شکار تهدید، یک فعالیت نیست بلکه یک فرآیند است و به برنامه ریزی، ایده و نظریههای حمله نیاز دارد. از این رو این مساله حائز اهمیت است که ما آن را یک فرآیند بنامیم زیرا بزرگتر از یک کار تک نفره است. میتوان آن را یک حلقه پیوسته [1]در نظر گرفت.
این حلقه برای یافتن تهدیدهای ناشناس در یک شبکه، شناسایی حملات فعلی و یا حملاتی که قبلا رخ داده است، نقض منابع سازمانی، اعتبار، مالکیت معنوی و تعدی به نام تجاری با جمعآوری دادههای موجود در وب، دارک وب و deep وب استفاده میشود. این کار با تجزیه و تحلیل گزارشات امنیتی فعلی و قبلی، جدا کردن دادهها و تجزیه و تحیل ناهنجاریها انجام میشود.
شکار تهدید تماما درباره ایجاد یک برنامه، انتخاب یک نقطه تمرکز و ایجاد یک فرضیه است. داده های ارزشمند از شکار تهدید میتواند از منابع زیر باشد:
پس از جمعآوری دادهها از این منابع میتوان آنها را تجزیه و تحلیل کرد و پاسخ را عملی نمود.
سوالات کلیدی برای تحلیلگران
شکار تهدید یک دفاع فعال است. همانطور که مقاله راهبرد امنیت سایبری ملی 2021-2016 در زمینه شناسایی موارد ناشناخته: راهنمایی برای شکار تهدید استدلال میکند، در حالیکه از قابلیت هوش بالغ برای افزایش ارزش و عملیاتی کردن شکار تهدید استفاده میشود، بخشها بایستی ابتدا معماری خود (به عنوان مثال مدیریت آسیبپذیری)، پدافند غیرعامل (به عنوان مثال کنترلهای فنی مانند فایروالها) و سایر دفاعهای فعال (به عنوان مثال نظارت حفاظتی) را به گونهای تاثیرگذار به بلوغ برسانند.
آنها در ادامه اظهار دارند که بر اساس نظرسنجی SANS در سال 2017، تنها 35.3% از 306 سازمان مورد بررسی که 14.4% آنها دولتی بودند، به طور مداوم شکار شده اند (مورد توجه قرار گرفتهاند). این موضوع به 43.2% از 600 سازمان مورد بررسی شکار تهدید برای شکار سال 2018 افزایش یافت. علاوه بر این، در نظرسنجی سال 2017، تنها 4.6% از پاسخدهندگان از راهنمایی منتشر شده خارجی استفاده کردند که نشانگر عملکرد
ضعیف صنعت شکار تهدید است. شکار ساختار یافته تهدید که به طور مکرر انجام میشود، وسیلهای موثر برای کاهش ریسک در سازمان را فراهم میکند.
این بدین معناست که برای ارائه شکار تهدید ساختار یافته، بایستی یک مرکز عملیات امنیت (SOC) بر اساس قابلیت شکار تهدید برای کاهش ریسک اجرا شود. درون یک SOC، شکار تهدید بایستی توسط یک شکارچی تهدید که میتواند به طور فعالانه به دنبال تهدید بگردد، انجام شود. تحلیلگران SOC، تیمهای پاسخ به حوادث و شکارچیان تهدید مجموعه توانایی مشابهی دارند که در آن باید چشم انداز تهدید را درک کنند زیرا به طور مداوم برای صنعت یا جغرافیای خاصی در حال تکامل است. آنها تمام سیستمها و فرآیندها را درک میکنند و مهارتهای عملکرد امنیتی دارند که بتوانند محدودیتها و قابلیتهای کنترلها را بر روی یک شبکه مشخص بشناسند. زمانیکه یک شکارچی یا تحلیلگر باتجربهتر میشود، به طور طبیعی مهارتهایی پیدا میکنند تا درباره یک شکاف در عمق تحقیق کنند.
آیا شبکه مورد حمله فعال قرار گرفته است؟ به عنوان مثال، بگویید که تعدادی از نشانههای نفوذ از اطلاعات تهدید، از تحقیقات، از وبلاگها و از مقامات به این تحلیلگر داده شده است. آنها باید بپرسند که آیا موردی از اینها در محیط هستند یا خیر؟
سوالات کلیدی از مدیران
سخن آقای ارنست تان چون کیات [1] : هنگامی که به مقام مدیریت ارتقا پیدا میکنی، هیچ روز و شبی نخواهی داشت.
این حرف صحیح است، از مدیران پس از ارتقا به این مقام بایستی سوالات زیادی پرسیده شود، اما بسیار مهم است که به این سوالات به سرعت پاسخ داده شود. سرعت بسیار مهم است، زیرا زمانیکه یک حمله شناسایی شد، مدیران باید سوالات زیر را بپرسند تا فرآیندهای خود را بهبود داده و زمان واکنش خود را برای حملات بعدی کاهش دهند.
اگر شما میدانستید که یک ساختمان برای سرقت مورد هدف قرار میگیرد و یک آسیب پذیری مانند یک پنجره باز دارد، شما هیچ کاری نمیکنید؟ یا ممکن است فعال باشید و آن پنجره باز را پیدا کنید، آن را ببندید، دزد را متوقف کنید و استحکامات بهتری برای حملات آتی ایجاد میکنید؟
هنگامیکه سوالات بالا پرسیده شد، سیستمهای بهتر را میتوان درجایی قرار داد تا اطمینان حاصل شود که مسائل مشابه بوجود نمیآیند و مشکلات بیشتری برای کسب و کار ایجاد نمیکنند. برای انجام این کار لازم است تا شرکتها استراتژیهای خود را به کار گیرند. استراتژیهایی مانند سناریوهای زیر ارائه شده است.
استراتژی و نمونههایی از فرضیه
دو مثال کلیدی از استراتژیهای سطح بالا وجود دارد:
دو مورد فوق، استراتژیهای سطح بالا هستند.
فرضیه شکار تهدید در پس نمونههایی از شکار تهدید
این استراتژی است که ابتدا با مساله برخورد میکنیم، سپس فرضیه تدوین میشود.
ردیابی شکار تهدید
ردیابی فعالانه شکار تهدید برای ارزیابی فعالیت گروهی و پاسخ به اطلاعات تهدید بسیار حائز اهمیت است. موارد زیر درون SecurityHQ تضمین میشوند:
خلاصه و خروجیهای شکار تهدید
شکار تهدید معمولا خروجیهایی ایجاد میکند که شامل نکات کلیدی زیر میباشد:
تمامی حقوق این وب سایت متعلق به آکادمی آموزش روزبه می باشد.