Threat Data Feeds


در سال‌های اخیر، بحث Threat Data Feeds به یکی از مباحث مهم و داغ در دنیای امنیت تبدیل شده است. با توجه به این مورد که امروز تعریف امنیت در کشف سریع و عکس العمل مناسب در زمانی کم خلاصه میشود در واقع تامین امنیت در یک سطح قابل قبول را نمی‌توان بدون بهره بردن از هوشمندسازی امنیت متصور شد. هوشمندی امنیت چه قبل از حمله و چه در زمان حمله یک شبکه را در برابر پیشرفته‌ترین تهدیدات می‌تواند ایمن نماید، در واقع با بررسی‌های امنیتی آخرین حملات و تهدیدات، درک استراتژی آن‌ها قادر به ایجاد یک حفاظ امنیتی موثر خواهیم بود. همچنین پاسخ‌هایی موثرتر به تهدیدات داده خواهد شد و منابع امنیت به گونه‌ای بهینه‌تر مورد استفاده قرار خواهند گرفت و دیواره‌های امنیتی بلندتری برای جلوگیری از نفوذ به وجود خواهد آمد.


انواع Threat Data Feeds


هوشمندی امنیت حاصل جمع‌آوری داده‌های مربوط به تهدیدات از منابع معتبر، پردازش و درآوردن به صورتی می‌باشد که برای کاربران قابل استفاده باشد. در حقیقت Threat data feed به صورت پیوسته اطلاعات به روز شده‌ای را در ارتباط با منابع احتمالی حملات در اختیار کاربران قرار می‌دهد.

Threat Data Feeds در واقع یک جریان پیوسته از داده‌های مربوط به تهدیدات است که از منابع معتبر در ارتباط با آخرین تهدیدات و حملات امنیتی که در جهان در حال اتفاق است جمع آوری شده است. این اطلاعات در حقیقت نقش خوراک را برای راهکارهای امنیتی مانند SIEM ایفا می‌نماید. برای روشن‌تر شدن موضوع مثالی میزنیم. یکی از روش های پنهان ماندن از دید سرویس‌های امنیتی به منظور آلوده سازی سیستم‌ها، ارسال یک فایل در ظاهر بی خطر برای کاربران می باشد. این فایل که خود در ظاهر تهدیدی به عمل نمی آید پس از اجرا از طریق وصل شدن به یک یا چند سرور بر روی اینترنت کد یا کدهای آلوده مورد نظر را می تواند دریافت و بر روی سیستم کاربر بارگذاری کند. از این رو یکی از مواردی که تجهیزات امنیتی مانند دیواره های آتش مدرن بررسی میکنند مقصدهایی است که از درون شبکه با آنها ارتباط برقرار شده است. سرویس های امنیتی به طور مرتب نشانی‌های مشخص شده به عنوان میزبان و یا هدایت کننده کدهای مخرب را در قالب بروز رسانی دریافت میکنند تا امکان برقراری ارتباط با آن نشانی ها را مسدود سازند.

از آنجاییکه ارائه این بروز رسانی‌ها منوط به کشف شدن آن نشانی‌ها دارد همواره این امکان وجود دارد که حتی تا چندین روز و در مواردی تا زمانی بسیار طولانی تر تعدادی از نشانی های فعال در فهرست بروز رسانی ها وارد نشده باشند و تجهیزات امنیتی شما ارتباط با آن نشانی‌ها را مسدود نسازند.



سرویس Threat Data Feeds پس از یکپارچه شدن با نظام SIEM مستقر شده در شبکه شما از دو جهت در این خصوص می‌تواند به شما کمک کند:

  • شما در کنار بروز رسانی تجهیزات امنیتی خود، فهرستی از نشانی های مخرب را نیز از منبعی دیگری به طور منظم دریافت میکنید و این امکان وجود دارد که اگر نشان مخربی بنا به هر دلیلی در بروز رسانی تجهیزات شما قرار نگرفته بود در فهرست Threat Data Feed ممکن است باشد. این داده های امنیتی معمولا تجمیعی از چندین منبع امنیتی بوده و از جامعیت بیشتری میتوانند برخوردار باشند.
  • اگر در شرایطی یکسری از نشانی های مخرب در هیچ کدام از لیست ها نبود و ارتباطی از شبکه شما با آن سرورها برقرار شد در روزهای آتی که Threat Data Feed به روز میشود و آن نشانی ها را در قالب بروز رسانی دریافت میکند شما می‌توانید در داشبورد مربوطه موارد مشکوک مربوط به گذشته را مشاهده نمایید. این در حالی است که دیواره آتش شما اطلاعاتی از این قبیل را در خصوص ارتباط های برقرار شده در قبل نمیتواند بدهد.
  • این داده های امنیتی شامل فهرستی از Botnetها، C&C سرورها، سرورهای میزبان کدهای مخرب و domain nameهای مربوط به میزبانی و هدایت کدهای مخرب می باشد.


انواع هوشمندی امنیتی


سه دسته‌بندی را می‌توان در نظر گرفت. در سطح سازمانی این موضوع اهمیت دارد که کدام نوع از هوشمندی تهدید بایستی در نظر گرفته شود.

  • هوشمندی تاکتیکی: در این راستا هوشمندی ارائه شده تقریبا کوتاه مدت است. به طور مثال اطلاعات آن حاصل از اطلاعات جمع آوری شده روزانه می‌باشد. ارائه IOC ها مانند هش ها، دامنه های مخرب، رایانامه‌ها، لینک ها و پیوست ها، کلید های رجیستری، نام فایل ها، DLL ها و غیره و می تواند از طریق MRTI feeds یا ادغام ساده با محصولات امنیتی تحویل داده شود . این نوع از تهدید اطلاعات فوری را به راحتی جمع آوری، پردازش و منتشر می‌نماید. استفاده به صرف از این روش شامل نقاط ضعفی نیز می‌گردد، اولا اعتبار آن‌ها نسبتا کوتاه مدت هستند و به طور مثال شامل برخی از IOCها مانند دامنه‌های مخرب هستند که می‌توانند به سرعت منسوخ شوند. همچنین چشم انداز تهدید همیشه در حال تغییر است و این دسته از اطلاعات یک حس مثبت کاذب ایجاد می‌نمایند. منابعی که از آن‌ها اطلاعات جمع آوری می‌نماییم بایستی در طولانی مدت نیز معتبر باشند در غیر این صورت حس امنیتی غیر واقعی ایجاد می‌نمایند.
  • عملیاتی: یک دید سطح بالاتری را نسبت به دسته قبلی ایجاد می‌نماید. با اینکه در این روش هم هنوز تمرکز بر روی پیامدهای فوری تهدیدات است، اما همچنان یک دید نسبت به انگیزه‌ها، قابلیت‌ها و اهداف نیز به وجود می‌آورد. این اطلاعات به تیم فنی کمک می‌نماید تا حوادث خاص مربوط به رویدادها و تحقیقات را ارزیابی نموده و پاسخ مناسب به حادثه را ارائه نماید. TTP یا روش‌ها اجزای تشکیل دهنده هوشمندی عملیاتی تهدیدات است که با تحلیل‌های متخصصان امنیت قوی‌تر و موثرتر می‌گردد.
  • استراتژیک: اطلاعات استراتژیک که کاربران را در ارتباط با خطرات سطح بالای سایبری که مرتبط با سیاست‌های خارجی، رخدادهای جهانی، جنبش‌های اینترنتی و غیره است مطلع می‌نماید.


مزایای Threat Data Feeds


پرواضح است با استفاده از Threat data feeds روند تشخیص حوادث امنیتی را سرعت می‌بخشیم، حوادث امنیتی را الویت بندی کرده و به موقع به آن‌ها پاسخ می‌دهیم. تلاش برای تشخیص تهدیدات کمک بسیار موثری برای بنای یک زیرساخت امنیتی موثر است که بتواند در کوتاهترین زمان ممکن تهدیدات را شناسایی نماید و پاسخ دهد. این موضوع شامل شناسایی فعالیت های مخرب در داخل شبکه شما، تجزیه و تحلیل آن و کمک به تیم امنیتی در تشخیص اهداف مهاجمان است. متاسفانه بسیاری از شرکت ها هنوز ارزش اضافه کردن اطلاعات تهدید به زیرساخت های امنیت سایبری خود را به عنوان یک لایه حیاتی دفاعی نمی‌دانند.



آرمان داده پویان ارائه دهنده Threat Data Feeds در ایران

برای کسب اطلاعات با مشاوران ما تماس بگیرید