امروزه سازمانی نیست که راهکارهای امنیتی را پیاده سازی نکرده باشد حال به هر شکل و در هر ابعادی اما شاید کمتر سازمانی بتواند پاسخی با پشتوانه به این سوال بدهد که تا چه حد از عدم وجود یک عامل بیرونی در شبکه خود اطمینان دارید؟
اگر حملهای پیشرفته از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به احتمال زیاد مهاجم همچنان در شبکه شما حضور دارد و اکنون به عنوان یک عضو شبکه داخلی شما به فعالیت خود ادامه میدهد و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریبا دیگر نقشی در مسدود سازی این مهاجم ندارند. سرویس شکار تهدیدات یا همان Threat hunting راهکار موثری است که با تحلیل اطلاعات از نگاه امنیتی میتواند به کشف تهدیدات موجود در سازمان شما بپردازد. در واقع تیم شکار تهدیدات به دنبال یافتن مهاجمان قبل از اجرای حملاتشان است، این سرویس ابزارهای امنیتی، تجزیه و تحلیل هوشمند و تجربه متخصصین امنیت را در راستای تشخیص تهدیدات بالقوه موجود در شبکه سازمان به کار میگیرد. سرویس Threat hinting مجموعهای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و سازمان شما را در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت میکند.
شکار تهدیدات یک جستجوی Proactive در شبکهها، سیستمهای کاربران و دادههاست که توسط عامل انسانی انجام میشود. به همین دلیل تجربه تیم مجری بسیار اهمیت دارد، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق میشوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروسها پنهان ماندهاند را کشف کنند.
با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانههای تهدید (IOC) کشف میشوند، بنابراین بسیاری از این تهدیدات از دید سامانههای خودکار تشخیص و شناسایی تهدیدات پنهان میمانند. شکار تهدیدات به سازمانها کمک میکند تا این موارد را شناسایی کنند.
در فرآیند شکار تهدیدات، بر خلاف روشهای سنتی، شکارچیان تهدید پیش از آنکه رخدادی به وقوع بپیوندد، دادهها را بررسی و تحلیل میکنند. در واقع، شکارچیان تهدید با استفاده از تکنیکهای دستی و خودکار، به جستجوی تهدیدات ناشناخته میپردازند و قبل از اینکه آسیبی به سازمان وارد شود آنها را شناسایی میکنند. این افراد تهدیداتی را پیدا میکنند که هیچیک از فایروالها و سیستمهای تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانستهاند تشخیص دهند.
اهمیت شکار تهدیدات
راهکارهای امنیتی مثل فایروالها و نرمافزارهای ضد ویروس، اکثر تهدیدات امنیتی رایج که پیچیدگی کمتری دارند را شناسایی و مسدود میکنند، اما برخی از مهاجمان، رفتارهای سازمانیافته تری دارند و از دید تجهیزات میتوانند خودشان را از دید راهکارهای امنیتی پنهان کنند، تهدیداتی از این جنس ممکن است هفتهها و ماهها در سازمان پنهان بمانند. قانون ۲۰/۸۰ را احتمالا شنیدهاید. این قانون در مورد امنیت شبکه هم صدق میکند و میتوان گفت که تقریبا ۸۰ درصد مشکلات امنیتی ناشی از ۲۰ درصد تهدیدات است.
طبق گزارشهای سالانه شرکت امنیتی FireEye، مدت زمان وقوع یک تهدید سایبری تا زمان شناسایی آن در سال ۲۰۱۷ به طور میانگین برابر با ۱۰۱ روز و در سال ۲۰۱۸ برابر با ۷۸ روز بود. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستمهای کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.
بر اساس تحقیقات صورت گرفته، ضرورت شکار تهدیدات برای مقابله با تکنیکهای پیچیدهای که مهاجمان امروزی استفاده میکنند انکار ناپذیر است. حتی پیشرفتهترین تجهیزات امنیتی نیز از شناسایی Zero-day ها و برخی از حملات APT عاجز هستند. شکار تهدیدات در صورتی که توسط عامل انسانی به صورت منظم و سیستماتیک انجام شود، بسیاری از تهدیدات را قبل از رسیدن به نقطه خسارت، شناسایی و متوقف میسازد.
تفکرات غلط در مورد شکار تهدیدات
- شکار تهدیدات با فرآیند پاسخگویی به حادثه تفاوت دارد. عموم مردم، شکارچیان تهدید را با تیمهای پاسخگویی به حملات سایبری اشتباه میگیرند. این دو گروه بسیار نزدیک به هم هستند و معمولا در کنار هم فعالیت میکنند. در برخی موارد، فرآیند شکار تهدیدات منتج به شناسایی یک نقض امنیتی میشود که نیازمند ورود تیم پاسخگوی به حادثه است. اما ماموریت آنها کاملا با یکدیگر متفاوت است. فرآیند پاسخگویی به حادثه یک فرآیند واکنشی و دفاعی است. یعنی به محض مشاهده علائمی از حمله، تیم مورد نظر وارد صحنه میشود و اقدامات لازم را انجام میدهد. اما برعکس، شکار تهدیدات یک فرآیند تهاجمی است. تصور شکارچیان تهدید به طور پیشفرض این است که تهدیداتی در سازمان وجود دارند که هنوز شناسایی نشدهاند.
- شکارچیان تهدید، تیم قرمز (Red Team) نیستند. اقداماتی تهاجمی از قبیل تست نفوذ که برای شناسایی نقاط ضعف سازمان توسط تیم امنیتی قرمز انجام میشود، نوعی اقدام فعالانه و تقریبا شبیه به شکار تهدیدات است. اما سوال اساسی که در اینجا مطرح میشود این است که آیا اهداف مورد نظر مشکوک به آلودگی هستند؟ پاسخ به این سوال نشان میدهد که ماموریت شکارچیان تهدید با اعضای تیم امنیتی قرمز تفاوت اساسی دارد.
تفاوت شکار تهدیدات با راهکارهای سنتی
جمله معروفی در زمینه امنیت وجود دارد که میگوید: پیشگیری، ایدهآل است اما تشخیص، یک ضرورت است. شاید بتوان گفت که خاصیت پویایی شکار تهدیدات، مهمترین وجه تمایز آن با سایر راهکارهای امنیتی سنتی از قبیل فایروالها، آنتیویروسها، سیستمهای تشخیص نفوذ و … میباشد. تمام این راهکارهای سنتی، اقدامات واکنشی هستند، یعنی به محض وقوع یک رخداد سایبری وارد عمل میشوند. این در حالی است که در فرآیند شکار تهدیدات، تمرکز اصلی بر روی شناسایی تهدیدات قبل از تبدیل شدن به یک رخداد سایبری است.
شکار تهدیدات چگونه به سازمانها کمک میکند؟
کاهش زمان و هزینه مورد نیاز برای شناسایی تهدیدات سایبری
کاهش نقضهای امنیتی احتمالی
شناسایی ریسکهای امنیتی موجود و اولویت بندی آنها
شناسایی تهدیدات ناشناخته
اتخاذ تصمیمات تجاری مناسب بر اساس نتایج شکار تهدیدات
شناسایی و حذف سریع و دقیق تهدیدات
بدست آوردن دید عمیق نسبت به شبکه و سیستمهای کاربران
بالا بردن سطح امنیت سازمانها
گامهای شکار تهدیدات
شکار تهدیدات، فرآیندی پیچیده است که هم به صورت مقطعی و هم مستمر میتواند انجام شود. در هر دو صورت معمولا از پنج گام اساسی پیروی میکند:
- برنامهریزی: شناسایی داراییهای حساس
- شناسایی: جستجو برای کشف تهدیدات شناخته شده و ناشناخته
- پاسخ: مدیریت و مهار تهدیدات
- سنجش: اندازهگیری تاثیرات مخرب حمله و میزان موفقیت شکار تهدیدات
- پیشگیری: جلوگیری از بروز تهدیدات در آینده
مدلهای شکار تهدیدات
یک برنامه خوب Hunting باید از یک مدل استاندارد پیروی کند. بر اساس تعریف موسسه SANS، مدل رسمی شکار تهدیدات از شش مرحله متوالی تشکیل شده است.
- هدفگذاری
در این مرحله، هدف اصلی سازمان از شکار تهدیدات مورد توجه قرار میگیرد. هدف متشکل از سه موضوع است: چرا باید شکار انجام شود؟ دامنه شکار و محدودیتهای موجود چیست؟ آیا شکار، مطابق با اهداف سازمان است؟
- مطالعه و شناخت سازمان
این مرحله شامل شناسایی سیستمها و شبکههای مورد مطالعه است. فرضیهها و سوالات تحلیلی برای دستیابی به هدف نهایی در این مرحله مطرح میشوند. پس از تعریف هدف، شکارچیان تهدید باید ابتدا فرضیهسازی کنند. هدف مشخص میکند که چه سیستمهایی باید مطالعه شوند و فرضیهسازی، محدوده مورد مطالعه را مشخص میکند.
- توسعه طرح
این مرحله بر روی توسعه یک طرح جمعآوری و تحلیل داده تمرکز دارد. شکارچی تهدید بر اساس این اطلاعات، به فرضیههایی که در مرحله قبل (دامنه) تعریف شدهاند، پاسخ خواهد داد. شناسایی رویکردهای تحلیلی، نقش اساسی در این مرحله دارد.
- بازبینی طرح
این مرحله، حکم یک ایست و بازرسی را دارد. در این مرحله بررسی میشود که آیا شکار برنامهریزی شده با اهداف تعیین شده مطابقت دارد یا خیر. مدیر پروژه میتواند این طرح را برای ذینفعان ارائه دهد و اطمینان حاصل کند که با اهداف مجموعه مطابقت دارد. در این مرحله، نقایص شناسایی میشوند و برای آنها راه حل ارائه میگردد. در صورت نیاز، برای ادامه طرح، منابع اضافی نیز اختصاص داده خواهد شد. این آخرین مرحله بازبینی قبل از اجراست. بنابراین باید تمام موارد به درستی بررسی گردند.
- اجرا
پس از تایید مرحله بازبینی طرح، نوبت به مرحله اجرا میرسد که شامل تکرارهای متعدد، جمعآوری و تجزیه و تحلیل دادههاست. شکارچیان تهدید، اطلاعات شناسایی شده در مرحله دامنه را جمعآوری میکنند و برای اثبات یا رد فرضیهها، از تکنیکهای تجزیه و تحلیل استفاده میکنند. پس از پایان مرحله اجرا، گزارش شکار نوشته میشود. گزارش نهایی شکار تهدیدات باید حاوی منابع اطلاعاتی اضافی، تکنیکهای تحلیلی و سایر رخدادهای قابل توجه در حین شکار باشد.
- بازخورد
تجزیه و تحلیل تمام مراحل قبلی، در مرحله بازخورد ارائه میشود. با پایان یافتن فرآیند شکار تهدیدات، از هر مرحله چندین سوال پرسیده میشود. پاسخ به این سوالات، نقاط ضعف و قوت فرآیند را آشکار کرده و سازمان را مجبور به تقویت نقاط ضعف در شکارهای احتمالی آینده خواهد کرد.
خدمات آرمان داده پویان در زمینه شکار تهدیدات
سرویسی که آرمان داده تصمیم به ارائه آن به صورت مجزا در نظر گرفته است کاری است که سالها برای مشتریان خود که قرارداد پشتیبانی کامل امنیتی در آن برعهده آرمان داده است انجام داده است. سرویس Threat hunting اگرچه در اصل مقولهای است که باید به صورت دائم در جریان باشد اما بستگی به هدف تعریف شده میتواند به صورت مستقل و یکباره نیز انجام شود. در هر دو شکل شرکت آرمان داده پویان آمادگی کامل دارد تا هم به صورت مقطعی و هم به صورت مستمر این سرویس را به تنهایی ارائه دهد.
این سرویس که در واقعی نوعی تحلیل دادهها و اطلاعات از نگاه امنیتی میباشد، نیازمند شناخت کامل به محیط عملیاتی حوزه مورد نظر و آشنایی کامل با کسب و کار مشتری دارد. پس از کسب شناخت لازم کارشناسهای شرکت اقدام به جمع آوری دادههای مورد نظر خواهند کرد. در کنار این موضوع رفتارسنجی سرویسها و شبکه نیز انجام خواهد شد تا در کنار اطلاعات جمع شده تحلیل مناسبی را بتوان انجام داد. با توجه به سابقه کاری آرمان داده در این خصوص نظریههای متفاوتی برای حمله و استقرار مهاجم مستند شدهاند که با استفاده از آنها و قطعا توسعه با توجه به حوزه مورد بررسی میتوان در زمان مناسبی نسبت به کشف حملات انجام شده یا حضور یک عامل بیرونی اقدام کرد.
آرمان داده پویان با سالها تجربه و بهرهگیری از تیمی متخصص و مجرب سرویس Threat Hunting را به صورت دورهای و مقطعی به سازمانها ارائه میدهد.