سرویس اطلاعاتی امنیتی تهدیدات (Security Threat intelligence Service)

مفهوم هوش در حوزه تهدیدات سایبری تفاوت آنچنانی با سایر حوزه‌های هوش ندارد. در حوزه امنیت سازمان‌ها اکثرا به دنبال روش‌ها و تکنیک‌های هوشمند جمع آوری اطلاعات می‌باشند که علاوه بر ارایه امکان جستجو و شناسایی موقعیت‌های بالقوه و حساس، به سازمان‌ها کمک کند تا قبل از وقوع هر گونه اتفاقی عکس العمل مناسبی در برابر تهدیدات داشته باشند. راهکارهای امنیتی مبتنی بر Threat Intelligence، تنها یکی از چندین ابزار امنیتی است که سازمان‌ها می‌توانند برای رسیدن به امنیتی قابل اعتماد و قابل قبول استفاده می‌کنند.

استفاده صحیح از راهکارها و سرویس‌های امنیتی مبتنی بر Threat intelligence می‌تواند به سازمان‌ها در تشخیص سریع فعالیت‌های ‌مشکوک و غیر قانونی افراد در شبکه سازمان (تهدیدات پیشرفته و مستمر (APT) که موجب آسیب‌های جددی به سازمان در بلند مدت می‌شود) و همچنین تشخیص اهداف مورد نظر این افراد کمک کند.

سرویس اطلاعاتی امنیتی تهدیدات

سرویس‌های اطلاعاتی امنیتی تهدیدات، اکثرا الگوهای و رفتارهای غیرمعمول درسیستم‌ها و همچنین اطلاعات ارزشمند سازمان را مورد توجه قرار می‌دهد. راهکارهای مبتنی بر Threat intelligence با وجود تشخیص تهدیدات از هیچ حمله‌ای جلوگیری نمی‌کنند. در این نوع سیستم‌ها جلوگیری از حملات و کاهش اثرات ناشی از آنها نیازمند مداخله انسانی و استقرار ابزارهای حقوقی و امنیتی مناسب می‌باشد.

با ظهور تکنولوژی‌های جدید بردارهای مربوط به حملات به این تکنولوژی‌ها نیز به موازت آنها در حال افزایش می‌باشند: سرورها، دسکتاپ‌ها، لپ تاپ‌ها، تجهیزات موبایل و در حال حاضر تجهیزات اینترنت اشیاء (IoTs) نقاطی هستند که می توانند سازمان ها را از طریق اجزای بی خطر خود مانند ترموستات و پردازنده‌های خود در معرض حملات مختلفی قرار دهند.

طبق گفته آقاب پیتر ترن مدیر ارشد تهدیدات سایبری بخش امنیت RSA هر وسیله در سازمان می‌تواند منبعی برای جمع آوری اطلاعات در مورد تهدیدات باشد. با توجه به پیش بینی رشد 50 بیلیونی برای تجهیزات IoT تا سال 2020، در حال حاضر چالش اصلی، ایجاد ساختاری برای تجزیه و تحلیل موثر اطلاعات مربوط به تهدیدات در حجم وسیعی از داده‌های جمع آوری شده از دستگاه های هوشمند متصل به شبکه می‌باشد.

Threat intelligence

یکی از مشکلات معمول در حوزه امنیت اطلاعات اصطلاحات مختلفی است که برای توصیف تکنولوژی‌های مختلف استفاده می‌شود. معمولا برای نامگذاری هوشمندی در برابر تهدیدات از اصطلاحاتی مانند Threat intelligence ،Advanced threat detection و Security analytics استفاده می‌شود. 
صرف نظر از اصطلاحات رایج می‌توان به موارد زیر به عنوان عناصر اصلی یک سیستم تشخیص موفق تهدیدات اشاره کرد.

•  توانایی استخراج سریع محتوای متنی از ارتباطات برخط، انباره داده‌ها، ارتباطات Tor، ارتباطات L2P. 
• قابلیت‌های یادگیری ماشین و فیلترینگ قوی برای وارسی همزمان داده‌ها از بین میلیون‌ها بخش داده که در کنار این کار بایستی از زبان‌های مختلف نیز پشتیبانی کند.
• کنترل کیفیت و کم کردن تشخیص های اشتباه
• پشتیبانی از هوش انسانی برای سرعت بخشیدن، تایید و تشریح یک تهدید برای مواقعی که از طریق یک سیستم اتوماتیک شناسایی می‌شود. این موضوع به معنی داشتن یک تحلیگر ماهر است.
•  امکان ادغام شدن با سایر پلتفرم‌های امنیتی مانند سیستم‌های SIEM.

 Threat intelligence یا Cyber threat intelligence اطلاعات تجزیه و تحلیل شده و تصفیه شده‌ای هستند که توسط سازمان‌ها برای شناسایی تهدیدات بالقوه و بالفعل استفاده می‌شوند. 
بزرگترین ناشناخته; این موضوع می‌تواند در بسیاری از موضوعات هیجان انگیز باشد، اما از آنجایی که در دنیای واقعی هر تهدیدی می‌تواند سازمان را به زانو در بیاورد، موضوع ناشناختگی می‌تواند کاملا وحشتناک باشد. اطلاعات مربوط به تهدیدات به سازمان‌ها کمک می‌کند تا با انتخاب مکانیزم‌های دفاعی موثرتر و آگاهانه در برابر تهدیدات امنیتی، از میزان ریسکی که می‌توانند اعتبار سازمان را به خطر بیاندازد، بکاهند. 
با توجه به جذابیت باطنی اطلاعات تهدیدات، مهم ترین نکته در مورد آنها شناخت دقیق نحوه عملکرد آن‌ها می باشد. با تمرکز بر روی این موضوع می‌توان راهکار مناسبی برای حفاظت از کسب کار خود در برابر تهدیدات سایبری اتخاذ نمود.

 دلیل اهمیت سرویس اطلاعاتی امنیتی تهدیدات

 راهکارهای هوشمندی در برابر تهدیدات ابتدا داده های خام مربوط به تهدیدات و بازیگران موجود یا در حال ظهور را از منابع متنوعی جمع آوری و سپس از این داده ها برای ایجاد فید های و گزارشات مدیریتی آنالیز شده و فیلتر شده توسط راهکارهای کنترل امنیتی خودکار استفاده می شود. هدف اصلی این نوع راهکارها بالا بردن آگاهی سازمان از نحوه عملکرد تهدیدات مستمر و پیچیده(APT)، حملات روز صفر، Exploitها و چگونگی جلوگیری از این تهدیدات می باشد.
در صورتی که راهکارهای امنیتی به درستی و با در نظر گرفتن کلیه جوانب پیاده سازی شوند، می توانند با اطلاعاتی که در مورد تهدیدات ارایه می دهند به سازمان ها در رسیدن به اهداف زیر کمک کنند.

•  به سازمان ها کمک می کند تا در برابر تهدیدات امنیتی پیشرو اقدامات پیشگرانه مناسب تری داشته باشند.
• به مدیران، شرکای تجاری و کاربران سازمان کمک می کند تا آگاهی کامل تری در مورد آخرین تهدیدات کسب و کارشان داشته باشند.
•  این راهکارها با اطلاعاتی که از تهدیدات مسدود شده از جمله متدها، آسیب پذیری ها، اهداف و بازیگران در اختیار شما قرار می دهد، شما را از بروز بودن راهکارهای امنیتی تان مطمئن می سازد

تعریف شاخص های توافقی مربوط به تشخیص (Indicators of compromise)

 شاخص های تشخیص یا IOCs قسمتی از داده های فارنزیکی از جمله داده های موجود در لاگ های ارسالی سیستم های مختلف یا فایل ها می باشد که از طریق آنها می توان فعالیت های مخرب بالقوه بر روی سیستم یا شبکه را شناسایی کرد. این شاخص ها کار تشخیص دستکاری در اطلاعات، بدافزارها، سیستم های آلوده و سایر فعالیت های تهدیدکننده را برای کارشناسان امنیت سازمان آسان تر می کنند. سازمان ها  با مانیتور کردن شاخص های تعریف شده می توانند به سرعت حملات را تشخیص و به سرعت از رخنه در شبکه شبکه جلوگیری نمایند و خسارات ناشی از حمله را در مراحل اولیه کاهش دهند.شاخص های شناسایی شبیه پودرهایی رنگی عمل می کنند که به کارشناسان IT و امنیت کمک می کنند تا در همان مراحل اولیه حمله آن را تشخیص و اقدامات ضروری را انجام دهند. فعالیت های مشکوک به صورت پرچم های قرمزی می باشند که نشان دهنده تهدیدات بالقوه یا حملات در حال انجام می باشند. در صورت عدم پیشگیری، این تهدیدات می تواند منجر به رخنه در سازمان شوند. شناسایی IOCها همیشه راحت نمی باشد; گاهی این شاخص ها می توانند به سادگی یک متادیتا باشد یا استخراج آنها به پیچیدگی شناسایی کدها و محتواهای مخرب باشد. تحلیگران اغلب IOCها متنوعی را شناسایی و به دنبال همبستگی بین آنها می گردند و آنها را برای شناسایی تهدیدات بالقوه یا حوادث جمع آوری می نمایند. 

 15 شاخص کلیدی توافقی مربوط به تشخیص 

• ترافیک خروجی غیرمعمول
• ناهنجاری های مربوط به فعالیت های کاربر دارای مجوز
•  بی نظمی های جغرافیایی
• سایز مربوط به پاسخ HTML
• تعداد زیادی درخواست برای یک فایل یکسان
• افزایش میزان خواندن اطلاعات از Database
•  عدم تطبیق ترافیک با پورت برنامه کاربردی
• تغییرات مشکوک رجیستری و فایل سیستم
• درخواست های مشکوک DNS
• Patchهای ناخواسته سیستمی
• تغییر پروفایل تجهیزات موبایل
•  ذخیره شدن اطلاعات در مکان نادرست
• ترافیک وب با الگوی غیر انسانی
• الگوهای فعالیت DDoS