شرح صيد التهديد في 5 دقائق أو أقل
هناك قول شائع في مجال الأمن السيبراني وهو أنه إذا ما أعطيت الوقت الكافي ، يمكن اختراق أي نظام. كما يبدو مخيفًا ، يسلط البيان الضوء على الطبيعة الحقيقية للأمن السيبراني.
حتى أفضل التدابير الأمنية ليست مضمونة. تتطور التهديدات باستمرار ، ويتم صياغة طرق جديدة للهجمات. من الآمن افتراض أن الهجوم على النظام أمر لا مفر منه.
لذلك ، فإن أي منظمة حريصة على حماية أمن أنظمتها تحتاج إلى الاستثمار في تحديد التهديدات حتى قبل وقوع الهجوم. من خلال الاكتشاف المبكر للتهديدات ، يمكن للمنظمات تنفيذ إجراءات التحكم في الضرر بسرعة لتقليل مخاطر وتأثير الهجوم وحتى إيقاف المهاجمين قبل أن ينشروا هجمات كاملة.
بالإضافة إلى وقف الهجمات ، يمكن لاكتشاف التهديدات طرد الجهات الخبيثة التي قد تسرق البيانات أو تجمع المعلومات لاستخدامها في الهجمات المستقبلية أو حتى تترك ثغرات يمكن استغلالها في المستقبل.
من الطرق الجيدة لاكتشاف التهديدات ونقاط الضعف قبل أن يتم استغلالها من قبل الجهات الخبيثة من خلال البحث عن التهديدات.
صيد التهديد
عندما يحدث هجوم إلكتروني ، مثل خرق البيانات ، أو هجوم البرامج الضارة ، أو حتى هجوم رفض الخدمة ، فغالبًا ما يكون نتيجة المهاجمين السيبرانيين المتربصين في النظام لبعض الوقت. يمكن أن يمتد هذا في أي مكان من بضعة أيام إلى أسابيع أو حتى أشهر.
كلما زاد الوقت الذي يقضيه المهاجمون دون أن يتم اكتشافهم في الشبكة ، زاد الضرر الذي يمكن أن يتسببوا فيه. لذلك ، من الضروري التخلص من المهاجمين الذين يمكن أن يكونوا مختبئين في شبكة دون اكتشاف قبل أن يشنوا هجومًا فعليًا. هذا هو المكان الذي يأتي فيه مطاردة التهديد.
يعد مطاردة التهديدات إجراءً استباقيًا للأمن السيبراني حيث يقوم خبراء الأمن ببحث شامل في شبكة لاكتشاف واستئصال التهديدات أو نقاط الضعف المحتملة التي ربما تكون قد أفلتت من التدابير الأمنية الحالية.
على عكس تدابير الأمن السيبراني السلبية مثل الاكتشاف التلقائي للتهديدات ، فإن مطاردة التهديدات هي عملية نشطة تتضمن بحثًا متعمقًا لنقاط نهاية الشبكة والبيانات المخزنة في شبكة لاكتشاف الأنشطة الخبيثة أو المشبوهة التي قد تشير إلى وجود تهديد كامن في الشبكة.
يتجاوز البحث عن التهديدات البحث عن ما يُعرف أيضًا بالتخلص من التهديدات الجديدة وغير المعروفة في شبكة أو التهديدات التي كان من الممكن أن تتهرب من دفاعات الشبكة ولم يتم علاجها بعد.
من خلال تنفيذ مطاردة فعالة للتهديدات ، يمكن للمنظمات العثور على الجهات الفاعلة الخبيثة وإيقافها قبل تنفيذ هجماتها ، وبالتالي تقليل الضرر الذي يحدث وتأمين أنظمتها.
كيف يعمل صيد التهديد
لكي تكون ناجحًا وفعالًا ، يعتمد البحث عن التهديدات بشكل كبير على مهارات الحدس والاستراتيجية والأخلاقية والتفكير النقدي وحل المشكلات التي يمتلكها خبراء الأمن السيبراني. تكمل هذه المهارات البشرية الفريدة ما يمكن القيام به من خلال أنظمة الأمان الآلية.
لإجراء عملية بحث عن التهديدات ، يبدأ خبراء الأمن بتحديد وفهم نطاق الشبكات والأنظمة التي سيجرون فيها عملية البحث عن التهديدات. ثم يتم جمع وتحليل جميع البيانات ذات الصلة ، مثل ملفات السجل وبيانات المرور.
يعد خبراء الأمن الداخليون أمرًا بالغ الأهمية في هذه الخطوات الأولية لأنهم عادةً ما يكون لديهم فهم واضح للشبكات والأنظمة الموجودة.
يتم تحليل بيانات الأمان المجمعة باستخدام تقنيات مختلفة لتحديد الحالات الشاذة والبرامج الضارة المخفية أو المهاجمين والنشاط المشبوه أو الخطير والتهديدات التي قد تكون أنظمة الأمان قد حددتها على أنها تم حلها ولكن لم يتم حلها فعليًا.
في حالة اكتشاف تهديد ، يتم التحقيق فيه ومعالجته لمنع الاستغلال من قبل الجهات الخبيثة. في حالة اكتشاف جهات ضارة ، يتم شطبها من النظام ، ويتم تنفيذ تدابير لمزيد من الحماية ومنع حدوث حل وسط على النظام.
يوفر Threat Hunting للمنظمات فرصة للتعرف على تدابيرها الأمنية وتحسين أنظمتها لتأمينها بشكل أفضل ومنع الهجمات المستقبلية.
أهمية صيد التهديد
تتضمن بعض فوائد البحث عن التهديدات ما يلي:
قلل أضرار الهجوم السيبراني الشامل
يستفيد البحث عن التهديدات في اكتشاف وإيقاف المهاجمين السيبرانيين الذين اخترقوا نظامًا قبل أن يتمكنوا من جمع بيانات حساسة كافية لشن هجوم أكثر فتكًا.
إن إيقاف المهاجمين مباشرة في مساراتهم يقلل من الأضرار التي قد تحدث بسبب خرق البيانات. مع الطبيعة الاستباقية لمطاردة التهديدات ، يمكن للمؤسسات الاستجابة للهجمات بشكل أسرع وبالتالي تقليل مخاطر وتأثير الهجمات الإلكترونية.
تقليل الإيجابيات الكاذبة
عند استخدام أدوات الأمن السيبراني المؤتمتة ، والتي تم تكوينها لاكتشاف التهديدات وتحديدها باستخدام مجموعة من القواعد ، تظهر الحالات حيث يتم إصدار تنبيهات حيث لا توجد تهديدات حقيقية. قد يؤدي هذا إلى نشر تدابير مضادة لتهديدات غير موجودة.
يزيل البحث عن التهديدات الذي يحركه الإنسان الإيجابيات الخاطئة حيث يمكن لخبراء الأمن إجراء تحليل متعمق وإصدار أحكام الخبراء على الطبيعة الحقيقية للتهديد المتصور. هذا يزيل الإيجابيات الخاطئة.
ساعد خبراء الأمن على فهم أنظمة الشركة
التحدي الذي ينشأ بعد تثبيت أنظمة الأمان هو التحقق مما إذا كانت فعالة أم لا. يمكن أن يجيب البحث عن التهديدات على هذا السؤال حيث يقوم خبراء الأمن بإجراء تحقيقات وتحليلات متعمقة لاكتشاف وإزالة التهديدات التي ربما تكون قد أفلتت من الإجراءات الأمنية المثبتة.
هذا أيضًا له ميزة السماح لخبراء الأمن الداخليين باكتساب فهم أفضل للأنظمة الموجودة ، وكيفية عملها ، وكيفية تأمينها بشكل أفضل.
يبقي فرق الأمن على اطلاع دائم
يتضمن إجراء مطاردة للتهديدات استخدام أحدث التقنيات المتاحة لاكتشاف التهديدات ونقاط الضعف والتخفيف من حدتها قبل استغلالها.
يفيد هذا في الحفاظ على الفريق الأمني للمؤسسة مواكبًا لأحدث التهديدات وإشراكهم بنشاط في اكتشاف نقاط الضعف غير المعروفة التي يمكن استغلالها.
ينتج عن مثل هذا النشاط الاستباقي فرق أمنية مجهزة بشكل أفضل تكون على علم بالتهديدات الجديدة والناشئة ، وبالتالي تمنعهم من أن يفاجأوا بالمهاجمين.
يقصر وقت التحقيق
يُنشئ البحث المنتظم عن التهديدات بنكًا للمعرفة يمكن الاستفادة منه لتسريع عملية التحقيق في هجوم في حالة حدوثه.
ينطوي البحث عن التهديدات على دراسة وتحليل متعمقين للأنظمة ونقاط الضعف التي تم اكتشافها. وهذا بدوره يؤدي إلى تراكم المعرفة حول النظام وأمنه.
لذلك ، في حالة وقوع هجوم ، يمكن للتحقيق الاستفادة من البيانات المجمعة من عمليات البحث عن التهديدات السابقة لجعل عملية التحقيق أسرع بكثير ، مما يسمح للمؤسسة بالاستجابة للهجوم بشكل أفضل وأسرع.
ستستفيد المنظمات بشكل كبير من خلال القيام بمطاردات منتظمة للتهديدات.
صيد التهديد مقابل ذكاء التهديد
على الرغم من ارتباطها وغالبًا ما يتم استخدامها معًا لتعزيز الأمن السيبراني لمنظمة ما ، إلا أن معلومات التهديد والبحث عن التهديدات هي مفاهيم متميزة.
تتضمن معلومات التهديد جمع وتحليل البيانات حول التهديدات السيبرانية الناشئة والحالية لفهم التكتيكات والتقنيات والإجراءات والدوافع والأهداف وسلوكيات الجهات الفاعلة في التهديد وراء التهديدات والهجمات السيبرانية.
ثم يتم مشاركة هذه المعلومات مع المنظمات لمساعدتها في اكتشاف ومنع وتخفيف الهجمات السيبرانية.
من ناحية أخرى ، يعد البحث عن التهديدات عملية استباقية للبحث عن التهديدات ونقاط الضعف المحتملة التي قد تكون موجودة في نظام لمواجهتها قبل أن يتم استغلالها من قبل الجهات الفاعلة في التهديد. يقود هذه العملية خبراء أمنيون. يتم استخدام معلومات استخبارات التهديد من قبل خبراء الأمن الذين يقومون بمطاردة التهديدات.
أنواع صيد التهديد
هناك ثلاثة أنواع رئيسية من البحث عن التهديدات. هذا يتضمن:
# 1. الصيد المنظم
هذا هو مطاردة التهديد بناءً على مؤشر الهجوم (IoA). مؤشر الهجوم هو دليل على أن النظام يتم الوصول إليه حاليًا من قبل جهات فاعلة غير مصرح لها. يحدث IoA قبل خرق البيانات.
لذلك يتماشى الصيد المنظم مع التكتيكات والتقنيات والإجراءات (TTPs) التي يستخدمها المهاجم بهدف تحديد المهاجم ، وما يحاول تحقيقه ، والرد قبل أن يتسبب في أي ضرر.
# 2. صيد غير منظم
هذا نوع من مطاردة التهديدات يتم بناءً على مؤشر التسوية (IoC). مؤشر التسوية هو دليل على حدوث خرق أمني وتم الوصول إلى النظام من قبل جهات غير مصرح لها في الماضي. في هذا النوع من البحث عن التهديدات ، يبحث خبراء الأمن عن أنماط عبر الشبكة قبل وبعد تحديد مؤشر الاختراق.
# 3. الظرفية أو الكيان مدفوعة
هذه هي مطاردة التهديدات بناءً على تقييم المخاطر الداخلي للمؤسسة لأنظمتها ونقاط الضعف التي اكتشفتها. يستخدم خبراء الأمن بيانات الهجوم المتوفرة خارجيًا وأحدث بيانات الهجوم للبحث عن أنماط وسلوكيات هجوم مماثلة في النظام.
العناصر الرئيسية لمطاردة التهديد
تتضمن عملية البحث عن التهديدات الفعالة جمع البيانات المتعمقة وتحليلها لتحديد السلوكيات والأنماط المشبوهة التي قد تشير إلى التهديدات المحتملة في النظام.
بمجرد اكتشاف مثل هذه الأنشطة في النظام ، يجب التحقيق فيها وفهمها بشكل كامل من خلال استخدام أدوات التحقيق الأمني المتقدمة.
يجب أن ينتج عن التحقيق بعد ذلك استراتيجيات قابلة للتنفيذ يمكن تنفيذها لحل الثغرات الأمنية التي تم العثور عليها والتوسط في التهديدات قبل أن يتمكن المهاجمون من استغلالها.
يتمثل المكون الرئيسي الأخير للعملية في الإبلاغ عن نتائج مطاردة التهديدات وتقديم التوصيات التي يمكن تنفيذها لتأمين أنظمة المنظمة بشكل أفضل.
خطوات في صيد التهديد
مصدر الصورة: مايكروسوفت
تتضمن عملية البحث عن التهديدات الفعالة الخطوات التالية:
# 1. صياغة الفرضية
يهدف البحث عن التهديدات إلى الكشف عن التهديدات أو نقاط الضعف غير المعروفة التي يمكن استغلالها من خلال الهجمات. نظرًا لأن مطاردة التهديدات تهدف إلى العثور على المجهول ، فإن الخطوة الأولى هي صياغة فرضية بناءً على الموقف الأمني ومعرفة نقاط الضعف في نظام المؤسسة.
تعطي هذه الفرضية تأثير مطاردة التهديد وأساسًا يمكن على أساسه وضع استراتيجيات للتمرين بأكمله.
# 2. تجميع البيانات وتحليلها
بمجرد صياغة الفرضية ، فإن الخطوة التالية هي جمع البيانات والمعلومات الاستخباراتية عن التهديدات من سجلات الشبكة ، وتقارير استخبارات التهديد إلى بيانات الهجوم التاريخية ، بهدف إثبات الفرضية أو رفضها. يمكن استخدام الأدوات المتخصصة لجمع البيانات وتحليلها.
# 3. حدد المحفزات
المحفزات هي حالات مشبوهة تستدعي المزيد من التحقيق المتعمق. قد تثبت المعلومات التي يتم الحصول عليها من جمع البيانات وتحليلها الفرضية الأولية ، مثل وجود جهات فاعلة غير مصرح لها في الشبكة.
أثناء تحليل البيانات التي تم جمعها ، قد يتم الكشف عن السلوكيات المشبوهة في النظام. هذه الأنشطة المشبوهة هي محفزات تحتاج إلى مزيد من التحقيق.
# 4. تحقيق
بمجرد اكتشاف المشغلات في النظام ، يتم التحقيق معهم لفهم الطبيعة الكاملة للمخاطر المطروحة ، وكيف يمكن أن يكون الحادث قد وقع ، ودافع المهاجمين ، والتأثير المحتمل للهجوم. تُبلغ نتيجة مرحلة التحقيق هذه التدابير التي سيتم وضعها لحل المخاطر غير المكشوفة.
# 5. دقة
بمجرد التحقيق في التهديد وفهمه بالكامل ، يتم تنفيذ استراتيجيات لحل المخاطر ومنع الهجمات المستقبلية وتحسين أمان الأنظمة الحالية لمعالجة نقاط الضعف أو التقنيات التي تم اكتشافها حديثًا والتي يمكن للمهاجمين استغلالها.
بمجرد الانتهاء من جميع الخطوات ، يتم تكرار التمرين للبحث عن المزيد من نقاط الضعف وتأمين الأنظمة بشكل أفضل.
التحديات في تهديد الصيد
تتضمن بعض أهم التحديات التي تنشأ في مطاردة التهديد ما يلي:
نقص الكوادر المؤهلة
يعد صيد التهديدات نشاطًا أمنيًا يحركه الإنسان ، وبالتالي فإن فعاليته مرتبطة بشكل كبير بمهارات وخبرات صائدي التهديد الذين يقومون بالنشاط.
مع المزيد من الخبرة والمهارات ، يمكن لصائدي التهديدات تحديد نقاط الضعف أو التهديدات التي تتخطى أنظمة الأمان التقليدية أو غيرها من أفراد الأمن. يعد الحصول على صائدي التهديدات الخبراء والاحتفاظ بهم أمرًا مكلفًا وصعبًا بالنسبة للمؤسسات.
صعوبة تحديد التهديدات غير المعروفة
من الصعب جدًا إجراء البحث عن التهديدات لأنه يتطلب تحديد التهديدات التي تهربت من أنظمة الأمان التقليدية. لذلك ، فإن هذه التهديدات ليس لها توقيعات أو أنماط معروفة لسهولة التعرف عليها ، مما يجعل من الصعب للغاية تحديدها بالكامل.
جمع بيانات شاملة
يعتمد البحث عن التهديدات بشكل كبير على جمع كميات كبيرة من البيانات حول الأنظمة والتهديدات لتوجيه اختبار الفرضيات والتحقيق في المشغلات.
يمكن أن يكون جمع البيانات هذا أمرًا صعبًا لأنه قد يتطلب أدوات متقدمة تابعة لجهات خارجية ، وهناك أيضًا خطر عدم توافق التمرين مع لوائح خصوصية البيانات. بالإضافة إلى ذلك ، سيتعين على الخبراء العمل مع كميات كبيرة من البيانات التي قد يكون من الصعب القيام بها.
أن تكون على اطلاع دائم بمعلومات التهديد
لكي تكون عملية البحث عن التهديدات ناجحة وفعالة ، يحتاج الخبراء الذين يجرون التمرين إلى امتلاك معلومات محدثة عن التهديدات ومعرفة بالتكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون.
بدون الوصول إلى المعلومات حول أحدث التكتيكات والتقنيات والإجراءات المستخدمة في الهجمات ، قد يتم إعاقة عملية البحث عن التهديدات بأكملها وتصبح غير فعالة.
خاتمة
يعتبر البحث عن التهديدات عملية استباقية يجب على المنظمات التفكير في تنفيذها لتأمين أنظمتها بشكل أفضل.
نظرًا لأن المهاجمين يعملون على مدار الساعة لإيجاد طرق لاستغلال الثغرات الأمنية في النظام ، فمن المفيد للمنظمات أن تكون استباقية وتبحث عن نقاط الضعف والتهديدات الجديدة قبل أن يجدها المهاجمون ويستغلونها على حساب المؤسسات.
يمكنك أيضًا استكشاف بعض أدوات التحقيق الجنائي المجانية لخبراء أمن تكنولوجيا المعلومات.
