شکار تهدیدات یا Threat Hunting چیست؟

Q: شکار تهدیدات یا Threat Hunting چیست؟

شکار تهدیدات مقولهای بسیار مهم در امنیت سایبری است زیرا تهدیدات پیچیده ممکن است از امنیت سایبری ماشینی، عبور کنند. اگرچه برخی ابزارهای امنیتی و تحلیلگران مرکز عملیات امنیت سطح 1 و 2 باید قادر باشند تا با حدود 80 درصد از تهدیدات مقابله کنند، ولی هنوز لازم است که در مورد 20 درصد باقیمانده اقداماتی انجام داد.

Q: شکار تهدیدات چگونه عمل میکند؟

یک برنامه شکار تهدیدات موفق بر دادههای محیطی غنی مبتنی است. به عبارت دیگر، یک سازمان باید در ابتدا یک سیستم امنیتی سازمانی داشته باشد که دادهها را جمع آوری کند. دادههای جمع آوری شده از این سیستم میتواند سرنخهای ارزشمندی برای شکار تهدیدات ارائه دهد.

شکار تهدیدات مقوله‌ای بسیار مهم در امنیت سایبری است زیرا تهدیدات پیچیده ممکن است از امنیت سایبری ماشینی، عبور کنند. اگرچه برخی ابزارهای امنیتی و تحلیلگران مرکز عملیات امنیت سطح 1 و 2 باید قادر باشند تا با حدود 80 درصد از تهدیدات مقابله کنند، ولی هنوز لازم است که در مورد 20 درصد باقیمانده اقداماتی انجام داد. این 20 درصد شامل تهدیدات پیچیده‌ای است که می‌توانند خسارات عمده‌ای وارد کنند. در صورت داشتن زمان و منابع کافی، می‌توانند به هر شبکه‌ای نفوذ کنند و به مدت میانگین 280 روز نیز شناسایی نشوند. شکار تهدیدات موثر کمک می‌کند تا زمان کشف نفوذ کاهش یابد و در نتیجه از میزان خسارات وارد شده توسط مهاجمان نیز کاسته شود.

مهاجمان غالبا هفته‌ها و حتی ماه‌ها بدون اینکه شناسایی شوند، به کار خود ادامه می‌دهند. آن‌ها با صبر و حوصله زیاد منتظر می‌مانند تا داده‌ها را جمع آوری کنند و اطلاعات محرمانه کافی برای دستیابی‌های بیشتر را به منظور ایجاد شرایط یک نفوذ گسترده، به دست آورند. این تهدیدات به صورت بالقوه چقدر می‌توانند خسارت وارد کنند؟ طبق مطالعات صورت گرفته در آمریکا، میزان خسارات وارد شده به یک شرکت به صورت متوسط می‌تواند در حدود 4 میلیون دلار باشد و اثرات مخرب این نفوذ ممکن است تا سال‌ها باقی بماند. هرچه زمان بین نقص سیستم و پاسخگویی به آن بیشتر باشد، خسارات وارد شده به شرکت نیز می‌تواند بیشتر شود.

شکار تهدیدات چگونه عمل می‌کند؟

یک برنامه شکار تهدیدات موفق بر داده‌های محیطی غنی مبتنی است. به عبارت دیگر، یک سازمان باید در ابتدا یک سیستم امنیتی سازمانی داشته باشد که داده‌ها را جمع آوری کند. داده‌های جمع آوری شده از این سیستم می‌تواند سرنخ‌های ارزشمندی برای شکار تهدیدات ارائه دهد.

شکارچیان تهدیدات امنیتی، به عنوان یک المان انسانی، به امنیت سازمانی اضافه می‌شوند و مانند مکملی برای سیستم امنیتی ماشینی عمل می‌کنند. این افراد، متخصصان امنیتی خبره حوزه فناوری اطلاعات هستند که به جستجو، نظارت و خنثی‌سازی تهدیدات، قبل از اینکه منجر به مشکلات جدی شوند، می‌پردازند. این افراد در شرایط ایده‌آل، تحلیلگرانی از درون دپارتمان فناوری اطلاعات سازمان هستند که با عملیات به خوبی آشنایی دارند. اما در برخی موارد، از متخصصان خارج از سازمان هستند.

هنر شکار تهدیدات این است که ناشناخته‌های محیط را پیدا می‌کند. این کار، چیزی فراتر از تکنولوژی‌های شناسایی سنتی مانند SIEM، EDR و سایر موارد است. شکارچیان تهدید در میان داده‌ها به جستجوی بدافزارهای پنهان و یا مهاجمان می‌پردازند و به دنبال الگوهای فعالیت مشکوکی هستند که از چشم کامپیوتر پنهان مانده یا کامپیوتر به اشتباه تشخیص داده که امن هستند. همچنین، شکارچیان تهدید کمک می‌کنند تا سیستم امنیتی سازمان به منظور جلوگیری از بروز مجدد آن نوع از تهاجم سایبری، ترمیم شود.

انواع شکار تهدیدات

شکارچیان بر اساس فرضیاتی که از داده‌های امنیتی به دست آورده‌اند، فعالیت خود را آغاز می‌کنند. آن‌ها از این فرضیات برای بررسی عمیق ریسک‌های بالقوه استفاده می‌کنند. این بررسی‌ها به سه شکل ساختار یافته، بدون ساختار و موقعیتی انجام می‌گیرد.

شکار ساختار یافته

یک شکار ساختار یافته بر اساس شاخص‌های حمله (IoA) و بررسی تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مهاجم انجام می‌گیرد. از آن‌جایی که تمام شکارها هم راستا هستند و بر اساس TTP مهاجم انجام می‌شوند، شکارچی تهدید معمولا می‌تواند یک مهاجم را قبل از اینکه صدمه‌ای وارد کند، شناسایی کند. این نوع شکار از فریمورک MITRE ATT&CK استفاده می‌کند.

شکار بدون ساختار

یک شکار بدون ساختار بر اساس یک Trigger که یکی از چندین شاخص IoC است، صورت می‌گیرد. تریگرها اغلب به شکارچی سرنخ‌هایی می‌دهد تا به دنبال الگوهای قبل و بعد از شناسایی بگردد. با ایجاد چهارچوبی برای شکارچی، او می‌تواند تا جایی که حفظ داده‌ها و حملات وابسته قبلی اجازه می‌دهند، تحقیق کند.

شکار موقعیتی یا بر مبنای واحد

یک فرضیه موقعیتی از ارزیابی ریسک داخلی سازمان یا تحلیل نقاط ضعف مختص محیط IT آن، ایجاد می‌شود. سرنخ‌های واحد محور از داده‌های حملات جمع سپاری شده (Crowd-Sourced Attack Data) می‌آید که وقتی بررسی شود، آخرین تاکتیک‌ها، تکنیک‌ها و روندهای (TTP) تهدیدات سایبری حال حاضر را آشکار می‌کند. یک شکارچی تهدید می‌تواند این رفتارهای خاص در محیط را جستجو کند.

انواع شکار تهدیدات

شکار مبتنی بر هوش تهدیدات (Intel-Based Hunt)

شکار Intel-Based یک مدل شکار فعال است که از منابع شناسایی هوشمند تهدید شاخص‌های حمله (IoC) استفاده می‌کند. این روش از رویه‌های از پیش تعریف شده SIEM استفاده می‌کند.

شکارهای Intel-Based می‌توانند مقادیر هش IoC، آدرس‌های IP، نام‌های دامنه، شبکه‌ها یا هاستی که توسط پلتفرم‌های به اشتراک گذاری هوشمند مانند CERT تامین شده است، استفاده می‌کند. یک هشدار اتوماتیک می‌تواند در این پلتفرم‌ها ایجاد شود و در SIEM به عنوان STIX و TAXII وارد شود. وقتی هشدار SIEM بر مبنای IoC دریافت شود، شکارچی تهدید می‌تواند فعالیت‌های مشکوک قبل و بعد از هشدار را بررسی کند تا هرگونه ضعفی را بیابد.

شکار بر مبنای فرضیه

شکار بر مبنای فرضیه یک مدل شکار پیشگیرانه است که از کتابخانه شکار تهدید استفاده می‌کند. با فریمورک MITRE ATT&CK هم راستا است و روش‌های شناسایی عمومی را به منظور شناسایی گروه‌های تهدید مداوم پیشرفته و حملات بدافزار به کار می‌گیرد.

شکار بر مبنای فرضیه از IoAها و TTPهای مهاجمان استفاده می‌کند. شکارچی، تهدیدگر را بر اساس محیط، دامنه و رفتارهای تهاجمی به کار گرفته شده شناسایی می‌کند تا یک فرضیه هم راستا با فریمورک MITRE ایجاد کند. وقتی یک رفتار شناسایی می‌شود، شکارچی تهدید الگوهای فعالیتی را نظارت می‌کند تا تهدید را شناسایی و ایزوله کند. از این طریق، شکارچی تهدید می‌تواند به صورت پیشگیرانه عاملین تهدید را قبل از آن که آسیبی وارد کنند، شناسایی کند.

شکار Custom یا سفارشی‌سازی شده

این شکار بر اساس آگاهی بر مبنای موقعیت و متودولوژی‌های شکار بر مبنای صنعت است. این مدل، ناهنجاری‌های SIEM و ابزارهای EDR را شناسایی می‌کند و بر اساس نیاز مشتری آن را سفارشی می‌کند.

شکارهای Custom یا موقعیتی بر اساس نیاز مشتری هستند و به صورت Proactive بر مبنای موقعیت‌هایی مانند مسائل ژئوپولیتیک و حملات هدفمند، اجرا می‌شوند. این فعالیت‌های شکار می‌توانند با استفاده از IoA و IoC به مدل‌های شکار برمبنای فرضیه یا Intel-Based متصل شوند.

ابزارهای شکار تهدید

شکارچیان از داده‌های MDR، SIEM و ابزارهای تحلیل امنیتی به عنوان اساس شکار استفاده می‌کنند. آن‌ها همچنین می‌توانند از ابزارهای دیگر مانند Packer Analyzers برای شکار برپایه شبکه استفاده کنند. اگرچه لازمه استفاده از ابزارهای SIEM و MDR این است که تمام منابع مورد نیاز و ابزارها، یکپارچه باشند. این یکپارچگی اطمینان می‌دهد که سرنخ IoA و IoC می‌توانند یک راهنمای مناسب برای شکار ایجاد کنند.

MDR (Managed Detection and Response)

MDR هوش تهدید و شکار تهدید Proactive را به منظور شناسایی و رفع تهدیدهای پیشرفته به کار می‌گیرد. این نوع از راهکار امنیتی می‌تواند زمان توقف (dwell time) حمله را کاهش دهد و پاسخ‌های قاطع و سریعی به حمله در شبکه بدهد.

SIEM

SIEM نظارت در لحظه و تحلیل Event را به علاوه ردیابی و logging داده امنیتی را انجام می‌دهد. SIEM می‌تواند رفتارهای غیر نرمال کاربر و سایر بی‌نظمی‌هایی که منجر به کسب سرنخ‌های ضروری برای تحقیقات عمیق‌تر می‌شود را کشف کند.

Security Analytics (تجزیه و تحلیل امنیتی)

Security Analytics تلاش می‌کند تا فراتر از سیستم‌های SIEM عمل کند تا بینش عمیق‌تری درباره داده امنیتی به شما بدهد. با ترکیب Big Data که توسط تکنولوژی امنیتی جمع آوری شده است با یادگیری ماشینی و AI، Security Analytics می‌تواند تحقیق در مورد تهدیدات را سرعت ببخشد.