برای هوش اطلاعاتی تهدید دسته بندی های مختلفی توسط شرکت های امنیتی ارائه شده است. هوش اطلاعاتی تهدید اغلب بر پایه مخاطبان یا مصرف کنندگان هوش اطلاعاتی و سطح جزئیاتی که از تهدید ارائه می دهند، تقسیم بندی می گردند. کامل ترین دسته بندی هوش اطلاعاتی تهدیدات شامل یک رده بندی چهار سطحی است. براین اساس انواع سطوح هوش اطلاعاتی عبارتند از راهبردی(Strategic)، عملیاتی(Operational)،تاکتیکال(Tactical) و فنی(Technical).

  • هوش اطلاعاتی راهبردی-Strategic Intelligence
  • هوش اطلاعاتی عملیاتی-Oerational Intelligence
  • هوش اطلاعاتی تاکتیکی-Tactical Intelligence
  • هوش اطلاعاتی تکنیکی-Technical Intelligence

تصویر زیر خلاصه ای از ویژگی های انواع هوش اطلاعاتی تهدید را نشان می دهد. در ادامه هر یک از این انواع هوش اطلاعاتی تهدیدات سایبری را مورد بررسی قرار می دهیم.

 

سطوح هوش اطلاعاتی تهدیدات

 

  • هوش اطلاعاتی راهبردی(Strategic): اطلاعات سطح بالایی که توسط هیئت رئیسه/سهامداران یا دیگر تصمیم گران اصلی یک سازمان مورد استفاده قرار می گیرند. این اطلاعات به ندرت شامل موارد فنی هستند و بر اطلاعات مرتبط با ریسک تمرکز دارند. از جمله چیزهایی که در این اطلاعات می توان یافت موارد مرتبط با تاثیر مالی رخداد سایبری، روندهای حملات آتی، حوزه های مستعد برای حمله مهاجمان و حوزه اثرگذار بر تصمیمات کلان و سطح بالای تجاری سازمان می باشد. یک مثال از این نوع اطلاعات گزارشی مبنی بر تمایل یک دولت خاص به نفوذ به شرکت های خارجی مستقر در آن کشور جهت فشار بر رقبای تجاری مستقیم (برای کاهش اعتبار و بازار آن ها) در داخل خاک خود است. هئیت رئیسه آن شرکت های خارجی با با در اختیار داشتن این اطلاعات، با دید مناسب تری نسبت به مزایا و مخاطرات، برای ورود به بازار رقابتی آن کشور تصمیم گیری می کنند. چنین اطلاعاتی به شرکت ها در تعیین اقدامات، ظرفیت ها و بودجه لازم را برای مقابله و کاهش خطر حملات احتمالی کمک می کند. هوش اطلاعاتی راهبردی اغلب به صورت خبر و اطلاعات مربوط به گزارشات انحصاری، مذاکرات و جلسات هستند. بدست آورن این اطلاعات بسیار دشوار است. به دلیل اینکه این اطلاعات حاوی راهبردهای مهاجمان هستند بازه زمانی کاربرد آن ها بلند مدت(چند سال) است.
  • هوش اطلاعاتی عملیاتی(Operational): اطلاعات مربوط به حملات خاص در شرف وقوع علیه سازمان را در بردارند. این اطلاعات توسط کارمندان امنیتی سطح بالای سازمان (مدیریت لایه میانی) نظیر مدیران امنیت اطلاعات یا سرپرستان واحد پاسخگویی به رخداد مورد استفاده قرار می گیرند. بدون تردید هر سازمانی تمایل زیادی به در اختیار داشتن هوش اطلاعاتی عملیاتی دارند چرا که بوسیله آن می دانند کدام گروه ها، چه زمان و چگونه قصد حمله به آن ها را دارند. اما چنین اطلاعاتی به ندرت یافت می شود. در اغلب موارد تنها دولت ها توان دسترسی به گروه های حمله و ایجاد زیرساخت های مورد نیاز برای جمع آوری این نوع هوش اطلاعاتی را دارند[۱]. برای تهدیدات در سطح ملی یک کشور، دسترسی قانونی یک نهاد خصوصی به کانال های ارتباطی لازم و ایجاد بستر مورد نیاز جمع آوری هوش اطلاعاتی عملیاتی کار ساده ای نیست. از این رو این نوع هوش اطلاعاتی معمولا توسط نهادهای خصوصی انتخاب نمی شود و هوش اطلاعاتی عملیاتی خوب در اختیار همه نیست. با این وجود در مواردی ممکن است هوش اطلاعاتی عملیاتی در دسترس قرار گیرد مانند مواردی که سازمان توسط عامل های تهدید عمومی(فعالان سایبری[۲]) هدف حمله قرار می گیرد. در چنین مواردی به سازمان ها توصیه می شود که بر روی یافتن جزئیات حملاتی از منابع هوش اطلاعاتی آزاد[۳] یا تالارهای گفتگوی خصوصی[۴] تمرکز کنند. شکل دیگری که می توان هوش اطلاعاتی عملیاتی را بدست آورد استخراح اطلاعات از حملات مبتنی بر مراحل فعالیت[۵] است. در این نوع حملات مجموعه اقدامات یا رویدادها در دنیای واقعی منجر به اجرای حمله در قلمرو سایبری می شود. در چنین مواردی، گاهی اوقات می توان حملات آینده را پیش بینی کرد. پیوند دهی حملات با رویدادهای دنیای واقعی امری رایج در اقدامات مرتبط با امنیت فیریکی به شمار می آید اما معمولا کمتر در دنیای امنیت سایبری دیده شده است. بازه زمانی استفاده از این هوش اطلاعاتی می تواند میان مدت یا کوتاه مدت (چند ماه، چند هفته یا چند روز) باشد.
  • هوش اطلاعاتی تاکتیکی(Tactical): اغلب با نام شیوه ها، فنون و رویه ها(TTPs) شناخته می شوند و شامل اطلاعاتی هستند که چگونگی اجرای حملات توسط عامل های تهدید را بیان می کنند. هوش اطلاعاتی تاکتیکی توسط مدافعان شبکه و متخصین پاسخگویی به رخداد به کار گرفته می شوند. آن ها با استفاده از این اطلاعات از قابلیت های پی جویی و هشداردهی خود در مواجهه با شیوه های حملات جاری اطمینان می یابند. به عنوان مثال اطلاع از اینکه مهاجمان با استفاده از ابزارهایی(اغلب ابزار mimikatz) گذرنامه های متن آشکار سیستم را بدست آورده و سپس با استفاده از PsExec اقدام به بازپخش آن ها دسترسی به سیستم می کنند، یک هوش اطلاعاتی تاکتیکی است. با در اختیار داشتن چنین اطلاعاتی مدافعان شبکه اقدام به تغییر خط مشی  امنیت کرده و از ورود به سیستم به صورت تعاملی توسط مدیرسیستم جلوگیری نموده و رویدادنگاری در زمان استفاد از PsExce را فعال می نمایند. هوش اطلاعاتی تاکتیکی اغلب از طریق مطالعه مقالات یا گزارشات فنی، گفتگو با همکاران درونی سازمان یا بیرون سازمانی حوزه شغلی بدست می آید. این اطلاعات توسط معماران امنیت شبکه و مدیران سیستم مورد استفاده قرار می گیرد و اعتبار زمانی بین چند هفته تا یک سال دارند. امروزه هوش اطلاعاتی تاکتیکی رایج ترین هوش اطلاعاتی است و دستیابی به آن آسان است.
  • هوش اطلاعاتی فنی(Technical):  اطلاعاتی (یا در اغلب اوقات داده) که برای مصارف فنی مورد استفاده قرار می گیرند. نمونه ای از این دسته هوش اطلاعاتی آدرس های IP مشکوک به فعالیت مخرب یا سرورهای کنترل و فرماندهی(C&C)  است. این دسته از هوش اطلاعاتی اغلب دارای بازه مصرف کوتاه مدت است. چرا که مهاجمان به سادگی می توانند آدرس های IP یا مقادیر هش فایل های مخرب را تغییر دهند. از این رو این اطلاعات باید به طور خودکار مورد استفاده قرار گیرند. هوش اطلاعاتی فنی اغلب از طریق بررسی یا پایش شبکه یا سیستم بدست می آید(مثلا تلاش های مسدود شده برای ایجاد اتصال با سرورهای مشکوک). رایج ترین استفاده کنندگان از هوش اطلاعاتی فنی افراد تیم پاسخگویی به رخداد و مرکز عملیات امنیت هستند. محدوده زمانی استفاده از این اطلاعات می تواند چند ساعت تا چند ماه را شامل شود. تا جایی که ممکن است پردازش این داده ها را باید خودکار نمود.

—————————-

[۱] جمع آوری این اطلاعات نیازمند HUMINT/SIGINT است.

[۲] hacktivists

[۳] open source intelligence

[۴] closed chat forums

[۵] activity-based attacks

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *