هوشِ تهدید، اطلاعاتی است که از تجزیه و تحلیل دادهها با استفاده از ابزارها و تکنیکها به دست میآید. با استفاده از این دادهها میتوان برای مقابله با تهدیدات سایبری استفاده کرد. هوش تهدید به سازمانها کمک میکند تا تصمیمات امنیتی سریعتر و آگاهانهتری بگیرند و رفتار خود را برای مبارزه با حملات، از واکنشی به فعالانه تغییر دهند.
هوش سایبری دانشی است که به ما امکان میدهد با مطالعه دادهها و ارائه اطلاعات در مورد دشمنان، از حملات سایبری جلوگیری کرده یا آنها کاهش دهیم.
هوش تهدید، سازمانها را آماده میکند تا به جای واکنشپذیری در برابر حملات سایبری، با قابلیتهای پیشبینیکننده به مبارزه با آنها بروند. بدون درک آسیبپذیریهای امنیتی، شاخصهای تهدید و نحوه اجرای تهدیدها، مبارزه مؤثر با حملات سایبری غیرممکن است. با کمک متخصصان امنیت اطلاعات سایبری میتوان سریعتر از حملات جلوگیری کرده و آنها را مهار و در صورت در صورت حملات سایبری در هزینهها صرفهجویی کرد.
هوش تهدید میتواند امنیت سازمانی را در هر سطحی از جمله امنیت شبکه و فضای ابری افزایش دهد. برای مثال اگر سازمانها بتوانند الگوهای هکرها یا مهاجمان را یاد بگیرند، میتوانند به دفاع از خودشان بپزدازند و خطرات را کاهش دهند. همچنین سازمانها میتوانند با تبادل اطلاعات و همکاری با یکدیگر، با کمک هوش تهدید از تهدیدات آتی پیشگیری کنند.
باوجود اینکه هوش تهدید میتواند در حیطه کاری تحلیل گران پیشرفته باشد اما همه افراد فعال در حوزه امنیت سایبری مانند افراد درگیر در مدیریت آسیب پذیری، عملیاتهای امنیتی، پیشگیری از تقلب و تحلیل خطر میتوانند از این علم بهره برده و برای تصمیم گیری از آن استفاده کنند.
تحلیلگر اطلاعاتی تهدیدات سایبری کیست؟
یک تحلیلگر اطلاعات سایبری یک متخصص امنیتی است که دادههای تهدیدات سایبری خارجی را برای ارائه اطلاعات قابل اجرا، نظارت و تجزیه و تحلیل میکند. این کارشناسان دادههای حوادث امنیتی جمعآوریشده از منابع مختلف اطلاعاتی تهدید را دسته بندی و الگوی حملات، روششناسی، انگیزه، شدت و چشمانداز تهدید را مطالعه میکنند. سپس این دادهها برای تولید فیدها و گزارشهای اطلاعاتی تهدید که به افسر امنیتی در تصمیم گیری در مورد امنیت سازمانی کمک میکند، تجزیه و تحلیل و فیلتر میشود. اغلب این افراد، تحلیلگران خبره هوش تهدید هستند که هم دانش و هم مهارتهای مورد نیاز برای این شغل را دارند.
انواع هوش تهدید
هوش تهدید عمدتاً به سه دسته استراتژیک، تاکتیکی، فنی و عملیاتی طبقه بندی میشود:
هوش تهدید استراتژیک: این دسته از هوش تهدید مشکلات بلندمدت و روندهای سریع را پوشش میدهد. این نوع از هوش تهدید میتواند تصویری کلی از تواناییها و اهداف تهدیدات سایبری را ایجاد کرده و به تصمیمگیریهای آگاهانه و هشدارهای فوری کمک کند.
هوش تهدید تاکتیکی: اطلاعات تهدید تاکتیکی شامل جزئیات بیشتر در مورد عوامل تهدید TTP است. این نوع هوش تهدید، رویدادها و عملیاتهای روزانه را پشتیبانی میکند و به ارائه ساختاری از تکنیک ها، تاکتیک ها، و رویههای تهدیدگران برای مخاطبان فنی میپردازد. این یافته برای تقویت کنترلهای امنیتی موجود استفاده میشود و به حذف آسیبپذیریهای شبکه کمک میکند.
هوش تهدید فنی و عملیاتی: این دسته کاملا فنی و تخصصی است و مربوط به کمپین ها، حملات، بدافزارها و ابزارهای مشخص است. هوش تهدید فنی بر سرنخها یا شواهد خاصی از یک حمله تمرکز کرده و پایگاهی برای تجزیه و تحلیل چنین حملاتی ایجاد میکند. هوش تهدید عملیاتی ممکن است به صورت یک گزارش بازرسی امنیتی باشد.
چالشهای جمع آوری اطلاعات عملیاتی
تهدیدها معمولاً از طریق اتاقهای گفتگوی رمزگذاری شده یا خصوصی ارتباط برقرار میکنند و دسترسی به این کانالها آسان نیست. گروههای تهدید ممکن است از زبان گیج کننده و مبهم استفاده کنند تا کسی نتواند مکالمه آنها را بفهمد.
برنامه اطلاعاتی تهدید سایبری
برنامه اطلاعاتی تهدیدات سایبری هزاران فید اطلاعاتی تهدیدات را در یک فید واحد ترکیب میکند تا ویژگیها و دستهبندی رویدادهای تهدید سایبری را امکانپذیر و روندها یا تغییرات در فعالیتهای دشمنان سایبری را شناسایی کند. این برنامه به طور مداوم فعالیتهای تهدید سایبری را به گونهای توصیف میکند که امکان اشتراک گذاری کارآمد اطلاعات و تجزیه و تحلیل تهدید فراهم میشود.
چرخه هوش تهدید
هوش تهدید به جای اینکه فرآیندی end-to-end باشد، فرآیندی چرخشی به نام چرخه هوش تهدید است. ممکن است در این فرآیند پرسشها و شکافهای اطلاعاتی جدیدی ایجاد شود که منجر به تولید نیازمندیهای جدیدی در مجموعه شود.
برنامه ریزی و جهت دهی: ابتدا ملزومات جمع آوری داده تعریف میشود و پرسشهایی که قابلیت تبدیل شدن به اطلاعات عملیاتی را دارند، مطرح میشوند.
جمع آوری: پس از تعریف الزامات جمع آوری، دادههای خامی که مربوط به تهدیدهای فعلی و آینده هستند جمع آوری میشوند. در ادامه میتوان از منابع متنوع هوش تهدید مثل Log ها، رکوردهای داخلی، منابع فنی و اینترنت استفاده کرد.
پردازش: در این مرحله دادههایی که جمع آوری شدند، به نام metadata سازماندهی شده و اطلاعات اضافه False positiveها و False negativeها حذف میشوند. در این قسمت با کمک راهکارهایی مثل SIEM و SOAPA سازماندهی دادهها آسان میشود.
تجزیه و تحلیل: این قسمت به تمایز بین هوش تهدید و جمع آوری و انتشار اطلاعات ساده میانجامد. با کمک روشهای تحلیل ساختاری، دادههای پردازش شده در مرحله قبل، تجزیه و تحلیل میشود. در نتیجه، feedهای هوش تهدید سایبری ساخته میشود و کارشناسان با کمک این اطلاعات IOCها (Indicators of Compromise) را شناسایی کنند. IOCهای معمول شامل لینک ها، وب سایتها، ایمیلها، کلیدهای رجیستری مشکوک و ضمائم ایمیل میشود.
انتشار: خروجی تجزیه و تحلیل در زمان مناسب به افراد هدف ارسال میشود.
بازخورد: افراد درخواست کننده، هوش تهدید را بررسی کرده و میزان پاسخ دهی اطلاعات فراهم شده به پرسشهای خود را تعیین میکنند. در صورتیکه پاسخ دهی کامل باشد، چرخه به پایان میرسد و اگر نیازمندی جدیدی وجود داشته باشد، فرآیند به مرحله شروع باز میگردد.
چارچوبهای اطلاعاتی تهدیدات سایبری
چارچوب اطلاعاتی تهدیدات سایبری، اطلاعاتی را برای پاسخ به حملات سایبری با مدیریت، شناسایی و هشدار دادن به متخصصان امنیتی از تهدیدات احتمالی ایجاد میکند. این یک برنامه عملیاتی برای کاهش حملات با جمع آوری آخرین اطلاعات منبع تهدید و ایجاد مدلهای تهدید است.
آشنایی با زنجیره کشتار سایبری و IOC
زنجیره کشتار سایبری مجموعهای از مراحل است که مراحل حمله سایبری را از مراحل اولیه شناسایی تا استخراج دادهها ردیابی میکند. این زنجیره به کارشناسان کمک میکند تا باجافزارها، نقضهای امنیتی و حملات دائمی پیشرفته (APT) را شناسایی و با آنها مبارزه کنند. با استفاده از زنجیره کشتار سایبری میتوان مراحل یک حمله سایبری از شناسایی اولیه تا هدف استخراج داده را شناسایی و به عنوان ابزاری برای بهبود امنیت سازمان استفاده کرد.
فیدهای هوش تهدید
منابع اطلاعاتی هوش تهدید، جریانهای پیوستهای از اطلاعات عملی در مورد تهدیدها و بازیگران بد هستند. تحلیلگران هوش تهدید، دادههای امنیتی IoCها مانند فعالیت غیرمعمول و دامنههای مخرب و آدرسهای IP را از منابع مختلف جمع آوری میکنند. فیدها فقط دادههای خام تهدیدات هستند و یک تحلیلگر اطلاعات برای ایجاد گزارش از آنها استفاده میکند.
تاکتیک ها، تکنیکها و رویهها برای جمع آوری دادههای تهدید
جمع آوری دادهها از طریق هوش منبع باز (OSINT): این مورد شامل جمع آوری دادهها از طریق منابع باز مانند موتورهای جستجو، خدمات وب، ردپای وب سایت، ایمیل ها، جستجوی Whois، بازجویی DNS و خودکارسازی OSINT با استفاده از ابزارها/فریم ورک ها/اسکریپتها است.
جمع آوری دادهها از طریق هوش انسانی (HUMINT): این فرآیند شامل جمع آوری دادهها از طریق تکنیکهای مهندسی اجتماعی مبتنی بر مصاحبه، بازجویی و ابزارهای مهندسی اجتماعی است.
جمع آوری دادهها از طریق ابزار ضد جاسوسی سایبری (CCI): در این مرحله، دادههای تهدید از طریق Honeypots، Passive DNS Monitoring، Pivoting Off Adversary’s Infrastructure، Malware Sinkholes و قوانین YARA جمع آوری میشود.
جمع آوری دادهها از طریق تجزیه و تحلیل بدافزار: تجزیه و تحلیل بدافزار فرآیند درک منشاء و تأثیر یک نمونه بدافزار و نحوه عملکرد آن با استفاده از ابزارهای تجزیه و تحلیل است. بدافزار به روشهای مختلف عمل میکند و اطلاعات مربوط به دستگاههای ناامن را بدون اطلاع کاربر جمعآوری میکند.
جمع آوری دادهها از طریق شاخصهای سازش (IoCs)
جمع آوری دادههای شواهد دیجیتال از منابع داخلی، منابع خارجی و ایجاد IOCهای سفارشی
آینده هوش تهدید
طبق گزارش Grand View Research, Inc. ارزش بازار هوش تهدید تا سال ۲۰۲۵ به ۱۲.۶ میلیارد دلار خواهد رسید. این آمار به وضوح تقاضای رو به رشد برای استخدام کارشناسان هوش تهدید سایبری را نشان میدهد. در آینده، با تقاضای فزاینده، فضای زیادی برای سرویسهای هوش تهدید وجود دارد. اگرچه شرکتها، برای امنیت سایبری خود سرمایهگذاری میکنند، اما همچنان در معرض حملات سایبری هستند و این هشداری است که رویکرد سنتی امنیت سایبری باید با راهحلهای جدید و مؤثر جایگزین شود.
گزارش از مائده زمان فشمی