توسعه وب

طراحی سایت و اپلیکیشن - سئو - دیجیتال مارکتینگ - ریپورتاژ - تست نفوذ و امنیت | دنیای دیجیتال را با توسعه وب تسخیر کنید. 09-373-99999-98+

Facebook Twitter Linkedin Telegram Instagram

شکار تهدیدات

امروزه سازمانی نیست که راهکارهای امنیتی را پیاده سازی نکرده باشد حال به هر شکل و در هر ابعادی اما شاید کمتر سازمانی بتواند پاسخی با پشتوانه به این سوال بدهد که تا چه حد از عدم وجود یک عامل بیرونی در شبکه خود اطمینان دارید؟

اگر حمله‌ای پیشرفته از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به احتمال زیاد مهاجم همچنان در شبکه شما حضور دارد و اکنون به عنوان یک عضو شبکه داخلی شما به فعالیت خود ادامه می‌دهد و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریبا دیگر نقشی در مسدود سازی این مهاجم ندارند. سرویس شکار تهدیدات یا همان Threat hunting راهکار موثری است که با تحلیل اطلاعات از نگاه امنیتی می‌تواند به کشف تهدیدات موجود در سازمان شما بپردازد. در واقع تیم شکار تهدیدات به دنبال یافتن مهاجمان قبل از اجرای حملاتشان است، این سرویس ابزارهای امنیتی، تجزیه و تحلیل هوشمند و تجربه متخصصین امنیت را در راستای تشخیص تهدیدات بالقوه موجود در شبکه سازمان به کار می‌گیرد. سرویس Threat hinting مجموعه‌ای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و سازمان شما را در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت می‌کند.

شکار تهدیدات یک جستجوی Proactive در شبکه‌ها، سیستم‌های کاربران و داده‌هاست که توسط عامل انسانی انجام می‌شود. به همین دلیل تجربه تیم مجری بسیار اهمیت دارد، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق می‌شوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروس‌ها پنهان مانده‌اند را کشف کنند.

با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانه‌های تهدید (IOC) کشف می‌شوند، بنابراین بسیاری از این تهدیدات از دید سامانه‌های خودکار تشخیص و شناسایی تهدیدات پنهان می‌مانند. شکار تهدیدات به سازمان‌ها کمک می‌کند تا این موارد را شناسایی کنند.

در فرآیند شکار تهدیدات، بر خلاف روش‌های سنتی، شکارچیان تهدید پیش از آن‌که رخدادی به وقوع بپیوندد، داده‌ها را بررسی و تحلیل می‌کنند. در واقع، شکارچیان تهدید با استفاده از تکنیک‌های دستی و خودکار، به جستجوی تهدیدات ناشناخته می‌پردازند و قبل از اینکه آسیبی به سازمان وارد شود آن‌ها را شناسایی می‌کنند. این افراد تهدیداتی را پیدا می‌کنند که هیچ‌یک از فایروال‌ها و سیستم‌های تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانسته‌اند تشخیص دهند.

اهمیت شکار تهدیدات

راهکارهای امنیتی مثل فایروال‌ها و نرم‌افزارهای ضد ویروس، اکثر تهدیدات امنیتی رایج که پیچیدگی کمتری دارند را شناسایی و مسدود می‌کنند، اما برخی از مهاجمان، رفتارهای سازمان‌یافته تری دارند و از دید تجهیزات می‌توانند خودشان را از دید راهکارهای امنیتی پنهان کنند، تهدیداتی از این جنس ممکن است هفته‌ها و ماه‌ها در سازمان پنهان بمانند. قانون ۲۰/۸۰ را احتمالا شنیده‌اید. این قانون در مورد امنیت شبکه هم صدق می‌کند و می‌توان گفت که تقریبا ۸۰ درصد مشکلات امنیتی ناشی از ۲۰ درصد تهدیدات است.

طبق گزارش‌های سالانه شرکت امنیتی FireEye، مدت زمان وقوع یک تهدید سایبری تا زمان شناسایی آن در سال ۲۰۱۷ به طور میانگین برابر با ۱۰۱ روز و در سال ۲۰۱۸ برابر با ۷۸ روز بود. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستم‌های کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.

بر اساس تحقیقات صورت گرفته، ضرورت شکار تهدیدات برای مقابله با تکنیک‌های پیچیده‌ای که مهاجمان امروزی استفاده می‌کنند انکار ناپذیر است. حتی پیشرفته‌ترین تجهیزات امنیتی نیز از شناسایی Zero-day ها و برخی از حملات APT عاجز هستند. شکار تهدیدات در صورتی که توسط عامل انسانی به صورت منظم و سیستماتیک انجام ‌شود، بسیاری از تهدیدات را قبل از رسیدن به نقطه خسارت، شناسایی و متوقف می‌سازد.

تفکرات غلط در مورد شکار تهدیدات

  • شکار تهدیدات با فرآیند پاسخگویی به حادثه تفاوت دارد. عموم مردم، شکارچیان تهدید را با تیم‌های پاسخگویی به حملات سایبری اشتباه می‌گیرند. این دو گروه بسیار نزدیک به هم هستند و معمولا در کنار هم فعالیت می‌کنند. در برخی موارد، فرآیند شکار تهدیدات منتج به شناسایی یک نقض امنیتی می‌شود که نیازمند ورود تیم پاسخگوی به حادثه است. اما ماموریت آن‌ها کاملا با یکدیگر متفاوت است. فرآیند پاسخگویی به حادثه یک فرآیند واکنشی و دفاعی است. یعنی به محض مشاهده علائمی از حمله، تیم مورد نظر وارد صحنه می‌شود و اقدامات لازم را انجام می‌دهد. اما برعکس، شکار تهدیدات یک فرآیند تهاجمی است. تصور شکارچیان تهدید به طور پیش‌فرض این است که تهدیداتی در سازمان وجود دارند که هنوز شناسایی نشده‌اند.
  • شکارچیان تهدید، تیم قرمز (Red Team) نیستند. اقداماتی تهاجمی از قبیل تست نفوذ که برای شناسایی نقاط ضعف سازمان توسط تیم امنیتی قرمز انجام می‌شود، نوعی اقدام فعالانه و تقریبا شبیه به شکار تهدیدات است. اما سوال اساسی که در اینجا مطرح می‌شود این است که آیا اهداف مورد نظر مشکوک به آلودگی هستند؟ پاسخ به این سوال نشان می‌دهد که ماموریت شکارچیان تهدید با اعضای تیم امنیتی قرمز تفاوت اساسی دارد.

تفاوت شکار تهدیدات با راهکارهای سنتی

جمله معروفی در زمینه امنیت وجود دارد که می‌گوید: پیشگیری، ایده‌آل است اما تشخیص، یک ضرورت است. شاید بتوان گفت که خاصیت پویایی شکار تهدیدات، مهمترین وجه تمایز آن با سایر راهکارهای امنیتی سنتی از قبیل فایروال‌ها، آنتی‌ویروس‌ها، سیستم‌های تشخیص نفوذ و … می‌باشد. تمام این راهکارهای سنتی، اقدامات واکنشی هستند، یعنی به محض وقوع یک رخداد سایبری وارد عمل می‌شوند. این در حالی است که در فرآیند شکار تهدیدات، تمرکز اصلی بر روی شناسایی تهدیدات قبل از تبدیل شدن به یک رخداد سایبری است.

برچسب خورده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *