شکار تهدید، ابزارها و روشهای خودکارسازی
هر سازمانی دارای سیستم های امنیت سایبری است تا سعی كند مهاجمان را از شبك خود دور نگه دارد و از داده های خود محافظت كند. اما طبق گفته موسسه Ponemon، مهاجمان ماهر می توانند از این سیستمهای امنیتی با تهدیدهای مداوم پیشرفته Advanced Persistent Threats به اختصار APT عبور کنند و هرگاه این اتفاق بیفتد به طور متوسط 170 روز طول می کشد تا این APT ها کشف شوند. مقابله با حملات نیازمند یک رویکرد متفاوت و مکمل دیگر برای امنیت است: شکار تهدید. ایده اصلی در مورد شکار تهدید این است که ممکن است زیرساخت های فناوری اطلاعات سازمانی از قبل به خطر بیفتد، بنابراین باید منابع برای جستجوی آن اختصاص یابد تا تهدیدات موجود را بطور مداوم جستجو و کشف کند.
بنابراین شکار تهدید را می توان به عنوان یک پروسه فعال و تکراری در منابع IT از جمله شبکه، مجموعه داده ها، سرورها، برنامه ها و نقاط انتهایی انجام داد که توسط کارشناسان امنیتی ماهر انجام میشود تا هرگونه فعالیت مشکوک، غیرمعمول که احتمال می رود مخرب است و تا به حال شناسایی نشده است کشف و مورد بازرسی قرار گیرد. شکار تهدید مانند یک کاراگاه مشکوک میماند که همه چیز و همه کس را تحت نظر دارد تا بتواند جرایم پنهان را آشکار سازد.
روش های شکار تهدید
تعیین اهداف شکار تهدید ممکن است کاملاً واضح به نظر برسد، اما اولین مرحله در هر برنامه شکار تهدید، ایجاد “الزامات اطلاعاتی اولویت بندی شده”، یا PIR است که روشی برای تعریف اهداف شکار و تهدیدهایی است که باید به دنبال آن باشید.
هرسازمنی با دیگری متفاوت است پس نیاز است که تهدیدهای مربوط به سازمان خود را بشناسید و از آنجا که تهدیدات ممکن است با گذشت زمان تغییر کند، باید به طور مکرر مورد بازبینی قرار گیرد.
اولین رویکرد در نظر گرفتن تهدیدات مربوط به با ارزش ترین اطلاعات سازمان است که ممکن است داده های تحقیقاتی، لیست مشتریان یا اطلاعات مربوط به تولید یک محصول باشد. سپس در نظر بگیرید که چگونه این موارد ممکن است به خطر بیفتد. بخش اعظم امنیت فناوری اطلاعات مربوط به همین اطلاعات است.
رویکرد بعدی استفاده از منابع اطلاعاتی تهدیدات خارجی است، ببینید مهاجمان در جاهای دیگر چه کاری انجام می دهند تا در نظر بگیرند فعالیت آنها میتواند بر سازمان شما تأثیر بگذارد یا خیر.
نکته دیگر استفاده از دانش حوادث امنیتی قبل است که سازمان شما را تحت تأثیر قرار داده است. در نظر بگیرید که آیا ممکن است این حوادث دوباره اتفاق بیفتد.
تدوین فرضیه شکار تهدید
مرحله بعد ، تدوین فرضیه ای در مورد یک تهدید است در نظر بگیرید که مهاجمان در حال سرقت داده های مهم و حیاتی سازمان شما هستند و یا حتی توانستند سیستم چند نفر از کارمندانتان راآلوده کنند. الان هدف شکار تهدید ثابت کردن این فرضیه است.
حال برای اثبات یا رد فرضیه، لازم است شاخص های خطر (IoC) تعریف شود. مواردی مانند جریان ترافیک غیرمعمول شبکه، خواندن پایگاه داده غیر منتظره یا فعالیت غیرعادی حساب کاربر را در نظر بگیرید همچنین فایلهای غیر معمول پردازش هایی که از PowerShell استفاده میکنند و کدهایی که پروسس های دیگر را اجرا میکنند.
روشهای شکار تهدید
به منظور شناسایی خطرات و تهدیدات، شکارچیان تهدید در هنگام تجزیه و تحلیل منابع داده مانند لاگ های مربوط به فایروال، هشدارهای SIEM و IPS، لاگ های مربوط به DNS، داده های دسترسی به فایلها و منابع و شبکه، سیستمهای تأیید اعتبار و سایر منابع، طیف وسیعی از تکنیکها را به کار می گیرند.
Baselining: یکی از مهمترین تکنیک های شکار تهدید، Baselining است. این مورد شامل تعیین آنچه نرمال است و سپس انحراف از آن مورد بررسی قرار میگیرد. به عنوان مثال باید معلوم شود كه کارمندان آیا از PowerShell استفاده می كنند؟ چند مرتبه از آن استفاده می شود و فعالیت آنها هنگام استفاده از آن چگونه به نظر می رسد. با داشتن این داده ها است استفاده غیر عادی PowerShell شناسایی شده و بررسی بیشتری صورت گیرد.
Clustering: این یک تکنیک آماری است که گاهی توسط سیستم های یادگیری ماشین انجام میشود و Cluster نقاط داده های مشابه را بر اساس ویژگی های خاصی مشخص می کند. این می تواند یک شکارچی تهدید را برای مشاهده شباهت ها و همبستگی های غیرمنتظره در انواع خاصی از فعالیت های شبکه (یا سایر) فعالیت هایی که ممکن است تحقیقات بیشتر را درخواست کند، فراهم کند. سیستمهای یادگیری ماشین به طور کلی به آموزش با داده های شناخته شده وابستگی دارند.
گروه بندی: این مرحله با بررسی مجموعه داده های مشکوک به مرحله ای فراتر از خوشه بندی می رود تا سعی در شناسایی علت اصلی داشته باشید. به عنوان مثال یک تحلیلگر ممکن است وقایع انواع خاصی از داده ها را در ویندوزهای زمانی خاص گروه بندی کند، که ممکن است دستورهای شناسایی مانند اسکن پورت را که در یک تاریخ مشخص شروع شده اند، جدا کند.
شکار تهدید به صورت خودکار و یا دستی
شکار تهدید به تحلیلگران انسانی متکی است تا اطلاعات و وقایع را برای شناسایی صحیح تهدیدها جمع کنند. نیاز به دانش و خلاقیت دارد و درک درستی از نحوه حمله یک مهاجم دارد ، به همان روشی که آزمایش نفوذ موثر به یک عامل انسانی ماهر نیاز دارد.
ما شکار تهدید همچنین یک تمرین تحلیلی در زمینه امنیت داده های بزرگ است که فرآیند محور است و شکی نیست که یک نرم افزار شکارچی تهدیدات میتواند کمک بسشیار شایانی به کارشناس شکار تهدید بکند . به عنوان مثال یک تجریه و تحلیل کامل شامل هزاران لاگ از رویدادها در مدت زمان بسیار کوتاهی توسط راهکارهای شکار تهدید انجام میگردد وقایع غیر عادی خاص و زنگ خطر را اعلام کند.
اما آنچه همه راه حلهای شکار خودکار تهدید مشترک دارند این است که – مانند ابزارهای تست نفوذ خودکار – آنها باید توسط انسانهایی که بتوانند نتایج آنها را تفسیر کنند، هدایت و نظارت شوند و تصمیم بگیرند که چگونه می توانند به بهترین شکل استفاده شوند.
راهکارهای شکار تهدید خودکار
اگرچه که شکار تهدید یک تکنولوژی جدید محصوب میشو اما مواردی وجود دارد که میتوانید از میان آنها انتخاب کنید:
- Carbon Black (formerly Bit9)
- CrowdStrike
- Cybereason
- Darktrace
- Endgame
- ExtraHop Networks
- Sqrrl (now owned by Amazon)
- Vectra
ابزارهای شکار تهدید
جدا از نرم افزاری است که برای خودکار سازی فرایند شکار تهدید طراحی شده اند، یکسری ابزارهای نرم افزاری وجود دارد که شکارچیان از آنها استفاده می کنند به آنها در شکار تهدیدها کمک کنند. اینها با ابزارهای breach and attack simulation (BAS) و راه حل های تشخیص و پاسخ نهایی endpoint detection and response (EDR) متفاوت است.
Humble Spreadsheet: ساده ترین ابزار شکار تهدید، humble spreadsheet است، که بسیاری از شکارچیان تهدید از آن برای کمک به نقاط دور از دسترس استفاده می شود.
ابزارهای نظارت بر امنیت: محصولات امنیتی معمولی مانند فایروال ها، نرم افزارهای ضد ویروس، سیستم های جلوگیری از از نشت داده هاDLP و سیستم های تشخیص نفوذ شبکه IPS، به شکارچیان تهدید برای کمک به آشکار سازی موارد تهدید کمک میکند.
ابزارهای تجزیه و تحلیل آماری: اینها از الگوهای ریاضیاتی برای مشخص کردن رفتارهای غیر عادی در داده ها استفاده می کنند، که شکارچی تهدید ممکن است تصمیم به تحقیقات بعدی بگیرد.
ابزارهای تحلیلی اطلاعاتی: این ابزارها به شکارچیان در معرض تهدید کمک می کنند تا داده ها را با نمودارها و نمودارهای تعاملی تجسم نمایند که باعث می شود مشاهده همبستگی ها و اتصالات قبلاً پنهان شده بین موجودات، رویدادها یا داده ها آسان تر شود.
سیستم های SIEM: راه حل های اطلاعات مربوط به امنیت و مدیریت رویداد (SIEM) توسط شکارچیان تهدید و همچنین کارکنان امنیت واکنش برای استفاده از داده های فراوانی که بسیاری از سازمان ها ایجاد می کنند و فعالیت های مشکوک را انجام می دهند ، استفاده می شوند.
ابزارهای تحلیل رفتار کاربر: ابزارهای UEBA مخفف User and entity behavior analytics می توانند شکارچیان را در جریان رفتارهای غیر عادی قرار دهند.
منابع اطلاعاتی تهدید: این مورد به شکارچیان تهدید در مورد تهدیدهای جدید برای جستجو و تکنیک هایی که مهاجمان در حال اتخاذ هستند، منابع اطلاعاتی تهدید همچنین جزئیات مربوط به بد افزارهای اجرایی مخرب و آدرس های IP مخرب و احتیاط آور را به آنها ارائه می دهند.
تیم های شکار تهدید: الزامات و آموزش
طبق اعلام موسسه SANS، اکثر شرکت ها فقط وقتی می دانند که به نوعی به خطر افتاده اند، شکارهای تهدید را انجام می دهند، اما معرفی نوعی قابلیت شکار تهدید روتین به طور فزاینده ای رایج است. بسیاری از سازمانها برای انجام شکارهای تهدید آمیز خود فاقد منابع و مهارتهای داخلی هستند و تصمیم می گیرند که شکارهای تهدید را برای شرکتهای امنیتی ویژه خارج کنند.
دلیل این امر این است که شکار تهدید به طیف گسترده ای از مهارت ها نیاز دارد و این موارد عبارتند از:
تجربه امنیت سایبری: آگاهی از امنیت شبکه و endpoint، تجزیه و تحلیل داده ها ، تجزیه و تحلیل اطلاعات ، علم forensic، مهندسی معکوس بدافزار
درک روشهای حمله: این شامل روشها و روندهای حمله گذشته و فعلی و به طور کلی تاکتیکها ، تکنیکها و رویه ها (TTP) است که با مهاجمان خاص یا گروههای هکرها مرتبط است.
دانش سیستم عامل و شبکه: شکارچی تهدید باید شامل مهارت های خوب ویندوز و لینوکس و همچنین دانش عمیق در مورد TCP / IP باشد
مهارت های برنامه نویسی: آشنایی با یک زبان برنامه نویسی و همچنین باید بدانند که چگونه می توانند وظایف را به صورت خودکار شامل تجزیه و تحلیل لاگها داده ها را انجام دهند.
بسیاری از کارشناسان امنیتی می گویند بهترین راه برای آموزش به عنوان یک شکارچی تهدید، صرفاً شروع به شکار، کسب مهارت و اعتماد به نفس است.
با وجود این، تعداد دوره های آموزش امنیت شبکه شکار تهدید از طرف سازمان هایی مانند SANS و همچنین مدارک تحصیلی مانند شکارچی سایبر تهدید مجاز (CCTH) از سازمان های آموزشی مستقل وجود دارد.
مطالب زیر را حتما بخوانید
-
آشنایی با Beats: ابزارهای جمعآوری داده در اکوسیستم ELK
39 بازدید
-
راهنمای جامع PowerShell Remoting: مدیریت از راه دور ویندوز بهصورت امن و کارآمد
47 بازدید
-
بررسی کامل Routersploit: ابزار تست نفوذ و ارزیابی امنیت روترها
128 بازدید
-
همه چیز درباره +CompTIA A: دروازه ورود به دنیای فناوری اطلاعات
111 بازدید
-
بررسی امنیت در مجازیسازی: تهدیدات، چالشها و راهکارها
268 بازدید
-
آشنایی با VMware vCenter: معماری، نصب و بهترین شیوههای مدیریت زیرساخت مجازی
131 بازدید