امروزه سازمانی نیست که راهکارهای امنیتی را پیاده سازی نکرده باشد حال به هر شکل و در هر ابعادی اما شاید کمتر سازمانی بتواند پاسخی با پشتوانه به این سوال بدهد که تا چه حد از عدم وجود یک عامل بیرونی در شبکه خود اطمینان دارید؟
اگر حملهای پیشرفته از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به احتمال زیاد مهاجم همچنان در شبکه شما حضور دارد و اکنون به عنوان یک عضو شبکه داخلی شما به فعالیت خود ادامه میدهد و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریبا دیگر نقشی در مسدود سازی این مهاجم ندارند. سرویس شکار تهدیدات یا همان Threat hunting راهکار موثری است که با تحلیل اطلاعات از نگاه امنیتی میتواند به کشف تهدیدات موجود در سازمان شما بپردازد. در واقع تیم شکار تهدیدات به دنبال یافتن مهاجمان قبل از اجرای حملاتشان است، این سرویس ابزارهای امنیتی، تجزیه و تحلیل هوشمند و تجربه متخصصین امنیت را در راستای تشخیص تهدیدات بالقوه موجود در شبکه سازمان به کار میگیرد. سرویس Threat hinting مجموعهای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و سازمان شما را در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت میکند.
شکار تهدیدات یک جستجوی Proactive در شبکهها، سیستمهای کاربران و دادههاست که توسط عامل انسانی انجام میشود. به همین دلیل تجربه تیم مجری بسیار اهمیت دارد، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق میشوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروسها پنهان ماندهاند را کشف کنند.
با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانههای تهدید (IOC) کشف میشوند، بنابراین بسیاری از این تهدیدات از دید سامانههای خودکار تشخیص و شناسایی تهدیدات پنهان میمانند. شکار تهدیدات به سازمانها کمک میکند تا این موارد را شناسایی کنند.
در فرآیند شکار تهدیدات، بر خلاف روشهای سنتی، شکارچیان تهدید پیش از آنکه رخدادی به وقوع بپیوندد، دادهها را بررسی و تحلیل میکنند. در واقع، شکارچیان تهدید با استفاده از تکنیکهای دستی و خودکار، به جستجوی تهدیدات ناشناخته میپردازند و قبل از اینکه آسیبی به سازمان وارد شود آنها را شناسایی میکنند. این افراد تهدیداتی را پیدا میکنند که هیچیک از فایروالها و سیستمهای تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانستهاند تشخیص دهند.
اهمیت شکار تهدیدات
راهکارهای امنیتی مثل فایروالها و نرمافزارهای ضد ویروس، اکثر تهدیدات امنیتی رایج که پیچیدگی کمتری دارند را شناسایی و مسدود میکنند، اما برخی از مهاجمان، رفتارهای سازمانیافته تری دارند و از دید تجهیزات میتوانند خودشان را از دید راهکارهای امنیتی پنهان کنند، تهدیداتی از این جنس ممکن است هفتهها و ماهها در سازمان پنهان بمانند. قانون ۲۰/۸۰ را احتمالا شنیدهاید. این قانون در مورد امنیت شبکه هم صدق میکند و میتوان گفت که تقریبا ۸۰ درصد مشکلات امنیتی ناشی از ۲۰ درصد تهدیدات است.
طبق گزارشهای سالانه شرکت امنیتی FireEye، مدت زمان وقوع یک تهدید سایبری تا زمان شناسایی آن در سال ۲۰۱۷ به طور میانگین برابر با ۱۰۱ روز و در سال ۲۰۱۸ برابر با ۷۸ روز بود. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستمهای کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.
بر اساس تحقیقات صورت گرفته، ضرورت شکار تهدیدات برای مقابله با تکنیکهای پیچیدهای که مهاجمان امروزی استفاده میکنند انکار ناپذیر است. حتی پیشرفتهترین تجهیزات امنیتی نیز از شناسایی Zero-day ها و برخی از حملات APT عاجز هستند. شکار تهدیدات در صورتی که توسط عامل انسانی به صورت منظم و سیستماتیک انجام شود، بسیاری از تهدیدات را قبل از رسیدن به نقطه خسارت، شناسایی و متوقف میسازد.
تفکرات غلط در مورد شکار تهدیدات
- شکار تهدیدات با فرآیند پاسخگویی به حادثه تفاوت دارد. عموم مردم، شکارچیان تهدید را با تیمهای پاسخگویی به حملات سایبری اشتباه میگیرند. این دو گروه بسیار نزدیک به هم هستند و معمولا در کنار هم فعالیت میکنند. در برخی موارد، فرآیند شکار تهدیدات منتج به شناسایی یک نقض امنیتی میشود که نیازمند ورود تیم پاسخگوی به حادثه است. اما ماموریت آنها کاملا با یکدیگر متفاوت است. فرآیند پاسخگویی به حادثه یک فرآیند واکنشی و دفاعی است. یعنی به محض مشاهده علائمی از حمله، تیم مورد نظر وارد صحنه میشود و اقدامات لازم را انجام میدهد. اما برعکس، شکار تهدیدات یک فرآیند تهاجمی است. تصور شکارچیان تهدید به طور پیشفرض این است که تهدیداتی در سازمان وجود دارند که هنوز شناسایی نشدهاند.
- شکارچیان تهدید، تیم قرمز (Red Team) نیستند. اقداماتی تهاجمی از قبیل تست نفوذ که برای شناسایی نقاط ضعف سازمان توسط تیم امنیتی قرمز انجام میشود، نوعی اقدام فعالانه و تقریبا شبیه به شکار تهدیدات است. اما سوال اساسی که در اینجا مطرح میشود این است که آیا اهداف مورد نظر مشکوک به آلودگی هستند؟ پاسخ به این سوال نشان میدهد که ماموریت شکارچیان تهدید با اعضای تیم امنیتی قرمز تفاوت اساسی دارد.
تفاوت شکار تهدیدات با راهکارهای سنتی
جمله معروفی در زمینه امنیت وجود دارد که میگوید: پیشگیری، ایدهآل است اما تشخیص، یک ضرورت است. شاید بتوان گفت که خاصیت پویایی شکار تهدیدات، مهمترین وجه تمایز آن با سایر راهکارهای امنیتی سنتی از قبیل فایروالها، آنتیویروسها، سیستمهای تشخیص نفوذ و … میباشد. تمام این راهکارهای سنتی، اقدامات واکنشی هستند، یعنی به محض وقوع یک رخداد سایبری وارد عمل میشوند. این در حالی است که در فرآیند شکار تهدیدات، تمرکز اصلی بر روی شناسایی تهدیدات قبل از تبدیل شدن به یک رخداد سایبری است.