تیمهای فناوری اطلاعات میتوانند تهدیدات خاصی را شناسایی کرده و خطرات سازمان را کاهش دهند. هوش تاکتیکی ساده و خودکار است و میتواند از طریق تکنیکهایی مانند Feedدادهها و APIها مصرف شود. از آنجایی که IoCها به راحتی قابل تغییر یا منسوخ شدن هستند، هوش تاکتیکی نسبت به دو نوع دیگر عمر کوتاهتری دارد.
هوش عملیاتی
هوش عملیاتی، متخصصان امنیت سایبری را هدف قرار میدهد که مسئول انجام عملیاتِ روزانه در یک مرکز عملیات امنیتی SOC هستند. این هوش درکی عمیقتر از چگونگی برنامهریزی، اجرا و نگهداری حملات سایبری و عملیات توسط مهاجمان را با درک ویژگیهای دشمنان مانند TTP که برای حملات سایبری استفاده میشود، فراهم میکند.
هوش عملیاتی به بهبود نظارت بر تهدید، مدیریت تهدید و وظایف واکنش به حادثه کمک میکند. از آنجایی که TTPها را نمیتوان به راحتی تغییر داد، هوش عملیاتی بیشتر از اطلاعات تاکتیکی دوام میآورد. با این حال، چالشهایی در انباشت اطلاعات عملیاتی وجود دارد. به عنوان مثال، برنامههای پیامرسان رمزگذاریشده مانند واتساپ و تلگراف، که توسط مهاجمان برای ارتباطات استفاده میشوند، به راحتی قابل دسترسی نیستند و رمزگشایی زبانی که برخی گروههای تهدید استفاده میکنند، دشوار است.
مراحل چرخه حیات CTI
هوش تهدید یک فرآیند سرتاسری نیست. بلکه چرخهای است که از جمعآوری الزامات تا دریافت بازخورد شروع میشود. چرخهی حیات هوش تهدید، دادههای خام تهدید را به بینشهای عملی تبدیل میکند که به تیمهای امنیت سایبری کمک میکند تا برنامههای اطلاعاتی تهدید موثر را به کار گیرند. این فرآیند شامل شش مرحله است:
- جمعآوری الزامات
- گردآوری
- پردازش
- تجزیه و تحلیل
- انتشار
- دریافت بازخورد
جمعآوری الزامات
مرحلهی اول جمعآوری تمام الزامات ذینفعان برای اطلاعات تهدید است. این مرحله را میتوان به عنوان یک مرحلهی برنامهریزی در نظر گرفت که در آن شما اهدافی را برای CTI و روشی که باید دنبال کنید تعیین کنید. وظایف معمول این مرحله عبارتند از:
- تعریف سطح حمله و تاثیر یک حملهی سایبری.
- شناسایی مناطقی از سازمانهایی که برنامه CTI باید پوشش دهد.
- کشف مهاجمان و انگیزههای آنان و اقدامات مورد نیاز شما از سوی شما.
بیشتر بخوانید: چکلیست امنیت سایبری و توصیههای امنیتی مهم برای سازمانها – قسمت اول
گردآوری دادههای خام
پس از شناسایی کلیهی الزامات، در مرحلهی گردآوری، دادههای مورد نیاز برای برآوردن اهداف و مقاصد تعیینشده در مرحلهی اول گردآوری میشود. برای تکمیل این مرحله، سازمانها باید منابع دادههای تهدید را بر اساس اهداف و مقاصد تعریفشده تعیین کنند. منابع داده زیر معمولاً عبارتند از:
- منابع دادههای در دسترسِ عموم مانند: سایتهای خبری، انجمنها و وبلاگها
- گزارشهای ترافیک شبکه
- سایتهای رسانههای اجتماعی
- فید دادههای تهدیدِ ارائه شده توسط شرکتهای اختصاصی امنیت سایبری
- دادههای کارشناسانِ موضوع و مصاحبه با ذینفعان مربوط
- منابع ضدِ جاسوسی سایبری CCI مانند نظارت غیرفعال DNS، Sinkholeها و Honeypot
- تجزیه و تحلیل بدافزار برای درک منشاء و تأثیر آنها
پردازش دادهها
دادههای خامِ جمعآوری شده برای استفاده در مرحلهی تحلیلِ تهدید مناسب نیستند. بنابراین، مرحلهی بعدی تبدیل دادههای خام به قالبی است که به راحتی قابل تجزیه و تحلیل است. بسته به نوع داده، وظایفِ پردازش شامل عادیسازی دادهها، مرتبسازی، نمونهبرداری، اعتبارسنجی و تجمیع میباشد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
روش تبدیل داده به منبعِ داده بستگی دارد. به عنوان مثال، گزارشهای ترافیک شبکه ممکن است با عبارات منظم Regex برای عبارات و اخبار خاص استخراج شوند و سایتهای وبلاگ از کشورهای خارجی ابتدا باید به زبان اصلی خود ترجمه شوند. اگر دادهها را از مصاحبهها جمعآوری کردهاید، باید اعتبارسنجی مناسب انجام دهید.
تجزیه و تحلیل دادهها
مرحلهی بعدی جستجو، تفسیر و تجزیه و تحلیل دادههای قالببندی شده است. این کار برای دستیابی به اهداف و مقاصد تعریف شده و پاسخ به سؤالات شناسایی شده در مرحلهی گردآوری لازم است.
تجزیه و تحلیل، الگوهای تهدید و تأثیرات امنیتی بالقوه بر سازمان را نشان میدهد. تکنیکهای تجزیه و تحلیل دادهها شامل تجزیه و تحلیل دادههای آماری و همچنین تجزیه و تحلیل مبتنی بر فرضیه است. تجزیه و تحلیل دادهها به ارائهی توصیههای عملی برای دستیابی به هوش تهدید سازمانی، مانند موارد زیر کمک میکند:
- سازمان چه سرمایهگذاریهایی را باید افزایش دهد
- اقدامات برای مقابله با تهدیدات فوری
- آیا تهدید خاصی باید مورد بررسی قرار گیرد و غیره
انتشار یا انباشته کردن تحلیل
پس از تکمیل تجزیه و تحلیل، با توجه به نیازهای سازمان، این گزارشها را در قالبی در اختیار ذینفعان مربوطه قرار دهید که آنها را قادر سازد تا به راحتی محتوای آنها را رمزگشایی کنند.
بیشتر بخوانید: پنج قدم مهم برای امنیت سایبری سازمان
باز هم، ذینفعانِ مختلف الزامات متفاوتی در مورد تجزیه و تحلیل دارند. قبل از به اشتراک گذاشتنِ اطلاعات، ترجیحات ذینفعان را برای قالب گزارش و اطلاعاتی که تجزیه و تحلیل باید داشته باشد، شناسایی کنید. بهترین شیوهها در اینجا شامل این موارد است:
- ارائهی مختصر نتایج و پیشنهادها.
- اجتناب از اصطلاحاتِ فنی پیچیده (به یاد داشته باشید، شما خرید آنها را میخواهید!)
- ارائه دادهها در قالب نمودار تا ذینفعان بتوانند به راحتی نتایج را تنها با مشاهدهی آنها تفسیر کنند.
ارائه بازخورد
آخرین مرحله از چرخهی حیات هوش تهدید، دریافت بازخورد برای گزارش هوشِ تهدید ارائه شده به ذینفعان است. ذینفعان در صورتِ نیاز به ایجاد تغییرات در گزارش، اینکه آیا تجزیه و تحلیل با اهداف و مقاصد سازمانی مطابقت دارد، و نیز تعداد دفعاتی که میخواهند گزارشهای هوش تهدید را دریافت کنند و غیره به شما اطلاع خواهند داد.
هر گونه تغییر در گزارش نشان میدهد که تحلیلگران تهدید باید روی کجا تمرکز کنند. بنابراین، بازخورد برای بهبود و موفقیت هوش تهدید ضروری است.
یادآوری: CTI در اینجا متوقف نمیشود. CTI یک فرآیندِ خطی نیست که در یک تکرار به پایان برسد. در عوض، CTI یک فرآیند تکراری و مستمر است که در آن هر چرخه به بهبودِ برنامهی اطلاعات تهدید سازمان کمک میکند.
خلاصهای از نکات مربوط به CTI
صرف نظر از اینکه که مکانیسمهای امنیتی شما چقدر پیشرفته است، تهدیدات در حالِ تحول همیشه و در هر مقطع زمانی میتوانند سازمان را در برابر حملاتِ سایبری آسیبپذیر کنند. امروزه، بسیاری از سازمانها به دلیل مزایای زیادی که در تقویت مکانیسمهای دفاعیِ تهدیدات سایبری خود به دست میآورند، در برنامههای CTI سرمایهگذاری میکنند.
هوش تهدید سایبری دادههای تهدید را تجزیه و تحلیل میکند تا الگوهای حملات سایبریِ بالقوه را آشکار کند و رفتار بازیگرانِ بد را پیشبینی کند. بر اساس عمقِ هوش و مخاطبانِ هدف، سه نوع اصلی CTI وجود دارد: استراتژیک، تاکتیکی و عملیاتی. CTI یک فرآیند تکراری است. بنابراین، سازمانها را قادر میسازد تا مکانیسمهای دفاعی خود را در برابر تهدیدات سایبری در حال ظهور بهبود بخشند.
