سرویس اطلاعاتی امنیتی تهدیدات (Security Threat intelligence Service)
مفهوم هوش در حوزه تهدیدات سایبری تفاوت آنچنانی با سایر حوزههای هوش ندارد. در حوزه امنیت سازمانها اکثرا به دنبال روشها و تکنیکهای هوشمند جمع آوری اطلاعات میباشند که علاوه بر ارایه امکان جستجو و شناسایی موقعیتهای بالقوه و حساس، به سازمانها کمک کند تا قبل از وقوع هر گونه اتفاقی عکس العمل مناسبی در برابر تهدیدات داشته باشند. راهکارهای امنیتی مبتنی بر Threat Intelligence، تنها یکی از چندین ابزار امنیتی است که سازمانها میتوانند برای رسیدن به امنیتی قابل اعتماد و قابل قبول استفاده میکنند.
استفاده صحیح از راهکارها و سرویسهای امنیتی مبتنی بر Threat intelligence میتواند به سازمانها در تشخیص سریع فعالیتهای مشکوک و غیر قانونی افراد در شبکه سازمان (تهدیدات پیشرفته و مستمر (APT) که موجب آسیبهای جددی به سازمان در بلند مدت میشود) و همچنین تشخیص اهداف مورد نظر این افراد کمک کند.
سرویس اطلاعاتی امنیتی تهدیدات
سرویسهای اطلاعاتی امنیتی تهدیدات، اکثرا الگوهای و رفتارهای غیرمعمول درسیستمها و همچنین اطلاعات ارزشمند سازمان را مورد توجه قرار میدهد. راهکارهای مبتنی بر Threat intelligence با وجود تشخیص تهدیدات از هیچ حملهای جلوگیری نمیکنند. در این نوع سیستمها جلوگیری از حملات و کاهش اثرات ناشی از آنها نیازمند مداخله انسانی و استقرار ابزارهای حقوقی و امنیتی مناسب میباشد.
با ظهور تکنولوژیهای جدید بردارهای مربوط به حملات به این تکنولوژیها نیز به موازت آنها در حال افزایش میباشند: سرورها، دسکتاپها، لپ تاپها، تجهیزات موبایل و در حال حاضر تجهیزات اینترنت اشیاء (IoTs) نقاطی هستند که می توانند سازمان ها را از طریق اجزای بی خطر خود مانند ترموستات و پردازندههای خود در معرض حملات مختلفی قرار دهند.
طبق گفته آقاب پیتر ترن مدیر ارشد تهدیدات سایبری بخش امنیت RSA هر وسیله در سازمان میتواند منبعی برای جمع آوری اطلاعات در مورد تهدیدات باشد. با توجه به پیش بینی رشد 50 بیلیونی برای تجهیزات IoT تا سال 2020، در حال حاضر چالش اصلی، ایجاد ساختاری برای تجزیه و تحلیل موثر اطلاعات مربوط به تهدیدات در حجم وسیعی از دادههای جمع آوری شده از دستگاه های هوشمند متصل به شبکه میباشد.
Threat intelligence
یکی از مشکلات معمول در حوزه امنیت اطلاعات اصطلاحات مختلفی است که برای توصیف تکنولوژیهای مختلف استفاده میشود. معمولا برای نامگذاری هوشمندی در برابر تهدیدات از اصطلاحاتی مانند Threat intelligence ،Advanced threat detection و Security analytics استفاده میشود.
صرف نظر از اصطلاحات رایج میتوان به موارد زیر به عنوان عناصر اصلی یک سیستم تشخیص موفق تهدیدات اشاره کرد.
- توانایی استخراج سریع محتوای متنی از ارتباطات برخط، انباره دادهها، ارتباطات Tor، ارتباطات L2P.
- قابلیتهای یادگیری ماشین و فیلترینگ قوی برای وارسی همزمان دادهها از بین میلیونها بخش داده که در کنار این کار بایستی از زبانهای مختلف نیز پشتیبانی کند.
- کنترل کیفیت و کم کردن تشخیص های اشتباه
- پشتیبانی از هوش انسانی برای سرعت بخشیدن، تایید و تشریح یک تهدید برای مواقعی که از طریق یک سیستم اتوماتیک شناسایی میشود. این موضوع به معنی داشتن یک تحلیگر ماهر است.
- امکان ادغام شدن با سایر پلتفرمهای امنیتی مانند سیستمهای SIEM.
Threat intelligence یا Cyber threat intelligence اطلاعات تجزیه و تحلیل شده و تصفیه شدهای هستند که توسط سازمانها برای شناسایی تهدیدات بالقوه و بالفعل استفاده میشوند.
بزرگترین ناشناخته; این موضوع میتواند در بسیاری از موضوعات هیجان انگیز باشد، اما از آنجایی که در دنیای واقعی هر تهدیدی میتواند سازمان را به زانو در بیاورد، موضوع ناشناختگی میتواند کاملا وحشتناک باشد. اطلاعات مربوط به تهدیدات به سازمانها کمک میکند تا با انتخاب مکانیزمهای دفاعی موثرتر و آگاهانه در برابر تهدیدات امنیتی، از میزان ریسکی که میتوانند اعتبار سازمان را به خطر بیاندازد، بکاهند.
با توجه به جذابیت باطنی اطلاعات تهدیدات، مهم ترین نکته در مورد آنها شناخت دقیق نحوه عملکرد آنها می باشد. با تمرکز بر روی این موضوع میتوان راهکار مناسبی برای حفاظت از کسب کار خود در برابر تهدیدات سایبری اتخاذ نمود.
دلیل اهمیت سرویس اطلاعاتی امنیتی تهدیدات
راهکارهای هوشمندی در برابر تهدیدات ابتدا داده های خام مربوط به تهدیدات و بازیگران موجود یا در حال ظهور را از منابع متنوعی جمع آوری و سپس از این داده ها برای ایجاد فید های و گزارشات مدیریتی آنالیز شده و فیلتر شده توسط راهکارهای کنترل امنیتی خودکار استفاده می شود. هدف اصلی این نوع راهکارها بالا بردن آگاهی سازمان از نحوه عملکرد تهدیدات مستمر و پیچیده(APT)، حملات روز صفر، Exploitها و چگونگی جلوگیری از این تهدیدات می باشد.
در صورتی که راهکارهای امنیتی به درستی و با در نظر گرفتن کلیه جوانب پیاده سازی شوند، می توانند با اطلاعاتی که در مورد تهدیدات ارایه می دهند به سازمان ها در رسیدن به اهداف زیر کمک کنند.
- به سازمان ها کمک می کند تا در برابر تهدیدات امنیتی پیشرو اقدامات پیشگرانه مناسب تری داشته باشند.
- به مدیران، شرکای تجاری و کاربران سازمان کمک می کند تا آگاهی کامل تری در مورد آخرین تهدیدات کسب و کارشان داشته باشند.
- این راهکارها با اطلاعاتی که از تهدیدات مسدود شده از جمله متدها، آسیب پذیری ها، اهداف و بازیگران در اختیار شما قرار می دهد، شما را از بروز بودن راهکارهای امنیتی تان مطمئن می سازد
تعریف شاخص های توافقی مربوط به تشخیص (Indicators of compromise)
شاخص های تشخیص یا IOCs قسمتی از داده های فارنزیکی از جمله داده های موجود در لاگ های ارسالی سیستم های مختلف یا فایل ها می باشد که از طریق آنها می توان فعالیت های مخرب بالقوه بر روی سیستم یا شبکه را شناسایی کرد. این شاخص ها کار تشخیص دستکاری در اطلاعات، بدافزارها، سیستم های آلوده و سایر فعالیت های تهدیدکننده را برای کارشناسان امنیت سازمان آسان تر می کنند. سازمان ها با مانیتور کردن شاخص های تعریف شده می توانند به سرعت حملات را تشخیص و به سرعت از رخنه در شبکه شبکه جلوگیری نمایند و خسارات ناشی از حمله را در مراحل اولیه کاهش دهند.شاخص های شناسایی شبیه پودرهایی رنگی عمل می کنند که به کارشناسان IT و امنیت کمک می کنند تا در همان مراحل اولیه حمله آن را تشخیص و اقدامات ضروری را انجام دهند. فعالیت های مشکوک به صورت پرچم های قرمزی می باشند که نشان دهنده تهدیدات بالقوه یا حملات در حال انجام می باشند. در صورت عدم پیشگیری، این تهدیدات می تواند منجر به رخنه در سازمان شوند. شناسایی IOCها همیشه راحت نمی باشد; گاهی این شاخص ها می توانند به سادگی یک متادیتا باشد یا استخراج آنها به پیچیدگی شناسایی کدها و محتواهای مخرب باشد. تحلیگران اغلب IOCها متنوعی را شناسایی و به دنبال همبستگی بین آنها می گردند و آنها را برای شناسایی تهدیدات بالقوه یا حوادث جمع آوری می نمایند.
15 شاخص کلیدی توافقی مربوط به تشخیص
- ترافیک خروجی غیرمعمول
- ناهنجاری های مربوط به فعالیت های کاربر دارای مجوز
- بی نظمی های جغرافیایی
- سایز مربوط به پاسخ HTML
- تعداد زیادی درخواست برای یک فایل یکسان
- افزایش میزان خواندن اطلاعات از Database
- عدم تطبیق ترافیک با پورت برنامه کاربردی
- تغییرات مشکوک رجیستری و فایل سیستم
- درخواست های مشکوک DNS
- Patchهای ناخواسته سیستمی
- تغییر پروفایل تجهیزات موبایل
- ذخیره شدن اطلاعات در مکان نادرست
- ترافیک وب با الگوی غیر انسانی
- الگوهای فعالیت DDoS