شکار تهدیدات یا Threat Hunting چیست؟
شکار تهدیدات مقولهای بسیار مهم در امنیت سایبری است زیرا تهدیدات پیچیده ممکن است از امنیت سایبری ماشینی، عبور کنند. اگرچه برخی ابزارهای امنیتی و تحلیلگران مرکز عملیات امنیت سطح 1 و 2 باید قادر باشند تا با حدود 80 درصد از تهدیدات مقابله کنند، ولی هنوز لازم است که در مورد 20 درصد باقیمانده اقداماتی انجام داد. این 20 درصد شامل تهدیدات پیچیدهای است که میتوانند خسارات عمدهای وارد کنند. در صورت داشتن زمان و منابع کافی، میتوانند به هر شبکهای نفوذ کنند و به مدت میانگین 280 روز نیز شناسایی نشوند. شکار تهدیدات موثر کمک میکند تا زمان کشف نفوذ کاهش یابد و در نتیجه از میزان خسارات وارد شده توسط مهاجمان نیز کاسته شود.
مهاجمان غالبا هفتهها و حتی ماهها بدون اینکه شناسایی شوند، به کار خود ادامه میدهند. آنها با صبر و حوصله زیاد منتظر میمانند تا دادهها را جمع آوری کنند و اطلاعات محرمانه کافی برای دستیابیهای بیشتر را به منظور ایجاد شرایط یک نفوذ گسترده، به دست آورند. این تهدیدات به صورت بالقوه چقدر میتوانند خسارت وارد کنند؟ طبق مطالعات صورت گرفته در آمریکا، میزان خسارات وارد شده به یک شرکت به صورت متوسط میتواند در حدود 4 میلیون دلار باشد و اثرات مخرب این نفوذ ممکن است تا سالها باقی بماند. هرچه زمان بین نقص سیستم و پاسخگویی به آن بیشتر باشد، خسارات وارد شده به شرکت نیز میتواند بیشتر شود.
شکار تهدیدات چگونه عمل میکند؟
یک برنامه شکار تهدیدات موفق بر دادههای محیطی غنی مبتنی است. به عبارت دیگر، یک سازمان باید در ابتدا یک سیستم امنیتی سازمانی داشته باشد که دادهها را جمع آوری کند. دادههای جمع آوری شده از این سیستم میتواند سرنخهای ارزشمندی برای شکار تهدیدات ارائه دهد.
شکارچیان تهدیدات امنیتی، به عنوان یک المان انسانی، به امنیت سازمانی اضافه میشوند و مانند مکملی برای سیستم امنیتی ماشینی عمل میکنند. این افراد، متخصصان امنیتی خبره حوزه فناوری اطلاعات هستند که به جستجو، نظارت و خنثیسازی تهدیدات، قبل از اینکه منجر به مشکلات جدی شوند، میپردازند. این افراد در شرایط ایدهآل، تحلیلگرانی از درون دپارتمان فناوری اطلاعات سازمان هستند که با عملیات به خوبی آشنایی دارند. اما در برخی موارد، از متخصصان خارج از سازمان هستند.
هنر شکار تهدیدات این است که ناشناختههای محیط را پیدا میکند. این کار، چیزی فراتر از تکنولوژیهای شناسایی سنتی مانند SIEM، EDR و سایر موارد است. شکارچیان تهدید در میان دادهها به جستجوی بدافزارهای پنهان و یا مهاجمان میپردازند و به دنبال الگوهای فعالیت مشکوکی هستند که از چشم کامپیوتر پنهان مانده یا کامپیوتر به اشتباه تشخیص داده که امن هستند. همچنین، شکارچیان تهدید کمک میکنند تا سیستم امنیتی سازمان به منظور جلوگیری از بروز مجدد آن نوع از تهاجم سایبری، ترمیم شود.
پیشنهاد ما به شما: دوره آموزش Threat Intelligence for Threat Hunting
انواع شکار تهدیدات
شکارچیان بر اساس فرضیاتی که از دادههای امنیتی به دست آوردهاند، فعالیت خود را آغاز میکنند. آنها از این فرضیات برای بررسی عمیق ریسکهای بالقوه استفاده میکنند. این بررسیها به سه شکل ساختار یافته، بدون ساختار و موقعیتی انجام میگیرد.
شکار ساختار یافته
یک شکار ساختار یافته بر اساس شاخصهای حمله (IoA) و بررسی تاکتیکها، تکنیکها و رویههای (TTP) مهاجم انجام میگیرد. از آنجایی که تمام شکارها هم راستا هستند و بر اساس TTP مهاجم انجام میشوند، شکارچی تهدید معمولا میتواند یک مهاجم را قبل از اینکه صدمهای وارد کند، شناسایی کند. این نوع شکار از فریمورک MITRE ATT&CK استفاده میکند.
شکار بدون ساختار
یک شکار بدون ساختار بر اساس یک Trigger که یکی از چندین شاخص IoC است، صورت میگیرد. تریگرها اغلب به شکارچی سرنخهایی میدهد تا به دنبال الگوهای قبل و بعد از شناسایی بگردد. با ایجاد چهارچوبی برای شکارچی، او میتواند تا جایی که حفظ دادهها و حملات وابسته قبلی اجازه میدهند، تحقیق کند.
شکار موقعیتی یا بر مبنای واحد
یک فرضیه موقعیتی از ارزیابی ریسک داخلی سازمان یا تحلیل نقاط ضعف مختص محیط IT آن، ایجاد میشود. سرنخهای واحد محور از دادههای حملات جمع سپاری شده (Crowd-Sourced Attack Data) میآید که وقتی بررسی شود، آخرین تاکتیکها، تکنیکها و روندهای (TTP) تهدیدات سایبری حال حاضر را آشکار میکند. یک شکارچی تهدید میتواند این رفتارهای خاص در محیط را جستجو کند.
انواع شکار تهدیدات
شکار مبتنی بر هوش تهدیدات (Intel-Based Hunt)
شکار Intel-Based یک مدل شکار فعال است که از منابع شناسایی هوشمند تهدید شاخصهای حمله (IoC) استفاده میکند. این روش از رویههای از پیش تعریف شده SIEM استفاده میکند.
شکارهای Intel-Based میتوانند مقادیر هش IoC، آدرسهای IP، نامهای دامنه، شبکهها یا هاستی که توسط پلتفرمهای به اشتراک گذاری هوشمند مانند CERT تامین شده است، استفاده میکند. یک هشدار اتوماتیک میتواند در این پلتفرمها ایجاد شود و در SIEM به عنوان STIX و TAXII وارد شود. وقتی هشدار SIEM بر مبنای IoC دریافت شود، شکارچی تهدید میتواند فعالیتهای مشکوک قبل و بعد از هشدار را بررسی کند تا هرگونه ضعفی را بیابد.
شکار بر مبنای فرضیه
شکار بر مبنای فرضیه یک مدل شکار پیشگیرانه است که از کتابخانه شکار تهدید استفاده میکند. با فریمورک MITRE ATT&CK هم راستا است و روشهای شناسایی عمومی را به منظور شناسایی گروههای تهدید مداوم پیشرفته و حملات بدافزار به کار میگیرد.
شکار بر مبنای فرضیه از IoAها و TTPهای مهاجمان استفاده میکند. شکارچی، تهدیدگر را بر اساس محیط، دامنه و رفتارهای تهاجمی به کار گرفته شده شناسایی میکند تا یک فرضیه هم راستا با فریمورک MITRE ایجاد کند. وقتی یک رفتار شناسایی میشود، شکارچی تهدید الگوهای فعالیتی را نظارت میکند تا تهدید را شناسایی و ایزوله کند. از این طریق، شکارچی تهدید میتواند به صورت پیشگیرانه عاملین تهدید را قبل از آن که آسیبی وارد کنند، شناسایی کند.
شکار Custom یا سفارشیسازی شده
این شکار بر اساس آگاهی بر مبنای موقعیت و متودولوژیهای شکار بر مبنای صنعت است. این مدل، ناهنجاریهای SIEM و ابزارهای EDR را شناسایی میکند و بر اساس نیاز مشتری آن را سفارشی میکند.
شکارهای Custom یا موقعیتی بر اساس نیاز مشتری هستند و به صورت Proactive بر مبنای موقعیتهایی مانند مسائل ژئوپولیتیک و حملات هدفمند، اجرا میشوند. این فعالیتهای شکار میتوانند با استفاده از IoA و IoC به مدلهای شکار برمبنای فرضیه یا Intel-Based متصل شوند.
ابزارهای شکار تهدید
شکارچیان از دادههای MDR، SIEM و ابزارهای تحلیل امنیتی به عنوان اساس شکار استفاده میکنند. آنها همچنین میتوانند از ابزارهای دیگر مانند Packer Analyzers برای شکار برپایه شبکه استفاده کنند. اگرچه لازمه استفاده از ابزارهای SIEM و MDR این است که تمام منابع مورد نیاز و ابزارها، یکپارچه باشند. این یکپارچگی اطمینان میدهد که سرنخ IoA و IoC میتوانند یک راهنمای مناسب برای شکار ایجاد کنند.
همچنین این دوره آموزشی : دوره آموزش SOC kikstarter
MDR (Managed Detection and Response)
MDR هوش تهدید و شکار تهدید Proactive را به منظور شناسایی و رفع تهدیدهای پیشرفته به کار میگیرد. این نوع از راهکار امنیتی میتواند زمان توقف (dwell time) حمله را کاهش دهد و پاسخهای قاطع و سریعی به حمله در شبکه بدهد.
SIEM
SIEM نظارت در لحظه و تحلیل Event را به علاوه ردیابی و logging داده امنیتی را انجام میدهد. SIEM میتواند رفتارهای غیر نرمال کاربر و سایر بینظمیهایی که منجر به کسب سرنخهای ضروری برای تحقیقات عمیقتر میشود را کشف کند.
Security Analytics (تجزیه و تحلیل امنیتی)
Security Analytics تلاش میکند تا فراتر از سیستمهای SIEM عمل کند تا بینش عمیقتری درباره داده امنیتی به شما بدهد. با ترکیب Big Data که توسط تکنولوژی امنیتی جمع آوری شده است با یادگیری ماشینی و AI، Security Analytics میتواند تحقیق در مورد تهدیدات را سرعت ببخشد.
مطالب زیر را حتما بخوانید
-
IT، امنیت، شبکه؛ هر چی باید بلد باشی تو این مقاله هست!
9 بازدید
-
مفاهیم داکر در عمل: توسعه و استقرار اپلیکیشنهای وب
23 بازدید
-
۵ راه ورود سریع به دنیای امنیت سایبری (با منابع رایگان)
33 بازدید
-
10 مهارتی که به متمایز شدن یک کارشناس امنیت کمک میکند.
27 بازدید
-
6 دلیل برای اینکه نباید مهندس دواپس (DevOps) را استخدام کنید!
43 بازدید
-
6 اشتباه رایج امنیتی و نادیده گرفتن آنها توسط متخصصان IT
30 بازدید
دیدگاهتان را بنویسید