شکار تهدید پیشگیرانه چیست؟

شکار تهدید پیشگیرانه اقدام به جستجوی فعال و Proactive برای تهدیدات سایبری است که در یک شبکه‌ی ناشناس وجود دارند. شکار تهدیدات سایبری با جستجوی عمیق به دنبال عوامل مخربی در محیط می‌گردد که از سیستم‌های دفاعی امنیتی ابتدایی عبور کرده‌اند.

یک مهاجم پس از ورود اولیه می‌تواند به مدت چندین ماه مخفیانه در شبکه بماند و بدون سروصدا داده‌ها را جمع‌آوری کند، به‌دنبال اطلاعات محرمانه بگردد یا اطلاعات اعتباری لاگین را بدست آورد که به وی امکان حرکت جانبی در محیط را می‌دهند. وقتی‌که مهاجم با موفقیت از شناسایی فرار می‌کند و به سیستم دفاعی سازمان‌ نفوذ می‌کند، بسیاری از سازمان‌ها دارای قابلیت‌های ضروری برای شناسایی و متوقف کردن تهدیدات پیشرفته و مستمر درون شبکه نیستند. به همین دلیل است که شکار تهدیدات یکی از اجزای حیاتی برای هر استراتژی دفاعی است.

مدل‌های شکار تهدید پیشگیرانه

شکارچیان تهدید فرض می‌کنند که مهاجمین در سیستم هستند و بررسی‌هایی را آغاز می‌کنند تا رفتارهای غیرعادی که می‌توانند نشانگر فعالیت مخرب باشند، شناسایی شود. در شکار تهدید پیشگیرانه، شروع بررسی معمولاً در یکی از سه دسته‌ی زیر قرار می‌گیرد:

1. بررسی مبتنی بر فرضیه

بررسی‌های مبتنی بر فرضیه معمولاً به دلیل تهدید جدیدی آغاز می‌شوند که از طریق منبع بزرگی از داده‌های حمله‌ی جمع سپاری شده شناسایی می‌گردد و در مورد آخرین تاکتیک‌‌ها، تکنیک‌ها و فرایندها (TTPهای) مهاجمین اطلاعات می‌دهد. وقتی‌که TTP جدیدی شناسایی شد، شکارچیان تهدید به دنبال کشف رفتارهای به‌خصوص مهاجم در محیط خود می‌روند.

2. بررسی برمبنای نشانه‌های تهدیدات امنیتی یا نشانه‌های حمله‌ی شناخته‌شده

این رویکرد به شکار تهدیدات شامل بهره‌برداری از هوش تهدید تاکتیکی برای ثبت کردن IOCها و IOAهای مربوط به تهدیدات جدید است. سپس شکارچیان تهدید از این موارد استفاده می‌کنند تا حملات مخفی احتمالی یا فعالیت‌های مخرب را کشف کنند.

3. تجزیه‌و‌تحلیل پیشرفته و بررسی‌های یادگیری ماشین

سومین رویکرد تجزیه‌و‌تحلیل داده‌ی قدرتمند و یادگیری ماشین را با هم ترکیب می‌کند تا مقدار زیادی اطلاعات را غربال کند و ناهنجاری‌هایی را کشف کند که ممکن است نشان‌دهنده‌ی فعالیت مخرب احتمالی باشند. این ناهنجاری‌ها تبدیل به سرنخ‌های شکار می‌شوند که با هدف شناسایی تهدیدات مخفی توسط تحلیلگران ماهر موردبررسی قرار می‌گیرند.

هر سه رویکرد، رویکردهایی وابسته به انسان هستند که منابع هوش تهدید را با تکنولوژی امنیتی پیشرفته ترکیب می‌کنند تا به‌صورت فعال و پیشگیرانه از سیستم‌ها و اطلاعات یک سازمان‌ حفاظت شود.

مراحل‌ شکار تهدید پیشگیرانه

فرایند شکار تهدید پیشگیرانه معمولاً از سه مرحله تشکیل می‌شود: یک عامل آغازگر، بررسی و حل‌وفصل.

قدم ۱: عامل آغازگر

وقتی‌که ابزار شناسایی پیشرفته اقداماتی غیرعادی را شناسایی می‌کنند که ممکن است نشانگر فعالیت مخرب باشد، این عامل شکارچی تهدید را به سمت یک سیستم یا حوزه‌ی خاص از شبکه هدایت می‌کند. معمولاً یک فرضیه در مورد تهدید جدید می‌تواند عامل آغازگر شکار تهدید پیشگیرانه باشد. مثلاً ممکن است یک تیم امنیتی به‌دنبال تهدیدات پیشرفته‌ای بگردد که برای فرار از سیستم‌های دفاعی موجود از ابزاری مثل بدافزارهای بدون فایل استفاده می‌کنند.

قدم ۲: تحقیق و بررسی

در مرحله‌ی تحقیق و بررسی، شکارچی تهدید از تکنولوژی‌هایی مثل EDR یا شناسایی و پاسخ‌دهی تهدیدات Endpoint استفاده می‌کند تا عمیقاً نقض‌های امنیتی مخرب احتمالی را بررسی کند. تحقیق و بررسی تا زمانی ادامه دارد که یا فعالیت بی‌خطر محسوب شود یا تصویر کاملی از رفتار مخرب ایجاد گردد.

قدم ۳: حل‌وفصل

مرحله‌ی حل‌وفصل شامل منتقل کردن اطلاعات فعالیت مخرب به تیم‌های امنیت و عملیات است تا آن‌ها بتوانند به حادثه پاسخ داده و تهدیدات را خنثی کنند. داده‌هایی که از فعالیت‌ مخرب و بی‌خطر جمع‌آوری می‌شوند را می‌توان وارد تکنولوژی‌های خودکارسازی کرد تا بدون مداخله‌ی انسانی بیشتر، کارآمدی آن‌ها افزایش یابد.

در طول این فرایند، شکارچیان تهدید سایبری تا جایی که می‌توانند در مورد اقدامات، روش‌ها و اهداف یک مهاجم اطلاعات جمع‌آوری می‌کنند. آن‌ها همچنین داده‌های جمع‌آوری‌شده را تجزیه‌وتحلیل می‌کنند تا رویه‌ها را در محیط امنیتی سازمان‌ها مشخص کرده، آسیب‌پذیری‌های موجود را حذف کنند و پیش‌بینی‌هایی داشته باشند تا امنیت را در آینده بهبود بخشند.

فرآیند شکار تهدید پیشگیرانه

شکار تهدید پیشگیرانه تکمیل‌کننده‌ی فرایند استاندارد شناسایی حادثه، پاسخ به حادثه و اصلاح آن است. درحالی‌که تکنولوژی‌های امنیتی داده‌های خام را تجزیه‌وتحلیل می‌کنند تا هشدارهایی را ایجاد کنند، شکار تهدید به‌طور موازی کار می‌کند و با استفاده از Queryها و خودکارسازی سرنخ‌های شکار را از داده‌های یکسانی استخراج می‌کند. سپس سرنخ‌های شکار توسط شکارچیان تهدید انسانی که در شناسایی نشانه‌های فعالیت مخرب ماهر هستند تجزیه‌وتحلیل می‌گردند و سپس می‌توان آن‌ها را از طریق همان Pipeline مدیریت‌ کرد. این فرایند در شکل زیر نمایش داده شده است:

آیا باید از یک سرویس شکار تهدید مدیریت‌شده استفاده کرد؟

بااینکه مفهوم شکار تهدید مفهوم واضحی است، چالش اصلی جذب پرسنلی است که بتوانند به‌درستی اقدامات لازم را انجام دهند. بهترین شکارچیان تهدید افرادی هستند که امتحان خود را پس داده باشند و تجربه‌ی خوبی در مبارزه با مهاجمین سایبری داشته باشند. متأسفانه در صنعت امنیت سایبری با کمبود مهارت شدیدی در مورد شکار تهدید مواجه هستیم و شکارچیان مجرب هزینه‌ی زیادی دریافت می‌کنند. به همین دلیل است که بسیاری از سازمان‌ها به سراغ خدمات مدیریت‌شده می‌روند که می‌توانند تخصص عمیق و مراقبتی ۲۴ ساعته را با هزینه‌ی مقرون به‌صرفه‌تری ارائه دهند.

در ادامه می‌بینیم که در یک سرویس شکار تهدید پیشگیرانه باید به دنبال چه چیزی باشیم.

الزامات برای شروع به شکار تهدید پیشگیرانه

یک سرویس شکار تهدید برتر رویکردی سه‌بخشی به شناسایی تهدید دارد. شکار تهدید پیشگیرانه علاوه بر متخصصان امنیتی ماهر برای شکار موفق نیازمند دو جزء ضروری دیگر نیز هست: تجزیه‌و‌تحلیل قدرتمند و داده‌های وسیع.

1. سرمایه انسانی

هر نسل جدید از تکنولوژی امنیت می‌تواند تعداد بیشتری از تهدیدات پیشرفته را شناسایی کند، اما کارآمدترین موتور شناسایی هنوز هم مغز انسان است. تکنیک‌های شناسایی خودکار ذاتاً قابل پیش‌بینی هستند و مهاجمین امروز نیز از این امر آگاهی دارند و تکنیک‌هایی را برای دور زدن، اجتناب کردن یا مخفی شدن از ابزار امنیتی خودکار ترتیب می‌دهند. در یک سرویس شکار تهدید کارآمد، شکارچیان تهدید انسانی جزئی بسیار حیاتی هستند.

ازآنجایی‌که شکار تهدید پیشگیرانه به تعامل و مداخله‌ی انسانی بستگی دارد، موفقیت نیز به این بستگی دارد که چه کسی در بین داده‌ها شکار می‌کند. تحلیلگران نفوذ باید تخصص لازم را برای شناسایی حملات پیچیده داشته باشند و همچنین به منابع امنیتی لازم دسترسی داشته باشند تا بتوانند به کشف رفتارهای غیرعادی پاسخ دهند.

2. داده‌های وسیع

سرویس باید دارای قابلیت جمع‌آوری و ذخیره‌ی داده‌های رخداد سیستم جزئی و دقیق باشد تا قابلیت دید مطلقی را به تمام Endpointها و دارایی‌های شبکه فراهم کند. با استفاده از زیرساخت Cloud مقیاس‌پذیر، یک سرویس امنیتی خوب تجزیه‌و‌تحلیل Real-Timeی را روی این مجموعه داده‌های بزرگ انجام می‌دهند.

3. هوش تهدیدات

درنهایت، یک راهکار شکار تهدید پیشگیرانه باید بتواند داده‌های سازمانی داخلی را با آخرین هوش تهدیدات در مورد رویه‌های خارجی ارجاع متقابل دهد تا اقدامات مخرب به‌طور کارآمدی تجزیه‌وتحلیل و همسان‌سازی شوند.

تمام این‌ها نیاز به زمان، منابع و تلاش دارد و اکثر سازمان‌ها کارمند و تجهیزات کافی را برای یک عملیات شکار تهدید بیست‌وچهارساعته ندارند. خوشبختانه راهکارهای امنیتی مدیریت‌شده‌ای هستند که منابع مناسب (افراد، داده‌ها و ابزارهای تحلیلی لازم) را برای شکار کارآمد فعالیت شبکه غیرعادی و تهدیدات مخفی دارند.

ذخیره‌سازی گسترده چه کمکی به شکار تهدید می‌کند؟

حفظ داده‌های امنیتی به مدت‌ طولانی به شکارچیان تهدید این توانایی را می‌دهد که قابلیت دید و داده‌های متنی و محتوایی بیشتری را از داده‌های Real-Time و پیشین کسب کنند و بدین‌صورت تجزیه‌و‌تحلیل و تحقیق آن‌ها کامل‌تر و دقیق‌تر گردد. این گسترش ذخیره‌سازی داده‌های امنیتی به تیم‌ها این توانایی را می‌دهد که سریع‌تر به‌طور فعال و پیشگیرانه جستجو کرده و تهدیدات مخفی در محیط را کشف کنند؛ با غربال کردن داده‌ها برای شناسایی ناهنجاری‌هایی که می‌توانند نشانگر رفتار مخرب باشند، تهدیدات پیشرفته و مستمر یا APTها را حذف کنند و بهتر بتوانند آسیب‌پذیری‌ها را اولویت‌بندی کرده و قبل از اینکه تبدیل به سلاح شوند، به آن‌ها بپردازند.

با تزریق و نگهداری داده‌های امنیتی در یک مخزن، کاربران می‌توانند به‌سادگی جستجو کرده و داده‌های پراکنده را همسان‌سازی کنند تا بینش‌های جدید و درک واضح‌تری از محیط بدست آورند. با یکپارچه‌سازی منابع لاگ مختلف ازجمله شناسایی‌های امنیتی و هوش تهدیدات، شکارچیان بهتر می‌توانند حوزه‌ی شناسایی‌ها را تعریف و محدود کنند که این امر منجر به کاهش مثبت‌های کاذب می‌شود. وقتی‌که ذخیره‌سازی و مدیریت با دورسنجی (Telemetry) امنیتی غنی‌شده گسترش پیدا کرد، تیم‌های امنیتی می‌توانند قابلیت دید و ساختار موردنیاز را برای بررسی‌های خود بدست آورند تا شناسایی و پاسخ به تهدیدات احتمالی تسریع شود.