هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.

هوش اطلاعاتی سایبری و شکار تهدید

سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».

در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.

مدیریت دارایی –   Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.

سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم

  • برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
    • ایمیل
    • وب
    • موبایل
    • مهندسی اجتماعی
    • زنجیره تامین/شخص ثالث
  • حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
    • شبکه(Network)
    • نقطه پایانی(endpoint)
    • ابرپردازش(cloud)
    • توسعه محصول/برنامه کاربردی(DevOps/App)
    • موبایل(Mobile)
    • اینترنت اشیاء(IoT)

رویداد نگاری Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.

مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.

ایجاد خط مبنا از سیستم Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری می شود و به عنوان مبنایی برای تغییرات در نظر گرفته می شود. با تغییر یا دستکاری در سیستم، سیستم از حالت خط مبنا خارج و به وضعیت دیگر می رود. این عنصر یکی از موارد مهم در عملیات تیم شکار تهدید و شناسایی رفتار کاربران سیستم است و در صورتی موفق خواهد بود که مراحل قبلی به خوبی پیاده سازی شده باشد.

حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *