چگونه هوشمندی تهدید سایبری (CTI) را پیاده سازی کنیم

چگونه هوشمندی تهدید سایبری (CTI) را پیاده سازی کنیم

هوشمندی تهدید اخیرا و پس از پیدایش مرکز عملیات امنیت مورد توجه بسیاری قرار گرفته و بر سر زبان ها افتاده است، با وجود این شهرت زودهنگام، اما هوشمند تهدید یا threat intelligence ( به اختصار TI)، یک مبحث بسیار نوپا است. سازمان های زیادی وجود ندارند که از یک بستر هوشمندی تهدیدات یکپارچه و جامع در قلب راهبرد امنیتی خود استفاده می کنند. علاوه بر این متخصصان امنیتی هنوز زمان زیادی برای یافتن راه حل های کارآمد و ساده برای پیاده سازی هوشمندی تهدید و استفاده از مزایای آن نیاز دارند. در این مطلب قصد داریم درباره نحوه پیاده سازی هوش امنیتی در سازمان نکاتی را بیان کنیم.

به دنبال حلقه گمشده در راهبرد امنیت سایبری

ابتدا ببینیم بدون هوشمندی تهدید، چه چیزی در اختیار داریم. سازمان های درجه یک، مطمئنا یک راهبرد امنیتی قوی به همراه چندین فرآیند اجرایی برای محافظت از دارایی های ارزشمندشان دارند. آنها آخرین تجهیزات تشخیص و پیشگیری از نفوذ(IDS/IPS) و فناوری های SIEM را برای بررسی تعداد زیادی رویداد در روز در اختیار دارند. این سازمان ها همچنین به طور هفتگی از پویشگرهای آسیب پذیری خودکار در شبکه خود استفاده می کنند. آن ها یک مرکز عملیات امنیت(SOC) به روز، همراه با تیمی متشکل از تحلیلگران امنیت و کارشناسان پاسخگویی به حوادث را برای محافظت از سازمان راه اندازی و فعال کرده اند. با این وجود هنوز احساس می کنیم که استراتژی امنیتی ما خیلی قابل درک و روشن نیست. می توان حس کرد که یک حلقه گمشده در این بین هنوز وجود دارد. به نظر شما چه چیزی ممکن است در این راهبرد امنیتی نادیده گرفته شده باشد؟

چه چیزی نیاز داریم؟
مطمئنا جواب این پرسش موضوع بحث این نوشته است. حلقه گمشده در این راهبرد امنیتی، پیاده سازی هوشمندی تهدید یا threat intelligence است. به بیان تخصصی تر ما به یک راهبرد پیاده سازی هوشمندی تهدیدات نیاز داریم.

هوشمندی تهدید یا Threat intelligence چیست؟
هوشمندی تهدید یا به اختصار TI هنوز یک مفهوم نوپا و در حال رشد است. ما در اینجا قصد نداریم جزئیات دقیق و تعریف جامعی آن را ارائه کنیم. حتی شرکت هایی که ادعای پیشتاز بودن در این حوزه را دارند در این خصوص راه حل های متفاوتی برای پیاده سازی هوشمندی تهدید دارند. اغلب آن ها هنوز بر روی یک تعریف یکسان از این مفهوم نو ظهور به توافق نرسیدند. با این وجود برای ساده تر شدن موضوع، از تعریف موسسه گارتنر درباره هوشمندی تهدید-TI- استفاده می کنیم:
هوشمندی تهدید یک دانش مبتنی بر ادله (شواهد) شامل محتوای زمینه ای، ساز و کارها، نشانگرها، پیامدها و توصیه های عملی پیرامون یک تهدید موجود یا در حال وقوع علیه دارایی های سازمان است. این دانش می تواند برای کمک به تصیم گیری درباره چگونگی پاسخگویی و مواجعه با آن تهدید یا مخاطره مورد استفاده قرار گیرد(گارتنر، ۱۶ می ۲۰۱۳)
به طور خلاصه، هوشمندی تهدید، اطلاعاتی است که به ما در شناسایی مهاجم و دستیابی به پاسخگویی سریع و موثر کمک می کند. به نظر زجرآور میاد؟ بله همینطوره. پیاده سازی هوشمندی تهدید یک کار طاقت فرسا است، با این وجود اگر توسط یک تیم خبره پیاده سازی، خودکار و راه اندازی شود، شدنی و کارآمد خواهد بود. اگر تا الان تصور می کردید که هوشمندی تهدید، یک مهارت و یا یک تیم است، تبریک می گم چون هوشمندی تهدید هر دو این ها رو شامل می شه. تصور سیاه/سفید دیدن چیزها رو دور بریزید.

چگونه می توان یک هوشمندی تهدید مؤثر پیاده سازی کرد؟

برای پیاده سازی هوشمندی تهدید، در ابتدا باید چک لیستی از نیازمندی ها تهیه شود. به عبارت دیگر باید درباره اجزای اصلی، اطلاعات جمع آوری کنیم. یک بستر هوشمندی اطلاعات باید حداقل چهار عنصر زیر را داشته باشد:

• اطلاعات هوشمندی تهدید(feeds): این اطلاعات ممکن است از نهادهای و گروه های اطلاعاتی آزاد یا تامین کنندگان تجاری، در ازای پرداخت هزینه، تهیه شده دریافت شوند.
• فناوری: نرم افزاری که جمع آوری اطلاعات تهدیدات را انجام می دهد. این نرم افزاری اغلب ویژگی هایی برای همبستگی اطلاعات با رویدادهای داخلی سازمان ارائه می دهد.
• فرآیندها: ایجاد Playbook ها و رویه های خوش طراحی شده که نسبت به عملیات تیم هوشمندی اطلاعات و تعامل آن ها درون سازمان اطمینان می دهد.
• افراد: یک تیم اختصاصی که فرآیندهای هوشمندی اطلاعات را عملیاتی و پشتیبانی می کنند.

شروع به کار

برای شروع پیاده سازی، ایجاد یک درک پایه از هوشمندی تهدید لازم است. این درک به شما امکان راه اندازی اولیه و تکامل های آتی برای ارتقای سطوح عملیات امنیتی درون سازمان را می دهد. اولین برنامه ادغام هوشمندی تهدید، می تواند از کارخواست های(use cases) ساده و موردی در سازمان آغاز شود و در آینده با در نظر گرفتن آن کارخواسته ها به عنوان قالب های پایه، فرآیندهای هوشمندی اطلاعات توسعه و طراحی گردد.

براساس تقسیم بندی هوشمندی تهدید که توسط توسط MWR infosecurity ارائه شده است، خوراک های هوشمندی تهدید می توانند به چهار دسته تقسیم شوند:

• راهبردی – Strategic
• تاکتیکی – Tactical
• فنی – Technical
• عملیاتی – Operational

نمونه هایی از تقسیم بندی عنوان شده در این سند را به نقل قول می آوریم:

برای مثال، بیان این واقعیت که هکرهای در حال فعالیت برای یک دولت خاص قصد حمله به یک زیرساخت صنعتی معین را دارند یک هوشمندی اطلاعاتی راهبردی یا Strategic است. جزئیات شیوه عمل آن ها، ابزار ها و توسعه قابلیت ها جز هوشمندی اطلاعات تاکتیکی یا Tactical به شمار می آید و موجب آگاهی و کمک به اتخاذ تصمیمات دفاعی می شود. فهرست مقادیر هش شده(MD5-SHA1) فایل ها که در پیوست های اسناد و ایمیل ها مشاهده می شوند در دسته هوشمندی اطلاعات فنی یا Technical قرار می گیرند و ممکن است برای بازرسی ها و کشف جرام دیجیتال مورد استفاده قرار گیرند. هوشمندی اطلاعاتی عملیاتی یا Operational، اطلاعاتی پیرامون قصد، زمان و هدف یک حمله قریب الاوقوع یک است. از این نوع اطلاعات برای پاکسازی مسیر حمله استفاده می شود.

چند گام ساده برای بکارگیری هر یک از انواع هوشمندی اطلاعات تهدید
در حرکت اول، شما باید محلی که فرآیندهای هوشمندی اطلاعات پیاده شدند را ارزیابی کنید. به این توجه کنید که چه منابعی برای برای پشتییبانی از آن فرآیند مورد نیاز است. آیا این فرآیندها درون مرکز عملیات امنیت تجمیع شده اند یا تشکیل یک تیم اختصاصی مناسب تر است؟. مشاوره با یک فرد متخصص درباره نرم افزارهای مورد پشتیبانی و ترسیم قابلیت های تجمیع(یکپارچه سازی) با محیط امنیتی موجود، بسیار مفید خواهد نمود.

در ادامه، برخی نکات مهم برای پیاده سازی هر یک از انواع هوشمندی تهدید را بیان می کنیم.

1. با هوشمندی اطلاعاتی راهبردی یا strategic شروع کنید
   کارگاه های داخلی مشترک بین تیم های امنیتی و گروه مدیریتی برای ارزیابی تهدیدات سایبری جاری و متداول برگزار کنید. گروهی برای استخراج اطلاعات تهدید از منابع اطلاعاتی آزاد(open source feeds) و ایجاد هشدار و گزارش دهی درباره تهدیدات نوظهور تشکیل دهید. برای هوشمندی تهدید موجود کمی جستجو در اینترنت نتایج جالبی را دراختیار شما قرار می دهد و کمک می کند در مسیر درست قرار بگیرد.
   ارتباط با تیم های هوشمندی اطلاعات دیگر سازمان ها برای تبادل گزارشات وضعیت مخاطرات و دستیابی به بینش امنیتی بسیار ارزشمند بوده و برای هر دو سازمان مفید خواهد بود. این کار می تواند در قالب کارگاه های زمان بندی شده انجام شود. نمونه دیگر می تواند گزارشات تشریحی درباره عناصر کلیدی وضعیت مخاطره باشند که ممکن است نیازمند رهگیری بیشتر باشند. این تعاملات همچنین، به جمع آوری و ایجاد فهرستی از عامل های تهدید اشتراکی که نیازمند توجه بیشتر و ویژه هستند، کمک می کند.
2. ایجاد و نگهداری هوشمندی اطلاعاتی عملیاتی
   یک طرح روشن و مؤثر برای عملیات تیم هوشمندی تهدید، تدوین و پیاده سازی کنید. یک برنامه عملیاتی هوشندی اطلاعات باید از عناصر کلیدی شامل زمانبندی های کاری، فرآیندهای تبادل اطلاعات بین تیم پاسخگویی و تیم هوشمندی اطلاعات، اطلاعات تماس های اضطراری، فرآیندهای تشدید اولویت و یک کمیته همیشه فعال، تشکیل شود.
3. از هوشمندی اطلاعات تاکتیکی چشم بر ندارید
   منابع مورد اطمینان را دسته بندی کنید. محلی برای دریافت و دسته بندی رویدادهای روزانه درباره تهدیدات و اخبار حملات منتشر شده در منابعی نظیر twitter و دیگر هشدارهای RSS دریافتی از وبلاگ های امنیتی در نظر بگیرید.
   خوراک های اطلاعاتی تاکتیکی جالب، مانند شیوه های نفوذ تشریح شده در وبلاگ ها و دیگر منابع را شناسایی کنید. این اطلاعات به تیم هوشمندی تهدید قابلیت اجرای آزمون های ارزیابی بر روی سامانه های داخلی را می دهد و به تیم پاسخگویی جهت شناسایی به موقع و از بین بردن مخاطرات کمک می کند.
   زیر-فرآیندهای کوچک هوشمندی تهدید در فرآیندهای توسعه-عملیات (در صورت کاربرد) پیاده سازی کنید. این کار به ایجاد و نگهداری راهکارهای داخلی امن کمک می کند.
4. هوشمندی اطلاعات فنی را تجمیع کنید
   خوراک های هوشمندی اطلاعات فنی را در راهکارها و تجهیزات IPS/IDS و SIEM موجود برای کمک به «کاهش زمان تحلیل» و «زمان پاسخگویی» تجمیع کنید. نمونه ای از این خوراک های اطلاعاتی می تواند مواری از جمله URL، فهرست مخاطره IP، فهرست مقادیر هش در ضمیمه مشکوک ایمیل ها و امضاهای بدافزاری باشد.

تصویر زیر چهار گام تشریح شده برای اعمال انواع اطلاعات هوشمندی تهدید را به طور خلاصه نشان می دهد.

در حال حاضر، که هوشمندی تهدید سایبری دروان کودکی را سپری می کند، یک پیاده سازی اولیه و بهبود مستمر آن به عنوان یک رویکرد ارزشمند برای تطابق و بلوغ موثر و جامع در آینده مورد پذیرش است. بعلاوه این رویکرد، برای بسیاری از سازمان ها که به سرعت به دنبال خرید یک تجهیز جادویی و پریدن به لبه تکنولوژی هستند، بسیار مفید بوده و موجب صرفه جویی در بودجه و هزینه سازمان می شود.