امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

شکار تهدیدات چیست؟ بررسی مفهوم Threat Hunting به زبان ساده

مفهوم شکار تهدیدات یا همان Threat Hunting به این فرآیند اشاره دارد که ما به دنبال تهدیدات و کشف تهدیدات متنوع باشیم که اغلب ممکن است در سازمان و شبکه ما وجود نداشته باشند اما به منظور جلوگیری از به وجود آمدن مشکلات این چنینی نیاز است که ما همواره به دنبال تهدیدات و کشف آن باشیم. فرآيند شکارتهدیدات به گفته InfoSec شباهت بسیار زیادی به شکار در دنیای واقعی دارد که ما در آن به دنباله تفریح و یا منفعت های مالی به شکار میرویم و از این بابت شخصی که به شکار میرود باید فردی حرفه ایی و با تجربه باشد که این امر در حوزه‌ Cyber Threat Hunting نیز صدق میکند و متخصصین امنیت نیز باید از تجربه و دانش بالایی در این حوزه برخوردار باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تهدید یا همان Threat چیست؟

در واقع Threat یا تهدید به حملات و خطرات متنوعی اشاره دارد که میتوانند به سازمان و دارای های یک سازمان یا سیستم خاص آسیبی را وارد کنند. از جمله مثال از Threat ها میتوانیم به باج افزار ها و بد افزار اشاره کنیم که آسیبی را به سمت سیستم و فایل ها ما وارد میکنند.

شکار تهدیدات چیست؟ بررسی مفهوم Threat Hunting به زبان ساده

شکارچیان تهدید یا Threat Hunters کیست؟

درواقع شکارچیان تهدید یا Threat Hunters افرادی خبره و متخصص در حوزه فناوری اطلاعات و امنیت اطلاعات میباشند که دانش گسترده و تجربه خوبی در این حوزه دارند و‌ به طور فعالانه به کشف و شناسایی تهدیدات متنوع به منظور جلوگيري از به وجود آمدن مشکلات و کاهش خطرات متنوع میپردازند.

شکار تهدیدات چیست؟ بررسی مفهوم Threat Hunting به زبان ساده

انواع روش های شکار تهدیدات ( Threat Hunting Methodologies ) چیست؟

درواقع در فرایند شکار تهدیدات ما روش های متعددی را در پیش روی خودمان داریم و این فرآيند باید به شکل اصولی در پیش گرفته شود. به صورت کلی روش و فرآیند های شکار تهدیدات یا همان Threat Hunting Methodologies به سه بخش تقسیم بندی میشود که به شرح زیر میباشد:

درنظر گرفتن فرضیه ها و احتمالات و تحقیق در رابطه با رخداد های متنوع

در فرآيند اول شکار تهدیدات ابتدا ما باید به دنبال تهدیدات و حملات مختلفی که بر روی بستر سازمان های متنوع رخ داده است و یا که این تهدیدات به تازگی به روی کار آمده اند تحقیق کنیم و هرکدام را مورد بررسی قرار دهیم و درنظر بگیریم که این خطرات چه میزان میتوانند بر روی سازمان ما تاثیر گذار باشند و یا در کدام یک از بخش های ما می‌توانند تاثیرات منفی داشته باشند. در این مرحله ما باید در رابطه با اخرین تهدیدات و آخرين روش های حملات و اخرین تکنیک ها و روش های کار مهاجمان (TTP) اطلاعات به دست داشته باشیم و‌ پس بررسی احتمالات و فرضیات و به دست اوردن تهدیدات و میزان آسیب آن ها به سازمان‌ ما حالا باید بر روی این مسئله کار کنیم که آیا رفتار های مشابه و یا حملات این چنینی بر روی بستر محیط سازمان ما درحال رخ دادن میباشد یا که خیر....

تحقیق و بررسی در رابطه با تهدیدات براساس شاخص های شناخته شده

درون این بخش ما باید به بررسی و تحقیق در رابطه با تهدید ها براساس شاخص ها و استاندارد های خاصی که وجود دارد بپردازيم‌. به صورت کلی در فرآیند Cyber Threat Intelligence ما سه Level متنوع داریم که یکی از این سه Level با نام Tactical Level شناخته میشود و وظیفه جمع آوری و به دست اوردن اطلاعات خوبی در رابطه با تهدیدات و مشکلات امنیتی که هر روز در دنیا رخ میدهند دارند و این اطلاعات میتوانند اطلاعاتی مانند PoC حملات و CVE ثبت شده آنها باشند و هم میتوانند اطلاعات IoC های منتشر شده در رابطه با آنها باشند و در این قسمت ما باید به سراغ این اطلاعات برویم و به صورت کلی ما اطلاعاتمان را از Tactical Level به دست میاوریم البته باید توجه داشته باشيد که Tactical Level بیشتر هدف و تمرکز بر روی IoC ها و آدرس‌های IP و Domain Name های مخرب دارد و از این بابت یکی از سریع ترین راه های ما در این بخش مراجعه به Tactical Level است اما این امکان هم وجود دارد که آدرس IP و یا Domain Name و یا هرچیزی دیگری که به عنوان‌ تهدید شناخته‌ شده است طی چندساعت از دسترس خارج شود و منسوخ شود.

تجزیه و تحلیل داده ها و تحقیقات یادگیری ماشین ( Machine Learning )

بعد از انجام فرآيند های بالا ما با ترکیب سازی فرآیند های يادگيري ماشین ( Machine Learning ) و تجزیه و تحلیل داده ها و اطلاعات به دست آمده میتوانیم بی نظمی که بین داده ها وجود دارد برطرف کنیم و به نوعی داده های اصلی و رفتار های مخرب را شناسایی کنیم به صورت کلی هدف از سه روش بالا فقط و فقط کاهش خطرات و جلوگیری از رخ دادن حملات متنوع بر روی بستر سازمان میباشد که فعالان این عرصه در تلاش هستند اینکار را برای یک سازمان و دارای ها و سیستم های آن پیاده سازی کنند.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

05 تیر 1400 این مطلب را ارسال کرده

نظرات