شکار تهدیدات

شکار تهدیدات

شکار تهدیدات

امروزه بسیاری از سازمان ها به سرعت در حال کشف شکار تهدید یا تهدیدات سایبری یا اصطلاحاً Threat Hunting هستند، از این Threat Hunting گام بعدی در سیر تکالی Modern SOCها محسوب می شود اما در مورد چگونگی شروع به شکار تهدیداتی که سازمان ما را مورد حمله قرار می دهند یا تهدید می کنند یا اینکه چقدر در پیشرفت توانایی های شکار خود مطمئن هستیم یا خیر چه راهکاری وجود دارد؟ و اینکه چطور می توانید کیفیت خود و سازمان خود را در این زمینه (شکار مؤثر تهدیدات سایبری) تعیین کنید؟ برای پاسخ به این سوالات یک مدلی تحت عنوان مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model ارائه شده است که در طول این مقاله به توضیح آن خواهیم پرداخت.

[ منظور از شکار تهدیدات یا Threat Hunting چیست؟

قبل از اینکه به موضوع مدل بلوغ شکار تهدید سایبری یا ‌اصطلاحاً Cyber Threat Hunting Maturity Model – HMM بپردازیم، معنی دقیق زمانی که از اصطلاح hunting استفاده می کنیم را مرور کنیم. ما hunting را به عنوان “پروسه یا فرآیند فعلانه و تکراری جستجوی شبکه جهت تشخیص و ایزوله سازی تهدیدات پیشرفته ای که راهکارهای امنیتی موجود ما را دور می زنند”، تعریف می کنیم. از این رو کارشناسانی که این پروسه ها و فرآیندها را توسط تکنیک های مختلفی که جهت جستجوی attackerها و نفوذگران و فعالیت های مخرب آنها عملیاتی و پیاده سازی می کنند را نیز “شکارچیان تهدید سایبری” یا اصطلاحاً Cyber Threat Hunter می نامیم که معمولا در لایه 3 از SOCهای مدرن فعالیت می کنند.

 

منظور از Hunting Maturity Model چیست؟

با تعریف ارائه شده از hunting، حال اجازده دهید تا نگاهی داشته باشیم به یک برنامه hunting خوب و ببینیم که نحوه کارکرد آن چگونه است. بطور کلی 3 فاکتور را می بایست زمان قضاوت درباره توانایی hunting سازمانی در نظر داشت: کیفیت و کمیت اطلاعاتی که آنها برای پروسه hunting جمع آوری می کنند، ابزارهایی که جهت دسترسی و آنالیز این اطلاعات فراهم کرده اند و مهارت های آنالیزی که واقعاً از این اطلاع

ات و ابزارها جهت پیدا کردن Security Incidentها استفاده می کنند.

البته در این فاکتور، احتمالاً مهارت های آنالیز مهمتر از بقیه هستند، چرا که این مهارت ها به hunterها امکان ردیابی داده ها و تشخیص آنها را می دهند. همچنین کیفیت و کمیت داده هایی که یک سازمان از زیرساخت IT خود جمع آوری نیز یکی از فاکتورهای موثر در تعیین سطح HMM به حساب می آید. اطلاعات بیشتری که شما درباره سازمان بدست می آورید و برای متخصص شکار تهدیدات خود فراهم می کنید، به آنها در پیدا کردن نتیجه بیشتر کمک شایانی خواهد کرد. مجموعه ابزارهایی که شما استفاده می کنید، سبک شکارهای شما را شکل می دهند و هر یک تکنیک های مختلفی برای شکار تهدیدات را در اختیاران قرار خواهند داد.

بطور کلی مدل بلوغ تهدید یا به اختصار HMM خود دارای 5 سطح است که از پایین ترین سطح Level 0 تا بالاترین سطح Level 5 در شکل زیر مشخص شده است. این مدل توسط تیم معماران امنیتی و شکارچیان تهدیدات سایبری Sqrrl که بر روی آنالیز رفتاری و یادگیری ماشین در امنیت سازمانی تمرکز دارند به خصوص David J. Bianco ارائه شده است. وجود چنین مدلی به سازمان ها کمک خواهد کرد تا شرایط موجود خود را با هر یک از سطوح در در نظر گرفته شد در این مدل تطابق داده و شرایط فعلی و آینده سازمان خود را براساس آن منطبق نمایند.

در ادامه به توضیح هر یک از سطوح مدل بلوغ تهدید یا HMM خواهیم پراخت.
 

اشتراک گذاری این مقاله

ارسال نظر

آدرس ایمیل شما منتشر نخواهد شد.