4/1
شکار تهدید زمانی است که متخصصین امنیت رایانه فعالانه به دنبال شناسایی و ریشهکنی آن دسته از تهدیدات مجازی هستند که مخفیانه به شبکهی رایانهشان نفوذ کردهاند. شکار تهدید فراتر از بررسی هشدارها و تهدیدات مخرب شناختهشده است؛ هدفش شناسایی تهدیدات و آسیبپذیریهای بالقوهی جدید است.
شکار تهدید زمانی است که متخصصین امنیت رایانه فعالانه به دنبال شناسایی و ریشهکنی آن دسته از تهدیدات مجازی هستند که مخفیانه به شبکهی رایانهشان نفوذ کردهاند. شکار تهدید فراتر از بررسی هشدارها و تهدیدات مخرب شناختهشده است؛ هدفش شناسایی تهدیدات و آسیبپذیریهای بالقوهی جدید است.
شکار تهدید یک اقدام فعالانهی امنیتی در زمینهی فناوری اطلاعات است. هدف از آن کشف و ریشهکنی آن دسته از حملات مجازی است که بدون فعال کردن هیچ هشداری به محیطتان نفوذ کردهاند. با بررسیها و پاسخهای سنتی امنیت مجازی فرق میکند که پس از هشدار سیستم در اثر شناسایی فعالیتهای مخرب احتمالی، فعال میشوند.
شکار تهدید فراتر از چیزهایی است که ازشان آگاه هستید یا باعث فعال شدن یک هشدار شدهاند. نرمافزار امنیتی دربارهی مخاطرات و اقدامات مربوط به تهدیدات متداول، مانند بدافزارها، به کاربران هشدار میدهد. شکار تهدید به ناشناختهها میپردازد تا تهدیدات مجازی جدید را شناسایی کند.
برخی مهاجمان سازمانیافته و ماهر هستند و پشتوانهی خوبی دارند. اگر هدفشان قرار گیرید، سرسختانه به دنبال نقطه ضعفی برای سوء استفاده خواهند بود. حتی با بهترین ابزارهای امنیتی نیز نمیتوانید همهچیز را کشف کنید. اینجا است که شکار تهدید به کار میآید. وظیفه اصلیش یافتن چنین مهاجمانی است.
مجموعهای از مهارتها در قالب یک گروه، برای اجرای شکار تهدید لازم است. این مهارتها عبارت هستند از:
به اعضای باتجربهی گروه فناوری اطلاعات (IT) و مرکز عملیات امنیت (SOC) خود احتیاج خواهید داشت که دانش گسترده و عمیقی در مورد مسائل و بهترین رویههای امنیتی دارند.
هوش تهدید«Threat Intelligence» اغلب شامل الگوهایی از دادههای خام است. توانایی تجزیه و تحلیل داده به شناسایی این الگوهای موجود در دادهها کمک میکند.
گاهی اوقات، شکار تهدید میتواند جستوجویی هنرمندانه باشد. باید تفکر خلاق داشت تا بتوان بین موارد بهظاهر نامرتبط ارتباط برقرار کرد یا سؤالاتی از این دست مطرح کرد که «چه میشود اگر...».
زمانیکه گمان میکنید رفتار پرخطری رخ داده است، میتوانید شکار تهدید را انجام دهید. در هر صورت، موفقترین شکارها آنهایی هستند که برنامهریزی شدهاند. باید هدف از شکار را تعیین کنید، اهداف روشنی برایش تعریف کنید و زمان خاصی را به انجام آن اختصاص دهید. وقتی کارتان تمام شد، باید مراحل آن را برای بهبود وضعیت امنیتی خود ارزیابی کنید. میتوانید دستورالعملهایی برای پیشگیری از تهدید تدوین کنید و نتایجی را که منجر به پیشرفت میشوند، در آنها بگنجانید.
در اصل، کلید هر شکار تهدید موفقی «داده» است. قبل از اقدام به هر کاری در زمینهی شکار تهدید، باید اطمینان حاصل کنید که از قابلیت کافی برای رویدادنگاری«Logging»شکار تهدید برخوردار هستید. اگر نتوانید ببینید چه اتفاقی در سیستمهایتان میافتد، نمیتوانید واکنش متقابل مناسبی نشان دهید. انتخاب سیستمهایی که میخواهید ازشان داده بگیرید، اغلب به هدف شکار بستگی دارد. برای مثال میتوانید ابزارهایی نصب کنید که بر نوع خاصی از ترافیک نظارت میکنند. میتوانید در شکار تهدید از دادههای رویدادنگاری به دست آمده از این سیستمهای موقت استفاه کنید.
نظرات کاربران: