اشتراک مقالات

نگاهی علمی به Threat Hunting و برسی این فرایند در شناسایی عوامل مخرب – قسمت دوم (پایانی)

332 مشاهده 0 3 خرداد, 1400

Threat Hunting

در قسمت اول این مقاله در مورد اینکه Threat Hunting چیست توضیح داده شد و راهکارها و تکنیک هایی برای مقابله با آن شرح داده شد، حال در این قسمت به ادامه مطلب خواهیم پرداخت.

لایسنس اسپلانک

روش علمی چیست؟

اینکه روش علمی چیست باید گفت روش علمی فرایندي آزمايشي براي سنجيدن يك فرضيه به منظور پاسخگويي به سوالات است. این روش طی صدها سال در پیشرفت علم در زمینه هایی مانند پزشکی، زیست‌شناسی، شیمی و فیزیک کاربرد داشته است. طی این فرآیند بر چیزی که محقق مشاهده کرده یا به آن اندیشیده است، تحقیق و آزمایشاتی صورت می‌گیرد.

اگرچه استفاده از این روش در زمینه‌های مختلف ممکن است کمی متفاوت باشد، این فرآیند شامل 6 عمل میباشد که به صورت زیر است:

1. سوال پرسیدن

2. انجام تحقیقات پس‌زمینه.

٣. ساخت فرضیه

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

4- سنجش فرضیه با آزمایش

5. يافته‌هاي آزمایش‌ و نتیجه‌گیری

6. ارائه گزارش از نتیجه‌ها

مقابله با تهدیدات و تامین امنیت شبکه در کسب‌و‌کارهای کوچک با سیسکو

ویدیوهای بیشتر درباره Threat Hunting

فرضیه، که بخشی حیاتی از کل فرآیند است، گزاره‌ای است که محقق با توجه به تجربه و یافته‌های تحقیقاتی خود می‌سازد تا پاسخ سوالی را بیابد. این سوال ممکن است کلی، یا مختص موضوع مورد بررسی كاربر باشد. قابل آزمایش بودن و توانایی تولید نتیجه از نشانه‌های یک فرضیه موفق است. هنگام تحقیق باید از استدلال قیاسی و استقرایی استفاده کرد. استدلال قیاسی از یک فرضیه معتبر برای رسیدن به یک نتیجه منطقی صحیح استفاده می‌کند، در حالی که استدلال استقرایی رویکردی مخالف برای رسیدن به هدف اتخاذ می‌کند. آزمایش‌ها باید شامل یک گروه آزمایش و یک گروه کنترل کننده باشند.، گروه کنترل به مقایسه می‌پردازد و درنتیجه با مقایسه نتایج با یک معیار مشخص، می‌توان تشخیص داد که آیا آزمایش موفقیت‌آمیز بوده است یا خیر.

یکی از اهداف استفاده از آزمایش در روش علمی حذف یا کاهش ریسک انسانی و در عوض اتکا به شواهد تجربی در نتیجه‌گیری است. رعایت نکردن اطمینان از وضعیت، نمونه‌ای از یک ریسک می تواند باشد.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.

بسته به نتایج آزمایش، ممکن است لازم باشد فرضیه اصلی اصلاح گردد، تغییر کند یا صراحتا رد شود. اگر روش علمی به طور مستمر برای آزمایش مورد استفاده قرار گیرد، نتایجی که از به‌کارگیری‌های قبلی این فرآیند به دست آمده با کسب اطلاعات جدید بهبود خواهد یافت. در برخی موارد، نتایج روش علمی ممکن است سوالات جدید و متفاوتی را برانگيزد.   

فرضیه‌ای که با استفاده از روش علمی به خوبی مورد حمایت و پذیرش قرار گیرد، به عنوان تئوری شناخته می‌شود و در قالب مطالعات در مجلات علمی منتشر می‌شود. از جمله نظریه‌های معروف که در آن‌ها از روش علمی استفاده شده است، «نظریه نسبیت عام انیشتين»، «نظریه تکامل» یا «نظریه مکانیک کوانتوم» را می‌توان نام برد.

با به‌کارگیری مکرر روش علمی، نتایج به‌دست‌آمده پیکره‌ای از دانش تجمیعی را شکل خواهد داد. تکرارپذیری مطالعات منتشرشده، یکی از نتایج اصلی کاربرد روش علمی است. اگر دیگران نتوانند پژوهشی را بازتولید کنند، یعنی به همان نتایج پژوهش قبلی برسند، آن پژوهش نادرست تلقی شده و از پیکرۀ دانش علمی کنار گذاشته می‌شود. پس از اتمام فرآیند، نتایج به اصلاح فرضیه اصلی کمک می‌کند، زمینه را برای پژوهش دیگری فراهم می‌کند، باعث ایجاد سوالات جدید می‌شود، یا آن فرضیه را رد می‌کند تا محقق بتواند آن پیش‌فرض را کنار گذاشته و بر رویکرد دیگری کار کند.

سعی داریم چه مشکلی را حل کنیم؟

Threat Hunting فرآیندی دشوار و وقت‌گیر است و در اکثر موارد به صورت دستی انجام می‌شود و نیاز به دانشی پیشرفته در خصوص شبکه یک سازمان دارد. خودکارسازی این فرآیند را راحت‌تر می‌کند، اما عمدتا به صورت دستی انجام می‌شود. تیم‌های مرکز عملیات امنیت یا SOC غالباً از افراد کمی تشکیل شده است که این افراد پرکار بوده و برای شناسایی تهدیدات یک شبکه همیشه تحت فشار هستند. این تهدیدها بصورت مداوم تکامل می‌یابند و ابزارهای امنیتی واکنشی قدیمی ممکن است مدت‌ها پس از حضور مهاجمی در سیستم، صرفا یک هشدار ایجاد کنند.

تحلیلگران SOC ممکن است روش‌های مختلفی برای Threat Hunting داشته باشند، که ممکن است منجر به بی‌ثباتی در یافته‌ها شود یا مطابق با نتایج Hunting یکی دیگر از اعضای تیم نباشد. داشتن رویکردهای مختلف ممکن است منجر به عدم تشخیص تهدیدها شود. برای حل این مشکل، استفاده از روشی تکرارپذیر و قابل آزمایش که بتوان آن را سال‌های طولانی در زمینه های علمی به کار برد، به توسعه یک روش Hunting استاندارد در یک تیم SOC کمک می‌کند و نیازی نیست روشی از نو ابداع شود؛ مجموعه‌ای از مراحل قابل تکرار که همه تحلیلگران SOC می‌توانند دنبال کنند در عین حال که شکار تهدید به آن‌ها امکان می‌دهد تا یافته‌ها و نتیجه‌گیری را برای تایید با سایر اعضای تیم به اشتراک بگذارند. در صورتی که حادثه‌ای رخ داده باشد یا خطایی در اعلام حادثه صورت گرفته باشد، یک فرآیند استاندارد کمک می‌کند که اعضای تیم SOC در خصوص Threat Hunting به اتفاق نظر برسند و به سازمان کمک می‌کند تا در Hunting پیشرفت کند.

بیشتر بخوانید: 5 مهارت مورد نیاز برای یک تحلیل‌گر مرکز عملیات امنیت SOC

اعمال روش علمی برای Hunting

برای این کار، کاربران بایستی که هر مرحله از روش علمی را برگرفته و برای عمل Threat Hunting به کار برند. همه مراحل روش علمی را نمی‌توان اعمال کرد. دقیقاً مانند Science، این فرایند نسبت به تأمین نیازهای Hunting منعطف است. این ترفند چندان سخت‌گیرانه نیست، بلکه بیشتر حکم راهنما را دارد و اگر یک تحلیلگر بخواهد به بهترین حالت از آن پیروی کند، مبنایی عالی در اختیار او قرار می‌دهد تا فعالیت‌های خود را به روشی تکراپذیر بر پایۀ  آن قرار دهد.

•          سوال پرسیدن

اولین گام در Threat Hunting بر اساس روش علمی طرح یک سوال است. این مرحله اول ممکن است ساده به نظر برسد، و در بسیاری از موارد سوالی همچون «آیا دچار نقض امنیتی شده‌ایم» کفایت می‌کند. این سوال همچنین می‌تواند دقیق‌تر و هدفمندتر باشد، مانند:«آیا تهدیدگری به شبکه ما نفوذ کرده است و آیا او با استفاده از ابزارهای پیش‌فرض موجود در ویندوز 10، فعاليت‌هاي فرعی نیز دارد؟». پاسخ به هر دو نوع این سوالات از طریق Hunting، چالش‌های منحصر به فردی به دنبال خواهد داشت.

بیشتر بخوانید: نگاهی به پنج ویژگی برتر SIEM در سال 2021، بررسی و تحلیل آن ها

تیم عملیات امنیتی  این سوالات را می‌پرسند. آن‌ها از منابع خارجی همچون تیم‌های مدیریت یا تطبیق‌پذیری، CERT، همكاران داخل اجتماع، مقالات خبری یا سایر سازمان‌ها راهنمایی می‌گیرند.

همه سوالات نیاز به پاسخ ندارند و تشخیص این که این سوال معتبر است یا خیر، بر عهده Threat Hunter است. این‌ که آیا این موضوع، ارزش وقت‌گذاری و تلاش را دارد یا خیر، یک نکته اساسی است. قبل از رفتن به مرحله بعدی، باید وقت گذاشت تا تعیین کرد که آیا سوال لازم است دقیق‌تر باشد یا خیر. شاید بتوان آن را به Huntهای کوچکتری تقسیم کرد تا هر یک نتیجه‌ای به دست آورند که سهمی در نتیجه‌گیری سوال اصلی دارد.

انجام تحقیقات پیش‌زمینه

هنگامی که سوالی برای ادامه Hunting پرسیده شد و ارزشمند تلقی شد، گام بعدی در این فرآیند، انجام تحقیقات پیش‌زمینه خواهد بود. جدای از مرحله آزمایش یا Hunt واقعی، این مرحله ممکن است خیلی زمانبر باشد.

هدف از انجام تحقیق این است که بتوانیم تعیین کنیم چه منابع اطلاعاتی ممکن است مورد نیاز باشد و نیز به ایجاد فرضیه کمک می‌کند. این فرضیه اساس فعالیت Threat Hunting را شکل می‌دهد. باید از این فرصت استفاده کرد و توانایی‌های ابزارهای موجود مانند Security Information Event Manager یا SIEM را به کار گرفت. آن‌ها ممکن است همین حالا هم ابزارهای مورد نیاز برای تکمیل Hunting را در اختیار کاربر گذاشته باشند.

تحلیلگران می‌تواند از تجربه خود به عنوان منبع تحقیق استفاده کند یا به یافته‌های Huntهای قبلی مراجعه کند. منبع دیگری برای تحقیق، فریم‌ورک‌های منشرشده و سرویس‌های هوش تهدیدات تجاری و آزاد است. وبلاگ ها، مقالات خبری یا رسانه‌های اجتماعی منبع دیگری برای بهره‌وری در مرحله تحقیق هستند. بحث و گفتگو با همتایان داخل صنعت و سایر سازمان‌ها منبع دیگری برای استفاده است. مرحله تحقیق چندین خروجی تولید می‌کند. این مرحله ممکن است شامل اطلاعات فنی در مورد نحوه کار راه‌حل‌ها و فناوری‌ها یا نوع تولید داده‌های رویداد و شکل آن‌ها باشد. یکی از مهمترین نتایجی که باید به دنبال آن بود، شرایط مناسبی است که باید برای موفقیت‌آمیز بودن یک رویداد وجود داشته باشد. درک این نکته ضروری است؛ زیرا اگر کاربر نداند در هنگام شکار چه شاخص‌هایی را جستجو کند، ممکن است هرگز متوجه حمله نشود.

مقاله های مرتبط:

نگاهی علمی به Threat Hunting و بررسی این فرایند در شناسایی عوامل مخرب - قسمت اول
برچسب ها : Threat Hunting

مطلب مفید بود؟

 
بیشتر بخوانید