شکار تهدید

فرضیه های (شکار تهدید)threat hunting، منابع و اولویت بندی آن

پیش از آغاز فرایند شکار تهدیدات، ما نیاز به یک فرضیه شکار تهدید داریم. اولویت بندی و تولید این فرضیه ها می تواند شما را از فرایند وقت گیر و پیچیده ی عملیات شکار تهدید بی نیاز کرده و از به دست آمدن نتایج سودمند اطمینان حاصل کند.

 با وجود این که این پروسه می تواند با کمک ابزار هایی تسهیل شود، اما تنها یک  شخص تحلیلگر امنیت است که می تواند یک فرضیه را تولید کند. برای تولید یک فرضیه ی کارا با نتایج ارزشمند، متخصصان امنیت منابع زیادی در  در دسترس دارند  که به ملاحظه دقیق نیاز دارد

منابع فرضیه های شکار تهدید

منابع اصلی ای که  برقرار کننده  اولویت بندی این فرضیه ها و تسهیل کننده ی این فرایند هستند عبارت اند از: نتایج حاصله از تیم های قرمز و بنفش(red and purple teaming)، MITRE ATT&CK،  اطلاعات تهدید،(تخصص دامنه ) domain expertise، و طبیعتا خود فرایند شکار تهدید.

نتایج حاصله از تیم های red و purple

انجام بررسی های تیم های red و purple می تواند به افشای رفتار های مخرب کشف نشده ای بیانجامد. این رفتار های شناسایی شده می تواند به تولید فرضیه شکار تهدیدات با هدف  اجرای یک پروسه شکار تهدید موفق کمک می کند.

MITRE ATT&CK

تست کردن مکرر تکنیک های رایج ATT&CK  نیز می تواند آسیب پذیری ها و رفتار های مخرب دیگری را در شبکه ی شما شناسایی کند. با جمع آوری، آنالیز و انتشار این اطلاعات ساز و کار ATT&CK می تواند منبع بسیار با ارزشی برای ایجاد فرضیه های شکار تهدید باشد.

شکار تهدید

یک تحلیلگر امنیت با استفاده از دانش خود  به بررسی اطلاعات موجود در یک شبکه پرداخته و  فرضیه شکار تهدید خود را بر اساس آنالیز رفتار های حمله کننده ایجاد میکند. در حین آزمایش و اجرای یک پروسه ی شکار تهدید ، تحلیلگر امینت ممکن است به اطلاعاتی دست پیدا کند که می تواند برای ایجاد یک فرضیه جدید مورد استفاده قرار گیرد.

علاوه بر این ها، فرضیه های شکار تهدید می تواند بر پایه ی حوادث امینتی گذشته، دانش domain expert یا حتی با استفاده از نمونه ی یک بدافزار شناسایی شده تولید شود.

عوامل اولویت بندی یک فرضیه شکار تهدید

عواملو فاکتورهای اولویت بندی به تحلیلگر ها کمک میکند  اولویت شکارتهدید را بالا یا پایین ببرند این عوامل همیشه مستقیما به تولید یک فرضیه مستقل نمی انجامند  بلکه  می توانند به یک تحلیلگر امنیت کمک کنند تا  به تهدیدکننه ترین هدف موحود اولویت داده و فرضیه های خود را بر پایه ی تهدید هایی بنویسند که می توانند  ضربه بیشتری بر کل تشکیلات بزنند.  تحلیلگر های امنیت باید از تولید فرضیه هایی که نمی توانند به یک شکار تهدید موفق منجر شوند خودداری کنند. بعضی از این  عوامل اولویت بندی عبارتند از:

سطح شناسایی تهدید

بسته به سطح شناسایی رفتار حمله کننده، احتمال اجرای شکار تهدید میتواند افزایش یا کاهش یابد.

ریسک شکار

اگر ریسک مربوط به شکار پایین باشد، اهمیت آن شکار نیز پایین می آید. هرچند(از طرفی دیگر)؛ اگر شکار به عنوان شکاری با ریسک بالا دسته بندی شود اهمیت آن افزایش می یابد.

زمان و منابع مورد نیاز و نتایج مورد انتظار

هنگامی که زمان مورد نیاز برای اجرای یک شکار بالاست و نتایج مورد انتظار اندک اند، اهمیت شکار پایین می آید. هم چنین زمانی که نتایج احتمالی زیاد هستند و زمان مورد نیاز کم است، اهمیت بالا می رود.

مواردی چون نتایج حاصله از منابعی چون تیم های red و purple و حادثه های امنیتی گذشته ( بسته به آنالیز و تحلیل رفتار حمله کننده) نیز می توانند برای اولویت بندی فرضیه ها مورد استفاده واقع شوند. یک فرضیه مناسب باید قابل آزمایش باشد. در غیر این صورت، تحلیلگر امینت باید ارزیابی مجدد در نحوه ی تولید و اولویت بندی فرضیه های خود داشته باشند

یک فرضیه مناسب در حقیقت یک سوال است که به شما کمک میکند تهدید ها را شناسایی کرده و محیط شبکه خود را امن کنید، هر چند که ممکن است تمامی هدف های شما همواره محقق نشوند. مهم ترین اصل در تولید یک فرضیه برای شکار تهدید عبارت اند از  قابل اجرا بودن آن و این که به طور مداوم آزمایش و به روز شود.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *