مدل پاریس نشان می دهد تفکر و قابلیت های شکار تهدیدات امنیتی چه میزان در شما(به عنوان یک شکارچی تهدید) و سازمانتان پیشرفت کرده است. به بیان ساده مدل پاریس عملکردهای یک برنامه شکار تهدیدات خوب را بیان می کند. به سادگی از این مدل می توان برای طراحی مدل بلوغ قابلیت های شکار تهدیدات سازمان استفاده نمود. (نام پاریس به دلیل شباهت آن با برج ایفل در شهر پاریس فرانسه انتخاب شده است)

مدل پاریس برای بیان قابلیت های شکار تهدید

مدل پاریس برای بیان قابلیت های شکار تهدید

در مرکز این مدل، قابلیت شکار تهدید در اجرای مجموعه کارخواست های شکار(hunt use cases) یا فرضیات(hypotheses) به منظور یافتن شواهد حمله/نفوذ قرار دارد. نتیجه اجرای این مرحله، بدست آمدن حجم زیاد داده و نشانگرهایی های با درجه اطمینان متفاوت است. اطمینان از اینکه داده ها یا نشان گر ها واقعا بیان گر یک رویداد بد هستند یا خیر. تنها نشانگرهایی که دارای میزان اطمینان بسیار بالا هستند شرایط کافی برای ارسال به بخش بالایی مدل و ایجاد هشدار خودکار واقعی (وجود یک رخداد بد) را دارند.

در مقابل بسیاری از موارد هشدار، دارای میزان اطمینان کم هستند. این موارد در مقایسه با هشدارهای اطمینان بالا، نیازمند تغییرات بیشتری(توسط شما) هستند. رسیدگی به این نشانگرها نیازمند بررسی بیشتر یک عامل انسانی است. به کمک وارسی این موارد توسط عامل انسانی در می یابیم که این نشانگرها یک تهدید واقعی را شکل می دهند یا خیر. ممکن است از برخی رویه های خودکار در جمع آوری این نشانگرها استفاده شود و نسبت به تخصیص یک سطح اطمینان اولیه به آن ها تصمیم گیری شود(اگر چه در ۹۹ درصد این مورد انجام نمی شود). تخصیص سطح اطمینان اولیه به این نشانگرها در الویت بندی و بررسی موثرتر هر یک به شکارچیان تهدید کمک می کند. باید توجه کنید که این کار به صورت خودکار صورت نمی گیرد و شما نیاز به افرادی برای کشف/شکار فعال تهدیدات دارید.

مطالبق این مدل، شکارچیان تهدید نباید همیشه از یک مجموعه موارد کارخواست ثابت استفاده کنند چرا که در این صورت مهاجمان به سادگی با تغییر روش روش های شناسایی را دور می زنند. در عوض شکارچیان باید اقدام به ایجاد کارخواست های جدیدی کنند که موجب ارزش افزوده واقعی مبتنی بر تحلیل عامل انسانی شود. البته استفاده از نرم افزار این کار را تسهیل نموده و بسیاری از موارد کارخواست را اجرا می کند. برخی از موارد کارخواست ممکن است دارای نتایج متمایز و ویژه ای باشند. این موارد می توانند برای برجسته سازی و توجه بیشتر یا اجرای سریعتر در آینده توسط شکارچیان تهدید، دوباره به فرآیند خودکارسازی بازگردانی شوند.

توجه به این موضوع بسیار حیاتی است که همه این موارد بر پایه طیف وسیعی از تخصص های امنیتی است که موارد کارخواست ایجاد شده را پشتیبانی می کنند. این کارخواست ها از بازخوردهای بدست آمده از حملات موفق آمیز تیم ضربت(قرمز)، بازبینی تحقیقات بر روی شیوه های جدید حمله، نتایج بازخوردهای بدست آمده از فعالیت های پاسخگویی به حوادث، تحقیقات و جستجوی های مستقل بر روی حملات یا رفتار بسترهای موجود و موارد دیگر ایجاد می شوند.

همانطور مشاهده می شود، بر پایه مدل پاریس، طیف وسیعتی از تجارب و مهارت های امنیتی برای تولید کارخواست ها، اجرا کارخواست ها، تجزیه و تحلیل، خودکارسازی مناسب و ایجاد هشدار خودکار (در موارد لازم) مورد نیاز است.

در بخش بالایی این دیاگرام که با رنگ خاکستری مشخص شده است، بر استفاده از فناوری برای خودکار سازی و تحلیل تمرکز دارد. استفاده از فناوری ها و ابزارها موجب بهبود و کارایی موثرتر فعالیت شکار تهدیدات در این بخش می شود.

قابلیت شکار تهدیدات را می توان به صورت طیفی از فعالیت ها در نظر گرفت که از بالای دیاگرام مدل شروع شده و به سمت پایین توسعه می یابند. در بالای این مدل تنها هشدارهای با اطمینان بالا وجود دارند. در اینجا همان شیوه های قدیمی(دوران دبیرستان) و رویکرد کنشانه(reactive) مورد استفاده در ضدویروس ها، سامانه های تشخیص نفوذ(IDS) و غیره وجود دارد. در بخش پایینی این مدل قابلیت مشاهده انواع نشانگرها با میزان اطمینان مختلف را دارید. در این لایه، برای اطمینان از واقعی بودن نشانگرهای حمله، نیاز به وارسی بیشتر آن ها دارید. سپس شما اقدام به اجرای مجموعه ای از کارخواست های از پیش تعریف شده می کنید. به عنوان مثال این کارخواست ها می تواند از درون یک ابزار شناسایی و پی جویی نقطه پایانی(EDR) ایجاد شوند. در نهایت شما قادر به تولید کارخواست های جدید بدست آمده از تحقیق و توسعه و توانمندی در اجرای آنها خواهید شد. این سطح آخر، نیازمند بهترین و پیشرفته ترین شیوه های شکار تهدید است. باید توجه کنید که لایه پایینی ضخیم ترین بخش در این مدل است که برای توسعه آن نیازمند نیروی انسانی متخصص، فعالیت ها و اقدامات بیشتری می باشد. مدل پاریس توجه مناسبی به هر سه عنصر فرآیند، افراد و فناوری را در توسعه قابلیت های شکار تهدیدات در سازمان دارد.

آخرین نکته جالب توجه درباره این مدل آن است که شما می توانید از این مدل، برای توسعه مستمر سکوی شکار تهدید(threat hunting platform) نیز استفاده کنید. همانگونه که جستجو و پژوهش موجب ایجاد کارخواست ها شده و یافته های جدید را تولید می کند، شما نیز باید قابلیت های تحلیلی و خودکار سازی مناسب را برای کارآمدتر کردن کارها در آینده ایجاد کنید.

در نوشته های آینده یک مدل بلوغ بر پایه مدل هرمی پاریس معرفی خواهیم کرد.


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *