شکار تهدید زمانی است که متخصصین امنیت رایانه فعالانه به دنبال شناسایی و ریشه‌کنی آن دسته از تهدیدات مجازی هستند که مخفیانه به شبکه‌ی رایانه‌شان نفوذ کرده‌اند. شکار تهدید فراتر از بررسی هشدارها و تهدیدات مخرب شناخته‌شده است؛ هدفش شناسایی تهدیدات و آسیب‌پذیری‌های بالقوه‌ی جدید است.

شکار تهدید چگونه عمل می‌کند؟

شکار تهدید یک اقدام فعالانه‌ی‌ امنیتی در زمینه‌ی فناوری اطلاعات است. هدف از آن کشف و ریشه‌کنی آن دسته از حملات مجازی است که بدون فعال کردن هیچ هشداری به محیطتان نفوذ کرده‌اند. با بررسی‌ها و پاسخ‌های سنتی امنیت مجازی فرق می‌کند که پس از هشدار سیستم در اثر شناسایی فعالیت‌های مخرب احتمالی، فعال می‌شوند.

شکار تهدید فراتر از چیزهایی است که ازشان آگاه هستید یا باعث فعال شدن یک هشدار شده‌اند. نرم‌افزار امنیتی درباره‌ی مخاطرات و اقدامات مربوط به تهدیدات متداول، مانند بدافزارها، به کاربران هشدار می‌دهد. شکار تهدید به ناشناخته‌ها می‌پردازد تا تهدیدات مجازی جدید را شناسایی کند.

چرا شکار تهدید اهمیت دارد؟

برخی مهاجمان سازمان‌یافته و ماهر هستند و پشتوانه‌ی خوبی دارند. اگر هدفشان قرار گیرید، سرسختانه به دنبال نقطه ضعفی برای سوء استفاده خواهند بود. حتی با بهترین ابزارهای امنیتی نیز نمی‌توانید همه‌چیز را کشف کنید. این‌جا است که شکار تهدید به کار می‌آید. وظیفه اصلیش یافتن چنین مهاجمانی است.

چه کسانی باید در شکار تهدید نقش داشته باشند؟

مجموعه‌ای از مهارت‌ها در قالب یک گروه، برای اجرای شکار تهدید لازم است. این مهارت‌ها عبارت هستند از:

 آشنایی با امنیت شبکه و نقطه‌ی پایانی«Endpoint»

به اعضای باتجربه‌ی گروه فناوری اطلاعات (IT) و مرکز عملیات امنیت (SOC) خود احتیاج خواهید داشت که دانش گسترده و عمیقی در مورد مسائل و بهترین رویه‌های امنیتی دارند. 

توانایی تجزیه‌ و تحلیل داده

هوش تهدید«Threat Intelligence» اغلب شامل الگوهایی از داده‌های خام است. توانایی تجزیه و تحلیل داده به شناسایی این الگوهای موجود در داده‌ها کمک می‌کند.

کنجکاوی ذاتی

گاهی اوقات، شکار تهدید می‌تواند جست‌وجویی هنرمندانه باشد. باید تفکر خلاق داشت تا بتوان بین موارد به‌ظاهر نامرتبط ارتباط برقرار کرد یا سؤالاتی از این دست مطرح کرد که «چه می‌شود اگر...». 

چه زمانی باید شکار تهدید را انجام داد؟

زمانی‌که گمان می‌کنید رفتار پرخطری رخ داده است، می‌توانید شکار تهدید را انجام دهید. در هر صورت، موفق‌ترین شکارها آن‌هایی هستند که برنامه‌ریزی شده‌اند. باید هدف از شکار را تعیین کنید، اهداف روشنی برایش تعریف کنید و زمان خاصی را به انجام آن اختصاص دهید. وقتی کارتان تمام شد، باید مراحل آن را برای بهبود وضعیت امنیتی خود ارزیابی کنید. می‌توانید دستورالعمل‌هایی برای پیشگیری از تهدید تدوین کنید و نتایجی را که منجر به پیشرفت می‌شوند، در آن‌ها بگنجانید.

شکار تهدید را کجا باید به کار گرفت؟

در اصل، کلید هر شکار تهدید موفقی «داده» است. قبل از اقدام به هر کاری در زمینه‌ی شکار تهدید، باید اطمینان حاصل کنید که از قابلیت کافی برای رویدادنگاری«Logging»شکار تهدید برخوردار هستید. اگر نتوانید ببینید چه اتفاقی در سیستم‌هایتان می‌افتد، نمی‌توانید واکنش متقابل مناسبی نشان دهید. انتخاب سیستم‌هایی که می‌خواهید ازشان داده بگیرید، اغلب به هدف شکار بستگی دارد. برای مثال می‌توانید ابزارهایی نصب کنید که بر نوع خاصی از ترافیک نظارت می‌کنند. می‌توانید در شکار تهدید از داده‌های رویدادنگاری به دست آمده از این سیستم‌های موقت استفاه کنید.