شکار تهدیدات (Threat Hunting)

شکار تهدیدات (Threat Hunting) یک استراتژی مؤثر برای مبارزه با حملات سایبری به شبکه‌ها و سیستم‌های فناوری اطلاعات سازمان‌ها می‌باشد.

این فعالیت هدفمند و مستمر انجام می‌شود تا امنیت شبکه و سیستم‌های کامپیوتری را بهبود بخشد و در صورت وقوع حمله، به سرعت اقدام به از بین بردن تهدیدات و بهبود امنیت سایبری کند.

شکار تهدیدات سایبری شامل بررسی و تجزیه و تحلیل فعالیت‌های حمله‌کنندگان، ایجاد و اجرای راهکارهای امنیتی جدید برای کاهش شانس وقوع حملات به شبکه و افزایش امنیت، ایجاد سیستم های هشدار دهنده جدید و با بهره گیری از تکنولوژی هایی مانند هوش مصنوعی و یادگیری ماشین وجود دارد.

وجود سیستم‌های مدیریت تهدید برای محافظت از سیستم‌ها، شبکه‌ها و داده‌ها بسیار مهم است. اما گاهی استفاده از آنها به‌صورت فعال و موثر به دلایل مختلف در شبکه سازمان‌‌ها و شرکت‌‌ها، امکان پذیر نمی‌باشد. فایروال‌‌ها، سیستم‌‌های تشخیص نفوذ (IDS) و یا سیستم اطلاعات امنیتی و مدیریت رخداد (SIEM) نیز پس از شناسایی تهدید می‌توانند موثر باشند و روش مناسبی برای جلوگیری از آسیب‌پذیری به‌صورت فعال نمی‌باشند.  

SOC چیست؟

پیش‌ازاین، تنها بدافزارها و ویروس‌ها عامل تهدیدات سازمان‌‌ها بودند که می‌توانستند به‌عنوان یک تهدید بالقوه برای سیستم‌های یک مجموعه عمل کنند. اما امروزه این تهدیدات محدود به یک بدافزار یا ویروس نیست. بلکه افرادی هستند که هوشمندانه و مداوم، عامل تهدیدات مختلف برای سیستم‌های یک سازمان می‌باشند. می‌توان گفت که امروزه سازمانی نیست که راهکارهای امنیتی را نسبت به ابعاد سازمانی خود پیاده‌سازی نکرده باشد. اما آیا سازمانی وجود دارد که اطمینان بدهد که یک عامل بیرونی در شبکه خود وجود ندارد؟

سازمان‌ها نباید فقط چشم انتظار هشدارهای امنیتی مکانیزم‌‌های پیاده سازی شده باشند بلکه آنها باید به طور فعال به دنبال تهدیدات بگردند تا بتوانند به رخدادهای امنیتی به‌سرعت پاسخ دهند و با آنها مقابله کنند تا متوجه کمترین آسیب شوند.

اگر حمله‌ی پیشرفته ای اتفاق بیفتد که از دید تجهیزات امنیتی پنهان مانده و با موفقیت انجام شده باشد، مهاجم می‌تواند در شبکه سازمان حضور بیابد و به‌عنوان یک عضو شبکه داخلی محسوب شود و به فعالیت خود ادامه دهد. در این حالت می‌توان گفت که راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریباً دیگر نقشی در مسدودسازی این مهاجمین ندارند.

سرویس شکار تهدیدات (Threat hunting) راهکار مؤثری است که با تحلیل اطلاعات از نگاه امنیتی می‌تواند به کشف تهدیدات موجود در یک سازمان بپردازد. در واقع تیم شکار تهدیدات به دنبال تهدیدهایی هستند که از قبل در سازمان شما وجود دارد.

در یک تعریف کلی می‌توانیم بگوییم شکار تهدیدات (Threat hunting) فرایندی است که یک تحلیلگر باتجربه امنیت سایبری به صورت فعالانه (proactive) از تکنیک‌های دستی یا مبتنی بر Machine Learning برای شناسایی حوادث امنیتی یا تهدیدهایی که در حال حاضر در شبکه سازمانی در حال فعالیت هستند و یا برای پیشگیری از یک رخداد امنیتی، استفاده می‌کنند.

تجزیه و تحلیل داده‌‌ها
از شکارچیان تهدید انتظار می‌رود که محیط سازمانی خود را زیر نظر داشته باشند، داده‌ها را جمع‌آوری کرده و آن را به طور جامع تجزیه‌ و تحلیل کنند. این بدان معناست که یک شکارچی تهدید باتجربه باید از روش‌های علم داده و تجزیه‌ و تحلیل داده‌ها، ابزارها و تکنیک‌ها آگاهی داشته باشد. آنها باید بتوانند از ابزارهای تجسم داده‌ها برای تولید نمودارها استفاده کنند که می‌تواند به آنها کمک کند تا الگوهایی را شناسایی کنند که بینش و دیدی در مورد بهترین اقدامات برای انجام تحقیقات و فعالیت‌های شکار ارائه می‌دهد.

تشخیص و شناسایی الگو و رفتارها
شکارچیان تهدید باید بتوانند الگوهایی که با تکنیک‌ها، تاکتیک‌ها، استراتژی‌ها و رویه‌های هکرها، بدافزارها و رفتارهای غیرعادی مطابقت دارند را تشخیص دهند. برای تشخیص این الگوها، ابتدا باید الگوهای رفتارهای عادی را در شبکه درک کنند تا بتوانند هرگونه فعالیت یا رفتار غیرمجاز و ناهنجار را تشخیص دهند و آنها را شناسایی کنند.

ارتباط خوب
تحلیلگران باید مهارت‌های ارتباطی خوبی داشته باشند که این امر باعث می‌شود به‌راحتی و اطلاعات مربوط به تهدیدها یا ضعف‌های امنیتی را همراه با اقدامات توصیه‌شده که برای مقابله با آن ارائه می‌شود به افراد مربوط و مدیران در آن سازمان انتقال دهند.

یک مثال در مورد شکار تهدید