طبق تعریف، فرآیند شکار تهدیدات، جستجوی پیش کنشانه تهدیداتی است که دستگاه های تشخیص و دفاع خودکار از تشخیص آنها عاجز مانده اند. جستجوی مذکور بر اساس فرضیه های مختلف شکل می گیرد و به عامل انسانی تکیه دارد.

بنابراین، شروع و مبدا فرآیند شکار تهدیدات، فرضیاتی است که شکارچی تهدیدات متصور می شود. اما چالش اصلی اینجاست که فرضیات مذکور بر چه اساسی و با تکیه بر چه منابعی ایجاد می شوند.

در ادامه پست، منابع مهمی که از آنها می توان به فرضیات شکار تهدیدات رسید تشریح شده است.

تجارب قبلی

یکی از منابع مهم و البته موثر جهت ایجاد فرضیه شکار تهدیدات، تکیه به رخدادهای امنیتی قبلی درشبکه است. به عنوان نمونه، در صورتی که قبلا در شبکه باج افزاری شناسایی شده باشد، ممکن است در حال حاضر نیز در شبکه همان باج افزار یا باج افزاری مشابه وجود داشته باشد. بنابراین فرضیه شکارچی می تواند وجود باج افزاری با مشخصات باج افزار قبلی در شبکه باشد.

تکنیک های ماتریس MITRE ATT&CK

بررسی مکرر تکنیک های رایج ATT&CK نیز می تواند منجر به یافتن نشانه ها و رفتارهای مخرب در شبکه شود. بنابراین، تکنیک های مندرج در ماتریس مذکور می تواند نقطه شروع مناسبی برای فرآیند شکار تهدیدات باشد. علاوه بر این، شکارچی تهدید با تکیه بر ماتریس ATT&CK می تواند روش تشخیص تکنیک مورد نظر و همچنین داده های مورد نیاز برای شناسایی آن تکنیک را شناسایی کند.

بهره گیری از Threat Intelligence

یکی از منابع مناسب جهت فرضیه پردازی در فرآیند شکار تهدیدات، اطلاعات تهدیدات مختلف از منابع منتشر کننده این اطلاعات است. به عنوان نمونه، وقوع رخدادی امنیتی در کسب و کار مشابه با کسب و کار سازمان می تواند به عنوان یک فرضیه در نظر گرفته شود. به بیانی دیگر، شکارچی تهدید می تواند فرض کند رخداد امنیتی به وقوع پیوسته در کسب و کار مشابه، ممکن است در شبکه تحت پوشش خود نیز به وقوع پیوسته باشد و بر این اساس می تواند فرآیند شکار تهدیدات را آغاز کند.

مقالات دیگر

admin

admin

2021-07-23
admin

admin

2021-07-23
admin

admin

2021-07-24