مروری بر عناصر تهدید، شکار تهدید و ابزارهای آن
بسیاری از فرآیندهای امنیتی انفعالی یا پس کنشانه هستند. فرآیندهای امنیتی انفعالی از پیامد حادثه پس از وقوع آن خبر می دهند. برای مثال، نشانگرهای تسخیر یا IOC سرنخ هایی از یک حمله در حال وقوع در اختیار قرار داده یا از مورد نفوذ قرار گرفتن سیستم و نشت داده ها خبر می دهند. این شیوه دفاع و دیگر انواع پایش امنیتی در یک برنامه امنیت سایبری جامع مهم هستند. اما شکار تهدید رویکرد دیگری است که از منظر دیگری به دنبال شناسایی تهدیدات در سازمان می رود.
شکار تهدید
در شکار تهدید سایبری مهندسان امنیت و مدافعان شبکه به صورت فعال/پیش کنشانه به دنبال ضعف هایی می گردند که می توانند به مهاجمان امکان نفوذ به سامانه یا شبکه دهند. این ضعف ها اغلب ممکن است از دید تجهیزات و سازوکارهای امنیتی دور افتاده و موفق به عبور شده اند. شکار تهدید با هدف شناسایی حملات سایبری قبل از اجرا، به حداقل رساندن زمان شناسایی حملات در حال وقوع و تهدیدات شناسایی نشده انجام می شود.
فرآیند شکار تهدید بر تخصص و مهارت تحلیل انسانی به منظور جستجوی فعال در میان داده ها برای پیدا کردن نقاط ضعف متکی است.
بر خلاف دیگر اشکال امنیت سایبری، در شکار تهدید هم به ابزارهای امنیتی و تحلیل تهدید و هم به دانش تحلیل و هوش انسانی نیاز است. شکارچیان تهدید معمولا یا یک فرضیه پیرامون چگونگی امکان وقوع یک حمله شروع می کنند، سپس آزمون رو انجام داده و در صورت نیاز اقدام به اعمال وصله های امنیتی می کنند.
عناصر اصلی ایجاد تهدید سایبری
شکار تهدیدات نیازمند درک قوی از چگونگی عمل تهدیدات روز است. با قلمرو در حال تغییر کنونی امنیت سایبری دستیابی به چنین شناختی کار آسانی نیست. برای درک تهدیدها و ایجاد فرضیه های مناسب درباره آن ها، همیشه سه عنصر قابل شناسایی وجود دارد: نیت/انگیزه، قابلیت و فرصت.
نیت/قصد(Intent): براساس صنعت و بازار شما، اندازه کسب و کار و نوع داده ای که ذخیره می کنید، می توان فهمید که نیت اصلی یک مهاجم برای حمله به سازمان شما چیست. برای مثال، ممکن است داده ای که شما در اختیار دارید برای اخاذی و باج گیری یا بدست آوردن اطلاعات تکمیلی بیشتر درباره افراد ایده آل باشد. زمانیکه این نیت افشا شود، کارشناسان می دانند برای جلوگیری از پیشرفت مهاجم چه اقدام احتیاطی باید ترتیب دهند.
قابلیت(Capability): قابلیت در طول زمان قابل تغییر است. هکرها با شبکه و داده شما چه کاری می توانند انجام دهند؟
به روز بودن با آخرین روندهای امنیت سایبری اطمینان میدهد که شما از جدیدترین شیوه هایی را که یک هکر می تواند علیه شما به کار ببرد آگاه هستید. به عبارت دیگر چابک بودن با درون لایه های امنیت سایبری قابلیت مصون بودن برای شما بوجود می آورد.
فرصت(Opportunity): جایی است که نیت و قابلیت در کنار هم قرار می گیرند. چیزی که مجرمان سایبری می خواهند این است که فرصتی برای ورود به شبکه یا سامانه شما بدست آورند. در صورت عدم مراقبت و هوشیاری شما این فرصت فراهم می شود. به آن ها ندهید فرصت هایی برای ورود به سامانه ها پیدا کنند.
کارهایی که قبل از شروع شکار تهدید باید انجام داد
قبل از شروع شکار تهدیدات، شما باید سرتاسر زیرساخت (شبکه و سامانه ها) خود را بشناسید. باید بدانید خطوط مبنا(baseline) برای سامانه و شبکه شما در حالت عادی چیست؟، چه لاگ هایی در عملیات روزانه کسب و کار شما معمول هستند؟. این دانش زمینه ای برای شکار تهدید ضروری است. اگر از حالت عادی زیرساخت شبکه و سامانه های کسب و کار خود را نمی دانید، آنگاه اگر چیزی از حالت عادی خارج شده باشد چگونه متوجه آن خواهید شد؟
برای رسیدن به این شناخت چهار کار مهم می توانید انجام دهید. ۱) ساخت یک معماری ۲) پیاده سازی دفاع غیرفعال ۳) توسعه دفاع فعال و ۴) راه اندازی هوشمندی(intelligence)
- ساختن یک معماری: ایجاد یک معماری به این معنا است که شما برای طراحی، استقرار و نگهداری سامانه های خود تفکر و استراتژی امنیت سایبری داشته باشید. مدیریت معماری های قدیمی که بدون توجه به طرح امنیت سایبری شکل گرفته اند سخت است و سازمان را در برابر تهدیدات مستعد می کنند.
- پیاده سازی سامانه های دفاعی غیرفعال: سامانه های دفاعی غیرفعال شامل سامانه پیشگیری نفوذ و دیگر مکانیزم های دفاعی خودکار می باشد. این سامانه ها با سامانه های دفاعی فعال متفاوت هستند. سامانه های غیرفعال فرآیندهایی مورد برای تحلیل انسانی هستند و باید پایش شوند تا بتوانند خوراک لازم را در اختیار تحلیل انسانی قرار دادند.
- توسعه دفاع فعال: دفاع فعال شما جایی است که عامل انسانی وارد می شود. زمانیکه سامانه دفاعی غیرفعال شما یک هشدار ایجاد می کند، لایه دفاع فعال شما باید آن را پیگیری کرده و از برطرف شدن تهدید در اسرع وقت اطمینان حاصل کند.
- راه اندازی هوشمندی: ایجاد هوشمندی اطلاعات از طریق جمع آوری داده یکی از پایه های اساسی امنیت سایبری است. در هوشمندی اطلاعات تهدید، درباره اهداف مهاجم، شیوه ها و ابزارهای نفوذ وی اطلاعات انجام می شود. هدف از هوشمندی تهدید آن است که نسبت به نحوه بهره برداری از اطلاعات و حمله مهاجم بینش ایجاد شود.
ابزارهای اساسی برای شکار تهدید
برای شکار تهدیداتی که سازمان شما را احاطه کردند نیاز به استفاده از ابزارهای مناسب دارید. اگرچه عملیات شکار تهدید نیازمند بررسی دقیق و کار انسانی است اما برای پوشش همه موارد و سرعت در تشخیص موضوعات باید از ابزارهای مناسب نیز استفاده شود.
سه دسته اصلی از ابزارهای شکار تهدید وجود دارند. در ادامه هر دسته و مثال هایی از هرکدام را می آوریم. (ابزارهای معرفی شده در این بخش همگی رایگان هستند).
- تحلیل محور: در این دسته ابزارها از تحلیل رفتار و شیوه های یادگیری ماشین برای رتبه دهی به مخاطره ها و ایجاد فرضیه ها استفاده می شوند.
نمونه هایی از این نوع ابزارها عبارتند از: Maltego CE، Cuckoo Sandbox و Automater
- Maltego CE: یک ابزار داده کاری که برای تحلیل ارتباطات و ایجاد گراف های تعاملی بین داده های بدست آمده از منابع مختلف روی اینترنت مورد استفاده قرار می گیرد. اغلب برای بررسی ارتباطات آنلاین کاربرد دارد. با استفاده از این ابزار در صورتی که یک ارتباط با منبع مخرب برقرار شود شما بوسیله ایجاد هشدار از آن آگاه می شوید.
- Cuckoo Sandbox: یک ابزار منبع باز برای بررسی نوع فایل های مخرب و بدست آوردن جزئیات مختلف درباره آن ها. این سامانه اطلاعات تحلیلی مختلفی از چگونگی اجرا و نحوه رفتار فایل های مخرب به شما می دهد. با این اطلاعات شما می توانید شناخت بهتری برای توقف بدافزارها ایجاد کنید.
- Automater : این ابزار بر روی داده نفوذ تمرکز دارد. شما یک هدف را انتخاب می کنید سپس Automater خلاصه ای از اطلاعات بدست آمده از منابع مختلف درباره آن هدف را برای شما به نمایش می گذارد.
- هوشمندی محور: ابزارهای هوشمندی محور همه داده های بدست آمده را در کنار هم قرار داده و در اختیار شما قرار می دهند.
نمونه هایی از این ابزارها عبارتند از: YARA، CrowdFMS و BotScout
- Yara: بدافزارها را براساس الگوی باینری و متنی شان دسته بندی کرده و توضیحاتی درباره آن ها ارائه می کند. این توضیحات برای تعیین ماهیت بدافزار و متوقف کردن آن مورد استفاده قرار می گیرد.
- CrowdFMS: ابزار خودکار جمع آوری و پردازش نمونه فایل های مخرب از وب سایت com. در صورتیکه نمونه های جمع آوری شده توسط این ابزار با یکی از قواعد yara منطبق باشد برای شما هشدار تولید می کند. این ابزار همچنین می تواند به صورت خودکار فایل های نمونه ای که با قواعد yara منطبق هستند را به سامانه cuckoo برای تحلیل تحویل دهد. یکی دیگر از کاربرد این ابزار تولید هشدار درباره ایمیل های فیشینگ شناخته شده ای است که در ترافیک ورودی شبکه شما مشاهده می شود.
- BotScout: از رجیستر شدن بات ها بر روی تالارهای گفتگو که موجب تولید کردن اسپم می شوند جلوگیری کرده و موجب عدم سوء استفاده از سرورها و پایگاه های داده می شود. این کار از طریق رهگیری IP ها، نام های دامنه و آدرس هایی ایمیلی که بات های مخرب با آن ها ارتباط برقرار می کند انجام می شود.
- آگاهی وضعیتی محور: ارزیابی مخاطره یا تحلیل دارایی های ارزشمند(Crown Jewel analysis) برای ارزشیابی یک سازمان یا تمایلات افراد مورد استفاده قرار می گیرد. این کار باعث شناسایی میزان مخاطره ای می شود که آن ها در کسب و کار خود با آن مواجهند.
نمونه هایی از ابزارهای مبتنی بر آگاهی وضعیتی عبارتند از : YETI و AI Engine
- AI Engine: ابزاری تعاملی که سامانه تشخیص نفوذ(IPS) شما را بهینه می کند. این ابزارها قابلیت یادگیری بدون نظارت انسان را دارد و اعمالی نظیر جرم یابی شبکه، جمع آوری اطلاعات از شبکه و شناسایی هرزنامه را انجام می دهد.
- YETI: این ابزار اطلاعات تهدید را میان سازمان های مختلف به اشتراک می گذارد. شرکت ها می توانند داده هایی را که از شرکای مورد اعتماد خود به دست آورده اند با یکدیگر اشتراک گذاشته و همگی نسبت به آخرین تهدیدات و روندهای امنیت سایبری آگاه شوند.
ابزارهای تجاری شکار تهدید
ابزارهای تجاری برای شکار تهدیدات سایبری نیز موجود هستند. برخی از معروف ترین این ابزارهای عبارتند از Sqrrl، Vectra و InfoCyte
- Sqrrl: شرکت Sqrrl پلتفرمی را برای شکار تهدیدات پیشرفته سایبری ایجاد کرده است. این پلتفرم با استفاده از تحلیل ارتباطات بین کاربران و تخلیل رفتاری موجودیت های تهدید، حملات و موارد مشکوک را شناسایی می کند. این پلتفرم با دارا بودن ابزارهای مناسب پاسخگویی به حوادث موجب کاهش زمان فعالیت مهاجم و توقف سریع وی می شود.
- Vectra: با این ابزار می توانید به سرعت مهاجمان موجود در شبکه خود را به دام بیاندازید. هوش مصنوعی به کاربرده شده در این ابزار قابلیت رؤیت حمله به صورت لحظه ای را می دهد و جزئیاتی از ردپای مهاجم را در اختیار شما قرار می دهد.
- Infrocyte: راهکارهای مختلفی برای شناسایی تهدیدات و فعالیت های غیرمجاز در شبکه فراهم می کند. پلتفرم Infrocyte با تمرکز بر کشف نشت اطلاعات در سازمان مقابله با مهاجمان پیشرفته را سریع و مؤثر می کند.
اهمیت لاگ و هشدارهای SIEM برای بهبود شکار تهدید
مهم نیست از چه ابزاری برای شکار تهدید استفاده می کنید، ابزار شما خواه تجاری باشد یا رایگان، در هر حال شما نیازمند لاگ ها، سامانه SIEM و تحلیل رویدادها برای خوراک دادن به ابزارهای شکار تهدید هستید. به عبارت دیگر خوراک ابزارهای شکار تهدید از لاگ ها، سامانه SIEM و تحلیل داده ها بدست می آید.
- لاگ ها: اگر می خواهد به شکار تهدید بروید، باید داده داشته باشید. لاگ های داده خام هستند و برای تحلیل لازم است به یک مفسر تحویل داده شوند. لاگ های ماشین های نقطه پایانی، لاگ رویدادهای ویندوز، ضدویروس، پراکسی و دیوارآتش انواع لاگ های ایده آل برای شکار تهدید هستند.
- سامانه مدیریت رویداد و اطلاعات امنیت(SIEM): یک SIEM سامانه ای متمرکز است که جمع آوری و نمایش آنی داده های رویداد و اطلاعات امنیتی دارایی های زیرساخت شما را بر عهده دارد. داشتن SIEM بدین معنی است که لاگ داده های شما به صورت خودکار همبسته سازی می شوند و این خیلی بهتر و سریع تر از آن است که این کار برای هر یک از لاگ ها به صورت مجزا، توسط نیروی انسانی انجام شود. لاگ های SIEM این امکان را فراهم می کنند که بتوان با ایجاد ارتباط بین داده های جمع آوری شده و اتصالات میان منابع داده ای متفاوت، الگوهای حمله و ردپای تهدیدات را افشا کرد.
- تجزیه و تحلیل: شکار تهدید بر پایه شیوه های یادگیری ماشین و تحلیل داده ها انجام می شود. چرا که در این شیوه برای شناسایی یک واقعیت ساده، قطعات مختلفی از داده باید تفسیر و پردازش شوند. در این شیوه خودکارسازی برخی عملیات تشخیص تهدید سایبری برای تولید هشدار قابل اطمینان، بسیار مهم است. پس از آنکه برخی به برخی هشدارهای تولید شده برچسب اطمینان زده شد، می توان آن هشدار را برای رسیدگی و اقدامات بعدی مجاز دانست.
برنامه شکار تهدید
داشتن فرآیندهای استاندارد به اطمینان نسبت به موفقیت برنامه شکار تهدید کمک می کند. زمان و چگونگی انجام شدن عمل شکار تهدید، شیوه های به کار گرفته شده برای شکار و شخصی که در تیم مسئولیت اجرای وظایف را برعهده داشته از جمله مواردی هستند که باید طرح شوند. تیم پشتیابی IT شما نیز باید مسئولیت های رایج خود پیرامون تریاژ و رسیدگی به هشدار را تشریح نماید.ابزارهای اصلی با بهروش ها باید تجمیع شده و از افراد متخصص برای دستیابی به بهترین نتایج در برنامه شکار تهدید استفاده گردد.
همه طرح های فوق باید بر پایه وضعیت نرمال در نظر گرفته شوند و قبل از شروع شکار تهدیدات، شناخت از وضعیت های نرمال ایجاد شده باشد.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.