ساخت یک فرضیه: این مرحله را میتوان اولین مرحله از روند واقعی کشف تهدید دانست. وقتی نوبت به ساخت یک فرضیه می رسد، بسیاری از منابع در اینترنت به راحتی اینگونه میگویند: “یک فرضیه بسازید و سپس به سراغ کشف تهدیدات سایبری بروید”. این یک جمله ی کلی است که هیچ نوع راهنمایی در مورد چگونگی انجام این کار ارائه نمیدهد و بسیاری از افراد ممکن است معنای آن را ندانند.
فرضیه گزارهای مبتنی بر مشاهدات است که بر اساس نتایج دو مرحله اول با دقت بیان میشود. این اولین گام از روند کشف واقعی تهدید محسوب میشود و فعالیت های لازم برای کشف را به اطلاع میرساند. این فرضیه کاربر را راهنمایی میکند تا مسیر کشف تهدیدات را بشناسد و از انجام روشهای ناموثر جلوگیری کند.
یک فرضیه برای استفاده در کشف تهدیدات سایبری، ممکن است کلی یا جزیی باشد و باید مطابق با این قالب باشد که “اگر شرط A وجود داشته باشد و شرط B نیز وحود داشته باشد پس در نتیجه C باید درست باشد”.
اینگونه میتوان برای پیش بینی نتیجه آزمایشهای بعدی تلاش کرد و پیشبینی آسان میشود. در زمینهی کشف تهدیدات سایبری، ممکن است به سادگی یافتن شاخصهای گفته شده مرتبط با تحقیقات گذشته در محیط کاربر باشد.
یک فرضیه باید جعلی باشد، به این معنی که در حین کشف، نتیجه ی احتمالی یک آزمایش با پیش بینی در تضاد باشد. یک نتیجه متناقض نمیتواند بگوید که این فرضیه نادرست است. بلکه ممکن است صرفاً به این معنی باشد که بر اساس اطلاعات موجود و آزمایش موجود، این فرضیه خاص با روش معقول قابل اثبات نیست.
مهمترین تهدیدات سایبری و نحوه کارکرد آنها
ویدیوهای بیشتر درباره تهدیدات سایبری
آزمایش فرضیه در کشف تهدیدات سایبری
اهداف این مرحله از فرآیند نسبتاً ساده است. آیا ابزارها و مجموعه داده هایی برای اثبات یا رد فرضیه وجود دارد؟ برای رسیدن به این نتیجه چه آزمایشاتی باید انجام شود؟ برای جستجو در سیستم های SIEM موجود، از این مرحله ی کشف میتوان استفاده کرد که مرحله ی کشف واقعی است. این مرحله جایی است که یک تحلیلگر تمام نتایج مراحل قبلی را در نظر می گیرد و شروع به کشف میکند تا مهاجم را در محیط بیاید البته گاهی هم اتفاق میافتد که آنرا نمییابد. این امر قدرت سیستم های امنیتی سازمان را می آزماید و نقایصی را در جمع آوری داده ها نشان میدهد. اگرچه ممکن است اهداف این مرحله ساده به نظر برسند، اما به دلیل وقت گیر و چالش برانگیز بودن این مرحله، کاربرد عملی این اهداف چالش برانگیز است. چالش ها در این مرحله خود را به Threat Hunter نشان میدهند و آنها باید بدانند که چگونه آنها را برطرف و به جلو حرکت کنند.
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
در مرحله اول، باید از ابزارها و سیستم هایی که در اختیار یک تحلیلگر است و توانایی کشف آنها، یک فهرست تهیه شود. آیا استفاده از ابزار اضافی مورد نیاز است؟ در صورت استفاده از SIEM، وضعیت فعلی سیستم عامل باید ارزیابی شود. آیا فرم های درستی از داده های مورد نیاز موجود است؟ آیا در مانیتورینگ خللی وجود دارد؟ آیا برای حل این شکاف ها نیاز به همکاری با تیم های مختلف IT است؟ یافته های این مرحله می تواند اصلاحات موجود در شکاف های پوششی کشف شده را کامل کند. آیا SIEM گزارش های صحیحی را از سیستم های مناسب دریافت میکند؟ اطلاعات در گزارش نهایی استفاده میشود تا توضیح دهد که چرا یک تکنیک خاص ممکن است در محیط شناسایی نشود زیرا سیستم SIEM پازل اساسی این معما را گم کرده است.
بیشتر بخوانید: نگاهی به پنج ویژگی برتر SIEM در سال 2021، بررسی و تحلیل آن ها
ممکن است افراد با مقدار زیادی آزمایش طراحی داده روبرو شوند و برای دستیابی به بهترین نتیجه تمرکز کنند. در زمینه های مختلف علمی، افراد در حال طراحی آزمایشاتی برای اثبات یا رد فرضیه خود هستید. در کشف تهدیدات، این مرحله تلاش دارد تا همان کار را انجام دهد.
هنگام طراحی آزمایشات، باید به Tacticها، Techniqueها و Procedureها یا TTPها که در اکثر مهاجمان موجود در MITRE ATT&CK Framework مشترک است، مراجعه نمود. این Framework منابعی را از روشهای تشخیص موجود و مجموعه داده مورد نیاز در سیستم های امنیتی برای شناسایی دقیق، در اختیار کاربر قرار میدهد.
از اطلاعات کشف شده در این مرحله، که یا با استفاده از ابزارهای موجود SIEM یا ابزارهای اضافه به دست آمده اند، میتوان برای بهبود مکانیزم های تشخیص موجود استفاده کرد. با استفاده از تکنیک های دستی، گردش کار مبتنی بر ابزار و تجزیه و تحلیل، یک Hunter میتواند الگوهای خاص یا ناهنجاری های موجود در کشف تهدیدات سایبری را شناسایی کند.
بیشتر بخوانید: بررسی اطلاعات امنیتی و مدیریت رویدادها SIEM با Splunk
توسعه ی تکنیک هایی که توسط یکی دیگر از اعضای تیم کشف ایجاد میشود، ضروری است. یک فرآیند قابل تکرار تضمین میکند که نتایج نسبت به کشف های قبلی ثابت است. استفاده از ابزارهای شبیه سازی مانند MITRE’s Caldera یا Red Canary Atomic Red Team میتواند به یافتن شکاف در شناسایی کمک کند و سپس فرصتی برای اصلاح این شکاف ها فراهم نماید.
هیچ لیست تعیین شده ای از دستورالعمل های گام به گام یا Point Test و Click Test و جستجوها در SIEM Tool وجود ندارد که برای همه پاسخگو باشد زیرا سازمان ها متفاوت هستند، در سیستم های امنیتی مختلف، قابلیت های تشخیص مختلف و مشخصات تهدید متفاوت است. لازم به ذکر است که پذیرش مفاهیم و اصول از چارچوب ها و آنچه تحلیلگران قبلاً انجام داده اند، به کاربر در هدایت آزمایشات کشف کمک میکند.
نتایج باید با یک گروه کنترل مقایسه شوند. در کشف تهدیدات، آنچه در محیط کاربر اتفاق میافتد، گروه کنترل است. به عنوان مثال، میزبان A با میزبان B بر روی پورت 12345 در هر ساعت گفتگو میکند و 200 کیلوبایت داده را به ازای هر ارتباط انتقال می دهد. در صورت کشف آن ارتباط در حین جستجوی ترافیک C2، میتوان نتیجه گرفت که این موضوع لزوماً مخرب نیست زیرا این ارتباط به صورت معمول با “گروه کنترل” برای محیط شناخته شدهاست.
کشف چه مدت باید طول بکشد؟ اگر سازمان در عمل کشف تهدیدات به اندازهی کافی تجربه داشته باشد، بیش از یک هفته طول نخواهد کشید. اگر تازه برنامه ی کشف تهدیدات را شروع کرده، پس انتظار می رود برای کشف برنامه ریزی شود که ممکن است چند هفته طول بکشد.
تجزیه و تحلیل داده ها و نتیجه گیری
پس از اینکه کشف تهدیدات کامل شود، نتیجه گیری باید با فرضیه اصلی مقایسه شود؟ هرگز نمیتوان صد درصد مطمئن بود که نتیجه دقیق است. با این حال، رسیدن به نزدیکترین حد ممکن هدف نهایی است. باید در نظر داشت که آیا با استفاده از ابزارها و داده ها و تحقیقات انجام شده، کشف به اندازه کافی کامل بوده؟ آیا قطعه ای از این پازل گم شده که اگر در دسترس بود، ممکن بود در نتیجه گیری تأثیر بگذارد؟ نتایج تجزیه و تحلیل مرحله آزمایش ( کشف) توانایی تولید شاخص های جدید و هوش تهدیداتی را دارد که ابزارهای موجود میتوانند با استفاده از آنها، به طور بالقوه با دیگران یا سازمانهای دیگر به اشتراک بگذارند تا به آنها در تلاش برای کشف تهدیدات کمک کنند.
بعد از تجزیه و تحلیل نتایج آزمایشات، این نتیجه گیری باید با سایر اعضای تیم عملیات امنیتی به اشتراک گذاشته شود. تا مشخص شود که آیا آنها قادرند نتایج حاصل از کشف را تولید کنند و در همان انتها به نتیجه برسند؟ هنگام استفاده از روش علمی، تكثیر نتایج بسیار مهم است. بازتولید نتایج به طور مکرر، اطمینان از درست بودن فرضیه اصلی را بهبود میبخشد و به بدنه ی دانش می افزاید. همین امر در هنگام استفاده از روش علمی به عنوان روش کشف تهدیدات صورت می پذیرد. بررسی نتایج کشف کامل توسط یکی دیگر از اعضای تیم، سوگیری شناختی یا نقاط کوری را که ممکن است یک فرد در مورد نتایج داشته باشد از بین می برد.
