Search
Menu

شکار تهدیدات (Threat Hunting)

منظور از شکار تهدیدات فرآیند جستجوی پیش‌کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه‌ها، سیستم‌های کاربران و یا Datasetها با هدف شناسایی فعالیت‌های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده‌اند.

Threat Hunting‌ یا شکار تهدیدات فرآیند جست و جو و یافتن مهاجمان قبل از اجرای یک حمله توسط آنان است. این روش بسیار متفاوت‌تر از روش‌های امنیتی مبتنی بر تشخیص و پیشگیری عمل می‌کند. در واقع Threat Hunting یک روش پیشگیری است که ابزارهای امنیتی، تجزیه و تحلیل و هوش تهدید (Threat Intelligence) را با تحلیل و غریزه انسانی ترکیب کرده است.

فرآیند Threat Hunting معمولاً با یک فرضیه شروع می‌شود که از طریق یک هشدار امنیتی، ارزیابی ریسک، تست نفوذ، یا کشف دیگری از فعالیت‌های غیرعادی از تهدید موجود در سیستم ایجاد می‌شود. این فرآیند توسط هر فردی در تیم امنیت به صورت دستی قابل انجام است. به عبارت دیگر شامل مجموعه فرآیندهایی است که به صورت مستمر و بی وقفه، در حال جست و جو در مؤلفه‌های شبکه، جهت یافتن و شناسایی تهدیدات پیشرفته که از نظر راهکارهای امنیتی پنهان هستند، مورد استفاده قرار می‌گیرند.

تشخیص تهدید یک مجموعه فرآیند کامل در تشخیص و ارزیابی تهدیدات، قبل یا بعد از مخاطره است. ابزارهای تشخیص تهدید به تجزیه و تحلیل شبکه، اپلیکیشن، داده و رفتارهای کاربران می‌پردازند تا فعالیت‌های غیرعادی که نشان‌دهنده یک تهدید هستند را شناسایی نمایند. پیش نیاز فرآیند شکار تهدیدات، اتوماسیون و خودکارسازی فرآیندهای کلاسیک است تا تهدیدات رایج قابل شناسایی مشخص شوند.

در فرآیند شکار تهدیدات، برخلاف فرآیندهای تشخیص تهدید گذشته، تحلیل‌گران پیش از آنکه رخدادی به وقوع بپیوندد، داده‌ها را بررسی و تحلیل می‌کنند، از این رو شکار تهدیدات یک فرآیند پیش‌کنشانه است. همچنین حتماً عامل انسانی در فرآیند بررسی و شکار تهدیدات نقش خواهد داشت؛ البته این بدان معنا نیست که ابزار و فرآیندهای خودکار هیچ نقشی ندارد. به بیان دیگر از آنجایی که یکی از اهداف فرآیند شکار تهدیدات شناسایی تهدیدات ناشناخته است، لذا وجه تمایز آن با سایر روش‌های مشابه استفاده از عامل انسانی در تحلیل و بررسی به جای ماشین و عامل‌های خودکار است. لازم به ذکر است که Threat Hunting جزئی از مفهوم کلی‌تر Proactive Defense است.

همچنین این فرآیند کمک می‌کند تا سازمان ها پیش از اینکه مورد حمله قرار بگیرند، به صورت جامع مورد بررسی امنیتی قرار گرفته و خطر تهدیدات را به حداقل کاهش دهند.

شکار تهدیدات فرآیند جدیدی نیست اما اخیراً توجه مراکز پیشرفته عملیات امنیت را به خود معطوف ساخته است. Hunting می‌تواند روش‌ها و تلاش‌های تشخیص تهدیدات را دگرگون سازد و بسیاری به این باور رسیده‌اند که شکار پیش‌کنشانه باید نقش مهمی را در فرآیند تشخیص تهدیدات ایفا کند. در بررسی‌ای که اخیراً توسط مؤسسه SANS صورت گرفته نشان داد 91 درصد از سازمان‌هایی که شکار تهدیدات را در دستور کار خود قرار داده‌اند، بهبود در سرعت و دقت در تشخیص را تجربه کرده‌اند.

شکار تهدیدات موفق منوط به داشتن سه قابلیت زیر است. البته این بدان معنا نیست که نداشتن قابلیت کافی در یکی از این سه حوزه شکار تهدیدات را با شکست مواجه می‌کند؛ بدیهی است هر چه در این سه حوزه بهبود حاصل شود، شکار تهدیدات موفقیت آمیزتر خواهد بود.

  1. برنامه‌ریزی، آماده‌سازی و پردازش
  2. تخصص، تجربه و بهره‌وری
  3. ابزارها، روش ها و فناوری

ویژگی ها

شکار تهدیدات موفق منوط به داشتن سه قابلیت زیر است. البته این بدان معنا نیست که نداشتن قابلیت کافی در یکی از این سه حوزه زیر شکار تهدیدات را با شکست مواجه می‌کند؛ بدیهی است هر چه در این سه حوزه بهبود حاصل شود، شکار تهدیدات موفقیت آمیزتر خواهد بود.

  1. برنامه‌ریزی، آماده‌سازی و پردازش
  2. تخصص، تجربه و بهره‌وری
  3. ابزارها، روش ها و فناوری

مزایا

شکار تهدیدات چه مزایایی دارد

  • شناسایی تهدیدات پایدار (طولانی مدت) پیشرفته یا APT​
  • شناسایی تهدیدات ناشناخته (تهدیدات Zero-Day یا تهدیداتی که دستگاه‌های امنیتی آنها را شناسایی نکرده‌اند.)​
  • کمک به بهبود سیستم‌ های تشخیص خودکار​
  • ایجاد پایگاه داده تهدید و نشانه‌های حمله (IoCها)​

خدمات

بعضی از تکنیک‌های شکار تهدید برای سال‌ها در تمرین مورد آزمایش قرار گرفته‌اند، اما شکار تهدید به عنوان جزء اختصاصی برنامه‌های امنیتی اطلاعات سازمانی، هنوز یک روند در حال ظهور است. در نتیجه، برنامه‌های شکار تهدید و سطوح بلوغ می‌توانند تا حد زیادی در کسب و کارهای مختلف متفاوت باشد. مؤسسه SANS یک نظرسنجی در مورد وضعیت کنونی تلاش‌های شکار تهدیدات سازمانی انجام داد و دریافت که اکثر پاسخ دهندگان گزارش مثبتی از برنامه‌های شکار تهدید خود ارائه کردند. ۷۵% از پاسخ دهندگان اظهار داشتند که سطح حمله آنها با شکار تهدید، از شدت تهاجمی آن کاهش یافته و ۵۹% اعتقاد داشتند که شکار تهدید، سرعت و دقت پاسخ به حادثه را افزایش داده است. در کل، ۵۲% از یافتن تهدیدهایی بوسیله شکار تهدید خبر دادند که قبلاً کشف نشده بوده است.

با این حال، نظرسنجی SANS نیز دریافت که این رشته در حال ظهور هنوز در بسیاری از سازمان‌ها طولانی است. چهار نفر از ده نفر از کسانی که به این نظرسنجی پاسخ دادند حتی برنامه شکار رسمی تهدید را در داخل سازمان‌های خود قرار نداده‌اند و ۸۸% از آنها احساس کردند که برنامه‌های شکار تهدیدشان نیاز به بهبود و بازنگری دارد. علاوه بر این، ۵۳%د معتقد بودند که روند شکار تهدید آنها به اندازه کافی از سوی دشمنان خود پنهان نیست و ۵۶% گزارش دادند که آنها از زمان مورد نیاز برای شکار کردن تهدیدات راضی نیستند.

چه ابزارهایی در شکار تهدیدات مورد استفاده قرار می‌گیرد

Spreadsheets

ساده‌ترین ابزار شکار تهدید، humble spreadsheet است که بسیاری از شکارچیان تهدید از آن برای کمک به نقاط دور از دسترس استفاده می‌کنند.

ابزارهای نظارت بر امنیت

محصولات امنیتی معمولی مانند فایروال‌ها، نرم‌افزارهای آنتی‌ویروس، سیستم‌های جلوگیری از بین رفتن داده‌ها (DLP) و سیستم‌های تشخیص نفوذ (IPS)، به شکارچیان تهدید برای کمک به آشکارسازی موارد تهدید کمک می‌کند.

ابزارهای تجزیه و تحلیل آماری

این ابزارها از الگوهای ریاضی برای مشخص کردن رفتارهای غیرعادی در داده‌ها استفاده می‌کنند که بر اساس آنها، شکارچی تهدید ممکن است تصمیم به تحقیقات بعدی بگیرد.

ابزارهای تحلیلی اطلاعاتی

این ابزارها به شکارچیان در معرض تهدید کمک می‌کنند تا داده‌ها را با نمودارها و نمودارهای تعاملی تجسم نمایند که باعث آسان‌تر شدن مشاهده همبستگی‌ها و اتصالات قبلاً پنهان شده بین موجودات، رویدادها یا داده‌ها می‌شود.

سیستم‌های ‌SIEM

از راهکارهای مربوط به امنیت و مدیریت رویداد (SIEM) توسط شکارچیان تهدید و همچنین کارکنان امنیت برای بهره‌برداری از داده‌های فراوانی که بسیاری از سازمان‌ها ایجاد می‌کنند و فعالیت‌های مشکوک را انجام می‌دهند، استفاده می‌شود.

ابزارهای تحلیل رفتار کاربر

ابزارهای User and Entity Behavior Analytics یا به اختصار UEBA می‌توانند شکارچیان را در جریان رفتارهای غیر عادی قرار دهند.

منابع اطلاعاتی تهدید سیستم‌های ‌SIEM

این مورد به شکارچیان تهدید در مورد تهدیدهای جدید برای جستجو، تکنیک‌های در حال اتخاذ توسط مهاجمین، منابع اطلاعاتی تهدید، جزئیات مربوط به بدافزارهای اجرایی مخرب و آدرس‌های IP مخرب، کمک می‌کند.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.