شکار

تهدیدات

شکار تهدیدات (Threat Hunting) چیست؟

امروزه سازمانی نیست که راهکارهای امنیتی را پیاده سازی نکرده باشد حال به هر شکل و در هر ابعادی اما شاید کمتر سازمانی بتواند پاسخی با پشتوانه به این سوال بدهد که تا چه حد از عدم وجود یک عامل بیرونی در شبکه خود اطمینان دارید؟

اگر حمله‌ای پیشرفته از دید تجهیزات امنیت پنهان مانده و با موفقیت انجام شده باشد، به احتمال زیاد مهاجم همچنان در شبکه شما حضور دارد و اکنون به عنوان یک عضو شبکه داخلی شما به فعالیت خود ادامه می‌دهد و تمامی راهکارهای امنیتی که بر سر راه ترافیک ورودی وجود دارند تقریبا دیگر نقشی در مسدود سازی این مهاجم ندارند. سرویس شکار تهدیدات یا همان Threat hunting راهکار موثری است که با تحلیل اطلاعات از نگاه امنیتی می‌تواند به کشف تهدیدات موجود در سازمان شما بپردازد. در واقع تیم شکار تهدیدات به دنبال یافتن مهاجمان قبل از اجرای حملاتشان است، این سرویس ابزارهای امنیتی، تجزیه و تحلیل هوشمند و تجربه متخصصین امنیت را در راستای تشخیص تهدیدات بالقوه موجود در شبکه سازمان به کار می‌گیرد. سرویس Threat hinting مجموعه‌ای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و سازمان شما را در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت می‌کند.

شکار تهدیدات یک جستجوی Proactive در شبکه‌ها، سیستم‌های کاربران و داده‌هاست که توسط عامل انسانی انجام می‌شود. به همین دلیل تجربه تیم مجری بسیار اهمیت دارد، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق می‌شوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروس‌ها پنهان مانده‌اند را کشف کنند.

با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانه‌های تهدید (IOC) کشف می‌شوند، بنابراین بسیاری از این تهدیدات از دید سامانه‌های خودکار تشخیص و شناسایی تهدیدات پنهان می‌مانند. شکار تهدیدات به سازمان‌ها کمک می‌کند تا این موارد را شناسایی کنند.

در فرآیند شکار تهدیدات، بر خلاف روش‌های سنتی، شکارچیان تهدید پیش از آن‌که رخدادی به وقوع بپیوندد، داده‌ها را بررسی و تحلیل می‌کنند. در واقع، شکارچیان تهدید با استفاده از تکنیک‌های دستی و خودکار، به جستجوی تهدیدات ناشناخته می‌پردازند و قبل از اینکه آسیبی به سازمان وارد شود آن‌ها را شناسایی می‌کنند. این افراد تهدیداتی را پیدا می‌کنند که هیچ‌یک از فایروال‌ها و سیستم‌های تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانسته‌اند تشخیص دهند.

بیشتر بخوانید: محصول Threat Data Feeds آرمان داده پویان چیست و چه کاربردی دارد؟

اهمیت شکار تهدیدات

راهکارهای امنیتی مثل فایروال‌ها و نرم‌افزارهای ضد ویروس، اکثر تهدیدات امنیتی رایج که پیچیدگی کمتری دارند را شناسایی و مسدود می‌کنند، اما برخی از مهاجمان، رفتارهای سازمان‌یافته تری دارند و از دید تجهیزات می‌توانند خودشان را از دید راهکارهای امنیتی پنهان کنند، تهدیداتی از این جنس ممکن است هفته‌ها و ماه‌ها در سازمان پنهان بمانند. قانون ۲۰/۸۰ را احتمالا شنیده‌اید. این قانون در مورد امنیت شبکه هم صدق می‌کند و می‌توان گفت که تقریبا ۸۰ درصد مشکلات امنیتی ناشی از ۲۰ درصد تهدیدات است.

طبق گزارش‌های سالانه شرکت امنیتی FireEye، مدت زمان وقوع یک تهدید سایبری تا زمان شناسایی آن در سال ۲۰۱۷ به طور میانگین برابر با ۱۰۱ روز و در سال ۲۰۱۸ برابر با ۷۸ روز بود. این در حالی است که در سال ۲۰۱۹ این عدد به ۵۶ روز کاهش یافت. تردیدی نیست که تکامل پروسه شکار تهدیدات و نظارت بیشتر بر سیستم‌های کاربران، به بهبود این آمار کمک بسیار زیادی کرده است.

بر اساس تحقیقات صورت گرفته، ضرورت شکار تهدیدات برای مقابله با تکنیک‌های پیچیده‌ای که مهاجمان امروزی استفاده می‌کنند انکار ناپذیر است. حتی پیشرفته‌ترین تجهیزات امنیتی نیز از شناسایی Zero-day ها و برخی از حملات APT عاجز هستند. شکار تهدیدات در صورتی که توسط عامل انسانی به صورت منظم و سیستماتیک انجام ‌شود، بسیاری از تهدیدات را قبل از رسیدن به نقطه خسارت، شناسایی و متوقف می‌سازد.

تفکرات غلط در مورد شکار تهدیدات

شکار تهدیدات با فرآیند پاسخگویی به حادثه تفاوت دارد. عموم مردم، شکارچیان تهدید را با تیم‌های پاسخگویی به حملات سایبری اشتباه می‌گیرند. این دو گروه بسیار نزدیک به هم هستند و معمولا در کنار هم فعالیت می‌کنند. در برخی موارد، فرآیند شکار تهدیدات منتج به شناسایی یک نقض امنیتی می‌شود که نیازمند ورود تیم پاسخگوی به حادثه است. اما ماموریت آن‌ها کاملا با یکدیگر متفاوت است. فرآیند پاسخگویی به حادثه یک فرآیند واکنشی و دفاعی است. یعنی به محض مشاهده علائمی از حمله، تیم مورد نظر وارد صحنه می‌شود و اقدامات لازم را انجام می‌دهد. اما برعکس، شکار تهدیدات یک فرآیند تهاجمی است. تصور شکارچیان تهدید به طور پیش‌فرض این است که تهدیداتی در سازمان وجود دارند که هنوز شناسایی نشده‌اند.
شکارچیان تهدید، تیم قرمز (Red Team) نیستند. اقداماتی تهاجمی از قبیل تست نفوذ که برای شناسایی نقاط ضعف سازمان توسط تیم امنیتی قرمز انجام می‌شود، نوعی اقدام فعالانه و تقریبا شبیه به شکار تهدیدات است. اما سوال اساسی که در اینجا مطرح می‌شود این است که آیا اهداف مورد نظر مشکوک به آلودگی هستند؟ پاسخ به این سوال نشان می‌دهد که ماموریت شکارچیان تهدید با اعضای تیم امنیتی قرمز تفاوت اساسی دارد.

تفاوت شکار تهدیدات با راهکارهای سنتی

جمله معروفی در زمینه امنیت وجود دارد که می‌گوید: پیشگیری، ایده‌آل است اما تشخیص، یک ضرورت است. شاید بتوان گفت که خاصیت پویایی شکار تهدیدات، مهمترین وجه تمایز آن با سایر راهکارهای امنیتی سنتی از قبیل فایروال‌ها، آنتی‌ویروس‌ها، سیستم‌های تشخیص نفوذ و … می‌باشد. تمام این راهکارهای سنتی، اقدامات واکنشی هستند، یعنی به محض وقوع یک رخداد سایبری وارد عمل می‌شوند. این در حالی است که در فرآیند شکار تهدیدات، تمرکز اصلی بر روی شناسایی تهدیدات قبل از تبدیل شدن به یک رخداد سایبری است.

بیشتر بخوانید: فایروال‌های نسل بعدی فورتی گیت

شکار تهدیدات چگونه به سازمان‌ها کمک می‌کند؟

کاهش زمان و هزینه مورد نیاز برای شناسایی تهدیدات سایبری

کاهش نقض‌های امنیتی احتمالی

شناسایی ریسک‌های امنیتی موجود و اولویت بندی آن‌ها

شناسایی تهدیدات ناشناخته

اتخاذ تصمیمات تجاری مناسب بر اساس نتایج شکار تهدیدات

شناسایی و حذف سریع و دقیق تهدیدات

بدست آوردن دید عمیق نسبت به شبکه و سیستم‌های کاربران

بالا بردن سطح امنیت سازمان‌ها

گام‌های شکار تهدیدات

شکار تهدیدات، فرآیندی پیچیده است که هم به صورت مقطعی و هم مستمر می‌تواند انجام شود. در هر دو صورت معمولا از پنج گام اساسی پیروی می‌کند:

برنامه‌ریزی: شناسایی دارایی‌های حساس
شناسایی: جستجو برای کشف تهدیدات شناخته شده و ناشناخته
پاسخ: مدیریت و مهار تهدیدات
سنجش: اندازه‌گیری تاثیرات مخرب حمله و میزان موفقیت شکار تهدیدات
پیشگیری: جلوگیری از بروز تهدیدات در آینده

مدل‌های شکار تهدیدات

یک برنامه خوب Hunting باید از یک مدل استاندارد پیروی کند. بر اساس تعریف موسسه SANS، مدل رسمی شکار تهدیدات از شش مرحله متوالی تشکیل شده است.

هدف‌گذاری

در این مرحله، هدف اصلی سازمان از شکار تهدیدات مورد توجه قرار می‌گیرد. هدف متشکل از سه موضوع است: چرا باید شکار انجام شود؟ دامنه شکار و محدودیت‌های موجود چیست؟ آیا شکار، مطابق با اهداف سازمان است؟

مطالعه و شناخت سازمان

این مرحله شامل شناسایی سیستم‌ها و شبکه‌های مورد مطالعه است. فرضیه‌ها و سوالات تحلیلی برای دستیابی به هدف نهایی در این مرحله مطرح می‌شوند. پس از تعریف هدف، شکارچیان تهدید باید ابتدا فرضیه‌سازی کنند. هدف مشخص می‌کند که چه سیستم‌هایی باید مطالعه شوند و فرضیه‌سازی، محدوده مورد مطالعه را مشخص می‌کند.

توسعه طرح

این مرحله بر روی توسعه یک طرح جمع‌آوری و تحلیل داده تمرکز دارد. شکارچی تهدید بر اساس این اطلاعات، به فرضیه‌هایی که در مرحله قبل (دامنه) تعریف شده‌اند، پاسخ خواهد داد. شناسایی رویکردهای تحلیلی، نقش اساسی در این مرحله دارد.

بازبینی طرح

این مرحله، حکم یک ایست و بازرسی را دارد. در این مرحله بررسی می‌شود که آیا شکار برنامه‌ریزی شده با اهداف تعیین شده مطابقت دارد یا خیر. مدیر پروژه می‌تواند این طرح را برای ذینفعان ارائه دهد و اطمینان حاصل کند که با اهداف مجموعه مطابقت دارد. در این مرحله، نقایص شناسایی می‌شوند و برای آن‌ها راه حل ارائه می‌گردد. در صورت نیاز، برای ادامه طرح، منابع اضافی نیز اختصاص داده خواهد شد. این آخرین مرحله بازبینی قبل از اجراست. بنابراین باید تمام موارد به درستی بررسی گردند.

اجرا

پس از تایید مرحله بازبینی طرح، نوبت به مرحله اجرا می‌رسد که شامل تکرارهای متعدد، جمع‌آوری و تجزیه و تحلیل داده‌هاست. شکارچیان تهدید، اطلاعات شناسایی شده در مرحله دامنه را جمع‌آوری می‌کنند و برای اثبات یا رد فرضیه‌ها، از تکنیک‌های تجزیه و تحلیل استفاده می‌کنند. پس از پایان مرحله اجرا، گزارش شکار نوشته می‌شود. گزارش نهایی شکار تهدیدات باید حاوی منابع اطلاعاتی اضافی، تکنیک‌های تحلیلی و سایر رخدادهای قابل توجه در حین شکار باشد.

بازخورد

تجزیه و تحلیل تمام مراحل قبلی، در مرحله بازخورد ارائه می‌شود. با پایان یافتن فرآیند شکار تهدیدات، از هر مرحله چندین سوال پرسیده می‌شود. پاسخ به این سوالات، نقاط ضعف و قوت فرآیند را آشکار کرده و سازمان را مجبور به تقویت نقاط ضعف در شکارهای احتمالی آینده خواهد کرد.

خدمات آرمان داده پویان در زمینه شکار تهدیدات

سرویسی که آرمان داده تصمیم به ارائه آن به صورت مجزا در نظر گرفته است کاری است که سال‌ها برای مشتریان خود که قرارداد پشتیبانی کامل امنیتی در آن برعهده آرمان داده است انجام داده است. سرویس Threat hunting اگرچه در اصل مقوله‌ای است که باید به صورت دائم در جریان باشد اما بستگی به هدف تعریف شده می‌تواند به صورت مستقل و یکباره نیز انجام شود. در هر دو شکل شرکت آرمان داده پویان آمادگی کامل دارد تا هم به صورت مقطعی و هم به صورت مستمر این سرویس را به تنهایی ارائه دهد.

این سرویس که در واقعی نوعی تحلیل داده‌ها و اطلاعات از نگاه امنیتی می‌باشد، نیازمند شناخت کامل به محیط عملیاتی حوزه مورد نظر و آشنایی کامل با کسب و کار مشتری دارد. پس از کسب شناخت لازم کارشناس‌های شرکت اقدام به جمع آوری داده‌های مورد نظر خواهند کرد. در کنار این موضوع رفتارسنجی سرویس‌ها و شبکه نیز انجام خواهد شد تا در کنار اطلاعات جمع شده تحلیل مناسبی را بتوان انجام داد. با توجه به سابقه کاری آرمان داده در این خصوص نظریه‌های متفاوتی برای حمله و استقرار مهاجم مستند شده‌اند که با استفاده از آنها و قطعا توسعه با توجه به حوزه مورد بررسی می‌توان در زمان مناسبی نسبت به کشف حملات انجام شده یا حضور یک عامل بیرونی اقدام کرد.

آرمان داده پویان با سال‌ها تجربه و بهره‌گیری از تیمی متخصص و مجرب سرویس Threat Hunting را به صورت دوره‌ای و مقطعی به سازمان‌ها ارائه می‌دهد.

با ما تماس بگیرید