شکار تهدیدات (Threat Hunting)
شکار تهدیدات (Threat Hunting) یک استراتژی مؤثر برای مبارزه با حملات سایبری به شبکهها و سیستمهای فناوری اطلاعات سازمانها میباشد.
این فعالیت هدفمند و مستمر انجام میشود تا امنیت شبکه و سیستمهای کامپیوتری را بهبود بخشد و در صورت وقوع حمله، به سرعت اقدام به از بین بردن تهدیدات و بهبود امنیت سایبری کند.
شکار تهدیدات سایبری شامل بررسی و تجزیه و تحلیل فعالیتهای حملهکنندگان، ایجاد و اجرای راهکارهای امنیتی جدید برای کاهش شانس وقوع حملات به شبکه و افزایش امنیت، ایجاد سیستم های هشدار دهنده جدید و با بهره گیری از تکنولوژی هایی مانند هوش مصنوعی و یادگیری ماشین وجود دارد.
وجود سیستمهای مدیریت تهدید برای محافظت از سیستمها، شبکهها و دادهها بسیار مهم است. اما گاهی استفاده از آنها بهصورت فعال و موثر به دلایل مختلف در شبکه سازمانها و شرکتها، امکان پذیر نمیباشد. فایروالها، سیستمهای تشخیص نفوذ (IDS) و یا سیستم اطلاعات امنیتی و مدیریت رخداد (SIEM) نیز پس از شناسایی تهدید میتوانند موثر باشند و روش مناسبی برای جلوگیری از آسیبپذیری بهصورت فعال نمیباشند.
تیم سورین، با هدف بهبود کیفی دفاع سایبری و همچنین ارتقا بلوغ مراکز عملیات امنیت کشور، خدمات مرتبط با مرکز عملیات امنیت (طراحی، راه اندازی، یوزکیس، پاسخ به رخداد و …) را ارایه می کند.
جهت ارتقای سطح امنیت سازمان یا ارگان خود با ما تماس بگیرید.
تهدیدات گذشته
پیشازاین، تنها بدافزارها و ویروسها عامل تهدیدات سازمانها بودند که میتوانستند بهعنوان یک تهدید بالقوه برای سیستمهای یک مجموعه عمل کنند. اما امروزه این تهدیدات محدود به یک بدافزار یا ویروس نیست. بلکه افرادی هستند که هوشمندانه و مداوم، عامل تهدیدات مختلف برای سیستمهای یک سازمان میباشند.
میتوان گفت که امروزه سازمانی نیست که راهکارهای امنیتی را نسبت به ابعاد سازمانی خود پیادهسازی نکرده باشد. اما آیا سازمانی وجود دارد که اطمینان بدهد که یک عامل بیرونی در شبکه خود وجود ندارد؟
سازمانها نباید فقط چشم انتظار هشدارهای امنیتی مکانیزمهای پیاده سازی شده باشند بلکه آنها باید به طور فعال به دنبال تهدیدات بگردند تا بتوانند به رخدادهای امنیتی بهسرعت پاسخ دهند و با آنها مقابله کنند تا متوجه کمترین آسیب شوند.
اگر حملهی پیشرفته ای اتفاق بیفتد که از دید تجهیزات امنیتی پنهان مانده و با موفقیت انجام شده باشد، مهاجم میتواند در شبکه سازمان حضور بیابد و بهعنوان یک عضو شبکه داخلی محسوب شود و به فعالیت خود ادامه دهد. در این حالت میتوان گفت که راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریباً دیگر نقشی در مسدودسازی این مهاجمین ندارند.
کاربرد Threat Hunting یا شکار تهدیدات
سرویس شکار تهدیدات (Threat hunting) راهکار مؤثری است که با تحلیل اطلاعات از نگاه امنیتی میتواند به کشف تهدیدات موجود در یک سازمان بپردازد. در واقع تیم شکار تهدیدات به دنبال تهدیدهایی هستند که از قبل در سازمان شما وجود دارد.
در یک تعریف کلی میتوانیم بگوییم شکار تهدیدات (Threat hunting) فرایندی است که یک تحلیلگر باتجربه امنیت سایبری به صورت فعالانه (proactive) از تکنیکهای دستی یا مبتنی بر Machine Learning برای شناسایی حوادث امنیتی یا تهدیدهایی که در حال حاضر در شبکه سازمانی در حال فعالیت هستند و یا برای پیشگیری از یک رخداد امنیتی، استفاده میکنند.
مهارتهای ضروری و لازم برای تحلیلگران جهت شکار تهدیدات (Threat Hunting)
تجزیه و تحلیل دادهها
از شکارچیان تهدید انتظار میرود که محیط سازمانی خود را زیر نظر داشته باشند، دادهها را جمعآوری کرده و آن را به طور جامع تجزیه و تحلیل کنند. این بدان معناست که یک شکارچی تهدید باتجربه باید از روشهای علم داده و تجزیه و تحلیل دادهها، ابزارها و تکنیکها آگاهی داشته باشد. آنها باید بتوانند از ابزارهای تجسم دادهها برای تولید نمودارها استفاده کنند که میتواند به آنها کمک کند تا الگوهایی را شناسایی کنند که بینش و دیدی در مورد بهترین اقدامات برای انجام تحقیقات و فعالیتهای شکار ارائه میدهد.
تشخیص و شناسایی الگو و رفتارها
شکارچیان تهدید باید بتوانند الگوهایی که با تکنیکها، تاکتیکها، استراتژیها و رویههای هکرها، بدافزارها و رفتارهای غیرعادی مطابقت دارند را تشخیص دهند. برای تشخیص این الگوها، ابتدا باید الگوهای رفتارهای عادی را در شبکه درک کنند تا بتوانند هرگونه فعالیت یا رفتار غیرمجاز و ناهنجار را تشخیص دهند و آنها را شناسایی کنند.
ارتباط خوب
تحلیلگران باید مهارتهای ارتباطی خوبی داشته باشند که این امر باعث میشود بهراحتی و اطلاعات مربوط به تهدیدها یا ضعفهای امنیتی را همراه با اقدامات توصیهشده که برای مقابله با آن ارائه میشود به افراد مربوط و مدیران در آن سازمان انتقال دهند.
یک مثال در مورد شکار تهدید
یک مثال از فرایند شکار تهدیدات سایبری این است که یک تیم امنیتی میتواند برای یافتن حملات پیشگیرانه، الگوریتمهایی برای افزایش امنیت شبکه طراحی کند. فرض کنید یک شرکت برای بهبود امنیت شبکه خود، الگوریتمی را طراحی کرده است که تمام ترافیک شبکه را بررسی میکند تا نشانه هایی از حملات را شناسایی کند.
اگر الگوریتم تشخیص دهد که یک کامپیوتر در شبکه، بیش از حد فعالیت دارد و یا تلاش میکند به منابع زیادی از شبکه دسترسی پیدا کند، تیم امنیتی میتواند بررسی کند که آیا این فعالیت از سوی یک حمله کننده است یا خیر.
اگر تیم امنیتی مطمئن شود که این فعالیت از سوی یک حمله کننده است، میتواند اقدام به از بین بردن یا محدود کردن دسترسی حملهکننده به منابع شبکه کند. این فرآیند باعث بهبود امنیت شبکه و پیشگیری از وقوع حملات برای آینده میشود.
نیاز به مشاوره امنیت سایبری دارید؟
همین حالا تماس بگیرید
برای دریافت مشاوره و خدمات امنیت سایبری میتوانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.