دفاع سایبری چیست؟

دفاع سایبری، به‌معنی مقاومت فعالانه دربرابر حمله‌ها و به حداقل رساندن تأثیر تهدید است. دفاع سایبری یکی از چهار حوزه‌ی امنیت اطلاعاتی است و سه حوزه‌ی دیگر نظارت بر امنیت، معماری امنیت و مدیریت ریسک امنیتی هستند. سازمان‌های دفاع سایبریِ موفق، پیوسته به سایر حوزه‌های امنیت اطلاعات ملحق می‌شوند تا برنامه‌ی امنیتی پایداری تشکیل دهند.

شکل ۱. چهار حوزه‌ی امنیت اطلاعات

حوزه‌ی دفاع سایبری متشکل از شش کارکرد است که مأموریت شناسایی و پاسخ‌دهی به تهدیدهای متوجه کسب و کار یا سازمان را ممکن می‌سازند. خدماتی که یک سازمان دفاع سایبری ارائه می‌کند، به سازمان این امکان را می‌دهد که در مواجهه با تهدیدها به فعالیت خود ادامه دهد. این کارکردها با همکاری یکدیگر جبهه‌ی مشترکی علیه مهاجمان فراهم می‌کنند.

شکل ۲. کارکردهای دفاع سایبری

هر یک از این کارکردها بر بخش خاصی از مأموریت دفاع سایبری تمرکز دارند. این کارکردها بر یکدیگر تأثیر دارند و امکان بهره بردن هر کارکرد از توانایی‌های سایر کارکردها که بر اهداف دیگری متمرکز هستند، وجود دارد. کارکردهای حوزه‌ی دفاع سایبری شامل اطلاعات، Command and Control، جستجو، شناسایی، پاسخ‌دهی و تأیید است. هر یک از این کارکردها به فعالیت‌ها، اقدامات یا مسئولیت‌های گوناگونی مرتبط هستند، اما همگی آن‌ها نقاط قوت اساسی دارند که به همراه یکدیگر جهت بهبود دفاع سایبری به کار می‌روند.

شکل ۳. کارکردهای دفاع سایبری در عمل

اطلاعات نیروی حیاطی دفاع سایبری است، چراکه مستقیماً بر تمامی کارکردهای دیگر تأثیر دارد. از ارائه‌ی شاخص‌های تهدید (IOCs) که برای ایجاد Use caseها در کارکرد شناسایی به کار می‌روند، تا هدایت فعالیت‌های جستجوی مأموریت محور، یا امکان تقلید از مهاجم جهت آزمودن کنترل‌های امنیتی در کارکرد تأیید، هوش تهدید برای تمامی عناصر اکوسیستم ضروری است.

کارکرد شکار بسیاری از امکانات آینده‌نگرانه‌ی دفاع سایبری را جهت شناسایی تهدیدهای فعال در محیط ممکن می‌سازد. این کارکرد شامل امکانات پیشرفته‌ای همچون شناسایی تهدید داخلی، راهبردهای فریب و تمرین‌های شبیه‌سازی تهدید است.

بسیاری از عناصر معمول قابل مشاهده در عملیات‌های امنیتی، در کارکرد شناسایی اجرا می‌شوند. این کارکرد شامل بهبود ساختارمندی، ارائه‌ی تجزیه و تحلیل شناسایی، افزایش قابلیت دید به منظور ارائه‌ی تصویری واضح‌تر از تهدیدهای متوجه محیط و ارائه‌ی دیدی جامع‌تر از خودِ محیط به سازمان می‌باشد.

کارکرد پاسخ‌دهی بر توانایی‌هایی همچون پاسخ دادن و بازداشتن تمرکز دارد و شامل خودکارسازی و تنظیم است که ترمیم (Remediation) سریع‌تر حوادث را به منظور به حداقل رساندن تأثیر آن‌ها ممکن می‌سازد.

حصول اطمینان تولید ارزش توسط کنترل‌های امنیتی بخشی از کارکرد تأیید است. کارکرد تأیید از عملکرد مطلوب اکوسیستم کنترل امنیت در طی تغییرات محیطی اطمینان حاصل می‌کند و همچنین هرگونه آسیب‌پذیری را در محیط شناسایی می‌کند. این کارکرد محدود به کنترل‌های فنی نیست، بلکه تأثیرگذار ماندن فرآیندهای پاسخ‌دهی به چشم‌انداز متغیر تهدیدها را نیز تأیید می‌کند.

آخرین بخش، کارکرد  Command and Controlاست که با مدیریت کارکردهای دفاع سایبری تا اطمینان حاصل کند که به خوبی عمل می‌کنند تا مأموریت خود را انجام دهند. این کارکرد بر مدیریت برنامه‌ی دفاع سایبری متمرکز است و برای مدیریت منابع، ارتباطات، معیارهای سنجش، و مدیریت بحران، فرآیندهای قاعده‌مند ایجاد می‌کند. این مدیریت برنامه اطمینان حاصل می‌کند که امکانات دفاع سایبری نسبت به تغییرات سازمانی و چشم‌انداز تهدیدها انعطاف‌پذیر باقی می‌مانند.

نقش اطلاعات تهدیدات سایبری در دفاع سایبری

اطلاعات در دفاع سایبری یک عامل تفکیک‌کننده بوده و در یک سازمان دفاع سایبری راهنمای اقدامات است. اغلب سازمانی‌های امنیتی محتوای مربوط به هوش تهدید را دنبال می‌کنند اما در عملیاتی ساختن اطلاعات و استفاده از آن جهت محافظت از کسب و کار خود به مشکل برمی‌خورند. آن‌ها به‌جای کیفیت IOCهای ارائه شده، بر کمیت IOCها تمرکز دارند. از این گذشته، سازمان‌ها موفق به برنامه‌ریزی برای بهره بردن از هوش تهدید نمی‌شوند و اغلب مستقیماً به سراغ گردآوری اطلاعات می‌روند که می‌تواند با دنبال کردن منابع اشتباه، پرداختن به سربار اطلاعات، یا کسب اطلاعاتی که اصلاً مدنظر نیست، منجر به اتلاف وقت شود. با اینکه روشی برای خودکارسازی کامل تمام نیازهای اطلاعاتی وجود ندارد، با استفاده از خودکارسازی هدف‌گذاری‌شده فرصت‌های بسیاری برای بهره‌بری حداکثری از اطلاعات عملیاتی به شیوه‌ای کارامد در دسترس قرار می‌گیرد.

زمانی که اطلاعات تهدیدات سایبری (CTI) به بهترین نحو به کار بسته شود، به اولویت‌بندی اقدامات پاسخی کمک کرده، تصمیمات مدیریت راهبردی ریسک را پشتیبانی کرده، و سایر اقدامات دفاع سایبری را هدایت می‌کند. اطلاعات تهدیدات سایبری (CTI) چیزی بیش از محتوای IOCها یا آسیب‌پذیری‌ها و مواجهه‌های معمول (CVE) است که ممکن است ساختار پیرامونی داشته یا نداشته باشند.

اطلاعات تهدیدات سایبری (CTI)  مجموع مشاهدات از چندین منبع داده است که با ساختار داده‌های تجاری‌ای غنی می‌شود که برای پشتیبانی از تصمیمات استراتژیک، عملیاتی و راهبردی طراحی شده‌اند. CTI براساس فناوری‌های قابل‌استفاده‌ی معلوم و اینکه گروه‌های مهاجمِ بهره‌برنده از این IOCها و CVEها پیش از این سازمان‌ها یا صنایع همتا را هدف قرار داده‌اند یا خیر، تصویری اختصاصی از میزان در معرض خطر بودن سازمان ایجاد می‌کند. این اطلاعات شالوده‌ی پروفایل تهدید سایبری را تشکیل می‌دهد.

اطلاعات ارائه‌شده در پروفایل تهدید باید در سطحی باشد که عملیات پایش امنیت را هدایت کرده، قابلیت دید و آگاهی از تهدیدهای سایبری ایجاد کند، و شناسایی این تهدیدها درون سازمان را در اولویت قرار دهد.

سازمان‌ها به طور میانگین ۷.۵% محتوای هوش تهدید را دنبال می‌کنند.

%۶۶.۵ همچنان اطلاعات تهدیدات سایبری (Cyber Threat Intelligence) را از طریق ایمیل، پاورپوینت، جداول اکسل و اسناد توزیع می‌کنند

تنها ۴۳% از آن‌ها دارای الزامات اطلاعات تهدیدات سایبری ثبت شده هستند.

خلق اطلاعات عملیاتی با ایجاد یک نقشه‌ی هوش تهدید آغاز می‌شود. یک نقشه‌ی ابتدایی موارد کاربرد هوش تهدید باید به این پرسش‌ها پاسخ دهد:

1. چه چیزی باید حاصل شود؟
2. چه کسی از خروجی اطلاعات استفاده خواهد کرد؟
3. خروجی اطلاعات چگونه ابلاغ خواهد شد؟
4. بازخوردها نسبت به خروجی، چگونه جمع‌آوری شده و استفاده از آن چگونه سنجیده خواهد شد؟
5. چه منابع اطلاعاتی اضافه‌ای برای پر کردن خلأهای موجود لازم است؟

با تکیه بر اطلاعات چه چیزی باید حاصل شود؟

هدف اطلاعات باید شامل موارد زیر باشد:

• کسب آگاهی در مورد مهاجمان و چگونگی اجرای حملات
• تعیین انگیزه و هدف مهاجمان
• یافتن آسیب‌پذیری‌های موجود در محیط
• بررسی احتمال هدف تهدید قرار گرفتن سازمان بر اساس پروفایل آن (تناسب)
• تعیین اینکه در صورت وقوع یک تهدید، تأثیر آن بر سازمان چه خواهد بود

هر یک از این مؤلفه‌های اطلاعات می‌توانند در سازمان ارزش خاصی داشته باشند و بهترین شکل و روش استفاده توسط گیرنده‌ی اطلاعات را مشخص کنند.

چه کسی از اطلاعات استفاده خواهد کرد؟

سازمان‌ها ممکن است ده‌ها اشتراک محتوای «بهترین» اطلاعات را خریداری کنند، با این حال حتی بهترین اطلاعات نیز در صورتی که به درستی مورد استفاده قرار نگیرد، هدر می‌رود. درک اینکه چه کسی از اطلاعات استفاده خواهد کرد و با آن چه خواهد کرد حائز اهمیت است.

تیم پاسخ به رخداد (IR) ممکن است بیشترین توجه را به IOCها، زیرساخت‌های مهاجمان و ابزارها و تکنیک‌های معمول مهاجمان نشان دهد که می‌تواند تسریع‌کننده‌ی تجسس باشند. رفتارهای قابل شناسایی مهاجم می‌تواند تجسس را سرعت بخشد و پاسخ‌دهندگان به رخداد را قادر به تمرکز کردن بر حوزه‌هایی سازد که بر اساس انگیزه‌ی مهاجم حائز بیشترین اهمیت هستند. می‌توان به نحوی برنامه‌ریزی شده بیشترین بهره را از این نوع اطلاعات خام برد تا با برجسته کردن سیگنال‌های احتمالی در میان نویزها، به پاسخ‌دهندگان به رخداد نقطه‌ای محوری در تجسس‌شان داد.

حتی در برنامه‌ی دفاع سایبری، تیم‌های متفاوت ممکن است انواع اطلاعات متفاوتی نیاز داشته باشند. برای مثال، جستجوگر تهدید ممکن است در طی جستجو، مانند پاسخ‌دهندگان به اطلاعات خام نیاز داشته باشد. به­علاوه، ممکن است برای کمک به ایجاد فرضیه برای مأموریت جستجو به اطلاعات نهایی و پروفایل تهدید سایبری و برای مدیریت وقایع و امنیت اطلاعات (SIEM) به قوانین شناسایی جدید نیاز داشته باشند.

فرایند شناسایی تهدید می­تواند بیشترین سود را از محتوای دست‌چین شده ببرد تا هشدارها را ساختارمند کرده و اقدامات تیم را با توجه به هشدارها اولویت‌بندی کند.

جدول ۱: ارزش اطلاعات تهدیدات سایبری (CTI) بر اساس نقش‌های امنیتی

اطلاعات چگونه منتقل خواهد شد؟

خواسته‌های سهامداران سازمانی در زمینه‌ی چگونگی استفاده از اطلاعات متفاوت است. مصرف‌کنندگان راهبردی اغلب گزارش­های سطح بالا را ترجیح می‌دهند که تأثیر تغییرات عملیات‌های مهاجمان بر چشم‌انداز گسترده‌تر تهدیدات صنعت را زمینه‌سازی می‌کنند، اما مصرف‌کنندگان تاکتیکی اغلب گزارش‌هایی را ترجیح می‌دهند که از نظر فنی فشرده‌تر بوده و شامل شاخص‌هایی هستند که بلافاصله در بررسی سازمان قابل استفاده‌اند. نقشه‌ی هوش تهدید باید زمان و چگونگی ابلاغ را برای هر نوع از مصرف‌کننده ثبت کند.

• مهندسی امنیت احتمالاً به دنبال اطلاعات دقیق در مورد نقاط آسیب‌پذیری است که مورد سوءاستفاده قرار می‌گیرند، دقت این اطلاعات تا حد نسخه‌ای از نرم‌افزار که تحت‌تأثیر قرار گرفته است، حائز اهمیت است. این اطلاعات را می‌توان از طریق ایمیل یا (ترجیحاً) از طریق یک سیستم ردیابی ابلاغ کرد تا هردو نقطه‌ی آسیب‌پذیری و وضعیت جلوگیری از آن قابل ردیابی باشند. خودکارسازی فرآیند زمینه‌سازی اطلاعات آسیب‌پذیری خارجی با استفاده از جزئیات سطح حمله (Attack surface) و آسیب‌پذیری سازمانی، امکان اولویت‌بندی سریع‌تر و معنی‌دارترِ Patching، ترمیم و پایش را ایجاد می‌کند.
• پاسخ‌دهندگان به رخداد خواستار این هستند که سیستم، Logها و داده‌های بررسی و انتقال از راه دور داده‌ها (Telemetry) را سریعاً جهت ارزیابی سریع اطلاعات زیرساختار مهاجمان، Signature فایل‌ها، آدرس IPها، و سایر IOCها پردازش کند. این کار با استفاده از اسکریپت‌ها و ابزارهای سفارشی قابل خودکارسازی است و انجام اولویت‌بندی اولیه را تسریع و تسهیل می‌کند. این کار حتی می‌تواند به یافتن شاخص‌های ابتدایی بر اساس IOCهای قابل اطمینان کمک کند تا ویژگی‌های بالقوه‌ی مهاجم تعیین شود. درنتیجه فعالیت‌های پاسخ‌دهی و بازداری به‌شدت تسریع می‌شوند.
• عملیات امنیت (SecOps) مسئول تأیید Signatureهایی است که فعال یا به روز بودن رفتارهای خرابکارانه را در کنترل‌ها شناسایی می‌کنند، از جمله عاملان اندپوینت، NGFWها، یا سایر سیستم‌های دفاعی. این کار نیازمند اطلاعات خاصی در مورد تهدیدها است.
• تیم جستجو خواستار اطلاعات دورنمایی مانند چگونگی مشارکت یک حمله‌ی خاص در APTهای شناخته شده و کلاسترهای گروهی طبقه‌بندی‌نشده (UNCs) است تا بتواند تمامی شاخص‌های خام و سایر فعالیت‌های گروه مهاجم را جستجو کند. این کار معمولاً نوعی «بیرون کشیدن» دستورالعمل تهدید یا اطلاعات پروفایلی از یک پلتفورم هوش تهدید است. جستجوگران تهدیدات می‌توانند در طی یک حمله‌ی APT شناخته شده یا UNC شاخص‌های دارای کارایی کمتر را کنار بزنند. این نوع شاخص‌ها به‌دلیل وجود نویز، در عملیات‌های روزانه در تکنولوژی امنیت به کار بسته نمی‌شوند. با این حال در حین حمله، تیم جستجو می‌تواند بسیاری از شاخص‌های کم‌کارایی را با اندپوینت‌های منفرد مرتبط سازد که به شفاف سازی حمله‌ها کمک می‌کند.
• مدیران اجرایی و اعضای هیئت مدیره احتمالاً به دنبال اطلاعات روزآمد کوتاه و متمرکز بر تأثیر بر کسب و کار هستند، نه جزئیات فنی امور.

بازخوردها چگونه جمع‌آوری شده و استفاده از آن چگونه سنجیده خواهد شد؟

حلقه‎‌ی بازخورد اطلاعات به سهامداران سازمان فرصتی می‌دهد تا بیان کنند که آیا محتوا، ساختار و پیام منتقل شده در یک گزارش اطلاعات مفید بوده و موجب طرح پرسش‌های تکمیلی شده است، یا اینکه محصول به هدف خود نرسیده است. سپس آن‌ها می‌توانند پیشنهاداتی برای اصلاح در محصولات بعدی ارائه کنند. منع بازخورد موجب می‌شود تولیدکنندگان اطلاعات به نوشتن گزارش‌هایی که به باور خودشان برای مخاطبان خاصی مفید هستند ادامه دهند. درحالی که معیارهای سنجش میزان سودمندی اطلاعات خاص، نیروی محرکه‌ی تصمیمات امنیت سایبری در یک سازمان هستند، تولیدکنندگان اطلاعات به خود براساس میزان موفقیت در برآورده کردن نیازهای موجود امتیاز می‌دهند و بازخوردها کلید هدایت این فرآیند هستند.

چه منابع اطلاعاتی لازم است؟

پس از رسیدگی به چهار پرسش قبلی، منابع اطلاعات آخرین موضوع بررسی است، چراکه این منابع مشخص می‌کنند چه اطلاعاتی لازم است.

منابع اطلاعات معمول موارد زیر را دربرمی‌گیرند:

• پلتفرم‌های هوش تهدید (TIPs): گنجینه‌ای مرکزی از ارزیابی‌های مربوط به رخدادها و توانایی‌های عامل تهدید.
• هوش متن باز (OSINT): داده‌ها و اطلاعاتی که رایگان در دسترس عموم قرار دارند. این دسته تقریباً هرآنچه را که در اینترنت موجود است و فایروال پرداختی ندارد، دربر می‌گیرد. OSINTها شامل مقادیر زیادی داده‌های خام هستند اما نیازمند کاوش بسیار برای یافتن داده‌های باکیفیت و مرتبط هستند.
• انجمن‌های اشتراک‌گذاری اطلاعات (ISACs/ISAOs): اطلاعات سفارشی‌شده‌ی صنعت که از نظر صحت بررسی شده‌اند.

شکل ۴. جریان اطلاعات برای اصلاح اطلاعات تهدیدات سایبری (CTI)

تنوع منابع ضروری است، چراکه هر منبع قطعه‌ی متفاوتی از پازل را در خود جای داده است. با این حال، تمامی منابع برابر نیستند. اعتبار و موثق بودن منابع باید در نظر گرفته شود. اعتبار و موثق بودن شامل کارایی، رواج، قابلیت دید و صحت‌سنجی است. حفظ مجموعه‌های اطلاعات متنوع و گسترده و توسعه و گردآوری مداوم اطلاعات، از کاربردهای ایده‌آل شراکت راهبردی است که التزامات را به صورت منفرد به مجموعه‌های اطلاعات دارای مالکیت متمرکز و منبع مستقیم محدود می‌کند.

فعالسازی هوش تهدید

فعال‌سازی هوش تهدید موجب فعال شدن تمامی کارکردهای دیگر سازمان دفاع سایبری می‌شود.

برای فعال کردن هوش تهدید، موارد زیر را انجام دهید:

1. نقشه‌ی هوش تهدید را ترسیم کنید.

• مصرف‌کنندگان مختلف هوش تهدید در سازمان و نیازهای آنان را ثبت کنید.
• نیازها را با مجموعه‌ی منابع مقایسه کنید و هرنوع خلأ را ثبت کنید.
• اطلاعاتی که باید به هر مصرف‌کننده ابلاغ شود و مورد استفاده‌ی آن را فهرست کنید.
• فرمتی که برای تحویل اطلاعات به کار خواهد رفت و دفعات اشتراک‌گذاری آن را تعیین کنید.
• با سهامداران معاشرت کنید و واسطه‌ی خرید سهم نقشه شوید و نحوه‌ی جمع‎‌آوری بازخوردها در مورد استفاده از اطلاعات را مشخص کنید.

2. چشم‌انداز تهدید و پروفایل تهدید سایبری را طرح‌ریزی کنید.

• عاملان تهدید در چشم‌انداز تهدید سایبری موجود و TTPهای آنان را شناسایی کنید.
• مهاجمانی که با توجه به اهداف باارزش‌شان احتمال می‌رود سازمان را هدف قرار دهند و روش‌های آنان را شناسایی کنید.
• احتمال در معرض خطر قرار گرفتن توسط تهدیدهای شناسایی شده و تأثیر اجرای موفقیت‌آمیز تهدید بر سازمان را تعیین کنید.

3. آسیب‌پذیری‌ها را اولویت‌بندی کنید.

• آسیب‌پذیری‌هایی که احتمال می‌رود توسط گروه‌های تهدیدگر مرتبط، علیه تکنولوژی‌های استفاده شده مورد سوءاستفاده قرار گیرند را شناسایی کنید.
• به گروه‌های فناوری اطلاعات کمک کنید تا به درستی اقدامات Patching و ارتقای خود را سامان دهند.
• مشخص کنید کنترل‌های امنیتی باید در کجا اضافه یا به روز رسانی شوند تا رفتار خرابکارانه را شناسایی کنند.

این اقدامات با تغییر چشم‌انداز تهدید و تحول نیازهای کسب و کار به طور مداوم تکامل می‌یابد. هدف نهایی تصمیم‎گیری آگاهانه به منظور کاهش خطر سایبری است.