه SANS بیانگر نوظهور بودن این روند و فاصله زیاد آن برای قابل استفاده بودن در بسیاری از سازمانها نیز هست. ۴۰% از پاسخدهندگان به این نظرسنجی بیان کردهاند که فاقد حتی یک برنامه شکار تهدید صوری در سازمان خود هستند و ۸۸% احساس کردهاند که برنامه شکار تهدید آنها نیازمند بهبود است. علاوهبراین، ۵۳% باور داشتهاند که فرایند شکار تهدید آنها به طور موفقیتآمیز از دشمنان آنها مخفی نبوده و ۵۶% گزارش دادهاند که آنها از زمان موردنیاز برای شکار تهدیدات خشنود نیستند.
روشهای ایدهآل برای شکار تهدید
در زمان ایجاد یک برنامه شکار تهدید، شروع با توسعه فرایندهای استاندارد شده برای هدایت تلاشها در راستای شکار تهدید اهمیت زیادی دارد. تیمهای امنیتی باید از قبل مشخص کنند که چه زمانی و چگونه عملیات شکار رخ دهد (در بازههایی زمانبندی شده، در پاسخ به فعالیتهایی مشخص و فعالساز یا به طور پیوسته با کمک ابزارهایی خودکار)، از چه تکنیکهایی باید استفاده گردد و چه افراد و ابزارهایی مسئول انجام فعالیتهای شکار تهدید مشخص هستند. علاوهبراین، باید معیارهایی برای ارزیابی موفقیت برنامه نیز ایجاد شوند. موسسه SANS توصیه میکند که ارزیابی کارایی شکار تهدید با توجه به معیارهای زمان حضور[۵]، lateral movement، و آلودگی مجدد[۶] صورت گیرد.
علاوهبراین، یک مساله مهم دیگر مبناگذاری برای فعالیتهای نرمال شبکه، دادهها و کاربران در راستای تسهیل شناسایی ناهنجاریها در زمان شکار تهدیدات است. با بررسیهای صورت گرفته توسط موسسه SANS مشخص شده که تمرکز روی مجموعه دادههایی مانند آدرسهای IP، فعالیت DNS، File Monitoring ، رفتار کاربر و تجزیه و تحلیل آن منجر به موفقیت شکار تهدید خواهد شد. همانطور که برنامههای شکار تهدید به بلوغ میرسند سازمانها باید روشهای شکار تهدید فعلی را توسعه داده و بر اساس کشف تهدیدات جدید یا نکات آموخته شده از تهدیداتی که قبلا کشف شدهاند آنها را بهروزرسانی کنند.
ملاحظات برای شکار تهدید و کشف تهدید
شرکتهای زیادی هنوز در حال آشنایی با فرایند پیادهسازی و مدیریت موثر برنامههای تشخیص تهدید هستند. تشخیص زودهنگام تهدیدات و شناسایی تمام نواحی آسیبپذیر برای هر شرکتی حیاتی است و جستجوی پیشنگر تهدیدات بالقوه به سازمانها فرصت پیادهسازی اقدامات پیشگیرانه در راستای توقف تهدیدات قبل از وقوع آنها را میدهد. با دنبال کردن یک رویکرد فاز به فاز ساختاریافته، سازمانها میتوانند با منابع فعلی خود شروع به شکار تهدیدات کرده و در ادامه به پیادهسازی فرایندهایی برای جمعآوری داده، نظارت و تحلیل و گسترش برنامههای خود با ترکیبی صحیح از کارکنان و ابزارها بپردازند.
[۱] Threat hunting
[۲] Threat detection
[۳] Compromise
[۴] Attack surface
[۵] Dwell time
[۶] Reinfection