م. فتحی
م. فتحی
خواندن ۷ دقیقه·۴ ماه پیش

شکار تهدید چیست؟ یک استراتژی امنیت سایبری

شکار تهدید به یکی از جنبه های مهم امنیت سایبری تبدیل شده است، زیرا سازمان ها در تلاش برای شناسایی و کاهش حوادث امنیتی هستند که سیستم های خودکار ممکن است از دست داده باشند.

بله، تعریف شکار تهدید می تواند متفاوت باشد، و به طور کلی شامل ترکیبی از فرآیندهای دستی و ماشینی است که توسط حس کنجکاوی انسان و تشخیص الگو هدایت می شوند. هدف نهایی شکار تهدید نه تنها یافتن حوادث امنیتی بیشتر بلکه بهبود قابلیت‌های تشخیص خودکار در طول زمان است.

در این مقاله، ما به پیچیدگی‌های شکار تهدید، از جمله هدف، مزایا، معایب و چارچوب‌های مختلف موجود برای کمک به چالش‌های شما می‌پردازیم.

شکار تهدید چیست؟

احتمالاً اولین سؤالی که مردم در مورد شکار تهدید می‌پرسند این است که "این دقیقا چیست؟" گاهی اوقات به نظر می رسد که اگر از 10 نفر مختلف بخواهید شکار تهدید را تعریف کنند، 15 پاسخ متفاوت دریافت خواهید کرد! برای اهداف ما، محبوب‌ترین تعریف احتمالاً بهترین است: شکار تهدید نامی برای هر فرآیند دستی یا ماشینی برای یافتن حوادث امنیتی است که سیستم‌های تشخیص خودکار نتوانسته‌اند تشخیص بدهند.

نکته کلیدی در اینجا این است که اگرچه ما اغلب از رایانه‌ها، اتوماسیون و تکنیک‌های یادگیری ماشینی برای کمک به شناسایی و فیلتر کردن رویدادهای مورد علاقه استفاده می‌کنیم، شکار همیشه توسط یک انسان هدایت می‌شود. کنجکاوی، تخیل و توانایی ما برای استنباط الگوی فعالیت‌های مخرب حتی زمانی که قبلاً هرگز با آن‌ها برخورد نکرده‌ایم، فراتر از توانایی های فناوری امروزی است.

این تعریف زمینه‌های زیادی را در بر می‌گیرد ( شامل اصول اولیه ای مانند جستجوی شاخص های بد شناخته شده، از طریق ایجاد تکنیک های نوآورانه و پیشرفته تجزیه و تحلیل داده ها). مدل بلوغ شکار مراحل مختلفی را که قابلیت شکار سازمان ممکن است مشغول کند را نشان می دهد و به عنوان نقشه راه برای بهبود شکار تهدید در طول زمان عمل می کند.

هدف از شکار تهدید…؟

با توجه به تعریف ما، تعریف هدف واقعی شکار تهدید آسان به نظر می رسد، درست است؟ ممکن است فکر کنید: "هدف از شکار تهدید، یافتن حوادث امنیتی بیشتر است!"

اگرچه این دقیقاً همان روشی است که برخی سازمان ها به آن می پردازند، من اینجا هستم تا به شما بگویم: این بهترین راه برای فکر کردن در مورد شکار تهدید نیست.

از آنجایی که شکار تهدید به مشارکت انسان نیاز دارد، هزینه نسبتاً بالایی دارد. با توجه به حجم و سرعت داده‌های امنیتی که به اکثر سازمان‌ها وارد می‌شود، بررسی انسانی نه تنها گران است، بلکه کاملاً دور از ذهن است. اگر می‌خواهیم ادامه دهیم، به تشخیص خودکار خوب نیز نیاز داریم و اینجاست که شکار تهدید مطرح می‌شود.

به شکار به عنوان راهی برای یافتن حوادث امنیتی بیشتر با استفاده از انسان های گران قیمت فکر نکنید. در عوض، به شکار تهدید به عنوان راهی برای بهبود تشخیص خودکار خود در طول زمان فکر کنید. هنگامی که یک شکارچی روش جدیدی برای تشخیص رفتار مخرب پیدا می کند، هدف این است که بفهمد چگونه این تشخیص را خودکار کند. به این ترتیب دفعه بعد فعالیت مخرب هشدار داده می شود و به سرعت به آن پاسخ داده می شود.

ایجاد حوادث امنیتی جدید در طول فرآیند شکار در واقع یک مزیت ثانویه است، بیشتر به عنوان محصول جانبی شکار، نه هدف مورد نظر آن.

باید شکار کنم؟ دلایل شکار تهدید

البته، مطمئناً مجبور نیستید به دنبال تهدید باشید. فقط شما می توانید با اطمینان تصمیم بگیرید. اگر آن را نادیده بگیرید، تشخیص‌های امنیتی خودکار شما بهبود نمی‌یابند - در یک لحظه گیر می‌کنند. در همین حال، عوامل تهدید مدام در حال بهبود روش های خود هستند.

برای اکثر سازمان ها، شکار تهدید به شدت توصیه می شود. این به چند دلیل است. پیشگیری از نفوذ 100٪ درست کار نمی کند. به علاوه، مهاجمان با تکنیک‌های پنهانی که استفاده می‌کنند اغلب می‌توانند از شناسایی فرار کنند.

مهمتر از آن، مهاجمان با سرعت هشدار دهنده ای در حال نوآوری هستند که منجر به جریان دائمی حملات جدید و به روز می شود. شکار یک راه موثر برای کمک به دفاع شما است.

جوانب مثبت و منفی شکار تهدید

بنابراین می توانیم فواید و معایب شکار را خلاصه کنیم. مزایا عبارتند از:

  • وضعیت امنیتی بهبود یافته. شکار تهدید می‌تواند به سازمان‌ها کمک کند تا نقاط ضعف قوانین شناسایی، پلتفرم‌ها و جمع‌آوری داده‌ها را شناسایی و کاهش دهند.
  • شهود و خلاقیت انسان را مهار می کند. بر خلاف محصولات تشخیص خودکار، که فقط می توانند در مورد آنچه برنامه ریزی شده اند هشدار دهند، شکار تهدید یک فرآیند انسان محور است. انسان ها در شناسایی الگوها، حتی در مواجهه با داده های ناقص یا مبهم، بسیار خوب هستند.
  • امنیت را در حالت هجومی قرار می دهد. برخلاف برنامه‌های سنتی تشخیص حادثه، که کاملاً واکنشی(Reactive) هستند، شکار تهدید یک رویکرد پیشکنشانه(Proactive) برای شناسایی عوامل تهدید در شبکه شما است که ممکن است قبلاً به خوبی آنها را شناسایی نکرده باشید.

البته بزرگترین اشکال این است که شکار منابع زیادی نیاز دارد. شکار تهدید می‌تواند زمان‌بر باشد و به مهارت‌ها و مهارت‌های تخصصی نیاز دارد.

روندهای شکار تهدید

یکی از آخرین ملاحظات: علاقه به شکار تهدید به طور پیوسته در چند سال اخیر افزایش یافته است. البته این تعجب آور نیست، زیرا نقض امنیتی، حملات و مقررات حریم خصوصی از ویژگی های معمولی در اخبار یک کشور هستند. افراد بیشتری از تهدیدات روزمره آگاه هستند.

یکی از راه‌های مشاهده این علاقه رو به رشد، Google Trends است که نشان می‌دهد یک موضوع خاص هر چند وقت یکبار محبوب است. در دهه گذشته، ما شاهد این هستیم که افراد بیشتری در سراسر جهان به دنبال موضوعاتی در مورد «شکار تهدید» (خط آبی با شیب تند) و «شکار تهدید سایبری» (پایین، خط قرمز) هستند.

فریمورک و انواع شکار

خوب پس برای شکار آماده هستید، اما از کجا شروع کنید؟ فریمورک شکار تهدید سیستمی از فرآیندهای قابل انطباق و تکراری است که طراحی شده است تا اکتشافات شکار شما را قابل اعتمادتر و کارآمدتر کند.

تعدادی فریمورک وجود دارد که قابل توجه ترین آنها موارد زیر است.

مدل مرجع شکار تهدید Sqrrl (2015)

فریمورک Sqrrl که در سه قسمت (قسمت 1، قسمت 2، قسمت 3) منتشر شده است، نه تنها اولین مورد بود، بلکه یکی از تأثیرگذارترین فریمورک‌های شکار تهدید باقی می ماند. این فرآیند شکار مبتنی بر فرضیه را به عنوان یک حلقه با چهار مرحله تعریف می کند:

  1. ایجاد فرضیه (Create hypothesis)
  2. از طریق ابزارها و تکنیک ها تحقیق کنید (Investigate via tools & techniques)
  3. الگوها و TTPهای جدید را کشف کنید (Uncover new patterns & TTPs)
  4. اطلاع رسانی و غنی سازی تجزیه و تحلیل خودکار (Inform & enrich automated analytics)

شکار هدفمند ادغام اطلاعات تهدید TaHiTI (2018)

فریمورک TaHiTI که توسط کنسرسیومی از موسسات مالی معروف به انجمن پرداخت هلندی ایجاد شده است، یکی دیگر از فریمورک‌های رایج شکار تهدید است. می‌توانیم تاهیتی را به صورت زیر خلاصه کنیم:

  • بر اساس اجزای از فریمورک Sqrrl، مانند مدل بلوغ شکار.
  • افزودن نوع جدیدی از شکار، معروف به شکار بدون ساختار یا داده محور.
  • ارائه راهنمایی دقیق تر در مورد فرآیند شکار و معیارهای بالقوه برای موفقیت برنامه شکار.

آماده، اجرا و عمل با دانش PEAK 2023

فریمورک شکار تهدید PEAK شامل تجربه به دست آمده و درس های آموخته شده در چند سال گذشته شکار تهدید می شود. فریمورک PEAK:

  • نوع سومی از شکار را اضافه می کند، شکار تهدید به کمک ماشین (Machine-Assisted ThreatHunting)، که در زیر نمایش داده می شود.
  • حتی راهنمایی‌های دقیق تری را برای اجرای هر نوع شکار ارائه می دهد.

این فریمورک فروشنده و ابزار آگنوستیک با یکی از سازندگان اصلی فریمورک Sqrrl که در بالا ذکر شد ایجاد شده است.

فریمورک PEAK شامل سه نوع شکار مجزا است. این نمودار فرآیند شکار تهدید به کمک مدل (M-ATH) را نشان می دهد.
فریمورک PEAK شامل سه نوع شکار مجزا است. این نمودار فرآیند شکار تهدید به کمک مدل (M-ATH) را نشان می دهد.


از تهدید نترسید، شروع به شکار کنید

شکار تهدید یک رویکرد پیشگیرانه برای امنیت سایبری است که از شهود و خلاقیت انسان برای شناسایی و مقابله با حوادث امنیتی استفاده می‌کند که در غیر این صورت ممکن است شناسایی نشده باشند. با گنجاندن شکار تهدید در اقدامات امنیتی سازمان خود، می توانید: وضعیت امنیتی کلی خود را بهبود بخشید.

  • از قدرت تشخیص الگوی انسان محور استفاده کنید.
  • در نهایت قابلیت‌های تشخیص خودکار خود را تقویت کنید.

در حالی که شکار تهدید می‌تواند منابع زیادی نیاز داشته باشد، مزایای جلوتر ماندن از حملات احتمالی آن را به یک روش بسیار توصیه شده برای اکثر سازمان‌ها تبدیل می‌کند. برای شروع، یک فریمورک شکار تهدید مانند مدل مرجع شکار تهدید Sqrrl، TaHiTI یا PEAK را در نظر بگیرید، که می تواند رویکردی ساختاریافته و کارآمد برای تلاش‌های شکار تهدید شما ارائه دهد.


منبع

ترجمه آزاد از مقاله What Is Threat Hunting? A Cybersecurity Strategy

نویسنده: David Bianco

تاریخ انتشار: April 26, 2023

آدرس وب‌سایت: https://www.splunk.com/en_us/blog/learn/threat-hunting.html

شکار تهدیدامنیت سایبری
م. فتحی
م. فتحی
DFIR | AI
شاید از این پست‌ها خوشتان بیاید