امنیت اطلاعات

شکار تهدید یا Threat Hunting چیست؟ روندی نوظهور در تشخیص تهدید

شکار تهدید چیست؟ روندی نوظهور در تشخیص تهدید

شکار تهدید یا Threat Hunting چیست؟ روندی نوظهور در تشخیص تهدید

شکار تهدید و چگونگی کارکرد آن

شکار تهدید عبارت است از فرایند جستجوی متخاصمین قبل از اجرای موفقیت‌آمیز یک حمله توسط آن‌ها. مفهوم شکار تهدید مفهومی جدید نیست اما به دلیل توانایی روزافزون خرابکاران در گریز از روش‌های سنتی تشخیص، در سال‌های اخیر تاکیدی روزافزون بر شکار تهدید برنامه‌ریزی‌شده، توسط سازمان‌های مختلف شده است. این رویکرد از اغلب روش‌های امنیتی مبتنی بر تشخیص و پیشگیری متفاوت است. شکار تهدیدات، تکنیکی پیش‌نگر است که ابزارهای امنیتی، تحلیل و هوش تهدید را با تحلیل‌های انسانی و غریزه ترکیب می‌کند. فرایند شکار تهدید به طور معمول با یک فرضیه به دست آمده به واسطه یک هشدار امنیتی، ارزیابی امنیتی، تست نفوذ یا کشف یک فعالیت نامتعارف مبتنی بر وجود یک تهدید در سیستم‌ها شروع می‌شود. در ادامه، شکارچیان تهدید با استفاده از تحقیقاتی گسترده و انجام مجموعه‌ای از تحلیل‌ها این فرضیات را بررسی کرده و مورد آزمایش قرار می‌دهند و به جستجوی تهدیدات پنهان که هنوز منجر به فعال شدن روش‌های تشخیص نشده‌اند، می‌پردازند. در ادامه این مطلب تفاوت شکار تهدید و تشخیص تهدید، مزایا و چالش‌های استفاده از شکار تهدید و روش‌های ایده‌آل برای راه‌اندازی یک برنامه شکار تهدید را بررسی خواهیم کرد.

شکار تهدید در مقابل تشخیص تهدید

شکار تهدید از مولفه‌های آغازین تشخیص تهدید است و بر شناسایی تهدیدات در اولین فاز ممکن از یک حمله یا به‌مخاطره‌افتادگی[3] تمرکز دارد. تشخیص تهدید به عنوان یک اصطلاح وسیع‌تر بیانگر مجموعه کامل فرایندهای کشف و شناسایی تهدیدات، قبل، در حین و بعد از وقوع به‌مخاطره‌افتادگی است. ابزارهای تشخیص تهدید با هدف یافتن فعالیتی نامتعارف که نشان‌دهنده یک تهدید باشد به تحلیل و بررسی شبکه‌ها، applicationها، داده‌ها، و رفتارهای کاربران می‌پردازند.

وضعیت فعلی شکار تهدید: مزایا و چالش‌ها

علی‌رغم استفاده از برخی از تکنیک‌های شکار تهدید در چند سال گذشته، استفاده از این تکنیک به عنوان یک مولفه اختصاصی از برنامه‌های امنیت اطلاعات شرکت‌ها، روندی نوظهور محسوب می‌شود. با توجه به این مساله، برنامه‌های تشخیص تهدید و سطح بلوغ آن‌ها از کسب‌و‌کاری به کسب‌و‌کار دیگر می‌تواند بسیار متفاوت باشد. موسسه SANS به بررسی وضعیت فعلی فعالیت‌های سازمان‌ها برای شکار تهدیدات پرداخته است. نتایج به دست آمده بیانگر این است که از نظر اغلب پاسخ‌دهندگان، نتیجه استفاده از برنامه‌های کشف تهدید دستیابی به موفقیت بوده است. 75% از پاسخ‌دهندگان بیان کرده‌اند که با اتخاذ رویکردی جدی‌تر درباره شکار تهدید، سطح حمله[4] آن‌ها کاهش یافته است. 59% از پاسخ‌دهندگان باور داشتند که شکار تهدید سرعت و دقت شرکت آن‌ها را در پاسخ به وقایع افزایش داده است. 52% گزارش داده‌اند که استفاده از شکار تهدید منجر به شناسایی تهدیدات ناشناخته شده است.

با این حال، بررسی موسسه SANS بیانگر نوظهور بودن این روند و فاصله زیاد آن برای قابل استفاده بودن در بسیاری از سازمان‌ها نیز هست. 40% از پاسخ‌دهندگان به این نظرسنجی بیان کرده‌اند که فاقد حتی یک برنامه شکار تهدید صوری در سازمان خود هستند و 88% احساس کرده‌اند که برنامه شکار تهدید آن‌ها نیازمند بهبود است. علاوه‌بر‌این، 53% باور داشته‌اند که فرایند شکار تهدید آن‌ها به طور موفقیت‌آمیز از دشمنان آن‌ها مخفی نبوده و 56% گزارش داده‌اند که آن‌ها از زمان موردنیاز برای شکار تهدیدات خشنود نیستند.

روش‌های ایده‌آل برای شکار تهدید

در زمان ایجاد یک برنامه شکار تهدید، شروع با توسعه فرایندهای استاندارد شده برای هدایت تلاش‌ها در راستای شکار تهدید اهمیت زیادی دارد. تیم‌های امنیتی باید از قبل مشخص کنند که چه زمانی و چگونه عملیات شکار رخ دهد (در بازه‌هایی زمان‌بندی شده، در پاسخ به فعالیت‌هایی مشخص و فعال‌ساز یا به طور پیوسته با کمک ابزارهایی خودکار)، از چه تکنیک‌هایی باید استفاده گردد و چه افراد و ابزارهایی مسئول انجام فعالیت‌های شکار تهدید مشخص هستند. علاوه‌براین، باید معیارهایی برای ارزیابی موفقیت برنامه نیز ایجاد شوند. موسسه SANS توصیه می‌کند که ارزیابی کارایی شکار تهدید با توجه به معیارهای زمان حضور[5]، lateral movement، و آلودگی مجدد[6] صورت گیرد.

علاوه‌بر‌این، یک مساله مهم دیگر مبناگذاری برای فعالیت‌های نرمال شبکه، داده‌ها و کاربران در راستای تسهیل شناسایی ناهنجاری‌ها در زمان شکار تهدیدات است. با بررسی‌های صورت گرفته توسط موسسه SANS مشخص شده که تمرکز روی مجموعه داده‌هایی مانند آدرس‌های IP، فعالیت DNS، File Monitoring ، رفتار کاربر و تجزیه و تحلیل آن منجر به موفقیت شکار تهدید خواهد شد. همانطور که برنامه‌های شکار تهدید به بلوغ می‌رسند سازمان‌ها باید روش‌های شکار تهدید فعلی را توسعه داده و بر اساس کشف تهدیدات جدید یا نکات آموخته شده از تهدیداتی که قبلا کشف شده‌اند آن‌ها را به‌روزرسانی کنند.

ملاحظات برای شکار تهدید و کشف تهدید

شرکت‌های زیادی هنوز در حال آشنایی با فرایند پیاده‌سازی و مدیریت موثر برنامه‌های تشخیص تهدید هستند. تشخیص زودهنگام تهدیدات و شناسایی تمام نواحی آسیب‌پذیر برای هر شرکتی حیاتی است و جستجوی پیش‌نگر تهدیدات بالقوه به سازمان‌ها فرصت پیاده‌سازی اقدامات پیش‌گیرانه در راستای توقف تهدیدات قبل از وقوع آن‌ها را می‌دهد. با دنبال کردن یک رویکرد فاز به فاز ساختاریافته، سازمان‌ها می‌توانند با منابع فعلی خود شروع به شکار تهدیدات کرده و در ادامه به پیاده‌سازی فرایندهایی برای جمع‌آوری داده، نظارت و تحلیل و گسترش برنامه‌های خود با ترکیبی صحیح از کارکنان و ابزارها بپردازند.

[1] Threat hunting

[2] Threat detection

[3] Compromise

[4] Attack surface

[5] Dwell time

[6] Reinfection

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

جدیدترین مقالات

پربازدیدترین ها