Threat Hunting
وجود هر گونه عامل خارجی را در شبکهتان را با سرویس شکار تهدیدات آرمان داده پویان به سرعت کشف کنید.
وجود هر گونه عامل خارجی را در شبکهتان را با سرویس شکار تهدیدات آرمان داده پویان به سرعت کشف کنید.
Threat Hunting بسیاری از تهدیدات را قبل از رسیدن به نقطه خسارت، شناسایی و متوقف میسازد. اگر حملهای پیشرفته از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به احتمال زیاد مهاجم همچنان در شبکه شما حضور دارد و اکنون به عنوان یک عضو شبکه داخلی شما به فعالیت خود ادامه میدهد و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریبا دیگر نقشی در مسدود سازی این مهاجم ندارند. سرویس شکار تهدیدات یا همان Threat hunting راهکار موثری است که با تحلیل اطلاعات از نگاه امنیتی میتواند به کشف تهدیدات موجود در سازمان شما بپردازد. بر اساس تحقیقات صورت گرفته، ضرورت شکار تهدیدات برای مقابله با تکنیکهای پیچیدهای که مهاجمان امروزی استفاده میکنند انکار ناپذیر است. حتی پیشرفتهترین تجهیزات امنیتی نیز از شناسایی Zero-day ها و برخی از حملات APT عاجز هستند. تیم Threat Hunting آرمان داده پویان به دنبال یافتن مهاجمان قبل از اجرای حملاتشان است، این سرویس ابزارهای امنیتی، تجزیه و تحلیل هوشمند و تجربه متخصصین امنیت را در راستای تشخیص تهدیدات بالقوه موجود در شبکه سازمان به کار میگیرد. سرویس شکار تهدیدات آرمان داده پویان، مجموعهای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و سازمان شما را در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت میکند.
شکار تهدیدات یک جستجوی Proactive در شبکهها، سیستمهای کاربران و دادههاست که توسط عامل انسانی انجام میشود. به همین دلیل تجربه تیم مجری بسیار اهمیت دارد، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق میشوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروسها پنهان ماندهاند را کشف کنند. با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانههای تهدید (IOC) کشف میشوند، بنابراین بسیاری از این تهدیدات از دید سامانههای خودکار تشخیص و شناسایی تهدیدات پنهان میمانند. شکار تهدیدات به سازمانها کمک میکند تا این موارد را شناسایی کنند. در فرآیند شکار تهدیدات، بر خلاف روشهای سنتی، شکارچیان تهدید پیش از آنکه رخدادی به وقوع بپیوندد، دادهها را بررسی و تحلیل میکنند. در واقع، شکارچیان تهدید با استفاده از تکنیکهای دستی و خودکار، به جستجوی تهدیدات ناشناخته میپردازند و قبل از اینکه آسیبی به سازمان وارد شود آنها را شناسایی میکنند. این افراد تهدیداتی را پیدا میکنند که هیچیک از فایروالها و سیستمهای تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانستهاند تشخیص دهند.
جمله معروفی در زمینه امنیت وجود دارد که میگوید: پیشگیری، ایدهآل است اما تشخیص، یک ضرورت است. شاید بتوان گفت که خاصیت پویایی شکار تهدیدات، مهمترین وجه تمایز آن با سایر راهکارهای امنیتی سنتی از قبیل فایروالها، آنتیویروسها، سیستمهای تشخیص نفوذ و … میباشد. تمام این راهکارهای سنتی، اقدامات واکنشی هستند، یعنی به محض وقوع یک رخداد سایبری وارد عمل میشوند. این در حالی است که در فرآیند شکار تهدیدات، تمرکز اصلی بر روی شناسایی تهدیدات قبل از تبدیل شدن به یک رخداد سایبری است.
شناسایی داراییهای حساس
جستجو برای کشف تهدیدات شناخته شده و ناشناخته
مدیریت و مهار تهدیدات
اندازهگیری تاثیرات مخرب حمله و میزان موفقیت شکار تهدیدات
جلوگیری از بروز تهدیدات در آینده
یک برنامه خوب Hunting باید از یک مدل استاندارد پیروی کند. بر اساس تعریف موسسه SANS، مدل رسمی شکار تهدیدات از شش مرحله متوالی تشکیل شده است.
در این مرحله، هدف اصلی سازمان از شکار تهدیدات مورد توجه قرار میگیرد. هدف متشکل از سه موضوع است: چرا باید شکار انجام شود؟ دامنه شکار و محدودیتهای موجود چیست؟ آیا شکار، مطابق با اهداف سازمان است؟
این مرحله شامل شناسایی سیستمها و شبکههای مورد مطالعه است. فرضیهها و سوالات تحلیلی برای دستیابی به هدف نهایی در این مرحله مطرح میشوند. پس از تعریف هدف، شکارچیان تهدید باید ابتدا فرضیهسازی کنند. هدف مشخص میکند که چه سیستمهایی باید مطالعه شوند و فرضیهسازی، محدوده مورد مطالعه را مشخص میکند.
این مرحله بر روی توسعه یک طرح جمعآوری و تحلیل داده تمرکز دارد. شکارچی تهدید بر اساس این اطلاعات، به فرضیههایی که در مرحله قبل (دامنه) تعریف شدهاند، پاسخ خواهد داد. شناسایی رویکردهای تحلیلی، نقش اساسی در این مرحله دارد.
این مرحله، حکم یک ایست و بازرسی را دارد. در این مرحله بررسی میشود که آیا شکار برنامهریزی شده با اهداف تعیین شده مطابقت دارد یا خیر. مدیر پروژه میتواند این طرح را برای ذینفعان ارائه دهد و اطمینان حاصل کند که با اهداف مجموعه مطابقت دارد. در این مرحله، نقایص شناسایی میشوند و برای آنها راه حل ارائه میگردد. در صورت نیاز، برای ادامه طرح، منابع اضافی نیز اختصاص داده خواهد شد. این آخرین مرحله بازبینی قبل از اجراست. بنابراین باید تمام موارد به درستی بررسی گردند.
پس از تایید مرحله بازبینی طرح، نوبت به مرحله اجرا میرسد که شامل تکرارهای متعدد، جمعآوری و تجزیه و تحلیل دادههاست. شکارچیان تهدید، اطلاعات شناسایی شده در مرحله دامنه را جمعآوری میکنند و برای اثبات یا رد فرضیهها، از تکنیکهای تجزیه و تحلیل استفاده میکنند. پس از پایان مرحله اجرا، گزارش شکار نوشته میشود. گزارش نهایی شکار تهدیدات باید حاوی منابع اطلاعاتی اضافی، تکنیکهای تحلیلی و سایر رخدادهای قابل توجه در حین شکار باشد.
تجزیه و تحلیل تمام مراحل قبلی، در مرحله بازخورد ارائه میشود. با پایان یافتن فرآیند شکار تهدیدات، از هر مرحله چندین سوال پرسیده میشود. پاسخ به این سوالات، نقاط ضعف و قوت فرآیند را آشکار کرده و سازمان را مجبور به تقویت نقاط ضعف در شکارهای احتمالی آینده خواهد کرد.
سرویسی که آرمان داده تصمیم به ارائه آن به صورت مجزا در نظر گرفته است کاری است که سالها برای مشتریان خود که قرارداد پشتیبانی کامل امنیتی در آن برعهده آرمان داده است انجام داده است. سرویس Threat hunting اگرچه در اصل مقولهای است که باید به صورت دائم در جریان باشد اما بستگی به هدف تعریف شده میتواند به صورت مستقل و یکباره نیز انجام شود. در هر دو شکل شرکت آرمان داده پویان آمادگی کامل دارد تا هم به صورت مقطعی و هم به صورت مستمر این سرویس را به تنهایی ارائه دهد.
این سرویس که در واقعی نوعی تحلیل دادهها و اطلاعات از نگاه امنیتی میباشد، نیازمند شناخت کامل به محیط عملیاتی حوزه مورد نظر و آشنایی کامل با کسب و کار مشتری دارد. پس از کسب شناخت لازم کارشناسهای شرکت اقدام به جمع آوری دادههای مورد نظر خواهند کرد. در کنار این موضوع رفتارسنجی سرویسها و شبکه نیز انجام خواهد شد تا در کنار اطلاعات جمع شده تحلیل مناسبی را بتوان انجام داد. با توجه به سابقه کاری آرمان داده در این خصوص نظریههای متفاوتی برای حمله و استقرار مهاجم مستند شدهاند که با استفاده از آنها و قطعا توسعه با توجه به حوزه مورد بررسی میتوان در زمان مناسبی نسبت به کشف حملات انجام شده یا حضور یک عامل بیرونی اقدام کرد.
آرمان داده پویان با سالها تجربه و بهرهگیری از تیمی متخصص و مجرب سرویس Threat Hunting را به صورت دورهای و مقطعی به سازمانها ارائه میدهد.