هوش تهدید (Threat Intelligence) چیست؟

1400/04/20
ارسال شده توسط
امنیت شبکه
2.88k بازدید
هوش تهدید
زمان مطالعه: 6 دقیقه

هوش تهدید یا اطلاعات تهدیدات سایبری، اطلاعاتی است که یک سازمان برای درک تهدیداتی که دارد یا در حال حاضر هدف آن است، استفاده می کند. این اطلاعات برای تهیه، جلوگیری و شناسایی تهدیدات سایبری مورد استفاده قرار می گیرد که به دنبال استفاده از منابع ارزشمند هستند.

بزرگ ناشناخته؛ این می تواند در بسیاری از شرایط هیجان انگیز باشد، اما در جهانی که هر تعداد تهدید در فضای مجازی می تواند سازمانی را به زانو درآورد، کاملاً وحشتناک خواهد بود. هوش تهدید می تواند به سازمان ها کمک کند تا دانش ارزشمندی در مورد این تهدیدها بدست آورند، سازوکارهای دفاعی موثر ایجاد کنند و خطرات ناشی از آسیب رساندن به اعتبار و اعتبار آنها را کاهش دهند. از این گذشته، تهدیدات هدفمند به دفاع هدفمند نیاز دارد و اطلاعات تهدیدات سایبری توانایی دفاع فعالانه تر را فراهم می کند.

در حالی که تهدیدات سایبری به خودی خود از اهمیت بالایی برخودارند، مهم است که بدانید که چگونه کار می کند، بنابراین می توانید ابزارها و راه حل های مناسب تهدیدات اینترنتی را برای محافظت از تجارت خود انتخاب کنید.

چرا هوش تهدید مهم است؟

راه حل های اطلاعاتی تهدید، داده های خام در مورد عوامل تهدید کننده و یا در حال ظهور یا موجود را از طریق تعدادی منبع جمع آوری می کند. سپس این داده ها تجزیه و تحلیل و فیلتر می شوند تا تهدیدهای اطلاعات و گزارش های مدیریتی تهدیدی را شامل شود که حاوی اطلاعاتی است که می تواند توسط راهکارهای کنترل خودکار امنیتی استفاده شود. هدف اصلی این نوع امنیت، آگاه ساختن سازمانها از خطرات تهدیدهای مداوم پیشرفته، تهدیدها و بهره برداری های روز صفر و نحوه محافظت در برابر آنها است.

هنگامی که به خوبی اجرا شود، هوش تهدید می تواند به دستیابی به اهداف زیر کمک کند:

  • اطمینان حاصل کنید که از حجم تهدیدات اغلب طاقت فرسا، از جمله روش ها، آسیب پذیری ها، اهداف و بازیگران بد مطلع هستید.
  • به شما کمک می کند تا در مورد تهدیدهای مربوط به امنیت سایبری در آینده فعال تر شوید.
  • مدیران، ذینفعان و کاربران را در مورد آخرین تهدیدها و پیامدهایی که ممکن است برای این تجارت داشته باشند، مطلع کنید.

شاخص های رایج سازش کدامند؟

سازمان ها برای مدیریت آسیب پذیری های امنیتی تحت فشار فزاینده ای هستند و فضای تهدید به طور مداوم در حال پیشرفت است. فیدهای اطلاعاتی تهدید می توانند با شناسایی indicators of compromise (IOC) و توصیه اقدامات لازم برای جلوگیری از حمله یا infection، به این روند کمک کنند. برخی از متداول ترین شاخص های سازش عبارتند از:

  • آدرس های IP ،URL ها و نام دامنه: یک مثال می تواند بدافزار باشد که میزبان داخلی را هدف قرار می دهد و با یک عامل تهدید شناخته شده در ارتباط است.
  • آدرس های ایمیل، موضوع ایمیل، پیوندها و پیوست ها: به عنوان مثال یک اقدام فیشینگ است که متکی به یک کاربر است که روی یک پیوند یا پیوست کلیک می کند و یک دستور مخرب را شروع می کند.
  • کلیدهای رجیستری، نام پرونده ها و پرونده های هش و DLL: به عنوان مثال حمله از یک میزبان خارجی است که قبلاً به دلیل رفتارهای ناپسند پرچم گذاری شده یا قبلاً آلوده شده است.

چه کسانی باید از هوش تهدید استفاده کنند؟

هر کس! تصور می شود که هوش تهدیدات سایبری دامنه تحلیلگران نخبه است. در واقع، این ارزش برای عملکردهای امنیتی را برای سازمانها در هر اندازه افزایش می دهد.

وقتی اطلاعات تهدید به عنوان یک کارکرد جداگانه در یک الگوی امنیتی گسترده تر به جای یک مولفه ضروری که هر عملکرد دیگری را تقویت می کند، تلقی می شود، نتیجه این است که بسیاری از افرادی که بیشترین بهره را از اطلاعات تهدید می برند ، وقتی به آنها نیاز دارند به آن دسترسی ندارند.

تیم های عملیات امنیتی به طور معمول قادر به پردازش هشدارهای دریافتی نیستند – اطلاعات تهدید با راه حل های امنیتی که قبلاً استفاده می کنید ادغام می شود و به شما کمک می کند تا هشدارها و تهدیدهای دیگر را در اولویت بندی و فیلتر قرار دهید. تیم های مدیریت آسیب پذیری با دسترسی به بینش های خارجی و زمینه ارائه شده توسط اطلاعات تهدید، می توانند مهمترین آسیب پذیری ها را با دقت بیشتری اولویت بندی کنند. و پیشگیری از کلاهبرداری، تجزیه و تحلیل ریسک و سایر فرایندهای امنیتی سطح بالا با درک منظر تهدید موجود که اطلاعات تهدید فراهم می کند، غنی می شود، از جمله اطلاعات کلیدی در مورد عوامل تهدید، تاکتیک ها، تکنیک ها و روش های آنها و موارد دیگر از منابع داده در سراسر کشور وب.

 

برای بررسی عمیق تر چگونگی بهره گیری از هر نقش امنیتی از اطلاعات تهدید، به بخش موارد استفاده در زیر نگاه کنید.

چرخه زندگی اطلاعات تهدید

چرخه زندگی اطلاعات تهدید

چگونه اطلاعات تهدیدات سایبری تولید می شود؟ داده های خام همان هوش نیست – هوش تهدیدات سایبری محصول نهایی است که از یک چرخه شش بخشی از جمع آوری، پردازش و تجزیه و تحلیل داده ها بیرون می آید. این فرایند یک چرخه است زیرا سوالات و شکافهای جدید دانش در طی توسعه هوش، شناسایی می شود و منجر به ایجاد الزامات جدیدی در مجموعه می شود. یک برنامه هوشمند اطلاعاتی تکراری است و با گذشت زمان اصلاح می شود.

برای به حداکثر رساندن ارزش هوش تهدیدی که ایجاد می کنید، مهم است که موارد استفاده خود را شناسایی کرده و اهداف خود را قبل از هر کار دیگری مشخص کنید.

 

1.برنامه ریزی و جهت دهی

اولین قدم برای تولید هوش تهدید پذیر، طرح سوالات درست است.

سوالاتی که به بهترین وجه باعث ایجاد اطلاعات تهدیدآمیز عملی می شوند بر یک واقعیت، واقعه یا فعالیت واحد متمرکز هستند – معمولاً باید از سوالات گسترده و باز استفاده شود.

اهداف اطلاعاتی خود را بر اساس عواملی مانند میزان پایبندی آنها به ارزشهای اصلی سازمان، میزان تأثیر تأثیرگذاری در تصمیم گیری و حساس بودن زمان تصمیم گیری، اولویت بندی کنید.

یک عامل مهم در این مرحله درک این است که چه کسی محصول نهایی را مصرف می کند و از آن بهره مند می شود – آیا اطلاعات به تیمی از تحلیلگران با تخصص فنی که نیاز به یک گزارش سریع در مورد یک بهره برداری جدید دارند، یا به یک مدیر اجرایی که به دنبال یک محصول گسترده است، می رود. مروری بر روند برای اطلاع از تصمیمات سرمایه گذاری امنیتی آنها برای سه ماهه بعدی؟

2. انتخاب داده ها

مرحله بعدی جمع آوری داده های خام است که الزامات تعیین شده در مرحله اول را برآورده می کند. بهتر است داده ها را از طیف گسترده ای از منابع جمع کنید – منابع داخلی مانند گزارش وقایع شبکه و سوابق پاسخ های مربوط به حوادث گذشته، و منابع خارجی از وب باز، وب تاریک و منابع فنی.

داده های تهدید معمولاً به عنوان لیستی از IoC ها مانند آدرس های IP مخرب، دامنه ها و هش فایل ها در نظر گرفته می شوند، اما همچنین می توانند شامل اطلاعات آسیب پذیری مانند اطلاعات قابل شناسایی شخصی مشتریان، کد خام از سایت های جایگذاری شده و متن اخبار باشند. منابع یا رسانه های اجتماعی.

3. پردازش

پس از جمع آوری تمام داده های خام، باید آنها را مرتب کنید، آنها را با برچسب های فراداده سازماندهی کنید و اطلاعات اضافی یا مثبت و منفی کاذب را فیلتر کنید.

امروزه حتی سازمان های کوچک هر روز داده هایی را به ترتیب میلیون ها رویداد ورود به سیستم و صدها هزار شاخص جمع آوری می کنند. پردازش موثر برای تحلیلگران انسانی بسیار زیاد است – جمع آوری و پردازش داده ها باید به صورت خودکار انجام شود تا ایجاد مفهوم آن انجام شود.

راه حل هایی مانند SIEM مکان خوبی برای شروع است زیرا ساختار داده ها را با قوانین همبستگی که می تواند برای چند مورد استفاده متفاوت تنظیم شود، کار شما را آسان می کند.

4. تجزیه و تحلیل

گام بعدی درک داده های پردازش شده است. هدف از تجزیه و تحلیل، جستجوی موارد بالقوه امنیتی و اطلاع رسانی به تیم های مربوطه در قالبی است که نیازهای اطلاعاتی ذکر شده در مرحله برنامه ریزی و جهت دهی را برآورده کند.

هوش تهدید بسته به اهداف اولیه و مخاطبان مورد نظر می تواند اشکال مختلفی داشته باشد، اما ایده این است که داده ها را به قالبی بدست آوریم که مخاطب آن را درک کند. این می تواند از لیست تهدیدهای ساده تا گزارش های بررسی شده توسط همگانی باشد.

5. انتشار

سپس محصول نهایی بین افراد تیم امنیت مورد نظر توزیع می شود. برای اینکه هوش تهدید عملی شود، باید اطلاعات آن در زمان مناسب به افراد مناسب برسد.

همچنین باید پیگیری شود تا بین یک چرخه هوش و چرخه بعدی تداوم وجود داشته باشد و یادگیری از بین نرود. برای پیگیری هر مرحله از چرخه اطلاعات از سیستم های بلیط استفاده کنید که با سایر سیستم های امنیتی شما ادغام شده است – هر بار که یک درخواست اطلاعات جدید مطرح می شود، تیکت ها می توانند برای چندین نفر در تیم های مختلف ارسال، ایجاد، بازبینی و رفع مشکل شوند.

6. بازخورد

مرحله آخر زمانی است که چرخه اطلاعات کاملاً حلقوی شود و آن را با مرحله برنامه ریزی و جهت اولیه مرتبط کند. پس از دریافت محصول نهایی اطلاعاتی، هرکسی درخواست اولیه را انجام دهد، آن را بررسی کرده و تعیین می کند که آیا به سوالات آنها پاسخ داده شده است. این اهداف و رویه های چرخه اطلاعات بعدی را هدایت می کند و دوباره مستندات و استمرار را ضروری می کند.

 

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید