Threat Intelligence چیست؟
Threat Intelligence (تشخیص هوشمند تهدیدات)پردازش و تحلیل دادههایی است که با هدف تشخیص رفتار، انگیزه و اهداف مهاجمان جمعآوری، پردازش و تحلیل شدهاند. اطلاعاتی که به ما در شناسایی مهاجمان و پاسخگویی سریع و موثر به حملات کمک می کنند.
امروزه سازمانها برای تامین امنیت معمولا از راهکارهای مختلفی استفاده میکنند و هزینههای بسیار زیادی را هم در این راه صرف میکنند. برای مثال به سراغ استقرار مراکز عملیات امنیت (SOC) میروند، فایروال، IDS، IPS و انواع تجهیزات امنیتی تهیه میکنند، کارشناس امنیت استخدام میکنند، راهکارهای مدیریت رخداد (SIEM)، مدیریت وصله و اسکن آسیبپذیری را پیادهسازی میکنند. سوال اینجاست که آیا این اقدامات کافی هستند؟ بعد از پیادهسازی تمام این استراتژیها و راهکارهای امنیتی، چه کاری باید انجام داد؟ آیا باید سراغ راهکارهای یادگیری ماشین رفت؟ آیا باید رفتار کاربران را تجزیه و تحلیل کرد؟
در حالت سنتی، تمرکز بیشتر سازمانها بر این است که چه داراییهایی دارند. سپس پیرامون این داراییها، دیواری از جنس تجهیزات امنیتی میکشند تا آنها را از دسترس مهاجمین سایبری دور نگه دارند. بارها و بارها مهاجمین از این سد دفاعی عبور کردهاند و آنها هربار دیوار دفاعی را بالاتر بردهاند. هرچند همه این راهکارها به بهبود امنیت سازمان کمک بسیار زیادی میکنند. اما حتی با تمام تمهیدات امنیتی که سازمانها در نظر میگیرند، باز هم یک حلقه گمشده وجود دارد. آنهم تشخیص هوشمند تهدیدات (Threat Intelligence) است. امروزه حملات سایبری، بسیار پیشرفتهتر از گذشته هستند. اگر سازمانها، الگوی این حملات را یاد بگیرند میتوانند به طور موثرتری، از اطلاعات و سازمان خود در برابر حملات سایبری دفاع کنند.
اهمیت Threat Intelligence
سازمانی را در نظر بگیرید که با چندهزار کارمند و چندین شعبه در سراسر دنیا فعالیت میکند. این سازمان روزانه با انبوهی از اطلاعات سر و کار دارد و حجم عظیمی از دادهها را تولید میکند. بررسی و تحلیل این حجم از داده و شناسایی تهدیدات پنهان درون آنها چقدر زمان میبرد؟ چه سیستمهایی باید بکار گرفته شوند و چه تعداد متخصص امنیت سایبری باید زمان صرف کنند تا این تهدیدات را کشف کنند؟
جواب این سوالات، موضوع بحث این نوشته است. تشخیص هوشمند تهدیدات تمام این کارها را به صورت خودکار انجام میدهد. مهمترین هدف Threat Intelligence، شناسایی است. اگر شناسایی نکنید نمیتوانید جلوگیری کنید و پاسخ دهید. علاوه بر اینها، تشخیص هوشمند تهدیدات این امکان را برای شما فراهم میکند که بتوانید تهدیدات را تحلیل کنید و برای حملات احتمالی آینده، آمادهسازی انجام دهید. بنابراین مدت زمان شناسایی تهدیدات به شکل قابل توجهی کاهش پیدا کرده و سرعت پاسخگویی نیز افزایش مییابد.
برای روشنتر شدن موضوع، مثالی را در اینجا آوردهایم. فرض کنید که یک تهدید سایبری از جنس Zero-day در سازمان شما وجود دارد و شما هیچ شناختی در مورد آن ندارید. یا بدافزاری ناشناخته که هنوز اطلاعات زیادی در مورد آن در اینترنت منتشر نشده است. چه میکنید؟ حال اگر راهکار هوشمندی تهدیدات در سازمان شما پیادهسازی شده باشد میتوانید بفهمید که تهدید چیست؟ مهاجم کیست؟ چه سوابقی از آن در گذشته وجود دارد؟ نشانگرهای تهدید (IOC) کدامند؟ میزان ریسک چقدر است؟ راهکار مقابله چیست؟ و …
اما چرا Threat Intelligence اهمیت زیادی دارد؟ کسپرسکی میگوید تشخیص هوشمند تهدیدات، قطعه اساسی هر اکوسیستم امنیت سایبری است که از نشت اطلاعات جلوگیری میکند. معیارهای شناسایی تهدیدات را در اختیار ما قرار میدهد و موجب افزایش آگاهی برای مقابله با مهاجمین سایبری میشود.
Threat Data Feeds چیست و چرا به آن نیاز داریم؟
حالا که به اهمیت Threat Intelligence پی بردیم میخواهیم بدانیم که قدم بعدی چیست؟ برای پیادهسازی تشخیص هوشمند تهدیدات به دادههایی به نام Feeds نیاز داریم. این دادهها در واقع خوراک سیستمهای دفاعی ما هستند و قدرت ما را در شناسایی تهدیدات سایبری ناشناخته بالاتر میبرند. این اطلاعات ممکن است از منابع مختلفی در سطح اینترنت به صورت رایگان و یا در ازای پرداخت هزینه دریافت شوند. هنگامی که دادهها را از منابع مختلف جمعآوری کردیم، باید آنها را به تجهیزات امنیتی مثل سیستمهای مدیریت رخداد (SIEM)، فایروالها و یا سیستمهای تشخیص و پیشگیری از نفوذ تزریق کنیم. اگرچه این تجهیزات به تنهایی، ویژگیهای امنیتی فراوانی دارند. اما وقتی نوبت به حملات سایبری پیچیده میرسد، توان تشخیص آنها به خوراکهایی است که به آنها دادهایم. اشتراکگذاری نشانگرهای تهدید موجب سرعت بخشیدن به فرآیند شناسایی و مقابله با تهدیدات میگردد.
Threat Data Feeds آرمان داده پویان
شرکت آرمان داده پویان با ارائه سرویس Threat Data Feeds جریانی از دادههای تهدید که از منابع مختلف در سراسر دنیا جمعآوری شده است را در اختیار سازمانها قرار میدهد. این دادهها شامل فهرستی از شبکههای بات، سرورهای فرمان و کنترل (C2)، آدرسهای IP و دامنههای میزبان کدهای مخرب و … هستند که با سیستمهای مدیریت رخداد (SIEM)، فایروالها و سیستمهای تشخیص و پیشگیری از نفوذ یکپارچه میشوند. این اطلاعات کمترین میزان False-Positive را دارند و قدرت سیستمهای امنیتی را در شناسایی تهدیدات و اتخاذ تصمیمات مناسب برای پاسخگویی و جلوگیری از حملات سایبری در آینده افزایش میدهند.
- زمانی که شما از سرویس Thraet Data Feeds آرمان داده پویان استفاده میکنید:
- ایجاد داشبورد امنیتی برای مشاهده تهدیدات
- یکپارچه سازی سرویس Threat Data Feedsبا SIEM
- ارزیابی ریسک تهدیدات و الویت بندی آنها
- ایجاد و ارسال هشدارهای امنیتی
- تحلیل رویدادها و ارائه گزارشهای امنیتی به صورت منظم
- ارائه آموزش برای استفاده بهینه از سرویس
اگر علاقهمند هستید تا در خصوص سرویس Threat Data Feeds آرمان داده پویان اطلاعات کسب کنید، به این پیوند مراجعه کنید. همچنین میتوانید با کارشناسان ما تماس بگیرید.
آرمان داده پویان ارائه دهنده سرویسهای Threat Data Feeds در ایران