امنیت اطلاعات

هوش تهدید یا Threat Intelligence چیست؟

هوش تهدید یا Threat Intelligence چیست؟

هوش تهدید یا Threat Intelligence چیست؟

هوش تهدید[1] اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده‌ها به دست می‌آید و می‌توان از آن برای مقابله با تهدیدهای سایبری استفاده کرد. در این مطلب، پس از تعریف هوش تهدید، به بررسی انواع آن، نحوه کار آن و دلیل اهمیت آن می‌پردازیم.

تعریف هوش تهدید

هوش تهدید یا هوش تهدید سایبری اطلاعاتی است که سازمان‌ها می‌توانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برخلاف داده‌های خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به  تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمع‌آوری، پردازش و تجزیه و تحلیل داده‌های خام به دست می‌اید و می‌توان از آن برای تصمیم‌گیری‌های آگاهانه استفاده کرد.

دلیل اهمیت هوش تهدید چیست؟

با توجه به وجود تهدیدات سایبری بسیار زیاد، هوش تهدید می‌تواند سازمان‌ها را در دستیابی به اطلاعات موردنیاز برای شناسایی تهدیدهای سایبری و محافظت از خود در برابر آن‌ها کمک کند. مثلا، اگر سازمان‌ها بتوانند الگوهای هکرها یا مهاجمان سایبری را یاد بگیرند، می‌توانند به طور موثر به دفاع از خود پرداخته و خطرهای تاثیرگذار بر روی کسب و کار خود  را کاهش دهند. از دیگر دلایل اهمیت هوش تهدید کمک به شرکت‌ها در پیشگیری از خروج داده‌ها  می‌باشد. علاوه‌براین، سازمان‌ها می‌توانند با همکاری و تبادل اطلاعات با یکدیگر، به طور موثرتری از هوش تهدید برای پیشگیری از تهدیدهای آتی استفاده نمایند.

علیرغم اینکه به نظر می‌رسد هوش تهدید در حیطه کاری تحلیل‌گران پیشرفته باشد، در واقعیت، کلیه افراد فعال  در حوزه امنیت شامل افراد درگیر در عملیات‌های امنیتی، مدیریت آسیب‌پذیری، پیشگیری از تقلب و تحلیل خطر می‌توانند از مزایای هوش تهدید بهره‌مند شده و از آن برای تصمیم‌گیری استفاده کنند.

چرخه به‌کارگیری هوش تهدید

هوش تهدید به جای اینکه یک "فرایند end-to-end" باشد، به عنوان یک "فرایند چرخشی"[2] به نام چرخه هوش تهدید عمل می‌کند. این فرایند از این جهت یک چرخه است که ممکن است در آن پرسش‌ها و شکاف‌های اطلاعاتی جدیدی ایجاد شده و نیازمندی‌های جدیدی در مجموعه ایجاد گردد.

چرخه هوش تهدید سایبری شامل چندین فاز به شرح ذیل می‌باشد:

  • برنامه‌ریزی و جهت‌دهی: در ابتدا ملزومات جمع‌آوری داده‌ها تعریف می‌شود. در این فاز پرسش‌هایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، باید مطرح شوند.
  • جمع‌‌آوری: پس از تعریف الزامات جمع‌آوری، داده‌های خام مربوط به تهدیدهای فعلی و آتی جمع‌آوری می‌شود. در این راستا، می‌توان از منابع متنوع هوش تهدید مانند Logها و رکوردهای داخلی و همچنین اینترنت و دیگر منابع فنی استفاده کرد.
  • پردازش: در ادامه، داده‌های جمع‌آوری شده با برچسب‌های metadata سازماندهی شده و اطلاعات اضافه، False positiveها و False negativeها جذف می‌شود. در این فاز استفاده از راه‌کارهایی مانند SIEM و SOAPA مفید بوده و سازماندهی داده‌های جمع‌آوری شده را تسهیل می‌کند.
  • تجزیه و تحلیل: این فاز است که منجر به تمایز «هوش تهدید» از «جمع‌آوری و انتشار ساده اطلاعات» می‌شود. در این فاز، با به‌کارگیری روش‌های تحلیل ساختاری، داده‌های پردازش شده‌ی فاز قبل مورد تجزیه و تحلیل قرار می‌گیرد. در نتیجه‌ی این اقدام، feedهای هوش تهدید سایبری ایجاد می‌شود و تحلیل‌گران به کمک آن‌ها قادر به شناسایی IOCها (Indicators of Compromise) خواهند بود. از جمله IOCهای معمول می‌توان به لینک‌ها، وب‌سایت‌ها، ایمیل‌ها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
  • انتشار: در ادامه، خروجی تجزیه و تحلیل در زمان مناسب به افراد مناسب ارسال می‌شود. قابلیت ردیابی در این فاز به گونه‌ای است که باعث ایجاد تداوم بین چرخه‌ها می‌شود.
  • بازخورد: فرد یا افراد درخواست‌کننده هوش تهدید را بررسی کرده و میزان پاسخ‌دهی اطلاعات فراهم شده به پرسش‌های خود را تعیین می‌کنند. در صورت پاسخ‌دهی کامل چرخه به پایان می‌رسد. در صورت وجود نیازمندی جدید، فرایند به مرحله شروع باز می‌گردد.

انواع هوش تهدید

محصول نهایی هوش تهدید به تناسبنیازهای اولیه، منابع هوش تهدید و مخاطبان مورد نظر متفاوت خواهد بود. با توجه به این معیارها، سه نوع هوش تهدید وجود دارد:

  • هوش تهدید استراتژیک یا راهبردی: این نوع از هوش تهدید روندهای وسیع یا مشکلات بلندمدت را پوشش می‌دهد. هوش تهدید استراتژیک می‌تواند تصویری کلی از هدف و توانایی‌های تهدیدهای سایبری ایجاد کرده و به تصمیم‌گیری‌های آگاهانه و ارائه هشدارهای فوری کمک کند.
  • هوش تهدید تاکتیکال: این نوع از هوش تهدید، عملیات‌ها و رویدادهای روزانه را پشتیبانی می‌کند و به ارائه ساختاری از تاکتیک‌ها، تکنیک‌ها و رویه‌های تهدیدگران برای مخاطبان فنی‌تر می‌پردازد.
  • هوش تهدید عملیاتی: این نوع از هوش تهدید کاملا تخصصی و فنی است و اغلب مربوط به حملات، کمپین‌ها، بدافزارها یا ابزارهای مشخص است. هوش تهدید عملیاتی می‌تواند به صورت یک گزارش بازرسی امنیتی باشد.

در یک برنامه هوش تهدید باید به دنبال چه بود

ارزش هوش تهدید غیرقابل انکار است و این مولفه به یک مولفه موردنیاز برای هر سازمانی با هر اندازه و شکلی تبدیل شده است. یک پلت‌فرم هوش تهدید سایبری فرایند جمع‌آوری و تجزیه و تحلیل داده‌ها را خودکارسازی نموده و بدین طریق امکان شناسایی، بررسی و پاسخ‌گویی به موقع به تهدیدها را در اختیار تحلیل‌گران قرار می‌دهد. در ادامه و برای راهنمایی، چند پرسش بیان شده که در زمان جستجوی یک پلت‌فرم هوش تهدید سایبری باید به آن‌ها پاسخ داده شود:

  • روش‌های مورد استفاده برای ایجاد هوش تهدید چیست؟
  • فراداده‌های همراه با هوش تهدید کدام است؟
  • فاصله زمانی بین به‌روزرسانی‌های ارائه شده برای هوش تهدید چقدر است؟
  • نحوه دریافت به‌روز‌رسانی‌ها توسط مشتری چگونه است؟
  • فاصله زمانی تشخیص تا انتشار هوش تهدید چقدر است؟

 

[1] Threat Intelligence

[2] Circular process

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
امنیت اطلاعات

فناوری "مدیریت وقایع و امنیت اطلاعات" (SIEM) یک فناوری بسیار مهم در دنیای دیجیتال اس

امنیت اطلاعات

هوش تهدید[1] اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده

امنیت اطلاعات

شرکت‌ها باید سیاست‌هایی مستند شده برای محافظت از اطلاعات محرمانه کلاینت‌های خ

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search

>