نظرات اخیر

    منظور از Threat Hunting چیست؟

    منظور از Threat Hunting چیست؟

    واژه Threat Hunting که به آن شکار تهدیدات نیز گفته می شود، به یک رویکرد امنیتی اشاره دارد که با ادغام جرم یابی دیجیتالی و تاکتیک های مختلف مقابله با حملات سایبری، قادر به یافتن تهدیداتی است که به دلایل مختلف، مدت زیادی در سازمان وجود داشته و شناسایی نشده اند. هدف اصلی threat hunting، کشفِ تهدیدات احتمالی پیش از آن است که بر روی سازمان تاثیر منفی بگذارد و معمولا با اقدامات زیر همراه می باشد:

    • بررسی حافظه ی سیستم برای فعالیت های مخرب با استفاده از memory dumpها
    • تجزیه و تحلیل server imageها به منظور بررسی فعالیت های مخرب
    • بررسی endpointها به منظور نشانه ای از فعالیت های مشکوک
    • آنالیز disk imageها برای بررسی ظهور red flag
    • بررسی زیرساخت های حفاظتیِ شبکه برای هشدارها یا endpointهای مشکوک که ممکن است نشان دهنده ی یک تهدید باشند، مانند بدافزار

     

    تفاوت Threat Hunting و  Threat Intelligence

    داده های مبتنی بر تهدیدات (threat intelligent)، اطلاعاتی در مورد تهدیدات و یا حملات احتمالی در قالب feed یا platform در اختیار متخصصان شبکه قرار می دهد. این فیدها در فرمت های مختلف وجود دارند. به عنوان مثال ممکن است شامل لیستی از دامنه های مختلف و یا آدرس های IPی باشد که در آنجا فعالیت های مشکوک شناسایی شده باشد. در ضمن فاکتور threat intelligence می تواند شامل تجزیه و تحلیل رفتارهای خاص هکرها، شناسایی ابزارها و روش های مهاجمین سایبری گردد.

    بنابراین باید گفت threat hunting با بررسی سیستم ها و داده ها به دنبال تهدیدات خاص می رود، در صورتی که threat intelligence تنها به جمع آوری داده ها از intelligence feed می پردازد.

     

    نقش Threat Hunting در امنیت سازمانی

    با توجه به اینکه threat hunting از ترکیبِ مهندسی و هوش انسانی برای یافتنِ indicators of compromise (IOC)  استفاده می کند، بنابراین می تواند نقش برجسته و منحصر به فردی در امنیت سازمانی داشته باشد. تحلیل گران می توانند با استفاده از فرایندهای جستجوی IOC، محیط سازمان را به صورت موثرتری بررسی نمایند.

    به این ترتیب روش threat hunting می تواند “دقت و شناسایی تهدیدات را بهبود بخشد”، “احتمال تهدیدات را کاهش دهد” و همچنین “امکان کشف و کاهش تهدیدات پنهان شده را فراهم نماید”. به طور کلی باید گفت هرچه شناسایی تهدیدات زودتر اتفاق بیفتد، سریع تر می توان با آن ها مقابله نمود و در مورد ایمن ماندن شبکه و داده ها، اطمینان حاصل کرد.

     

    چگونه می توان با راهکار threat hunting، مقابله با تهدیدات را بهبود بخشید؟

    رویکرد threat hunting  در مقابل حملات، یک رویکرد پیشگیرانه است؛ در حالی که مقابله با تهدیدات سایبری یک استراتژی واکنشی است. چنانچه این دو با هم به کار برده شوند، می توان مقابله با حملات سایبری را بهبود بخشید. به عبارت دیگر به منظور ارتقا وضعیت امنیتی، هر دو فاکتور threat hunting و incident response ضروری است. یک طراحی بدون نقص از threat hunting می تواند روش های مختلفی از مقابله با تهدیدات را ارائه دهد. و در درجه اول این کار را با شناسایی متغیرهای بالقوه ی تهدیدات که ممکن است موجب قرار گیری سازمان ها در آسیب های جدی شود، انجام می دهد.

    در واقع threat hunting، فرایندِ مقابله با تهدیدات را با شناسایی فعالیت های خطرناک و یا کشف آسیب پذیری های شبکه آغاز می کند. ضمن اینکه سازمان ها می توانند با استفاده از داه های threat-hunting، یک استراتژی موثر برای مقابله با تهدیدات، ایجاد کنند. به عنوان مثال در صورتی که threat-hunting، به یک تهدید بالقوه و نحوه ی حمله ی آن به منابع شبکه دست یابد، تیم امنیت می تواند از این داده ها برای آماده سازی زودتر از موعد و به حداکثر رساندن انعطاف پذیری در پی حملات، استفاده کند.

     

    چگونه می توان تهدیدات پیشرفته را با استفاده از threat hunting شناسایی کرد؟

    به طور کلی شناسایی پیشرفته با استفاده از رویکرد threat hunting شامل سه مرحله ی trigger، investigation و resolution می گردد.

    Trigger

    در صورت شناسایی فعالیت های مشکوک و غیر عادی، یک هشدار فعال می شود. از آنجا که ابزارهای شناسایی تهدیدات، می توانند دقیقا به محل وقوع حملات اشاره کنند، تیم امنیت به خوبی می داند کدام قسمت را بررسی کند. سپس تیم امنیت می تواند یک فرضیه در مورد فعالیت های انجام شده توسط حمله سایبری در داخل سیستم ارائه دهد.

    Investigation

    گام بعدی، بررسی “تاکتیک ها”، “تکنیک ها” و همین طور “پروسه های مختلف برای یافتن رفتارها و الگوهای جدید تهدیدات در داده های جمع آوری شده” می باشد. در این مرحله بررسی داده ها تا جایی ادامه پیدا می کند که فرضیه های ایجاد شده در مرحله قبل، تایید یا رد شوند.

    Resolution

    زمانی که ماهیت تهدیدات مشخص شد، متخصصان امنیت می بایست فورا، حمله را خنثی کنند، سپس مراحل مورد نیاز برای درک میزان آسیب پذیری هایی که در مراحل اولیه به وجود آمده را طی کنند. این مرحله موجب بهبود امنیت و جلوگیری از تهدیدات بعدی می گردد.

     

    fortigate200f

      مشاهده فایروال فورتی گیت 

     

    چهار مورد از موثرترین ابزارهای threat-hunting

    • Managed Detection and Response (MDR)

    کارشناسان امنیت، سرویس MDR را به عنوان یک سرویس outsource  و به منظور محافظت از سازمان ها در برابر تهدیدات، ارائه می دهند. یک تیم threat hunter از راه دور می تواند تهدیدات را شناسایی، تجزیه و تحلیل و بررسی نموده و از طرف سازمان هایی که به آن ها خدمات امنیتی می دهند، با تهدیدات مقابله کنند.

    • SIEM

    Security Information and Event Management (SIEM) اقدام به جمع آوری داده های امنیتی از منابع مختلف نموده و از محصولات نرم افزاری و خدمات مختلف استفاده می کنند تا هشدارهای امنیتی را فورا مورد تجزیه و تحلیل قرار دهند.

    • Security analytics

    Security analyticها اقدام به ترکیب نرم افزارها، الگوریتم ها و همین طور تکنیک های تجزیه و تحلیل نموده تا آسیب پذیری های احتمالی را در سیستم های IT بیابند. از آنجا که ابزارهای security analytic قادر به ارائه چارت ها و نمودارهای قابل درک از داده های مربوط به تهدیدات هستند، بنابراین شناخت الگوها و درک همبستگی آن ها بسیار ساده و سریع خواهد شد.

    • Endpoint Detection and Response (EDR)

    یک endpoint detection and response (EDR) به عنوان ابزاری برای cyber hunting، اقدامات زیر را انجام می دهد:

    • مشاهده و جمع آوری داده های مربوط به فعالیت endpointها که ممکن است نشان دهنده ی یک تهدید باشد.
    • بررسی اطلاعات جمع آوری شده به منظور شناسایی الگوهای تهدیدات
    • مسدودسازیِ خودکار تهدیدات بلافاصله پس از شناسایی آن ها و سپس ارسال هشدار به کارکنان امنیتی
    • از تجزیه و تحلیل ها برای بررسی تهدیداتِ کشف شده و همین طور شناسایی فعالیت های مشکوک استفاده می شود.

     

    threat hunting

    پنج مورد از کاربردی ترین نکته های threat hunting

    برای اینکه threat hunting به صورت موثر رخ دهد، می بایست بر روی سه هدف اصلی تمرکز کند: (1) کدام اطلاعات را و در چه زمینه ای جمع آوری کند (2) چطور می تواند به این داده ها دست یابد (3) چطور می توان داده ها را برای تایید یا رد یک فرضیه، تجزیه و تحلیل نمود.

     

    • Use third-party tools as appropriate: با ابزارهای مناسبِ third-party و بدون انجام کارهای تکراری می توان به اهداف سازمانی دست یافت.
    • Enhance your programming knowledge: PowerShell، Python یا سایر زبان های برنامه نویسی ممکن است چالشی برای یادگیری در حال حاضر باشد، اما قطعا در آینده بسیار مفید خواهد بود.
    • Maximize your organization`s security technology: سازمان ها، زمان و منابع فراوانی را بر روی ابزارهای امنیتی سرمایه گذاری می کنند، بنابراین می توان ارزش آن ها را به بیشترین میزان ممکن رساند.
    • Document your processes and scripts: در آینده می توان از این اطلاعات برای تجزیه و تحلیل میزان اثربخشی تکنیک ها استفاده کرد.
    • Do not be a silo: توصیه می شود ایده ها را نه تنها با تیم خود، بلکه با سایر تیم ها نیز مورد بحث و بررسی قرار داد و با نقطه نظرات مختلف بتوان threat hunting را بهبود بخشید.

     

    نقش فورتی نت در threat hunting

    ابزار حفاظت از endpointهای فورتی نت (FortiEDR) قادر است قابلیت هایی مانند نظارت در لحظه، تجزیه و تحلیل و همچنین محافظت از endpointهای سازمانی را ارائه دهد. FortiEDR به عنوان یک المان ضروری در فرایند threat-hunting اقدام به کاهش سطح حملات، متوقف سازی بدافزارها، شناسایی و خنثی نمودن تهدیدات در لحظه و همچنین مقابله خودکار با استفاده از playbookها نماید.

    ساختار FortiSIEM به گونه ای است که امکان جمع آوری داده ها و تجزیه و تحلیل آن ها را از منابع اطلاعاتی مختلف مانند لاگ ها، هشدارهای امنیتی و تغییرات پیکربندی میسر می سازد. ضمن اینکه تجزیه و تحلیل های مختلفی که در بخش های security operations center (SOC)  و network operations center (NOC)  انجام می شود را با هم ادغام نموده تا بتوان کنترل امنیتی را گسترش داد.

    مطالب مرتبط

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *