هوش تهدید[۱] اطلاعاتی است که از جمعآوری، پردازش و تحلیل دادهها به دست میآید و میتوان از آن برای مقابله با تهدیدهای سایبری استفاده کرد. در این مطلب، پس از تعریف هوش تهدید، به بررسی انواع آن، نحوه کار آن و دلیل اهمیت آن میپردازیم.
تعریف هوش تهدید
هوش تهدید یا هوش تهدید سایبری اطلاعاتی است که سازمانها میتوانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برخلاف دادههای خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمعآوری، پردازش و تجزیه و تحلیل دادههای خام به دست میاید و میتوان از آن برای تصمیمگیریهای آگاهانه استفاده کرد.
دلیل اهمیت هوش تهدید چیست؟
با توجه به وجود تهدیدات سایبری بسیار زیاد، هوش تهدید میتواند سازمانها را در دستیابی به اطلاعات موردنیاز برای شناسایی تهدیدهای سایبری و محافظت از خود در برابر آنها کمک کند. مثلا، اگر سازمانها بتوانند الگوهای هکرها یا مهاجمان سایبری را یاد بگیرند، میتوانند به طور موثر به دفاع از خود پرداخته و خطرهای تاثیرگذار بر روی کسب و کار خود را کاهش دهند. از دیگر دلایل اهمیت هوش تهدید کمک به شرکتها در پیشگیری از خروج دادهها میباشد. علاوهبراین، سازمانها میتوانند با همکاری و تبادل اطلاعات با یکدیگر، به طور موثرتری از هوش تهدید برای پیشگیری از تهدیدهای آتی استفاده نمایند.
علیرغم اینکه به نظر میرسد هوش تهدید در حیطه کاری تحلیلگران پیشرفته باشد، در واقعیت، کلیه افراد فعال در حوزه امنیت شامل افراد درگیر در عملیاتهای امنیتی، مدیریت آسیبپذیری، پیشگیری از تقلب و تحلیل خطر میتوانند از مزایای هوش تهدید بهرهمند شده و از آن برای تصمیمگیری استفاده کنند.
چرخه بهکارگیری هوش تهدید
هوش تهدید به جای اینکه یک “فرایند end-to-end” باشد، به عنوان یک “فرایند چرخشی”[۲] به نام چرخه هوش تهدید عمل میکند. این فرایند از این جهت یک چرخه است که ممکن است در آن پرسشها و شکافهای اطلاعاتی جدیدی ایجاد شده و نیازمندیهای جدیدی در مجموعه ایجاد گردد.
چرخه هوش تهدید سایبری شامل چندین فاز به شرح ذیل میباشد:
- برنامهریزی و جهتدهی: در ابتدا ملزومات جمعآوری دادهها تعریف میشود. در این فاز پرسشهایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، باید مطرح شوند.
- جمعآوری: پس از تعریف الزامات جمعآوری، دادههای خام مربوط به تهدیدهای فعلی و آتی جمعآوری میشود. در این راستا، میتوان از منابع متنوع هوش تهدید مانند Logها و رکوردهای داخلی و همچنین اینترنت و دیگر منابع فنی استفاده کرد.
- پردازش: در ادامه، دادههای جمعآوری شده با برچسبهای metadata سازماندهی شده و اطلاعات اضافه، False positiveها و False negativeها جذف میشود. در این فاز استفاده از راهکارهایی مانند SIEM و SOAPA مفید بوده و سازماندهی دادههای جمعآوری شده را تسهیل میکند.
- تجزیه و تحلیل: این فاز است که منجر به تمایز «هوش تهدید» از «جمعآوری و انتشار ساده اطلاعات» میشود. در این فاز، با بهکارگیری روشهای تحلیل ساختاری، دادههای پردازش شدهی فاز قبل مورد تجزیه و تحلیل قرار میگیرد. در نتیجهی این اقدام، feedهای هوش تهدید سایبری ایجاد میشود و تحلیلگران به کمک آنها قادر به شناسایی IOCها (Indicators of Compromise) خواهند بود. از جمله IOCهای معمول میتوان به لینکها، وبسایتها، ایمیلها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
- انتشار: در ادامه، خروجی تجزیه و تحلیل در زمان مناسب به افراد مناسب ارسال میشود. قابلیت ردیابی در این فاز به گونهای است که باعث ایجاد تداوم بین چرخهها میشود.
- بازخورد: فرد یا افراد درخواستکننده هوش تهدید را بررسی کرده و میزان پاسخدهی اطلاعات فراهم شده به پرسشهای خود را تعیین میکنند. در صورت پاسخدهی کامل چرخه به پایان میرسد. در صورت وجود نیازمندی جدید، فرایند به مرحله شروع باز میگردد.
انواع هوش تهدید
محصول نهایی هوش تهدید به تناسبنیازهای اولیه، منابع هوش تهدید و مخاطبان مورد نظر متفاوت خواهد بود. با توجه به این معیارها، سه نوع هوش تهدید وجود دارد:
- هوش تهدید استراتژیک یا راهبردی: این نوع از هوش تهدید روندهای وسیع یا مشکلات بلندمدت را پوشش میدهد. هوش تهدید استراتژیک میتواند تصویری کلی از هدف و تواناییهای تهدیدهای سایبری ایجاد کرده و به تصمیمگیریهای آگاهانه و ارائه هشدارهای فوری کمک کند.
- هوش تهدید تاکتیکال: این نوع از هوش تهدید، عملیاتها و رویدادهای روزانه را پشتیبانی میکند و به ارائه ساختاری از تاکتیکها، تکنیکها و رویههای تهدیدگران برای مخاطبان فنیتر میپردازد.
- هوش تهدید عملیاتی: این نوع از هوش تهدید کاملا تخصصی و فنی است و اغلب مربوط به حملات، کمپینها، بدافزارها یا ابزارهای مشخص است. هوش تهدید عملیاتی میتواند به صورت یک گزارش بازرسی امنیتی باشد.
در یک برنامه هوش تهدید باید به دنبال چه بود
ارزش هوش تهدید غیرقابل انکار است و این مولفه به یک مولفه موردنیاز برای هر سازمانی با هر اندازه و شکلی تبدیل شده است. یک پلتفرم هوش تهدید سایبری فرایند جمعآوری و تجزیه و تحلیل دادهها را خودکارسازی نموده و بدین طریق امکان شناسایی، بررسی و پاسخگویی به موقع به تهدیدها را در اختیار تحلیلگران قرار میدهد. در ادامه و برای راهنمایی، چند پرسش بیان شده که در زمان جستجوی یک پلتفرم هوش تهدید سایبری باید به آنها پاسخ داده شود:
- روشهای مورد استفاده برای ایجاد هوش تهدید چیست؟
- فرادادههای همراه با هوش تهدید کدام است؟
- فاصله زمانی بین بهروزرسانیهای ارائه شده برای هوش تهدید چقدر است؟
- نحوه دریافت بهروزرسانیها توسط مشتری چگونه است؟
- فاصله زمانی تشخیص تا انتشار هوش تهدید چقدر است؟
[۱] Threat Intelligence
[۲] Circular process