Search
Menu

هوش تهدید یا Threat Intelligence چیست؟

هوش تهدید[۱] اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده‌ها به دست می‌آید و می‌توان از آن برای مقابله با تهدیدهای سایبری استفاده کرد. در این مطلب، پس از تعریف هوش تهدید، به بررسی انواع آن، نحوه کار آن و دلیل اهمیت آن می‌پردازیم.

تعریف هوش تهدید

هوش تهدید یا هوش تهدید سایبری اطلاعاتی است که سازمان‌ها می‌توانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برخلاف داده‌های خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به  تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمع‌آوری، پردازش و تجزیه و تحلیل داده‌های خام به دست می‌اید و می‌توان از آن برای تصمیم‌گیری‌های آگاهانه استفاده کرد.

دلیل اهمیت هوش تهدید چیست؟

با توجه به وجود تهدیدات سایبری بسیار زیاد، هوش تهدید می‌تواند سازمان‌ها را در دستیابی به اطلاعات موردنیاز برای شناسایی تهدیدهای سایبری و محافظت از خود در برابر آن‌ها کمک کند. مثلا، اگر سازمان‌ها بتوانند الگوهای هکرها یا مهاجمان سایبری را یاد بگیرند، می‌توانند به طور موثر به دفاع از خود پرداخته و خطرهای تاثیرگذار بر روی کسب و کار خود  را کاهش دهند. از دیگر دلایل اهمیت هوش تهدید کمک به شرکت‌ها در پیشگیری از خروج داده‌ها  می‌باشد. علاوه‌براین، سازمان‌ها می‌توانند با همکاری و تبادل اطلاعات با یکدیگر، به طور موثرتری از هوش تهدید برای پیشگیری از تهدیدهای آتی استفاده نمایند.

علیرغم اینکه به نظر می‌رسد هوش تهدید در حیطه کاری تحلیل‌گران پیشرفته باشد، در واقعیت، کلیه افراد فعال  در حوزه امنیت شامل افراد درگیر در عملیات‌های امنیتی، مدیریت آسیب‌پذیری، پیشگیری از تقلب و تحلیل خطر می‌توانند از مزایای هوش تهدید بهره‌مند شده و از آن برای تصمیم‌گیری استفاده کنند.

چرخه به‌کارگیری هوش تهدید

هوش تهدید به جای اینکه یک “فرایند end-to-end” باشد، به عنوان یک “فرایند چرخشی”[۲] به نام چرخه هوش تهدید عمل می‌کند. این فرایند از این جهت یک چرخه است که ممکن است در آن پرسش‌ها و شکاف‌های اطلاعاتی جدیدی ایجاد شده و نیازمندی‌های جدیدی در مجموعه ایجاد گردد.

چرخه هوش تهدید سایبری شامل چندین فاز به شرح ذیل می‌باشد:

  • برنامه‌ریزی و جهت‌دهی: در ابتدا ملزومات جمع‌آوری داده‌ها تعریف می‌شود. در این فاز پرسش‌هایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، باید مطرح شوند.
  • جمع‌‌آوری: پس از تعریف الزامات جمع‌آوری، داده‌های خام مربوط به تهدیدهای فعلی و آتی جمع‌آوری می‌شود. در این راستا، می‌توان از منابع متنوع هوش تهدید مانند Logها و رکوردهای داخلی و همچنین اینترنت و دیگر منابع فنی استفاده کرد.
  • پردازش: در ادامه، داده‌های جمع‌آوری شده با برچسب‌های metadata سازماندهی شده و اطلاعات اضافه، False positiveها و False negativeها جذف می‌شود. در این فاز استفاده از راه‌کارهایی مانند SIEM و SOAPA مفید بوده و سازماندهی داده‌های جمع‌آوری شده را تسهیل می‌کند.
  • تجزیه و تحلیل: این فاز است که منجر به تمایز «هوش تهدید» از «جمع‌آوری و انتشار ساده اطلاعات» می‌شود. در این فاز، با به‌کارگیری روش‌های تحلیل ساختاری، داده‌های پردازش شده‌ی فاز قبل مورد تجزیه و تحلیل قرار می‌گیرد. در نتیجه‌ی این اقدام، feedهای هوش تهدید سایبری ایجاد می‌شود و تحلیل‌گران به کمک آن‌ها قادر به شناسایی IOCها (Indicators of Compromise) خواهند بود. از جمله IOCهای معمول می‌توان به لینک‌ها، وب‌سایت‌ها، ایمیل‌ها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
  • انتشار: در ادامه، خروجی تجزیه و تحلیل در زمان مناسب به افراد مناسب ارسال می‌شود. قابلیت ردیابی در این فاز به گونه‌ای است که باعث ایجاد تداوم بین چرخه‌ها می‌شود.
  • بازخورد: فرد یا افراد درخواست‌کننده هوش تهدید را بررسی کرده و میزان پاسخ‌دهی اطلاعات فراهم شده به پرسش‌های خود را تعیین می‌کنند. در صورت پاسخ‌دهی کامل چرخه به پایان می‌رسد. در صورت وجود نیازمندی جدید، فرایند به مرحله شروع باز می‌گردد.

انواع هوش تهدید

محصول نهایی هوش تهدید به تناسبنیازهای اولیه، منابع هوش تهدید و مخاطبان مورد نظر متفاوت خواهد بود. با توجه به این معیارها، سه نوع هوش تهدید وجود دارد:

  • هوش تهدید استراتژیک یا راهبردی: این نوع از هوش تهدید روندهای وسیع یا مشکلات بلندمدت را پوشش می‌دهد. هوش تهدید استراتژیک می‌تواند تصویری کلی از هدف و توانایی‌های تهدیدهای سایبری ایجاد کرده و به تصمیم‌گیری‌های آگاهانه و ارائه هشدارهای فوری کمک کند.
  • هوش تهدید تاکتیکال: این نوع از هوش تهدید، عملیات‌ها و رویدادهای روزانه را پشتیبانی می‌کند و به ارائه ساختاری از تاکتیک‌ها، تکنیک‌ها و رویه‌های تهدیدگران برای مخاطبان فنی‌تر می‌پردازد.
  • هوش تهدید عملیاتی: این نوع از هوش تهدید کاملا تخصصی و فنی است و اغلب مربوط به حملات، کمپین‌ها، بدافزارها یا ابزارهای مشخص است. هوش تهدید عملیاتی می‌تواند به صورت یک گزارش بازرسی امنیتی باشد.

در یک برنامه هوش تهدید باید به دنبال چه بود

ارزش هوش تهدید غیرقابل انکار است و این مولفه به یک مولفه موردنیاز برای هر سازمانی با هر اندازه و شکلی تبدیل شده است. یک پلت‌فرم هوش تهدید سایبری فرایند جمع‌آوری و تجزیه و تحلیل داده‌ها را خودکارسازی نموده و بدین طریق امکان شناسایی، بررسی و پاسخ‌گویی به موقع به تهدیدها را در اختیار تحلیل‌گران قرار می‌دهد. در ادامه و برای راهنمایی، چند پرسش بیان شده که در زمان جستجوی یک پلت‌فرم هوش تهدید سایبری باید به آن‌ها پاسخ داده شود:

  • روش‌های مورد استفاده برای ایجاد هوش تهدید چیست؟
  • فراداده‌های همراه با هوش تهدید کدام است؟
  • فاصله زمانی بین به‌روزرسانی‌های ارائه شده برای هوش تهدید چقدر است؟
  • نحوه دریافت به‌روز‌رسانی‌ها توسط مشتری چگونه است؟
  • فاصله زمانی تشخیص تا انتشار هوش تهدید چقدر است؟

 

[۱] Threat Intelligence

[۲] Circular process

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.