جستجو برای:
  • تقویم آموزشی
  • آموزش
    • آموزش آنلاین
    • آموزش آفلاین
  • لابراتوار آنلاین
  • وبینارها
    • پایتون برای هر چیزی
    • وبینار معرفی پیش نیاز های دوره های امنیت
    • وبینار معرفی دوره جامع Cisco Collaboration
    • وبینار معرفی دوره مهندسی پایتون
    • ذهنیت ها و تکنیک های چابکی برای توانمندسازی it
    • راه اندازی IP Telephony سیسکو در شبکه های سازمانی
    • وبینار Infrastructure as Code
    • وبینار امنیت سیستم های کنترل صنعتی
    • وبینار معرفی مرکز عملیات امنیت
    • وبینار ربات نویسی تلگرام با پایتون
    • وبینار نفوذ و گرفتن دسترسی از تلگرام
    • وبینار اصول نظارت بر شبکه های مخابراتی با رویکرد رگولاتوری
    • وبینار CSCU
    • وبینار Container on Wheels
    • وبینار مسیر آموزشی SANS
    • وبینار پدافند غیرعامل
    • وبینار Wazuh
  • بین الملل
    • ورود و ثبت نام کاربران
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • دوره ها
    • امنیت
      • EC-Council
      • F5
      • Fortinet
      • ISACA
      • ISC2
      • Juniper
      • Payment Security
      • SANS
      • SCADA
      • Secure coding
      • SOC
      • Splunk
    • بانک اطلاعاتی
      • Oracle
      • SQL Server
    • برنامه نویسی
      • IOS
      • programming & Web
    • ذخیره و بازیابی اطلاعات
      • Big Data
      • EMC
      • HP
      • Netbackup
      • veeam
    • شبکه
      • Cisco Old Level
      • Cisco New Level
      • CompTIA
      • EPI
      • Linux
      • Microsoft
      • Mikrotik
      • SolarWinds
    • کارکنان دولت
    • مجازی سازی
      • Cloud computing
      • Hyper-V
      • VMWare
      • AWS
      • Azure
    • Devops
    • مخابرات
    • مدیریت فناوری اطلاعات
      • ISO 27001
      • IT Management
      • Project Management
    • ارزهای دیجیتال
    • ویژه دوران
      • کارگاه ها و سمینارها
      • محصولات دوران
  • کتابخانه
  • پادکست
  • ویدئوها
 
  • 02143585
  • دعوت به همکاری
  • درباره ما
  • تماس با ما
  • گروه دوران
  • دورتال
  • بلاگ
دوران آکادمی
دسته بندی‌ دوره‌ها
  • شبکه
    • Microsoft
    • SolarWinds
    • CompTIA
    • Cisco Old Level
      • Cisco New Level
    • Mikrotik
    • Linux
    • EPI
  • مخابرات
    • مخابرات
  • امنیت
    • ISC2
    • F5
    • EC-Council
    • Juniper
    • SOC
    • Fortinet
    • SANS
    • SCADA
    • ISACA
    • Secure coding
    • Payment Security
    • Splunk
  • مجازی سازی
    • Hyper-V
    • Cloud computing
    • VMWare
    • AWS
    • Azure
  • Devops
    • Devops
  • مدیریت فناوری اطلاعات
    • ISO 27001
    • IT Management
    • Project Management
  • برنامه نویسی
    • IOS
    • programming & Web
  • ذخیره و بازیابی اطلاعات
    • Big Data
    • HP
    • EMC
    • Netbackup
    • veeam
  • بانک اطلاعاتی
    • Oracle
    • SQL Server
  • دیجیتال مارکتینگ
    • دیجیتال مارکتینگ
  • ارزهای دیجیتال
    • ارزهای دیجیتال
  • ویژه دوران
    • کارگاه ها و سمینارها
    • محصولات دوران
    • کارکنان دولت
0

ورود و ثبت نام

  • صفحه اصلی
  • تقویم آموزشی
  • آموزش آنلاین
  • لابراتوار آنلاین
  • وبینارها
    • پایتون برای هر چیزی
    • وبینار معرفی پیش نیاز های دوره های امنیت
    • وبینار معرفی دوره جامع Cisco Collaboration
    • وبینار معرفی دوره مهندسی پایتون
    • ذهنیت ها و تکنیک های چابکی برای توانمندسازی it
    • راه اندازی IP Telephony سیسکو در شبکه های سازمانی
    • وبینار Infrastructure as Code
    • وبینار امنیت سیستم های کنترل صنعتی
    • وبینار معرفی مرکز عملیات امنیت
    • وبینار ربات نویسی تلگرام با پایتون
    • وبینار نفوذ و گرفتن دسترسی از تلگرام
    • اصول نظارت بر شبکه های مخابراتی
    • وبینار CSCU
    • وبینار Container on Wheels
    • وبینار مسیر آموزشی SANS
    • وبینار پدافند غیرعامل
    • وبینار Wazuh
  • بین الملل
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • فرم پیش ثبت نام
  • کتابخانه
  • پادکست
  • ویدئوها

وبلاگ

دوران آکادمی بلاگ مقالات امنیت شکار تهدیدات یا Threat Hunting چیست؟

شکار تهدیدات یا Threat Hunting چیست؟

1401/05/18
ارسال شده توسط soheili
امنیت ، شبکه ، مقالات
1.1k بازدید
شکار تهدیدات یا Threat Hunting چیست؟

شکار تهدیدات مقوله‌ای بسیار مهم در امنیت سایبری است زیرا تهدیدات پیچیده ممکن است از امنیت سایبری ماشینی، عبور کنند. اگرچه برخی ابزارهای امنیتی و تحلیلگران مرکز عملیات امنیت سطح 1 و 2 باید قادر باشند تا با حدود 80 درصد از تهدیدات مقابله کنند، ولی هنوز لازم است که در مورد 20 درصد باقیمانده اقداماتی انجام داد. این 20 درصد شامل تهدیدات پیچیده‌ای است که می‌توانند خسارات عمده‌ای وارد کنند. در صورت داشتن زمان و منابع کافی، می‌توانند به هر شبکه‌ای نفوذ کنند و به مدت میانگین 280 روز نیز شناسایی نشوند. شکار تهدیدات موثر کمک می‌کند تا زمان کشف نفوذ کاهش یابد و در نتیجه از میزان خسارات وارد شده توسط مهاجمان نیز کاسته شود.

مهاجمان غالبا هفته‌ها و حتی ماه‌ها بدون اینکه شناسایی شوند، به کار خود ادامه می‌دهند. آن‌ها با صبر و حوصله زیاد منتظر می‌مانند تا داده‌ها را جمع آوری کنند و اطلاعات محرمانه کافی برای دستیابی‌های بیشتر را به منظور ایجاد شرایط یک نفوذ گسترده، به دست آورند. این تهدیدات به صورت بالقوه چقدر می‌توانند خسارت وارد کنند؟ طبق مطالعات صورت گرفته در آمریکا، میزان خسارات وارد شده به یک شرکت به صورت متوسط می‌تواند در حدود 4 میلیون دلار باشد و اثرات مخرب این نفوذ ممکن است تا سال‌ها باقی بماند. هرچه زمان بین نقص سیستم و پاسخگویی به آن بیشتر باشد، خسارات وارد شده به شرکت نیز می‌تواند بیشتر شود.

 

شکار تهدیدات چگونه عمل می‌کند؟

یک برنامه شکار تهدیدات موفق بر داده‌های محیطی غنی مبتنی است. به عبارت دیگر، یک سازمان باید در ابتدا یک سیستم امنیتی سازمانی داشته باشد که داده‌ها را جمع آوری کند. داده‌های جمع آوری شده از این سیستم می‌تواند سرنخ‌های ارزشمندی برای شکار تهدیدات ارائه دهد.

شکارچیان تهدیدات امنیتی، به عنوان یک المان انسانی، به امنیت سازمانی اضافه می‌شوند و مانند مکملی برای سیستم امنیتی ماشینی عمل می‌کنند. این افراد، متخصصان امنیتی خبره حوزه فناوری اطلاعات هستند که به جستجو، نظارت و خنثی‌سازی تهدیدات، قبل از اینکه منجر به مشکلات جدی شوند، می‌پردازند. این افراد در شرایط ایده‌آل، تحلیلگرانی از درون دپارتمان فناوری اطلاعات سازمان هستند که با عملیات به خوبی آشنایی دارند. اما در برخی موارد، از متخصصان خارج از سازمان هستند.

هنر شکار تهدیدات این است که ناشناخته‌های محیط را پیدا می‌کند. این کار، چیزی فراتر از تکنولوژی‌های شناسایی سنتی مانند SIEM، EDR و سایر موارد است. شکارچیان تهدید در میان داده‌ها به جستجوی بدافزارهای پنهان و یا مهاجمان می‌پردازند و به دنبال الگوهای فعالیت مشکوکی هستند که از چشم کامپیوتر پنهان مانده یا کامپیوتر به اشتباه تشخیص داده که امن هستند. همچنین، شکارچیان تهدید کمک می‌کنند تا سیستم امنیتی سازمان به منظور جلوگیری از بروز مجدد آن نوع از تهاجم سایبری، ترمیم شود.

انواع شکار تهدیدات

انواع شکار تهدیدات

شکارچیان بر اساس فرضیاتی که از داده‌های امنیتی به دست آورده‌اند، فعالیت خود را آغاز می‌کنند. آن‌ها از این فرضیات برای بررسی عمیق ریسک‌های بالقوه استفاده می‌کنند. این بررسی‌ها به سه شکل ساختار یافته، بدون ساختار و موقعیتی انجام می‌گیرد.

 

شکار ساختار یافته

یک شکار ساختار یافته بر اساس شاخص‌های حمله (IoA) و بررسی تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مهاجم انجام می‌گیرد. از آن‌جایی که تمام شکارها هم راستا هستند و بر اساس TTP مهاجم انجام می‌شوند، شکارچی تهدید معمولا می‌تواند یک مهاجم را قبل از اینکه صدمه‌ای وارد کند، شناسایی کند. این نوع شکار از فریمورک MITRE ATT&CK استفاده می‌کند.

 

شکار بدون ساختار

یک شکار بدون ساختار بر اساس یک Trigger که یکی از چندین شاخص IoC است، صورت می‌گیرد. تریگرها اغلب به شکارچی سرنخ‌هایی می‌دهد تا به دنبال الگوهای قبل و بعد از شناسایی بگردد. با ایجاد چهارچوبی برای شکارچی، او می‌تواند تا جایی که حفظ داده‌ها و حملات وابسته قبلی اجازه می‌دهند، تحقیق کند.

 

شکار موقعیتی یا بر مبنای واحد

یک فرضیه موقعیتی از ارزیابی ریسک داخلی سازمان یا تحلیل نقاط ضعف مختص محیط IT آن، ایجاد می‌شود. سرنخ‌های واحد محور از داده‌های حملات جمع سپاری شده (Crowd-Sourced Attack Data) می‌آید که وقتی بررسی شود، آخرین تاکتیک‌ها، تکنیک‌ها و روندهای (TTP) تهدیدات سایبری حال حاضر را آشکار می‌کند. یک شکارچی تهدید می‌تواند این رفتارهای خاص در محیط را جستجو کند.

انواع شکار تهدیدات

 

شکار مبتنی بر هوش تهدیدات (Intel-Based Hunt)

شکار Intel-Based یک مدل شکار فعال است که از منابع شناسایی هوشمند تهدید شاخص‌های حمله (IoC) استفاده می‌کند. این روش از رویه‌های از پیش تعریف شده SIEM استفاده می‌کند.

شکارهای Intel-Based می‌توانند مقادیر هش IoC، آدرس‌های IP، نام‌های دامنه، شبکه‌ها یا هاستی که توسط پلتفرم‌های به اشتراک گذاری هوشمند مانند CERT تامین شده است، استفاده می‌کند. یک هشدار اتوماتیک می‌تواند در این پلتفرم‌ها ایجاد شود و در SIEM به عنوان STIX و TAXII وارد شود. وقتی هشدار SIEM بر مبنای IoC دریافت شود، شکارچی تهدید می‌تواند فعالیت‌های مشکوک قبل و بعد از هشدار را بررسی کند تا هرگونه ضعفی را بیابد.

 

شکار بر مبنای فرضیه

شکار بر مبنای فرضیه یک مدل شکار پیشگیرانه است که از کتابخانه شکار تهدید استفاده می‌کند. با فریمورک MITRE ATT&CK هم راستا است و روش‌های شناسایی عمومی را به منظور شناسایی گروه‌های تهدید مداوم پیشرفته و حملات بدافزار به کار می‌گیرد.

شکار بر مبنای فرضیه از IoAها و TTPهای مهاجمان استفاده می‌کند. شکارچی، تهدیدگر را بر اساس محیط، دامنه و رفتارهای تهاجمی به کار گرفته شده شناسایی می‌کند تا یک فرضیه هم راستا با فریمورک MITRE ایجاد کند. وقتی یک رفتار شناسایی می‌شود، شکارچی تهدید الگوهای فعالیتی را نظارت می‌کند تا تهدید را شناسایی و ایزوله کند. از این طریق، شکارچی تهدید می‌تواند به صورت پیشگیرانه عاملین تهدید را قبل از آن که آسیبی وارد کنند، شناسایی کند.

 

شکار Custom یا سفارشی‌سازی شده

این شکار بر اساس آگاهی بر مبنای موقعیت و متودولوژی‌های شکار بر مبنای صنعت است. این مدل، ناهنجاری‌های SIEM و ابزارهای EDR را شناسایی می‌کند و بر اساس نیاز مشتری آن را سفارشی می‌کند.

شکارهای Custom یا موقعیتی بر اساس نیاز مشتری هستند و به صورت Proactive بر مبنای موقعیت‌هایی مانند مسائل ژئوپولیتیک و حملات هدفمند، اجرا می‌شوند. این فعالیت‌های شکار می‌توانند با استفاده از IoA و IoC به مدل‌های شکار برمبنای فرضیه یا Intel-Based متصل شوند.

 

ابزارهای شکار تهدید

شکارچیان از داده‌های MDR، SIEM و ابزارهای تحلیل امنیتی به عنوان اساس شکار استفاده می‌کنند. آن‌ها همچنین می‌توانند از ابزارهای دیگر مانند Packer Analyzers برای شکار برپایه شبکه استفاده کنند. اگرچه لازمه استفاده از ابزارهای SIEM و MDR این است که تمام منابع مورد نیاز و ابزارها، یکپارچه باشند. این یکپارچگی اطمینان می‌دهد که سرنخ IoA و IoC می‌توانند یک راهنمای مناسب برای شکار ایجاد کنند.

 

MDR (Managed Detection and Response)

MDR هوش تهدید و شکار تهدید Proactive را به منظور شناسایی و رفع تهدیدهای پیشرفته به کار می‌گیرد. این نوع از راهکار امنیتی می‌تواند زمان توقف (dwell time) حمله را کاهش دهد و پاسخ‌های قاطع و سریعی به حمله در شبکه بدهد.

SIEM

SIEM نظارت در لحظه و تحلیل Event را به علاوه  ردیابی و logging داده امنیتی را انجام می‌دهد. SIEM می‌تواند رفتارهای غیر نرمال کاربر و سایر بی‌نظمی‌هایی که منجر به کسب سرنخ‌های ضروری برای تحقیقات عمیق‌تر می‌شود را کشف کند.

Security Analytics (تجزیه و تحلیل امنیتی)

Security Analytics تلاش می‌کند تا فراتر از سیستم‌های SIEM عمل کند تا بینش عمیق‌تری درباره داده امنیتی به شما بدهد. با ترکیب Big Data که توسط تکنولوژی امنیتی جمع آوری شده است با یادگیری ماشینی و AI، Security Analytics می‌تواند تحقیق در مورد تهدیدات را سرعت ببخشد.

۱
۲
۳
۴
۵
میانگین امتیازات ۵ از ۵
از مجموع ۱ رای
اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
محتوا پنهان
1 شکار تهدیدات چگونه عمل می‌کند؟
2 انواع شکار تهدیدات
3 شکار ساختار یافته
4 شکار بدون ساختار
5 شکار موقعیتی یا بر مبنای واحد
6 شکار مبتنی بر هوش تهدیدات (Intel-Based Hunt)
7 شکار بر مبنای فرضیه
8 شکار Custom یا سفارشی‌سازی شده
9 ابزارهای شکار تهدید
10 MDR (Managed Detection and Response)
مطالب زیر را حتما بخوانید
  • آموزش The Dude میکروتیک
    آموزش The Dude میکروتیک

    97 بازدید

  • اسکریپت نویسی شل چیست؟
    اسکریپت نویسی شل چیست؟

    154 بازدید

  • جیسون (JSON) برای پایتون
    جیسون (JSON) برای پایتون

    168 بازدید

  • جیسون (json) چیست؟
    جیسون (json) چیست؟

    129 بازدید

  • اکسپلویت سرریز بافر

    270 بازدید

  • پهنای باند چیست
    پهنای باند چه چیزی هست (پهنای باند چیست)

    436 بازدید

قدیمی تر Community String چیست؟ بررسی کاربرد در پروتکل SNMP
جدیدتر پروتکل (Protocol) چیست؟
0 0 رای ها
رأی دهی به مقاله
اشتراک در
وارد شدن
اطلاع از
guest

guest

0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
دسته‌های دوره های آموزشی
  • آموزش دوره های devOPS
  • ارزهای دیجیتال
  • امنیت
    • EC-Council
    • F5
    • Fortinet
    • ISACA
    • ISC2
    • Juniper
    • Payment Security
    • SANS
    • SCADA
    • Secure coding
    • SOC
    • Splunk
  • بانک اطلاعاتی
    • Oracle
    • SQL Server
  • برنامه نویسی
    • IOS
    • programming & Web
  • درحال برگزاری
  • دیجیتال مارکتینگ
  • ذخیره و بازیابی اطلاعات
    • Big Data
    • EMC
    • HP
    • Netbackup
    • veeam
  • شبکه
    • Cisco Old Level
      • Cisco New Level
    • CompTIA
    • EPI
    • Linux
    • Microsoft
    • Mikrotik
    • SolarWinds
  • کارکنان دولت
  • مجازی سازی
    • AWS
    • Azure
    • Cloud computing
    • Hyper-V
    • VMWare
  • مخابرات
  • مدیریت فناوری اطلاعات
    • ISO 27001
    • IT Management
    • Project Management
  • ویژه دوران
    • کارگاه ها و سمینارها
    • محصولات دوران
محتوا پنهان
1 شکار تهدیدات چگونه عمل می‌کند؟
2 انواع شکار تهدیدات
3 شکار ساختار یافته
4 شکار بدون ساختار
5 شکار موقعیتی یا بر مبنای واحد
6 شکار مبتنی بر هوش تهدیدات (Intel-Based Hunt)
7 شکار بر مبنای فرضیه
8 شکار Custom یا سفارشی‌سازی شده
9 ابزارهای شکار تهدید
10 MDR (Managed Detection and Response)
اطلاعات تماس
  • خیابان بهشتی، خیابان پاکستان، خیابان حکیمی پلاک ۱۲
  • 02143585 داخلی 264 و 257 و 269
  • 02143585555
پیوندهای مهم
  • گالری
  • مجوزها
  • فرم پیش ثبت نام
  • مشتریان
  • فرم درخواست مدرک
  • لابراتوار آنلاین
  • در حال تکمیل ظرفیت
  • سند راهبردی آموزش
  • بلاگ
تمامی حقوق برای آکادمی دوران محفوظ می باشد.

آموزش نه ! استخدامت هم با آکادمی دوران  ( کلیک کنید)

wpDiscuz
0
0
افکار شما را دوست داریم، لطفا نظر دهید.x
()
x
| پاسخ

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت