یکی از رایجترین ابهامها در متون و چارچوبهای Threat Intelligence، نحوهی ارتباط میان TTPها (تاکتیکها، تکنیکها و رویهها) و IOCها (نشانگرهای نفوذ) است. بسیاری از متون بهگونهای نوشته میشوند که این تصور نادرست را القا میکنند که سازمان باید ابتدا IOCها را در شبکه جستجو کند تا به وجود یک TTP یا فعالیت تهدیدگر پی ببرد. این رویکرد نهتنها سطحی و واکنشی است، بلکه با واقعیت عملی SOCهای بالغ نیز همخوانی ندارد.
در یک فرآیند صحیح Threat Intelligence، نقطهی شروع IOC نیست، بلکه TTP است. زمانی که سازمان از منابعی مانند ISAO، نهادهای دولتی یا گزارشهای معتبر اطلاعاتی دریافت میکند که یک گروه تهدیدگر تمرکز خود را بر یک صنعت خاص قرار داده است، آنچه ارزش عملی دارد شناخت الگوی رفتاری مهاجم است، نه فهرستی از IP یا Hash که اغلب عمر کوتاهی دارند.
در این مرحله، تحلیلگر باید TTPهای شناختهشدهی آن تهدیدگر را استخراج کرده و آنها را به الگوهای قابل مشاهده در محیط خود سازمان ترجمه کند. سؤال کلیدی این نیست که «آیا این IOC در شبکهی ما وجود دارد؟» بلکه این است که:
اگر این TTP در محیط ما اجرا شود، چه رفتاری دیده خواهد شد؟
چه لاگهایی تولید میشود؟
کدام Telemetry دچار انحراف میشود؟
بر همین اساس، جستجو در لاگها، ترافیک شبکه و دادههای Endpoint انجام میشود؛ نه برای تطبیق کورکورانه با IOCهای از پیشتعریفشده، بلکه برای کشف شواهد رفتاری. تنها در صورتی که این شواهد یافت شوند، ممکن است از دل آنها IOCهای معنادار و زمینهمند استخراج گردد. این IOCها، «وارداتی» نیستند، بلکه مشتقشده از محیط سازمان هستند و بههمین دلیل ارزش عملیاتی بسیار بالاتری دارند.
در چنین مدلی، IOC خروجی تحلیل است، نه ورودی آن. این رویکرد امکان Threat Hunting مؤثر، کاهش وابستگی به دادههای زودمنقضی و حرکت از امنیت واکنشی به امنیت پیشدستانه را فراهم میکند. سازمانی که از TTP شروع میکند، حتی در غیاب IOCهای مشخص نیز قادر به شناسایی تهدید است؛ در حالیکه سازمان IOCمحور، همواره یک گام از مهاجم عقبتر خواهد بود.
در نهایت، بلوغ واقعی Threat Intelligence زمانی حاصل میشود که فهم رفتار مهاجم جایگزین مصرف فهرستوار IOCها شود؛ تغییری که Threat Intelligence را از یک فعالیت تزئینی به یک قابلیت تصمیمساز و قابل اتکا تبدیل میکند.
