خانه
هوشِ تهدید، ابزاری برای مقابله با حملات سایبری

هوشِ تهدید، ابزاری برای مقابله با حملات سایبری

هوش تهدید به سازمان‌ها کمک می‌کند تا تصمیمات امنیتی را سریع‌تر و آگاهانه‌تر بگیرند....
هوشِ تهدید، ابزاری برای مقابله با حملات سایبری
منبع خبر: خبرنگاران جوان

هوش تهدید یک راه‌ کاربردی است که به سازمان‌های مختلف در جهت گرفتن سریع‌ترین و آگاهانه‌ترین تصمیمات امنیتی کمک می‌کند.

به مجموعه اطلاعاتی که از طریق تکنیک و ابزارها و با تحلیل و تجزیه کردن داده‌ها به دست می‌آیند، هوش تهدید می‌گویند‌. از این داده‌های مهم می‌توان در جهت مقابله نمودن با انواع تهدیدهای سایبری استفاده نمود. با استفاده از هوش تهدید سازمان‌ها می‌توانند آگاهانه‌ترین و سریع‌ترین تصمیم‌های مهم امنیتی را بگیرند و درنتیجه رفتار خود را در جهت مبارزه کردن با حمله‌ها از حالت واکنشی به حالت فعالانه تغییر دهند.

هوش سایبری به دانشی گفته می‌شود که امکان مطالعه کردن بر روی داده‌ها و ارائه دادن اطلاعات لازم درباره دشمنان را به ما می‌دهد تا از حمله‌های سایبری جلوگیری کرده و یا میزان آن‌ها را به حداقل برسانیم.

با استفاده از هوش تهدید سازمان‌ها می‌توانند آمادگی لازم را به دست آوردند و در عوض حالت واکنش‌پذیری در مقابل حمله‌های سایبری، با امکان پیش‌بینی کننده به مبارزه با آن‌ها بپردازند‌. بدون داشتن درک درست و کاملی از میزان آسیب‌پذیری امنیتی، نحوه اجرا کردن تهدید و شاخص‌های تهدید امکان مبارزه‌ای مؤثر در مقابل حمله‌های سایبری ممکن نیست. متخصص‌های امنیت اطلاعات می‌توانند برای جلوگیری سریع‌تر از حمله‌ها، مهار آن‌ها و صرفه‌جویی در هزینه‌ها کمک بزرگی باشند‌.

هوش تهدید کامل و جامع است و قابلیت این را دارد که امنیت سازمانی را در سطح‌های مختلف مانند فضای ابری و امنیت شبکه بالا ببرد. برای نمونه اگر هر سازمانی بتواند الگوی اصلی هکرها را بیاموزد قادر خواهد بود از خود دفاع کرده و میزان خطرات را به حداقل برساند. در کنار این موارد، سازمان‌ها قادر هستند با تبادل کردن داده‌ها و همکاری باهم و با استفاده از علم هوش تهدید از حملات و تهدیدهای آتی جلوگیری کنند.

در کنار اینکه هوش تهدید قابلیت قرارگیری در حوزه کار تحلیل‌گران را دارد اما تمامی کسانی که در زمینه امنیت سایبری فعال هستند مانند افراد در قسمت مدیریت آسیب‌پذیری، عملیات امنیتی، تحلیل خطر و جلوگیری از تقلب قادر هستند از هوش تهدید استفاده کرده و در تصمیم‌گیری‌ها از آن بهره‌مند شوند.

تحلیلگر اطلاعاتی در تهدیدات سایبری

تحلیلگر اطلاعاتی درواقع یک فرد متخصص در حوزه امنیتی است داده‌های موجود در تهدیدهای سایبری خارجی را برای ارائه نمودن اطلاعاتی قابل‌اجرا، تجزیه‌وتحلیل و نظارت می‌نماید. این افراد متخصص داده‌ها و اطلاعات حادثه‌های امنیتی که از منبع‌های مختلف تهدید جمع‌آوری‌شده است را دسته‌بندی و در زمینه الگو‌های حملات، انگیزه، روش‌شناسی، چشم‌انداز و شدت تهدید اطلاعات کسب می‌کنند. درنهایت داده‌های به‌دست‌آمده از این مطالعات برای تولید کردن گزارش و قیدهای اطلاعاتی تهدید که به افراد بالاتری چون افسر امنیتی در تصمیم گرفتن درباره امنیت سازمان کمک می‌کنند، فیلتر و تجزیه می‌شوند. اغلب این کارشناس‌ها درواقع تحلیل‌گرهایی کارآزموده در زمینه هوش تهدید هستند که دارای مهارت و دانش لازم برای این حرفه را می‌باشند.

انواع هوش تهدید کدام است؟

هوش تهدید را می‌توان به سه دسته تقسیم‌بندی کرد که شامل دسته تاکتیکی، استراتژیک و فنی و عملیاتی است.

  • هوش تهدید استراتژیک: این زیرگروه از هوش تهدید زمینه‌هایی چون مشکلات و ایرادات بلندمدت و روندهای سریع را در بر می‌گیرد. با استفاده از این دسته از هوش تهدید می‌توان به تصویری جامع از اهداف تهدید‌ها و توانایی‌ها دست پیدا نمود و درنتیجه تصمیم‌هایی آگاهانه گرفت و هشدارهایی سریع ایجاد کرد.
  • هوش تهدید تاکتیکی: اطلاعات موجود در دسته‌بندی هوش تهدید تاکتیکی عبارت‌اند از جزئیات کامل‌تر درباره عامل‌های تهدید TTP. این نوع از دسته‌بندی هوش تهدید به پشتیبانی عملیات روزانه و رویدادها می‌پردازد و همچنین ساختاری از تاکتیک‌ها، تکنیک‌ها و روش‌های تهدیدگران را برای مخاطب‌های فنی ارائه می‌کند. این بخش برای تقویت نمودن کنترل‌های امنیتی و حذف آسیب‌پذیری‌ها در شبکه کاملاً مناسب است.
  • هوش تهدید فنی و عملیاتی: این دسته از هوش تهدید همان‌طور که از نام آن مشخص است فنی و تخصصی است و به حملات، کمپین‌ها، ابزارهای مشخص و بدافزارها مربوط می‌شود‌. این دسته از هوش تهدید به مواردی چون شواهد و سرنخ‌های موجود در یک حمله تمرکز می‌کند و درنتیجه یک پایگاه برای تجزیه این حملات ایجاد می‌نماید. هوش تهدید فنی ممکن است به شکل گزارش بازرسی امنیتی در اختیار افراد قرار بگیرد.

جمع‌آوری اطلاعات عملیاتی

جمع‌آوری اطلاعات عملیاتی چندان آسان نیست. تهدیدها اغلب به‌وسیله اتاق گفتگو که به‌صورت رمزگذاری یا خصوصی است ارتباط می‌گیرند و درنتیجه دسترسی پیدا کردن به کانال‌ها چندان آسان نیست. تهدیدها همچنین معمولاً از زبان مبهم و گیج‌کننده استفاده می‌کنند تا مکالماتشان مشخص و قابل‌فهم برای همه نباشد.

برنامه اطلاعاتی تهدید سایبری

برنامه اطلاعاتی تهدیدهای سایبری یک برنامه کاربردی است که هزاران قیدهای اطلاعات درباره تهدیدها را به‌صورت واحد در یک فید ترکیب می‌کند تا بدین‌صورت دسته‌بندی ویژگی‌های تهدیدات سایبری امکان‌پذیر شده و تغییرات و روندها که در رفتار دشمن‌های سایبری دیده می‌شوند قابل‌شناسایی باشد‌. برنامه اطلاعاتی همواره فعالیت‌‌های مرتبط با تهدیدات سایبری را به شکلی بیان می‌کند که قابلیت اشتراک گذاشتن کارآمد و درست اطلاعات و همچنین تحلیل و تجزیه یک تهدید فراهم باشد.

چرخه هوش تهدید

هوش تهدید در عوض استفاده از فرایند end-to-end از یک فرایند چرخشی با نام چرخه هوش تهدید استفاده می‌کند. همواره امکان دارد که در این چرخه شکاف‌ اطلاعاتی و پرسش‌های جدیدی ایجاد شود که سبب به وجود آمدن نیازهای جدید در یک مجموعه می‌شود.

  • جهت‌دهی و برنامه‌ریزی: در این بخش پیش از هر چیز ملزومات و نیازی‌های جمع‌آوری کردن داده‌ها تعریف‌شده و پرسش‌هایی که قابل‌تبدیل به اطلاعات عملیاتی هستند بیان می‌شوند.
  • جمع‌آوری: پس از بیان ملزومات موردنیاز برای جمع‌آوری، داده‌های خام که به تهدیدهای حال و آینده مرتبط هستند جمع‌آوری می‌شوند. در ادامه کار امکان استفاده از منبع‌های متنوع هوش تهدید مانند رکوردهای داخلی، log ها، اینترنت و منابع فنی نیز وجود دارد‌.
  • پردازش: در این بخش مجموعه داده‌هایی که در قسمت پیش جمع‌آوری‌شده‌اند با نام metadata سازمان‌دهی می‌شوند و سپس اطلاعات اضافه یا false positive ها و همچنین false negative ها حذف خواهند شد. برای اینکه سازمان‌دهی داده‌ها آسان‌تر شود از راهکارهایی مانند SIEM و SOAPA استفاده می‌شود‌.
  • تجزیه‌وتحلیل: در این بخش به تمایز میان هوش تهدید و همچنین جمع‌آوری و انتشار دادن اطلاعات ساده پرداخته می‌شود‌‌. با استفاده از روش‌‌هایی مانند تحلیل ساختاری، داده‌هایی که در مرحله قبل پردازش‌شده‌اند تحلیل می‌شوند. درنهایت feed ‌های علم هوش تهدید ساخته‌شده و کارشناسان با استفاده از این اطلاعات می‌توانند IOC یا Indicators of Compromise را شناسایی نمایند. IOC ها معمولاً شامل مواردی چون وب‌سایت‌ها، لینک‌ها، ایمیل‌ها، ضمائم ایمیل و کلید رجیستری مشکوک هستند.
  • انتشار: در پایان خروجی به‌دست‌آمده از تجزیه‌وتحلیل در موعد مناسب به افراد مورد هدف ارسال خواهد شد.
  • بازخورد: افرادی ‌که درخواست‌کننده هستند به بررسی هوش تهدید پرداخته و میزان پاسخ‌دهی اطلاعات جمع‌آوری‌شده به سؤالات خود را مشخص می‌کنند. اگر پس از بررسی مشخص شود که میزان پاسخ‌دهی جامع و کامل بوده است چرخه هوش تهدید پایان می‌یابد و اگر نیاز جدیدی کشف شود این فرایند به مرحله نخست بازمی‌گردد.

چهارچوب‌ اطلاعاتی تهدیدهای سایبری

چهارچوب اطلاعاتی تهدیدهای سایبری مجموعه‌ای از اطلاعات را برای پاسخ دادن به حمله‌های سایبری با استفاده از شناسایی، مدیریت و هشدار به متخصص‌های امنیتی از تهدیدها ایجاد می‌کند. این چهارچوب یک برنامه عملیاتی است که به‌منظور کاهش دادن حمله‌ها با استفاده از جمع‌آوری اطلاعات نهایی منبع تهدید و ایجاد کردن مدل تهدید است.

IOC و زنجیره کشتار سایبری

زنجیره کشتار سایبری عبارت از است مجموعه مراحلی که یک حمله سایبری از مرحله نخست شناسایی و تا مرحله استخراج داده ردیابی می‌نماید. یک زنجیره کشتار به متخصصان کمک می‌کند تا نقص‌های موجود امنیتی، باج افزارها و حملات پیشرفته یا APT ها را شناسایی کرده و به مبارزه با آن‌ها بپردازند‌. با کمک این زنجیره یک کارشناس تمامی مراحل حملات سایبری از ابتدا تا استخراج داده را شناسایی نموده و از آن برای بهبود امنیت یک سازمان استفاده خواهد کرد.

فید هوش تهدید

به مجموعه جریان‌هایی پیوسته از یک سری اطلاعات عملی که درباره تهدید و بازیگران بد است، منبع اطلاعاتی هوش تهدید می‌گویند. افراد متخصص و تحلیلگرهای حوزه هوش تهدید مجموعه داده‌های IOC مانند دامنه مخرب، فعالیت نامعمول و آدرس IP را از منبع‌های گوناگون گردآوری می‌کنند. یک فید فقط مجموعه‌ای از داده‌های خام تهدیدها است و یک تحلیلگر هوش تهدید برای گزارش‌ها از آن بهره‌مند می‌شود.

تکنیک‌ها، تاکتیک‌ها و روش‌های گردآوری داده تهدید

  • گردآوری داده از راه هوش منبع باز یا OSINT: این گزینه عبارت است از گردآوری داده‌ها از راه منبع‌های باز مانند خدمات وب‌ها، موتور جستجو، ایمیل، ردپای وب‌سایت، بازجویی DNS، جستجوی whois و خودکارسازی OSINT به کمک فریم ورک‌ها، ابزارها و اسکریپت‌ها.
  • گردآوری داده‌ها از راه هوش انسانی یا HUMINT: این گزینه عبارت است گردآوری داده از راه تکنیک مهندسی اجتماعی که مبتنی بر بازجویی، مصاحبه و ابزارهای مهندسی اجتماعی است.
  • گردآوری داده از راه ابزارهای ضد جاسوسی سایبری یا CCI: در این گزینه داده تهدید از راه Honeypots، Passive DNS Monitoring، Pivoting Off Adversary’s Infrastructure، Malware Sinkholes و همچنین قوانین YARA گردآوری می‌شود.
  • گردآوری داده‌ها از راه تحلیل و تجزیه بدافزار: تحلیل و تجزیه یک بدافزار شامل مراحل درک کردن منشأ و تأثیری که یک بدافزار دارد و همچنین نحوه عملکرد آن به کمک ابزارهای تحلیل و تجزیه است. یک نمونه بدافزار می‌تواند با شیوه‌های گوناگون عمل کند و اطلاعاتی که مرتبط با دستگاه‌های غیر ایمن است را بدون اطلاع داشتن کاربر گردآوری کند.
  • گردآوری داده از راه شاخص‌های سازش یا IoCs: گردآوری داده‌های مرتبط با شواهد دیجیتال از منبع‌های خارجی، داخلی و ایجاد کردن IOC سفارشی.

آینده هوش تهدید

بر مبنای گزارش ارائه‌شده از Grand View Research, Inc، میزان ارزشمندی بازار علم هوش تهدید تا سال 2025 به مبلغ 12.6 میلیارد دلار می‌رسد. با توجه به این آمار گزارش‌شده می‌توانیم به‌وضوح بالا رفتن تقاضا برای متخصصین هوش تهدید را پیش‌بینی کنیم. درنتیجه می‌توان ادعا کرد که در سال‌های پیش رو با بالا رفتن میزان تقاضا، فضای بیشتری نیز برای سرویس‌های مرتبط با هوش تهدید وجود خواهد داشت.

باوجوداینکه سازمان‌ها بر روی امنیت سایبری شرکت خود سرمایه‌گذاری‌های لازم را می‌کنند اما قطعاً همچنان در معرض خطر حمله‌های سایبری هستند. بدین ترتیب این خطرات یک هشدار جدی است تا روش‌های سنتی در حوزه امنیت سایبری باید با شیوه‌های جدید و البته مؤثر جایگزین شوند.

آخرین اخبار
انتخابات کمیسیون‌های سازمان نصر تهران خرداد 1403
مشارکت آرنیکاطرح در پانزدهمین نمایشگاه بین المللی صنعت مالی
مشارکت آرنیکاطرح در هشتمین دوره رویداد کیش اینوکس در جزیره کیش
نشست شورای گفت‌وگوی دولت و بخش خصوصی در خصوص سامانه رهسار
۶۰۰ میلیارد تومان پول حقیقی از بازار خارج شد!
دسته‌بندی خبر 
اخبار مرتبط
لینک کوتاه 
https://mag.arnika.ai/?p=2196
گرافیوم سهام
کتابچه گرافیوم FMCG
کتاب عنصر مفهومی اقتصاد 
عضویت در خبرنامه