هوش تهدیدات سایبری (Cyber threat intelligence) یک فناوری پویا و سازگارشونده است که در آن از داده‌های قبلی در مقیاس وسیع استفاده می‌شود تا حملات مخرب به شبکه در آینده، مسدود و رفع شوند. هوش تهدیدات سایبری به خودی خود یک راهکار به حساب نمی‌آید، بلکه یک جزء حیاتی در معماری امنیت است. با توجه به این‌که همواره تهدیدات جدیدی پدید می‌آیند، راهکارهای امنیتی صرفاً به اندازه هوشی که دارند، مؤثر هستند. 

تحلیل تهدیدات سایبری چیست؟

تحلیل تهدیدات سایبری، فرآیندی است که در آن ویژگی‌های تهدیدات و فایل‌های مخرب، شناسایی و ارزیابی می‌شوند. یک تحلیل خوب برای تهدیدات سایبری را می‌توان به عنوان اولویتی اصلی برای یک هوش تهدید سایبری عالی و قابل اقدام دانست. 

از گذشته نیز در دفاع امنیتی به شدت بر روی اعطا و حذف دسترسی‌های پیرامونی تأکید شده است. اما تهدیدات معمولاً از ترفندهایی استفاده می‌کنند تا خود را مخفی کرده و شناسایی نشوند. در تحلیل تهدیدات سایبری، فایل‌ها را همواره و به صورت مستمر ارزیابی می‌کنند. اگر در هر مقطعی از تحلیل مشخص شود که یک فایل تهدید دارد، این تهدید ثبت شده و به طور کامل مسدود می‌شود. 

چرا هوش تهدیدات سایبری اهمیت دارد؟

هوش تهدیدات سایبری را می‌توان به عنوان نتیجه نهایی در تحلیل تهدیدات سایبری دانست. این هوش، در واقع مجموعه‌ای از یافته‌ها است که از آن‌ها برای اقدام و دفاع در برابر تهدیدات استفاده می‌شود. در هوش تهدیدات سایبری، به جای آن‌که دسترسی‌ها به صورت دستی اعطا یا حذف شوند، تهدیدات مخرب ردیابی شوند و عوامل مخرب قبلی ثبت شوند، اقداماتی جامع به صورت خودکار انجام می‌شوند. مثلاً اگر یک فایل به عنوان فایل مخرب تشخیص داده شود، بلافاصله در کل شبکه مسدود می‌شود. 

امروزه سازمان‌ها می‌توانند با سرمایه‌گذاری بر روی هوش تهدیدات سایبری، به یک پایگاه عظیم داده از تهدیدات دسترسی پیدا کرده و راهکارهای خود را بهبود بخشند. راهکارهای امنیتی نیز در پایان روز به اندازه همان هوش تهدیدی که از آن استفاده شده است، قدرت خواهند داشت. 

پلتفرم هوش تهدید چیست؟

در یک پلتفرم هوش تهدید (threat intelligence platform)، مجموعه‌ای از اطلاعات تهدید از چندین و چند منبع داده‌ای با قالب‌های مختلف جمع‌آوری شده و در کنار هم قرار می‌گیرد. حجم داده‌های هوش تهدید بسیار زیاد است. بنابراین، پلتفرم‌های هوش تهدید را به شکلی طراحی می‌کنند که داده‌های مورد نظر در یک مکان واحد جمع‌آوری شده و مهم‌تر آن‌که داده‌ها در قالبی قابل فهم و قابل استفاده نشان داده شوند. 

مؤلفه‌های کلیدی برای یک هوش تهدید عملی (actionable threat intelligence)

داده‌های مربوط به تهدیدات قبلی

داده، داده‌های بیشتر و باز هم داده‌های بیشتر. برای آن‌که بتوان به یک هوش تهدید عملی رسید، باید داده‌های مربوط به تهدیدات قبلی در اختیار باشند. تحلیل تهدیدات سایبری و قابلیت‌های یادگیری ماشین، اطلاعات و دیدگاه‌های بسیار خوبی فراهم می‌نمایند. مثلاً اگر یک هوش تهدید تجاری فقط 10 داده در خصوص تهدیدات داشته باشد، می‌تواند 10 تهدید را به شکل پیش‌دستانه مسدود کرده و جلوی آن‌ها را بگیرد. هر چه این مجموعه داده بزرگ‌تر شود، هوش تهدید هم اطلاعات بیشتری از تهدیدات مخربی شبکه را به صورت بالقوه تهدید می‌کنند، به دست می‌آورد. با افزایش داده، الگوریتم‌های تحلیلی که بر پایه یادگیری ماشین کار می‌کنند هم بهتر می‌شوند. 

تشخیص خودکار، مسدودسازی

اگر از یک تحلیل دقیق برای تهدیدات سایبری استفاده کرده باشید، از قابلیت‌های یادگیری ماشین هم بهره برده باشید و داده‌های زیادی هم از تهدیدات قبلی در اختیار داشته باشید، باز هم سیستم هوش تهدیدات سایبری شما باید امکان استفاده از این ابزارها را داشته باشد تا بتواند به شکل خودکار عمل کند. این‌که سیستم شما فقط در مقابل تهدیدات شناسایی‌شده اقدام کند، کافی نیست بلکه باید بتواند اقداماتی را به صورت پیش‌دستانه انجام داده و تهدیدات را به صورت دائمی مسدود کند. 

تعداد تهدیدات سایبری به شکل نمایی افزایش پیدا کرده‌اند و به نظر می‌رسد که در آینده هم همین روند ادامه داشته باشد. نمی‌توانید همچنان از اقدامات دستی استفاده کنید. به همین دلیل، سازمان‌ها باید حتماً از راهکارهای مدیریت تهدید یکپارچه‌ای (unified threat management) استفاده کنند که امکان شناسایی تهدیدات، مثلاً در آسیا را داشته و بلافاصله تهدیدات شناسایی‌شده را در آمریکای جنوبی مسدود و رفع کنند. 

تحلیل تهدیدات سایبری

هوش تهدیدات سایبری باید بتواند تهدیدات سایبری را به خوبی تحلیل کند. امروزه سازمان‌ها با داده‌های بیشتری نسبت به گذشته سر و کار دارند و به همین دلیل، هکرها انگیزه‌های مالی بیشتری نسبت به گذشته پیدا کرده‌اند. امروز هکرها بیش از پیش پیچیده و هماهنگ شده‌اند. در نتیجه، مسائل و چالش‌های بیشتری پدید آمده‌اند که حل و فصل آن‌ها نیاز به روش‌های نوآورانه‌تر برای تحلیل تهدیدات سایبری دارد. 

قابلیت‌های یادگیری ماشین

افزایش حجم تهدیدات و پیدایش سریع‌تر تهدیدات مشترک را می‌توان به عنوان دو مورد از روندهای امروزی در حوزه دفاع در برابر تهدیدات دانست. برای آن‌که بتوانید خود را با این روندها همسو ساخته و وفق دهید، هوش تهدیدات سایبری شما باید از قابلیت‌های یادگیری ماشین در وضعیت‌های تهدید استفاده کند. یادگیری ماشین می‌تواند الگوها را تشخیص داده و تهدیدات در مجموعه داده‌های بزرگ را پیش‌بینی کند. تمام این کارها هم با سرعت ماشین انجام می‌شود. تیم‌های عملیات امنیت می‌توانند از این قابلیت‌ها استفاده کرده و تهدیدات پیشرفته را به سرعت تشخیص داده و اولویت‌بندی کنند. این کار به طور معمول نیاز به تحلیل‌های عمیق توسط انسان دارد. برای آن‌که سازمان‌ها بتوانند از قابلیت‌های مؤثر در یادگیری ماشین استفاده کنند، باید موارد زیر را مد نظر قرار دهند:

• تنوع و دقت مجموعه داده. برای آن‌که بتوان به یک پوشش جامع دست یافت، لازم است تا بدافزارهایی که سازمان‌ها در صنایع مختلف با اندازه‌ها و مکان‌های جغرافیایی مختلف با آن‌ها روبرو می‌شوند، به شکل متوازن نشان داده شده و به صورت بردارهای مختلف تهدید ارائه شوند.
• پردازش چندلایه‌ای. هر یک از مراحل پردازش در خط لوله یادگیری ماشین باید جزئیات و دقت تشخیص را افزایش دهند تا مطمئن شویم که تیم‌های امنیتی ما با تشخیص‌های اولویت‌دار و محتوای قوی سر و کار دارند.
• رابطه بین داده‌ها در نقطه انتهایی و داده‌های شبکه. سیستم باید با پیداکردن رابطه بین نتایج حاصل از پردازش در هر یک از لایه‌ها، تشخیص‌ها را تقویت کرده، دقت را افزایش داده، قابلیت‌های یادگیری توسط خود ماشین را بهبود بخشیده و تهدیدات بیشتری را با سرعت بیشتر تشخیص دهد.
• تخصص بیشتر در مورد دامنه و دسته‌بندی‌کننده‌هایی که همواره آموزش می‌بینند. کسب اطلاعات بیشتر در خصوص دامنه و یادگیری مستمر را می‌توان به عنوان اجزایی حیاتی در ایجاد یک سیستم قدرتمند برای یادگیری ماشین دانست که دیگر، دستکاری و تغییر در آن ساده نخواهد بود.