اخبار داخلی آرمان داده پویان

آموزش

خانه آموزش محصولات امنیتیتشخیص هوشمند تهدیدات چیست؟

۱ آذر ۱۳۹۹

تشخیص هوشمند تهدیدات چیست؟

Threat Intelligence

امروزه سازمان‌ها برای تامین امنیت معمولا از راهکارهای مختلفی استفاده می‌کنند و هزینه‌های بسیار زیادی را هم در این راه صرف می‌کنند. برای مثال به سراغ استقرار مراکز عملیات امنیت (SOC) می‌روند، فایروال، IDS، IPS و انواع تجهیزات امنیتی تهیه می‌کنند، کارشناس امنیت استخدام می‌کنند، راهکارهای مدیریت رخداد (SIEM)، مدیریت وصله و اسکن آسیب‌پذیری را پیاده‌سازی می‌کنند. سوال اینجاست که آیا این اقدامات کافی هستند؟ بعد از پیاده‌سازی تمام این استراتژی‌ها و راهکارهای امنیتی، چه کاری باید انجام داد؟ آیا باید سراغ راهکارهای یادگیری ماشین رفت؟ آیا باید رفتار کاربران را تجزیه و تحلیل کرد؟

در حالت سنتی، تمرکز بیشتر سازمان‌ها بر این است که چه دارایی‌هایی دارند. سپس پیرامون این دارایی‌ها، دیواری از جنس تجهیزات امنیتی می‌کشند تا آن‌ها را از دسترس مهاجمین سایبری دور نگه دارند. بارها و بارها مهاجمین از این سد دفاعی عبور می‌کنند و آن‌‌ها هربار دیوار دفاعی را بالاتر می‌برند. هرچند همه این راهکارها به بهبود امنیت سازمان کمک بسیار زیادی می‌کنند، اما حتی با تمام تمهیدات امنیتی که سازمان‌ها در نظر می‌گیرند، باز هم یک حلقه گمشده وجود دارد و آن، تشخیص هوشمند تهدیدات (Threat Intelligence) است. امروزه حملات سایبری، بسیار پیشرفته‌تر از گذشته هستند. اگر سازمان‌ها، الگوی این حملات را یاد بگیرند می‌توانند به طور موثرتری، از اطلاعات و سازمان خود در برابر حملات سایبری دفاع کنند. این خلا معمولا در اکثر کسب و کارها وجود دارد و عده کمی به آن توجه دارند. یکی از دلایل آن هم این است که متاسفانه بیشتر سازمان‌ها در مورد تشخیص هوشمند تهدیدات، اطلاعات زیادی ندارند.

بر اساس تعریف CrowdStrike، تشخیص هوشمند تهدیدات (Threat Intelligence) یا به اختصار TI عبارت است از داده‌هایی که با هدف تشخیص رفتار، انگیزه و اهداف مهاجمین سایبری جمع‌آوری، پردازش و تحلیل شده‌اند. اطلاعاتی است که به ما در شناسایی مهاجمین و پاسخگویی سریع و موثر کمک می کند.

اهمیت تشخیص هوشمند تهدیدات (Threat Intelligence)

سازمانی را در نظر بگیرید که با چندهزار کارمند و چندین شعبه در سراسر دنیا فعالیت می‌کند. این سازمان روزانه با انبوهی از اطلاعات سر و کار دارد و حجم عظیمی از داده‌ها را تولید می‌کند. بررسی و تحلیل این حجم از داده و شناسایی تهدیدات پنهان درون آن‌ها چقدر زمان می‌برد؟ چه سیستم‌هایی باید بکار گرفته شوند و چه تعداد متخصص امنیت سایبری باید زمان صرف کنند تا این تهدیدات را کشف کنند؟

جواب این سوالات، موضوع بحث این نوشته است. تشخیص هوشمند تهدیدات تمام این کارها را به صورت خودکار انجام می‌دهد. مهمترین هدف تشخیص هوشمند تهدیدات، شناسایی است. اگر شناسایی نکنید نمی‌توانید جلوگیری کنید و پاسخ دهید. علاوه بر این‌ها، تشخیص هوشمند تهدیدات این امکان را برای شما فراهم می‌کند که بتوانید تهدیدات را تحلیل کنید و برای حملات احتمالی آینده، آماده‌سازی انجام دهید. بنابراین مدت زمان شناسایی تهدیدات به شکل قابل توجهی کاهش پیدا کرده و سرعت پاسخگویی نیز افزایش می‌یابد.

برای روشن‌تر شدن موضوع، مثالی را در اینجا آورده‌ایم. فرض کنید که یک تهدید سایبری از جنس Zero-day در سازمان شما وجود دارد و شما هیچ شناختی در مورد آن ندارید. یا بدافزاری ناشناخته که هنوز اطلاعات زیادی در مورد آن در اینترنت منتشر نشده است. چه می‌کنید؟ حال اگر راهکار هوشمندی تهدیدات در سازمان شما پیاده‌سازی شده باشد می‌توانید بفهمید که تهدید چیست؟ مهاجم کیست؟ چه سوابقی از آن در گذشته وجود دارد؟ نشانگرهای تهدید (IOC) کدامند؟ میزان ریسک چقدر است؟ راهکار مقابله چیست؟ و …

اما چرا تشخیص هوشمند تهدیدات اهمیت زیادی دارد؟ کسپرسکی می‌گوید تشخیص هوشمند تهدیدات، قطعه اساسی هر اکوسیستم امنیت سایبری است که از نشت اطلاعات جلوگیری می‌کند، معیارهای شناسایی تهدیدات را در اختیار ما قرار می‌دهد و موجب افزایش آگاهی برای مقابله با مهاجمین سایبری می‌شود.

Threat Data Feeds چیست و چرا به آن نیاز داریم؟

حالا که به اهمیت تشخیص هوشمند تهدیدات پی بردیم می‌خواهیم بدانیم که قدم بعدی چیست؟ برای پیاده‌سازی تشخیص هوشمند تهدیدات به داده‌هایی به نام Feeds نیاز داریم. این داده‌ها در واقع خوراک سیستم‌های دفاعی ما هستند و قدرت آن‌ها را در شناسایی تهدیدات سایبری ناشناخته را بالاتر می‌برند. این اطلاعات ممکن است از منابع مختلفی در سطح اینترنت به صورت رایگان و یا در ازای پرداخت هزینه دریافت شوند. هنگامی که داده‌ها را از منابع مختلف جمع‌آوری کردیم، حال باید آن‌ها را به تجهیزات امنیتی مثل ‌سیستم‌های مدیریت رخداد (SIEM)، فایروال‌ها یا سیستم‌های تشخیص و پیشگیری از نفوذ تزریق کنیم تا قدرت تشخیص این تجهیزات را در مواجهه با حملات سایبری بالاتر ببریم. اگرچه این تجهیزات به تنهایی، ویژگی‌های امنیتی فراوانی دارند. اما وقتی نوبت به حملات سایبری پیچیده می‌رسد، توان تشخیص آن‌ها به خوراک‌هایی است که به آن‌ها داده‌ایم. اشتراک‌گذاری نشانگرهای تهدید موجب سرعت بخشیدن به فرآیند شناسایی و مقابله با تهدیدات می‌گردد.

شرکت آرمان داده پویان با ارائه سرویس Threat Data Feeds جریانی از داده‌های تهدید که از منابع مختلف در سراسر دنیا جمع‌آوری شده است را در اختیار سازمان‌ها قرار می‌دهد. این داده‌ها شامل فهرستی از شبکه‌های بات، سرورهای فرمان و کنترل (C2)، آدرس‌های IP و دامنه‌های میزبان کدهای مخرب و … هستند که با سیستم‌های مدیریت رخداد (SIEM)، فایروال‌ها و سیستم‌های تشخیص و پیشگیری از نفوذ یکپارچه می‌شوند. این اطلاعات کمترین میزان False-Positive را دارند و قدرت سیستم‌های امنیتی را در شناسایی تهدیدات و اتخاذ تصمیمات مناسب برای پاسخگویی و جلوگیری از حملات سایبری در آینده افزایش می‌دهند.

  • زمانی که شما از سرویس Thraet Data Feeds آرمان داده پویان استفاده می‌کنید:
  • ایجاد داشبورد امنیتی برای مشاهده تهدیدات
  • یکپارچه سازی سرویس Threat Data Feedsبا SIEM
  • ارزیابی ریسک تهدیدات و الویت بندی آن‌ها
  • ایجاد و ارسال هشدارهای امنیتی
  • تحلیل رویدادها و ارائه گزارش‌های امنیتی به صورت منظم
  • ارائه آموزش برای استفاده بهینه از سرویس

اگر علاقه‌مند هستید تا در خصوص سرویس Threat Data Feeds آرمان داده پویان اطلاعات کسب کنید، به این پیوند مراجعه کنید. همچنین می‌توانید با کارشناسان ما تماس بگیرید.

تعداد بازدید: 51


تازه ترین ها