بهطور سنتی در یک Security Operations Center یا SOC، شناسایی تهدیدات و عکس العمل مناسب سازمان در برابر آن ها معمولاً واکنشی است که باید آن را در اسرع وقت انجام داد تا بتوان سازمان را از تهدیدات احتمالی حفظ کرد. برای شناسایی عملی مخرب روی شبکه، یک قاعده در سیستم Security Information Event Management یا SIEM تنظیم میشود و تحلیلگر SOC منتظر فعال شدن یک هشدار میماند تا بتواند مشخص کند که شاید حادثهی مخربی در حال وقوع باشد. با افزایش پیچیدگی حملات مهاجمین و تکنیکهای پنهانی آنها برای اجتناب از شناسایی شدن، استفادهی یک SOC از یک رویکرد هشدار واکنشی در تلاش برای شناسایی اقدامات مخرب به طرزی قابلاعتماد شاید بهترین رویکرد محسوب نشود. تحلیلگران SOC میتوانند رویکردی فعال و آیندهنگرانه را به Threat Hunting اتخاذ کنند تا مشخص گردد که آیا مهاجمی به محیط حمله کرده است یا خیر. افراد بسیاری در حوزهی امنیت اطلاعات، Threat Hunting را قدمی حیاتی در شناسایی مهاجمان و ایجاد یک برنامهی امنیتی کامل میدانند.
هر تحلیلگر SOC ممکن است این تصمیم را گرفته باشد که میخواهد Threat Hunting را شروع کند اما مطمئن نیست که نقطهی شروع کجا است. Threat Hunting میتواند برای تحلیلگران بیتجربه فرایندی گیجکننده و چالشبرانگیز باشد. بسیاری از منابع آنلاین صرفاً بیان میکنند که «سؤال بپرس، حالا برو و Threat Hunting را شروع کن.» فقط بیان اینکه باید به دنبال تهدیدات گشت، کار را برای تحلیلگرانی که برای انجام Threat Hunting خود نیازمند یک فرایند ساختارمند هستند، سادهتر نمیکند. توسعهی یک فرضیه بخشی اساسی از این فرایند است.
روش عملی، روشی است که صدها سال در حوزه های علمی مثل پزشکی و فیزیک وجود داشته است. این روش چندین مرحله را پیشنهاد میکند که محقق میتواند با طی کردن آنها، براساس آزمایشهایی که با اطلاعات بهخصوصی که در زمان تست دردسترس است انجام میگردند، به نتیجهای از یک فرضیه برسد. مطالعات گستردهای روی روش علمی انجام شده است و جنبهی فلسفی عمیقی دارد. مجموعهی Science Buddies مراحل عملی این روش را شرح داده است. در ادامه ماهیت Threat Hunting، روش علمی و نحوهی استفاده از آن بهعنوان روشی از تیم Threat Hunting یک مرکز SOC شرح داده میشود.
مهمترین تهدیدات سایبری و نحوه کارکرد آنها
ویدیوهای بیشتر درباره تهدیدات سایبری
این نتایج را میتوان همسانسازی کرد و به اشتراک گذاشت تا از نتایج باثبات اطمینان حاصل شود، سوگیری در تائید کنار رود و محرمانگی در امنیت شبکهی رایانهای افزایش پیدا کند.
Threat Hunting و روش علمی
Threat Hunting چیست؟
برای سادهترین تعریف از Threat Hunting میتوان گفت رویکردی فعال و پیشگیرانه برای جستجو و پیدا کردن تهدیداتی در شبکهی یک سازمان است که ممکن است به دلیل نقاط ضعف در سیستمها و تکنیکهای قدیمی، مدت زیادی شناسایی نشوند.
زمانی که Threat Hunting ظهور کرد از نظر افراد بسیاری در صنعت امنیت اطلاعات، روشی ضروری در عملیات یک تیم امنیتی بود. Threat Hunting مکمل ابزار و روشهای موجود برای کاهش زمان شناسایی یک حمله، تشخیص شکافهای قابلیت شناسایی در یک شبکه، کمک به جلو بودن از تهدیداتی که بهسرعت تغییر پیدا میکنند و فراهم کردن مکانیزمی برای پاسخ سریع به این تهدیدات است. Threat Hunting جایگزین سیستمها یا فرایندها در یک تیم امنیتی نیست بلکه به امکانات موجود اضافه میکند تا یک تصویر امنیتی کامل از سازمان فراهم گردد. یکی از اهداف Threat Hunting کاهش یا حذف سوگیری در تائید توسط سازمانهایی است که خود را ایمن میپندارند زیرا سیستم شناسایی جدیدی را پیادهسازی کردهاند و هیچ هشداری برای آنها ایجاد نشده است. مهاجمین بیش از پیش توانایی اجتناب از روشهای شناسایی واکنشی را پیدا کردهاند و زمان بین حمله و شناسایی را افزایش دادهاند؛ به این زمان «زمان ساکن» گفته میشود. هدف از Threat Hunting این است که این فرصت مهاجمین را تا جای ممکن کاهش دهد و شانس برگشت را از آنها بگیرد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
فرایند Threat Hunting شامل یک رویکرد دستی و قدمبهقدم متشکل از استفاده از دانش تهدیدات، مهاجمین و تکنیکها برای ایجاد سؤال یا «فرضیه» و سپس استفاده از اطلاعاتی که در سیستمهایی مثل سیستمهای SIEM ذخیره شدهاند، برای اثبات یا رد آن فرضیه است. Threat Hunting یا جستجوی تهدید میتواند در یک تیم متشکل از چندین تحلیلگر یا توسط یک تحلیلگر واحد انجام شود که نتایج را برای تهدید با دیگران به اشتراک میگذارد.
برای بسیاری از تحلیلگران امنیتی، جستجوی تهدید میتواند کاری سخت و چالشبرانگیز باشد، بهخصوص اگر قبلاً تجربهاش را نداشته باشند. بسیاری از تحلیلگران عادت دارند به اینکه به SIEM خود نگاه کنند و منتظر یک هشدار باشند تا بتوانند فرایندهای پاسخ به حوادث خود را آغاز نمایند. همچنین بسیاری از منابع آنلاین که Threat Hunting را توصیف میکنند، از گزارههایی گنگ استفاده میکنند، مثلاً «فرضیهای را ایجاد کنید، سپس به دنبالش بگردید.»
بیشتر بخوانید: ویژگی و امکانات FortiSIEM به همراه تحلیل و بررسی پکپارچه سازی NOC و SOC
راههای زیادی برای شروع فرایند ایجاد فرضیه وجود دارد، در ادامه فقط پیشنهاداتی در مورد نحوهی جمعآوری منابعی مانند استفاده از تکنیکها، تاکتیکها و فرایندهای (TTPهای) گروههای مهاجم معروف بهعنوان اصول راهنماییکننده در فرضیهای برای Threat Hunting، که تحلیلگر را راهنمایی میکنند مطرح میشود.
تعیین اینکه چه کسی یا چه چیزی در ابتدای Threat Hunting بزرگترین تهدید برای سازمان محسوب میشود. تشخیص اینکه آیا سازمان بیشتر نگران مهاجمین در سطح ملی است یا گروههای مجرم یا حتی مهاجمین داخلی مخرب که میخواهند جاسوسی شرکتی انجام دهند. چارچوبهایی مثل MITRE ATT&CK “ATT&CK Matrix for Enterprise,” n.d. منابع بسیار خوبی برای تحقیق در مورد گروههای مهاجمی هستند که ممکن است در وضعیت تهدید یک سازمان بهخصوص جای بگیرند و سپس میتوان اطلاعاتی را در مورد TTPهای شناخته شده فراهم کرد که این گروه مهاجم به استفاده از آنها برای ایجاد نقض امنیتی در سازمان معروف است.
بیشتر بخوانید: نگاهی به پیش بینی های تهدیدات و حملات سایبری در سال 2021 – قسمت اول
اطلاعات TTPها همراه با دادههای جمعآوریشده در یک سیستم SIEM از چندین منبع درون سازمان، Datasetی را تشکیل میدهد که یک پژوهشگر برای انجام Threat Hunting از آن استفاده میکند. نتایجی که در طول فرایند Threat Hunting ثبت میشوند را میتوان در جستجوهای بعدی مورد استفاده قرار داد یا با دیگر سازمانها یا همکاران در جامعهی امنیت اطلاعات به اشتراک گذاشت تا در فعالیتهای Threat Hunting آنها یاریشان کند. در Threat Hunting همیشه فرض بر این است که نقض امنیتی اتفاق افتاده و مسئله این نیست که آیا یک سازمان دچار نقض امنیتی میشود یا خیر، بلکه مسئله این است که چه زمانی این اتفاق میافتد. Threat Hunting به یک مدافع تحلیلگر امنیت این امکان را میدهد که مثل یک مهاجم فکر کند و سؤالاتی را بپرسد از قبیل اینکه «چطور میتوانم این شبکه را دچار نقض کنم؟»، «چطور میتوانم از شناسایی شدن اجتناب کنم؟»، «آیا میتوانم مهاجم را شناسایی کنم؟»، «اگر نتوانم مهاجم را شناسایی کنم به چه چیزی نیاز دارم یا چه چیزی باید تغییر کند تا من بتوانم آنها را شناسایی نمایم؟»
