شکار تهدیدات (Threat Hunting)

شکار تهدیدات (Threat Hunting) یک استراتژی مؤثر برای مبارزه با حملات سایبری به شبکه‌ها و سیستم‌های فناوری اطلاعات سازمان‌ها می‌باشد.

وجود سیستم‌های مدیریت تهدید برای محافظت از سیستم‌ها، شبکه‌ها و داده‌ها بسیار مهم است. اما گاهی استفاده از آنها به‌صورت فعال و موثر به دلایل مختلف در شبکه سازمان ها و شرکت ها، امکان پذیر نمی‌باشد. فایروال ها، سیستم های تشخیص نفوذ (IDS) و یا سیستم اطلاعات امنیتی و مدیریت رخداد (SIEM)  نیز پس از شناسایی تهدید می‌توانند موثر باشند و روش مناسبی برای جلوگیری از آسیب‌پذیری به‌صورت فعال نمی‌باشند.

 

تهدیدات گذشته

پیش‌ازاین، تنها بدافزارها و ویروس‌ها عامل تهدیدات سازمان ها بودند که می‌توانستند به‌عنوان یک تهدید بالقوه برای سیستم‌های یک مجموعه عمل کنند. اما امروزه این تهدیدات محدود به یک بدافزار یا ویروس نیست. بلکه افرادی هستند که هوشمندانه و مداوم، عامل تهدیدات مختلف برای سیستم‌های یک سازمان می‌باشند. می‌توان گفت که امروزه سازمانی نیست که راهکارهای امنیتی را نسبت به ابعاد سازمانی خود پیاده‌سازی نکرده باشد. اما آیا سازمانی وجود دارد که اطمینان بدهد که یک عامل بیرونی در شبکه خود وجود ندارد؟

سازمان‌ها نباید فقط چشم انتظار هشدارهای امنیتی مکانیزم های پیاده سازی شده باشند بلکه آنها باید به طور فعال به دنبال تهدیدات بگردند تا بتوانند به رخدادهای امنیتی به‌سرعت پاسخ دهند و با آنها مقابله کنند تا متوجه کمترین آسیب شوند.

اگر حمله‌ی پیشرفته ای اتفاق بیفتد که از دید تجهیزات امنیتی پنهان مانده و با موفقیت انجام شده باشد، مهاجم می‌تواند در شبکه سازمان حضور بیابد و به‌عنوان یک عضو شبکه داخلی محسوب شود و به فعالیت خود ادامه دهد. در این حالت می‌توان گفت که راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریباً دیگر نقشی در مسدودسازی این مهاجمین ندارند.

 

کاربرد Threat Hunting

سرویس شکار تهدیدات (Threat hunting) راهکار مؤثری است که با تحلیل اطلاعات از نگاه امنیتی می‌تواند به کشف تهدیدات موجود در یک سازمان بپردازد. در واقع تیم شکار تهدیدات به دنبال تهدیدهایی هستند که از قبل در سازمان شما وجود دارد.

در یک تعریف کلی می‌توانیم بگوییم شکار تهدیدات (Threat hunting) فرایندی است که یک تحلیلگر باتجربه امنیت سایبری به صورت فعالانه (proactive) از تکنیک‌های دستی یا مبتنی بر Machine Learning برای شناسایی حوادث امنیتی یا تهدیدهایی که در حال حاضر در شبکه سازمانی در حال فعالیت هستند و یا برای پیشگیری از یک رخداد امنیتی، استفاده می‌کنند.

 

مهارت‌های ضروری و لازم برای تحلیلگران جهت شکار تهدیدات (Threat Hunting)

 

  1. تجزیه و تحلیل داده ها

از شکارچیان تهدید انتظار می‌رود که محیط سازمانی خود را زیر نظر داشته باشند، داده‌ها را جمع‌آوری کرده و آن را به طور جامع تجزیه‌ و تحلیل کنند. این بدان معناست که یک شکارچی تهدید باتجربه باید از روش‌های علم داده و تجزیه‌ و تحلیل داده‌ها، ابزارها و تکنیک‌ها آگاهی داشته باشد. آنها باید بتوانند از ابزارهای تجسم داده‌ها برای تولید نمودارها استفاده کنند که می‌تواند به آنها کمک کند تا الگوهایی را شناسایی کنند که بینش و دیدی در مورد بهترین اقدامات برای انجام تحقیقات و فعالیت‌های شکار ارائه می‌دهد.

 

  1. تشخیص و شناسایی الگو و رفتارها

شکارچیان تهدید باید بتوانند الگوهایی که با تکنیک‌ها، تاکتیک‌ها، استراتژی‌ها و رویه‌های هکرها، بدافزارها و رفتارهای غیرعادی مطابقت دارند را تشخیص دهند. برای تشخیص این الگوها، ابتدا باید الگوهای رفتارهای عادی را در شبکه درک کنند تا بتوانند هرگونه فعالیت یا رفتار غیرمجاز و ناهنجار را تشخیص دهند و آنها را شناسایی کنند.

 

  1. ارتباط خوب

تحلیلگران باید مهارت‌های ارتباطی خوبی داشته باشند که این امر باعث می‌شود به‌راحتی و اطلاعات مربوط به تهدیدها یا ضعف‌های امنیتی را همراه با اقدامات توصیه‌شده که برای مقابله با آن ارائه می‌شود به افراد مربوط و مدیران در آن سازمان انتقال دهند.

 

  1. قابلیت‌های جرم‌یابی (forensic) بر روی داده‌ها

یک تحلیلگر به مهارت‌های فارنزیک بر روی داده‌ها را نیاز دارد تا بتواند تهدیدات جدید را تجزیه‌وتحلیل کند و بفهمد که چگونه بدافزار وارد شبکه سازمان شده است، قابلیت‌های آن و آسیب‌هایی که ممکن است ایجاد کرده باشد را پیدا کند. آنها نباید متخصص فانزیک باشند، اما باید بدانند هنگام بازرسی پرونده‌ها به دنبال چه چیزی هستند.

 

  1. نحوه عملکرد سیستم

یک شکارچی تهدید، باید درک عمیقی از نحوه عملکرد سیستم‌ها در سازمان خود داشته باشد. اینجا تاکید بردانش عملی است که بر اساس و برگرفته از دانش جامع در مورد نحوه کار سازمان و فرایند کسب‌وکار آن سازمان است. شکارچیان باید بدانید که چگونه به دنبال مشکلات در گوشه‌وکنار باشید. به‌عبارت‌دیگر، شکارچیان تهدید باید به‌اندازه کافی مهارت داشته باشند که به یک موقعیت نگاه کنند و فوراً پیامدهای آن چیزی که در حال وقوع است را دریابند. سپس آنها باید با تیم‌ها همکاری کنند و به آنها کمک کنند تا امنیت را بهبود بخشند.

 

مراحل شکار تهدید

شکار تهدبدات (Threat hunting)

 

فرآیند شکار تهدیدات (Threat Hunting) سایبری معمولاً شامل سه مرحله زیر است.

  • محرک

هنگامی که ابزارهای تشخیص پیشرفته، اقدامات غیرمعمولی را شناسایی می‌کنند که ممکن است نشان‌دهنده فعالیت مخرب باشد، یک محرک، شکارچیان تهدید را به سیستم یا منطقه خاصی از شبکه برای بررسی بیشتر سوق می‌دهد. اغلب، یک فرضیه در مورد یک تهدید جدید می‌تواند محرک برای شکارچیان باشد.

 

  • تحقیق و بررسی

در طول مرحله بررسی، شکارچی تهدید از فناوری‌هایی مانند EDR (تشخیص و پاسخ نقطه پایانی) یا … برای کشف یک مخاطره امنیتی استفاده می‌کند. تحقیقات تا زمانی ادامه می‌یابد که یا فعالیت خوش‌خیم تلقی شود یا تصویر کاملی از رفتار مخرب ایجاد شود.

 

  • شفاف سازی

این مرحله شامل ارسال اطلاعات مربوط به فعالیت‌های مخرب به تیم‌های امنیتی است تا آنها بتوانند به حادثه پاسخ دهند و تهدیدات را کاهش دهند. داده‌های جمع‌آوری‌شده در مورد فعالیت‌های مخرب و سالم را می‌توان خودکارسازی کرد. در طول این فرایند، شکارچیان تهدیدات سایبری تاحدامکان اطلاعات بیشتری درباره اقدامات، روش‌ها و اهداف مهاجم جمع‌آوری می‌کنند. آنها همچنین داده‌های جمع‌آوری‌شده را تجزیه‌وتحلیل می‌کنند تا روندها در محیط امنیتی سازمان را تعیین کنند، آسیب‌پذیری‌های فعلی را از بین ببرند و پیش‌بینی‌هایی را برای افزایش امنیت در آینده انجام دهند.

 

برای شروع شکار تهدیدات (Threat Hunting) چه چیزی لازم است؟

یک سرویس شکار تهدید رویکردی سه‌جانبه برای تشخیص حمله دارد. مورد اول داشتن متخصصان امنیتی ماهر، برای شروع شکار موفق دو مؤلفه دیگر یعنی داده‌های گسترده و تجزیه‌وتحلیل قدرتمند بسیار مهم است.

 

سرمایه انسانی

هر نسل جدید در فناوری امنیت قادر به شناسایی تعداد بیشتری از تهدیدات پیشرفته است اما مؤثرترین روش تشخیص همچنان نیروی انسانی است. تکنیک‌های تشخیص خودکار ذاتاً قابل پیش‌بینی هستند و مهاجمان امروزی به‌خوبی از این موضوع آگاه هستند و تکنیک‌هایی را برای دورزدن، فرار یا مخفی شدن از ابزارهای امنیتی خودکار توسعه می‌دهند. افراد شکارچیان تهدید جزء کاملاً حیاتی و مؤثر در سرویس شکار تهدید هستند.

ازآنجایی‌که شکار فعال proactive به تعامل و مداخله انسانی بستگی دارد، و موفقیت به این بستگی دارد که چه کسی از طریق داده‌ها شکار می‌کند. تحلیلگران باید تخصص لازم را برای شناسایی حملات هدفمند و پیچیده را داشته باشند. همچنین باید منابع امنیتی لازم برای پاسخ به هرگونه کشف رفتار غیرعادی وجود داشته باشد.

 

حجم زیاد داده‌ها

سرویس شکار باید توانایی جمع‌آوری و ذخیره لاگ‌های سیستم را داشته باشد تا دید کامل را در تمام نقاط پایانی و سیستم‌های شبکه، با استفاده از یک زیرساخت ابری مقیاس‌پذیر، یک سرویس امنیتی خوب پس از جمع‌آوری و انجام تجزیه‌وتحلیل بلافاصله بر روی این مجموعه‌داده‌های بزرگ فراهم کند.

 

هوش تهدید

در نهایت، یک راهکار در شکار تهدید باید بتواند داده‌های داخل سازمان را با آخرین داده‌های تهدیدات در مورد روندهای خارجی ارجاع دهد. همچنین باید بتواند ابزارهای پیچیده‌ای را برای تجزیه‌وتحلیل مؤثر و مرتبط کردن اقدامات مخرب به کار گیرد.

تمام این موارد موقعی که زمان، منابع و تعهد لازم وجود داشته باشد، خروجی مناسب و درست دارد. چرا که  عمده‌ی سازمان‌ها، پرسنل و تجهیزات لازم برای عملیات شکار تهدیدات 24/7 مداوم را ندارند.

شرکت فناوری راه نو سورین به عنوان یک مجموعه فعال در حوزه امنیت سایبری، با کمک کارشناسان خبره، متعهد و با تجربه خود، آماده خدمات رسانی به سازمان ها و مجموعه های مختلف در زمینه امنیت سایبری، شکار تهدیدات، مشاوره‌های امنیتی و … می‌باشد.