از اطلاعات مرده به سوی تهدیدات زنده: مروری بر مفهوم اطلاعات و هوشمندی تهدید

وارد دنیای تازه ای شده ایم، غرق در حجم عظیمی از اطلاعات و تهدیداتی که از هر طرف مارو تسخیر کردند! صحنه نبرد جدید و تهدیدات نو ظهوری که مکانیزم های امنیتی مارو هر روز به چالش می کشن. شما هم مثل من شنیدن روزانه اخبار نفوذ هکرها و نشست اطلاعات سازمانی خسته شدید؟بنظر می رسه یه جای کار می لنگه!

از گذشته تا کنون هر چه داده درباره از نفوذگرها جمع کردیم یا در قالب انواع مختلف خوراک اطلاعاتی به سیستم های امنیتی مون دادیم، نتونستن هکرها رو متوقف کنند. این کوه داده هایی که در حال انبار کردنشون هستیم، به سرعت توسط مهاجمان با تغییر کوچکی در شیوه ها و ابزارهای حمله ناکارآمد می شوند. این داده های خام تنها برای فهرست های سیاه(blacklist) و استفاده کوتاه مدت مفیدند.

برای بهبود امنیت سایبری، وقت اون رسیده که سازمان ها به نوعی هوشمندی خودشون رو نسبت به تهدیدات بالا ببرند یا به عبارت خودمونی آی کیوی تهدید داشته باشند. به این آی کیوی تهدیدات در اصطلاح تخصصی می گن هوشمندی تهدید یا Threat Intelligence. امروزه سازمان های درجه یک با استفاده از TI   کلی اطلاعات خفنو و کاربردی بدست میارن.

هوشمندی تهدید یا به اختصار TI، با پردازش و تحلیل داده های خام، اطلاعات ارزشمندی از وضعیت تهدیدات سایبری و مهاجمان در اختیار ما قرار میده. پس هوشمندی تهدید چیز خوبیه و آی کیوی سازمان رو نسبت به تهدیدات نوظور و در حال افزایش بالا می بره. اما سازمان هایی که می خوان از TI استفاده کنند باید فرآیندهای داخلی مناسب با این کار رو هم توسعه بدن. البته اغلب این فرآیندها پیچیده هستند.

اطلاعات مرده اندزنده باد اطلاعات

با روند در حال رشد فعلی و حجم زیادی از داده های خام (ساخت یافته و غیرساخت یافته) که هر روز در حال تولید هستند، داده ها دیگر ما را به اهدافمان نمی رسانند. به نظر می رسد، دوران «اطلاعات» هم به پایان آمده و باید فاتحه داده ها را خواند! نظر شما چیه؟! اینطور نیست؟خب شاید بهتر باشه کمی نظرم رو تعدیل کنم، در واقع بهتر بگم باید فاتحه داده های تحلیل نشده و غیرکاربردی را خواند! ما هنوز در عصر اطلاعات هستیم، نیاز به اطلاعات داریم و اطلاعات اهمیت دارند، اما نه این داده ها و اطلاعاتی که نه تنها به ما در تصمیم گیری هایمان هیچ کمکی نمی کنند، بلکه مارو بیشتر گیج و سردرگم می کنند! ما نیاز به نوع جدیدی از اطلاعات داریم که عملی و کاربردی باشند. به بیان دیگه اطلاعاتی برای ما ارزشمند هستند که به م در تصمیم گیری هامون کمک کنند. این یعنی همون اطلاعات تحلیلی و پردازش شده، که به آن intelligence می گوییم.

به دوران هوشمندی خوش آمدید

خب حالا که دنیا در حال حرکت به سمت اطلاعات تجزیه تحلیل شده و در اصطلاح قابل اقدام(Actionable) است. بیاییم نگاهی بندازیم به سلسله مراتب سفر داده تا تبدیل شدن به اطلاعات هوشمند و جایگاهی که هوشمندی در آن قرار گرفته است.

 

speces-of-TI

 

همانطور که در هرم بالا(هرم پالایش داده) می بینید، داده در پایین ترین سطح هرم قرار دارد، اطلاعات از داده ها استخراج شده  وتبدیل به دانش می شوند با تجزیه تحلیل دانش و اطلاعات به هوشمندی می رسیم و در نهایت این هوشمندی تبدیل به خرد/معرفت(wisdom) می شود.

از آنجایی که موضوع بحث درباره هوشمندی تهدید است، از تعریف بقیه واژها صرف نظر می کنیم و تنها تعریف واژه هوشمندی یا intelligence رو ارائه میدیم، هوشمنی یعنی : قابلیت اکتساب و به کارگیری دانش و مهارت ها.

اما برای اینکه اوضاع کمی روشن تر بشه نگاهی بندازیم به تفاوت های اساسی اطلاعات و هوشمندی اطلاعات. درک این تفاوت، نقش حیاتی در شناخت نسبت به هوشمندی تهدیدات و تحلیل های آینده ایفا می کند.

 

اطلاعات

هوشمندی

خام، داده فیلتر نشده

اطلاعات پردازش شده، چکیده و مرتب شده

در زمان انتقال ارزیابی نشده است

توسط تحلیلگران خبره و آموزش دیده تفسیر و ارزیابی شده است

از هر منبع مجازی(صرف نظر از نوع/اعتبار) تجمیع شده است

از منابع مورد اعتماد جمع آوری شده و برای افزایش دقت همبستگی بین آنها صورت گرفته است

ممکن است درست، غلط، گمراه کننده، ناکامل، مرتبط یا نامرتبط باشد

دقیق، زمانبندی شده، کامل(تا حدامکان) و مرتبط است

 

حالا برگردیم به دنیای امنیت و کشف تهدید سایبری. به نظر میاد قبل از اینکه «داده» تهدید برای کشف و پیش بینی تهدیدات امنیتی مورد استفاده قرار گیرد باید قدری پالایش شود. در عین حال مشکل بزرگتر یعنی ارتباط این داده ها با عامل های تهدید واقعی(افراد و سازمان ها) بوجود می آید.

 

آماده عمل شویم

خب حالا چطور می شود داده های تهدید رو برای کشف بهتر و پیش ببینی تهدیدات آماده کرد؟ به عبارتی چطور دانش و مهارت های کسب شده رو در عمل به کار بگیریم(عملیاتی کنیم)؟. برای اینکار، داده های تهدید باید غنی شده، اطلاعات زمینه ای(contextual) به آن ها اضافه شود و در نهایت برای انجام عملیات یا تصمیم گیری به کار گرفته شوند. تصویر سمت چپ، نشان میده که چگونه یک داده تهدید غنی شده، محتوای زمینه ای به آن افزوده می شود تا تبدیل به دانش تهدید گردد.

  تصویر زیر، نحوه ادغام هوشمندی تهدید یا threat intelligence fusion را نشان می دهد. ادغام تهدید منجر به ایجاد نشانگرهای تهدید(IOC) مفید با طول عمر بیشتر می شود. به جای داشتن تنها یک آدرس IP در فهرست سیاه، که نشان دهنده حمله به سازمان Z است، حالا می دانیم حمله توسط Y (مثلا یک گروه هکری) با استفاده از زیرساخت ارتباطی کشور X و بدافزار Zeus انجام شده است. این دانش جدید بدست آمده درباره تهدید، برای هفته ها یا ماه ها مفید است و می تواند برای تبدیل شدن به اطلاعات عملی(actionable intelligence) در تجزیه تحیل ها و ابزارهای بعدی مورد استفاده قرار بگیرد.

 

 

زیست بوم امنیت سایبری پاک به هوشمندی اطلاعات نیاز دارد

در یک زیست بوم امنیتی، فرآیند تبدیل اطلاعات تهدید به هوشمندی تهدید(TI) به عنوان مؤلفه ای اصلی در برنامه امنیت در نظرگرفته و انجام می شود. سازندگان و تامین کنندگان خدمات امنیتی مدیریت شده(MSSP) داده یا اطلاعات تهدید را جمع آوری کرده و در محصولات و خدمات مشتریان یا محیط های پردازش ابری خود قرار می دهند. تامین کنندگان تجاری، جامعه های امنیتی آزاد و مشتریان، داده های خود با استفاده از پروتکل هایی نظیر STIX و TAXII با بخش دولتی و خصوصی به اشتراک می گذارند. این کار باعث می شود غنی سازی و افزون داده های زمینه ای، به صورت مستمر  صورت پذیرد. 

برای تایید و اعتبارسنجی همه اطلاعات یا دانش مرتبط با تهدیدات، به تحقیق و بررسی بیشتر، برقراری تماس و تخصص نیاز است. بهترین هوشمندی تهدید می تواند از تامین کنندگان تخصصی، صنایع کاری مرتبط، گروه های کاری دولتی و دیگر تیم های دفاعی و اطلاعاتی بدست آید. تصویر زیر روند تغییر و تولید داده های تهدید در سطوح پایین توسط تامین کنندگان خدمات امنیتی مدیریت شده تا جامعه ها و نهادی اشتراک گذاری هوشمندی تهدید و اطلاعاتی تحلیلی را نشان می دهد.

 

C:\Users\admin\AppData\Local\Microsoft\Windows\INetCache\Content.Word\speces-of-TI-7-1024x318.png

شرکت ها و تامین کنندگان خدمات امنیتی مدیریت شده(MSSP) بوسیله ابزارهای شناسایی و پیشگیری که در اختیار دارند، داده ها یا اطلاعات مرتبط با تهدید را جمع آوری و انتشار می دهند. از طرفی شرکت های امنیتی متمرکز بر تهدید(تهدید محور) داده ها را پالایش و تحلیل کرده و به هوشمندی تهدید(TI) تبدیل می نمایند. در همین لایه، مراکز دفاعی، اطلاعاتی و مراکز پاسخگویی به حوادث(CERT) وظیفه تجمیع و تحلیل داده های تهدیدات ملی و متمرکز بر هر بخش دولتی(دستگاه دولتی) را برعهده دارند. در نهایت هوشمندی اطلاعات تولید شده میان جوامع اشتراگ گذاری اطلاعات تهدید خصوصی و دولتی به منظور شناسایی به روش ها و تبادل IoC ها، تحلیل ها و مخاطرات اشتراک می یابد.

این تازه شروع داستان است. هوشمندی تهدید هنوز ناگفته های زیادی برای ما خواهد داشت.

 

منابع

 

http://security-architect.com/is-threat-intelligence-a-misnomer/

https://misti.com/infosec-insider/fail-vs-finished-the-difference-between-information-and-intelligence

https://www.darkreading.com/analytics/threat-intelligence/cyber-threats-information-vs-intelligence/a/d-id/1316851

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *