طرح کلی شکار تهدید

شکار تهدید، یک فعالیت نیست بلکه یک فرآیند است و به برنامه ریزی، ایده و نظریه­های حمله نیاز دارد. از این رو این مساله حائز اهمیت است که ما آن را یک فرآیند بنامیم زیرا بزرگتر از یک کار تک نفره است. می­توان آن را یک حلقه پیوسته [1]در نظر گرفت.

این حلقه برای یافتن تهدیدهای ناشناس در یک شبکه، شناسایی حملات فعلی و یا حملاتی که قبلا رخ داده است، نقض منابع سازمانی، اعتبار، مالکیت معنوی و تعدی به نام تجاری با جمع­آوری داده­های موجود در وب، دارک وب و deep وب استفاده می­شود. این کار با تجزیه و تحلیل گزارشات امنیتی فعلی و قبلی، جدا کردن داده­ها و تجزیه و تحیل ناهنجاری­ها انجام می­شود.

شکار تهدید تماما درباره ایجاد یک برنامه، انتخاب یک نقطه تمرکز و ایجاد یک فرضیه است. داده های ارزشمند از شکار تهدید می­تواند از منابع زیر باشد:

• لاگ­های DNS
• لاگ­های پروکسی شبکه
• لاگ­های فایروال
• لاگ­های فعالیت سرور و کلاینت
• لاگ­های اکتیو دایرکتوری
• لاگ­های Email Gateway
• لاگ­های سیستم عامل

پس از جمع­آوری داده­ها از این منابع می­توان آنها را تجزیه و تحلیل کرد و پاسخ را عملی نمود.

سوالات کلیدی برای تحلیلگران

شکار تهدید یک دفاع فعال است. همانطور که مقاله راهبرد امنیت سایبری ملی 2021-2016 در زمینه شناسایی موارد ناشناخته: راهنمایی برای شکار تهدید استدلال می­کند، در حالی­که از قابلیت هوش بالغ برای افزایش ارزش و عملیاتی کردن شکار تهدید استفاده می­شود، بخش­ها بایستی ابتدا معماری خود  (به عنوان مثال مدیریت آسیب­پذیری)، پدافند غیرعامل (به عنوان مثال کنترل­های فنی مانند فایروال­ها) و سایر دفاع­های فعال (به عنوان مثال نظارت حفاظتی) را به گونه­ای تاثیرگذار به بلوغ برسانند.

آنها در ادامه اظهار دارند که بر اساس نظرسنجی SANS در سال 2017، تنها 35.3%   از 306 سازمان مورد بررسی که 14.4% آنها دولتی بودند، به طور مداوم شکار شده اند (مورد توجه قرار گرفته­اند). این موضوع به 43.2%  از 600 سازمان مورد بررسی شکار تهدید برای شکار سال 2018 افزایش یافت. علاوه بر این، در نظرسنجی سال 2017، تنها 4.6% از پاسخ­دهندگان از راهنمایی منتشر شده خارجی استفاده کردند که نشانگر عملکرد

ضعیف صنعت شکار تهدید است. شکار ساختار یافته­ تهدید که به طور مکرر انجام می­شود، وسیله­ای موثر برای کاهش ریسک در سازمان را فراهم می­کند.

این بدین معناست که برای ارائه شکار تهدید ساختار یافته، بایستی یک مرکز عملیات امنیت (SOC) بر اساس قابلیت شکار تهدید برای کاهش ریسک اجرا شود. درون یک SOC، شکار تهدید بایستی توسط یک شکارچی تهدید که می­تواند به طور فعالانه به دنبال تهدید بگردد، انجام شود. تحلیلگران SOC، تیم­های پاسخ به حوادث و شکارچیان تهدید مجموعه توانایی مشابهی دارند که در آن باید چشم انداز تهدید را درک کنند زیرا به طور مداوم برای صنعت یا جغرافیای خاصی در حال تکامل است. آنها تمام سیستم­ها و فرآیندها را درک می­کنند و مهارت­های عملکرد امنیتی دارند که بتوانند محدودیت­ها و قابلیت­های کنترل­ها را بر روی یک شبکه مشخص بشناسند.  زمانیکه یک شکارچی یا تحلیلگر باتجربه­تر می­شود، به طور طبیعی مهارت­هایی پیدا می­کنند تا درباره یک شکاف در عمق تحقیق کنند.

• پرسش­های زیر معمولا توسط تحلیلگران که شکارتهدید را انجام می­دهند، پرسیده می­شود:
• آیا ما هیچ یک از موارد نشانه­های نفوذ [1] را در محیط خود داریم؟

آیا شبکه مورد حمله فعال قرار گرفته است؟ به عنوان مثال، بگویید که تعدادی از نشانه­های نفوذ از اطلاعات تهدید، از تحقیقات، از وبلاگ­ها و از مقامات به این تحلیلگر داده شده است. آنها باید بپرسند که آیا موردی از اینها در محیط هستند یا خیر؟

• آیا ما TTP مشکوکی در محیط خود مشاهده کرده­ایم؟ اگر چنین است، چه مورد مشکوکی بوده است؟
• آیا می­دانی که سروری آسیب­پذیر بوده یا خیر؟ آیا می­دانیم که از این آسیب­پذیری سواستفاده شده است یا خیر؟ آیا چیزی مخرب در آنجا کار گذاسته شده است یا خیر؟

سوالات کلیدی از مدیران

سخن آقای ارنست تان چون کیات [1]  : هنگامی که به مقام مدیریت ارتقا پیدا می­کنی، هیچ روز و شبی نخواهی داشت.

این حرف صحیح است، از مدیران پس از ارتقا به این مقام بایستی سوالات زیادی پرسیده شود، اما بسیار مهم است که به این سوالات به سرعت پاسخ داده شود. سرعت بسیار مهم است، زیرا زمانیکه یک حمله شناسایی شد، مدیران باید سوالات زیر را بپرسند تا فرآیندهای خود را بهبود داده و زمان واکنش خود را برای حملات بعدی کاهش دهند.

• چرا این حمله را در وهله اول کشف نکردیم؟ اگر ما شکار تهدید انجام می­دهیم، چرا این هشدار را در SOC به دست نیاورده­ایم که ما را از این فعالیت مطلع سازد؟
• چگونه می­توانیم توانایی­های ردیابی برای حملات مشابه را بهبود بخشیم؟ برای اینکه در وهله اول متوجه آن نشدیم، چه کاری می­توانیم برای بهبود تشخیص زمان بعدی انجام دهیم؟
• تاثیر آن حمله که از طریق شکار تهدید کشف شد چه بود؟ بنابراین شما هیچگونه تشخیصی برای آن ندارید، که بدین معنی است که ممکن است یک تهدید جدید یا پیشرفته باشد، شما آن را از طریق شکار تهدید پیدا کردید، تاثیر واقعی آن حمه چه بود؟ مدیریت باید در مورد مقیاس واقعی این تسخیر [2]و آنچه که باید در مورد آن نگران باشد، سوال کند.

اگر شما می­دانستید که یک ساختمان برای سرقت مورد هدف قرار می­گیرد و یک آسیب پذیری  مانند یک پنجره باز دارد، شما هیچ کاری نمی­کنید؟ یا ممکن است فعال باشید و آن پنجره باز را پیدا کنید، آن را ببندید، دزد را متوقف کنید و استحکامات بهتری برای حملات آتی ایجاد می­کنید؟

هنگامیکه سوالات بالا پرسیده شد، سیستم­های بهتر را می­توان درجایی قرار داد تا اطمینان حاصل شود که مسائل مشابه بوجود نمی­آیند و مشکلات بیشتری برای کسب و کار ایجاد نمی­کنند. برای انجام این کار لازم است تا شرکت­ها استراتژی­های خود را به کار گیرند. استراتژی­هایی مانند سناریوهای زیر ارائه شده است.

استراتژی و نمونه­هایی از فرضیه

دو مثال کلیدی از استراتژی­های سطح بالا وجود دارد:

• یک استراتژی می­تواند برای مثال این باشد: شما (تحلیلگر) به تیم بگویید که قصد دارید برای 6 ماه آینده، بر روی تشخیص یک APT خاص و فعالیت آنها در محیط و شبکه تمرکز کنید. بنابراین، ممکن است شما یک APT احد انتخاب کرده و روی TTPهای آن و حملات اخیر آنها تمرکز کنید. از این رو می­توانید احتمال مورد هدف قرار گرفتن توسط این APT را بررسی کنید.
• شکار تهدید به عنوان یک سرویس زمانی کار می­کند که تیم شما روی شکار تهدید در یک بخش خاص از کسب و کارکه کنترل­های امنیتی ضعیفی دارد، مثل امنیت داده­ها و تهدیدهای داخلی، تمرکز می­کند. در یک محیط بزرگ، سیستم­های قدیمی خواهید داشت، تیم­هایی خواهید داشت که از نرم­افزارهای قدیمی استفاده می­کنند که به دلیل دغدغه­های ثبات، نمی­توانند تحت تاثیر قرار بگیرند.

دو مورد فوق، استراتژی­های سطح بالا هستند.

فرضیه شکار تهدید در پس نمونه­هایی از شکار تهدید

• اگر کاربران درون کسب و کار، توانایی ارسال ایمیل به خارج از سازمان را داشته باشند، احتمال نشت داده وجود دارد. بنابراین شکار تهدید می­تواند روی داده­های حساس که از لبه شبکه خارج می­شوند برای تشخیص اینکه داده­های حساس نشت پیدا می­کنند یا خیر، متمرکز شود.
• اگر یک مهاجم بخواهد دسترسی خود را روی سرور حفظ کند، یکی از راه­های این کار تغییر کلید رجیستری سیستم عامل­ آن سرور می­باشد. بنابراین شکارچی تهدید باید برود و مقادیر رجیستری را با سرورهای مشابه، مثلا سرورهایی که در معرض عموم هستند، مقایسه کند. سپس سوالاتی مطرح می­شوند. برای مثال، آیا مقادیرکلید رجیستری متفاوت هستند؟ یکی از آنها مشخص تر است؟ آیا یکی هستند؟ اگر نیستند چرا؟ آیا آنها یک برنامه را اجرا می­کنند؟ این مربوط به به شناخت مهاجم است که می­تواند چه کاری انجام دهد و سپس رد یا اثبات آن است.

این استراتژی است که ابتدا با مساله برخورد می­کنیم، سپس فرضیه تدوین می­شود.

ردیابی شکار تهدید

ردیابی فعالانه شکار تهدید برای ارزیابی فعالیت گروهی و پاسخ به اطلاعات تهدید بسیار حائز اهمیت است. موارد زیر درون SecurityHQ تضمین می­شوند:

• کلیه فعالیت­های تهدید توسط پلتفورم تیکتینگ SecurityHQ برای گزارش­دهی و نظارت ردیابی می­شوند.
• هر وظیفه مرتبط با فعالیت تهدید به فرد مسئولی اختصاص داده می­شود.

خلاصه و خروجی­های شکار تهدید

شکار تهدید معمولا خروجی­هایی ایجاد می­کند که شامل نکات کلیدی زیر می­باشد:

• گزارش شکار تهدید: تهیه گزارش شکار تهدید از این جهت که به عنوان مرجع تاریخی و به اشتراک­گذاری دانش با تیم مورد استفاده قرار گیرد، حائز اهمیت است.
• قوانین جدید تشخیص: این قوانین اغلب از فعالیت­های شکار تهدید می­آیند. اگر هیچگونه فعالیت مخربی شناسایی نشده باشد، قوانین تشخیص ایجاد می­شوند تا هرگونه فعالیت آتی را با الگوهای مشابه مهاجم تطبیق دهد.
• شناسایی ناهنجاری­ها: سناریوهایی در طول شکار تهدید وجود دارد، هنگامیکه یک تحلیلگر ناهنجاری­های بی­خطر را در محیط تشخیص می­دهد مانند اسکریپت­های پرصدا و رفتارهای عجیب اکانت­ها.
• پیشگیری بهبود یافته: صرفنظر از نتیجه، خروجی بایستی جهت بهبود پیشگیری و جلوگیری از وقوع حملات مشابه در آینده باشد.