هوشِ تهدید، ابزاری برای مقابله با حملات سایبری

هوشِ تهدید، اطلاعاتی است که از تجزیه و تحلیل داده‌ها با استفاده از ابزار‌ها و تکنیک‌ها به دست می‌آید. با استفاده از این داده‌ها می‌توان برای مقابله با تهدیدات سایبری استفاده کرد. هوش تهدید به سازمان‌ها کمک می‌کند تا تصمیمات امنیتی سریع‌تر و آگاهانه‌تری بگیرند و رفتار خود را برای مبارزه با حملات، از واکنشی به فعالانه تغییر دهند.

هوش سایبری دانشی است که به ما امکان می‌دهد با مطالعه داده‌ها و ارائه اطلاعات در مورد دشمنان، از حملات سایبری جلوگیری کرده یا آن‌ها کاهش دهیم.

هوش تهدید، سازمان‌ها را آماده می‌کند تا به جای واکنش‌پذیری در برابر حملات سایبری، با قابلیت‌های پیش‌بینی‌کننده به مبارزه با آن‌ها بروند. بدون درک آسیب‌پذیری‌های امنیتی، شاخص‌های تهدید و نحوه اجرای تهدیدها، مبارزه مؤثر با حملات سایبری غیرممکن است. با کمک متخصصان امنیت اطلاعات سایبری می‌توان سریع‌تر از حملات جلوگیری کرده و آن‌ها را مهار و در صورت در صورت حملات سایبری در هزینه‌ها صرفه‌جویی کرد.

هوش تهدید می‌تواند امنیت سازمانی را در هر سطحی از جمله امنیت شبکه و فضای ابری افزایش دهد.

"هوشِ تهدید، اطلاعاتی است که از تجزیه و تحلیل داده‌ها با استفاده از ابزار‌ها و تکنیک‌ها به دست می‌آید"برای مثال اگر سازمان‌ها بتوانند الگو‌های هکر‌ها یا مهاجمان را یاد بگیرند، می‌توانند به دفاع از خودشان بپزدازند و خطرات را کاهش دهند. همچنین سازمان‌ها می‌توانند با تبادل اطلاعات و همکاری با یکدیگر، با کمک هوش تهدید از تهدیدات آتی پیشگیری کنند.

باوجود اینکه هوش تهدید می‌تواند در حیطه کاری تحلیل گران پیشرفته باشد اما همه افراد فعال در حوزه امنیت سایبری مانند افراد درگیر در مدیریت آسیب پذیری، عملیات‌های امنیتی، پیشگیری از تقلب و تحلیل خطر می‌توانند از این علم بهره برده و برای تصمیم گیری از آن استفاده کنند.

تحلیلگر اطلاعاتی تهدیدات سایبری کیست؟

یک تحلیلگر اطلاعات سایبری یک متخصص امنیتی است که داده‌های تهدیدات سایبری خارجی را برای ارائه اطلاعات قابل اجرا، نظارت و تجزیه و تحلیل می‌کند. این کارشناسان داده‌های حوادث امنیتی جمع‌آوری‌شده از منابع مختلف اطلاعاتی تهدید را دسته بندی و الگوی حملات، روش‌شناسی، انگیزه، شدت و چشم‌انداز تهدید را مطالعه می‌کنند. سپس این داده‌ها برای تولید فید‌ها و گزارش‌های اطلاعاتی تهدید که به افسر امنیتی در تصمیم گیری در مورد امنیت سازمانی کمک می‌کند، تجزیه و تحلیل و فیلتر می‌شود. اغلب این افراد، تحلیل‌گران خبره هوش تهدید هستند که هم دانش و هم مهارت‌های مورد نیاز برای این شغل را دارند.

انواع هوش تهدید

هوش تهدید عمدتاً به سه دسته استراتژیک، تاکتیکی، فنی و عملیاتی طبقه بندی می‌شود:

هوش تهدید استراتژیک: این دسته از هوش تهدید مشکلات بلندمدت و روند‌های سریع را پوشش می‌دهد.

این نوع از هوش تهدید می‌تواند تصویری کلی از توانایی‌ها و اهداف تهدیدات سایبری را ایجاد کرده و به تصمیم‌گیری‌های آگاهانه و هشدار‌های فوری کمک کند.

هوش تهدید تاکتیکی: اطلاعات تهدید تاکتیکی شامل جزئیات بیشتر در مورد عوامل تهدید TTP است. این نوع هوش تهدید، رویداد‌ها و عملیات‌های روزانه را پشتیبانی می‌کند و به ارائه ساختاری از تکنیک ها، تاکتیک ها، و رویه‌های تهدیدگران برای مخاطبان فنی می‌پردازد. این یافته برای تقویت کنترل‌های امنیتی موجود استفاده می‌شود و به حذف آسیب‌پذیری‌های شبکه کمک می‌کند.

هوش تهدید فنی و عملیاتی: این دسته کاملا فنی و تخصصی است و مربوط به کمپین ها، حملات، بدافزار‌ها و ابزار‌های مشخص است. هوش تهدید فنی بر سرنخ‌ها یا شواهد خاصی از یک حمله تمرکز کرده و پایگاهی برای تجزیه و تحلیل چنین حملاتی ایجاد می‌کند. هوش تهدید عملیاتی ممکن است به صورت یک گزارش بازرسی امنیتی باشد.

چالش‌های جمع آوری اطلاعات عملیاتی

تهدید‌ها معمولاً از طریق اتاق‌های گفتگوی رمزگذاری شده یا خصوصی ارتباط برقرار می‌کنند و دسترسی به این کانال‌ها آسان نیست.

"بدون درک آسیب‌پذیری‌های امنیتی، شاخص‌های تهدید و نحوه اجرای تهدیدها، مبارزه مؤثر با حملات سایبری غیرممکن است"گروه‌های تهدید ممکن است از زبان گیج کننده و مبهم استفاده کنند تا کسی نتواند مکالمه آن‌ها را بفهمد.

برنامه اطلاعاتی تهدید سایبری

برنامه اطلاعاتی تهدیدات سایبری هزاران فید اطلاعاتی تهدیدات را در یک فید واحد ترکیب می‌کند تا ویژگی‌ها و دسته‌بندی رویداد‌های تهدید سایبری را امکان‌پذیر و روند‌ها یا تغییرات در فعالیت‌های دشمنان سایبری را شناسایی کند. این برنامه به طور مداوم فعالیت‌های تهدید سایبری را به گونه‌ای توصیف می‌کند که امکان اشتراک گذاری کارآمد اطلاعات و تجزیه و تحلیل تهدید فراهم می‌شود.

چرخه هوش تهدید

هوش تهدید به جای اینکه فرآیندی end-to-end باشد، فرآیندی چرخشی به نام چرخه هوش تهدید است. ممکن است در این فرآیند پرسش‌ها و شکاف‌های اطلاعاتی جدیدی ایجاد شود که منجر به تولید نیازمندی‌های جدیدی در مجموعه شود.

برنامه ریزی و جهت دهی: ابتدا ملزومات جمع آوری داده تعریف می‌شود و پرسش‌هایی که قابلیت تبدیل شدن به اطلاعات عملیاتی را دارند، مطرح می‌شوند.

جمع آوری: پس از تعریف الزامات جمع آوری، داده‌های خامی که مربوط به تهدید‌های فعلی و آینده هستند جمع آوری می‌شوند. در ادامه می‌توان از منابع متنوع هوش تهدید مثل Log ها، رکورد‌های داخلی،   منابع فنی و اینترنت استفاده کرد.

پردازش: در این مرحله داده‌هایی که جمع آوری شدند، به نام metadata سازماندهی شده و اطلاعات اضافه False positive‌ها و False negative‌ها حذف می‌شوند. در این قسمت با کمک راهکار‌هایی مثل SIEM و SOAPA سازماندهی داده‌ها آسان می‌شود.

تجزیه و تحلیل: این قسمت به تمایز بین هوش تهدید و جمع آوری و انتشار اطلاعات ساده می‌انجامد.

با کمک روش‌های تحلیل ساختاری، داده‌های پردازش شده در مرحله قبل، تجزیه و تحلیل می‌شود. در نتیجه، feed‌های هوش تهدید سایبری ساخته می‌شود و کارشناسان با کمک این اطلاعات IOC‌ها (Indicators of Compromise) را شناسایی کنند. IOC‌های معمول شامل لینک ها، وب سایت‌ها، ایمیل‌ها، کلید‌های رجیستری مشکوک و ضمائم ایمیل می‌شود.

انتشار: خروجی تجزیه و تحلیل در زمان مناسب به افراد هدف ارسال می‌شود.

بازخورد: افراد درخواست کننده، هوش تهدید را بررسی کرده و میزان پاسخ دهی اطلاعات فراهم شده به پرسش‌های خود را تعیین می‌کنند. در صورتیکه پاسخ دهی کامل باشد، چرخه به پایان می‌رسد و اگر نیازمندی جدیدی وجود داشته باشد، فرآیند به مرحله شروع باز می‌گردد.

چارچوب‌های اطلاعاتی تهدیدات سایبری

چارچوب اطلاعاتی تهدیدات سایبری، اطلاعاتی را برای پاسخ به حملات سایبری با مدیریت، شناسایی و هشدار دادن به متخصصان امنیتی از تهدیدات احتمالی ایجاد می‌کند. این یک برنامه عملیاتی برای کاهش حملات با جمع آوری آخرین اطلاعات منبع تهدید و ایجاد مدل‌های تهدید است.

آشنایی با زنجیره کشتار سایبری و IOC

زنجیره کشتار سایبری مجموعه‌ای از مراحل است که مراحل حمله سایبری را از مراحل اولیه شناسایی تا استخراج داده‌ها ردیابی می‌کند.

"برای مثال اگر سازمان‌ها بتوانند الگو‌های هکر‌ها یا مهاجمان را یاد بگیرند، می‌توانند به دفاع از خودشان بپزدازند و خطرات را کاهش دهند"این زنجیره به کارشناسان کمک می‌کند تا باج‌افزارها، نقض‌های امنیتی و حملات دائمی پیشرفته (APT) را شناسایی و با آن‌ها مبارزه کنند. با استفاده از زنجیره کشتار سایبری می‌توان مراحل یک حمله سایبری از شناسایی اولیه تا هدف استخراج داده را شناسایی و به عنوان ابزاری برای بهبود امنیت سازمان استفاده کرد.

فید‌های هوش تهدید

منابع اطلاعاتی هوش تهدید، جریان‌های پیوسته‌ای از اطلاعات عملی در مورد تهدید‌ها و بازیگران بد هستند. تحلیلگران هوش تهدید، داده‌های امنیتی IoC‌ها مانند فعالیت غیرمعمول و دامنه‌های مخرب و آدرس‌های IP را از منابع مختلف جمع آوری می‌کنند. فید‌ها فقط داده‌های خام تهدیدات هستند و یک تحلیلگر اطلاعات برای ایجاد گزارش از آن‌ها استفاده می‌کند.

تاکتیک ها، تکنیک‌ها و رویه‌ها برای جمع آوری داده‌های تهدید

جمع آوری داده‌ها از طریق هوش منبع باز (OSINT): این مورد شامل جمع آوری داده‌ها از طریق منابع باز مانند موتور‌های جستجو، خدمات وب، ردپای وب سایت، ایمیل ها، جستجوی Whois، بازجویی DNS و خودکارسازی OSINT با استفاده از ابزارها/فریم ورک ها/اسکریپت‌ها است.

جمع آوری داده‌ها از طریق هوش انسانی (HUMINT): این فرآیند شامل جمع آوری داده‌ها از طریق تکنیک‌های مهندسی اجتماعی مبتنی بر مصاحبه، بازجویی و ابزار‌های مهندسی اجتماعی است.

جمع آوری داده‌ها از طریق ابزار ضد جاسوسی سایبری (CCI): در این مرحله، داده‌های تهدید از طریق Honeypots، Passive DNS Monitoring، Pivoting Off Adversary’s Infrastructure، Malware Sinkholes و قوانین YARA جمع آوری می‌شود.

جمع آوری داده‌ها از طریق تجزیه و تحلیل بدافزار: تجزیه و تحلیل بدافزار فرآیند درک منشاء و تأثیر یک نمونه بدافزار و نحوه عملکرد آن با استفاده از ابزار‌های تجزیه و تحلیل است. بدافزار به روش‌های مختلف عمل می‌کند و اطلاعات مربوط به دستگاه‌های ناامن را بدون اطلاع کاربر جمع‌آوری می‌کند.

جمع آوری داده‌ها از طریق شاخص‌های سازش (IoCs)

جمع آوری داده‌های شواهد دیجیتال از منابع داخلی، منابع خارجی و ایجاد IOC‌های سفارشی

آینده هوش تهدید

طبق گزارش Grand View Research, Inc.

ارزش بازار هوش  تهدید تا سال ۲۰۲۵ به ۱۲.۶ میلیارد دلار خواهد رسید. این آمار به وضوح تقاضای رو به رشد برای استخدام کارشناسان هوش تهدید سایبری را نشان می‌دهد. در آینده، با تقاضای فزاینده، فضای زیادی برای سرویس‌های هوش تهدید وجود دارد. اگرچه شرکت‌ها، برای امنیت سایبری خود سرمایه‌گذاری می‌کنند، اما همچنان در معرض حملات سایبری هستند و این هشداری است که رویکرد سنتی امنیت سایبری باید با راه‌حل‌های جدید و مؤثر جایگزین شود.