روشهای شکار تهدید
شکارچیان تهدید فرض میکنند که مهاجم از قبل در سیستم است، پس تحقیقات را برای یافتن رفتار غیرعادی که نشان دهنده وجود فعالیت مخرب باشد، آغاز میکنند. در شکار تهدید پیشگیرانه، این شروع تحقیقات معمولاً به سه دسته اصلی تقسیم می شود:
✔ 1. بررسی فرضیه محوردر این روش، شروع تحقیقات با شناسایی تهدیدی از طریق تحلیل مجموعه بزرگی از دادههای حمله شروع میشود، در طول تحقیق، درباره آخرین تاکتیکها، تکنیکها و رویههای مهاجمان (TTP) اطلاعاتی به دست میآید. هنگامی که یک TTP جدید شناسایی شد، شکارچیان تهدید به دنبال یافتن رفتارهای خاص مهاجم در محیط سازمان خواهند بود.
✔ 2. بررسی بر اساس IoC یا IoA (شاخصهای خطر و حمله) در این روش از هوشمندی اطلاعات تهدید برای فهرست کردن IoC و IoA های شناخته شده مرتبط با تهدیدات جدید استفاده میشود. این شاخصها مبنای اقدام شکارچیان تهدید برای کشف حملات پنهان احتمالی یا فعالیت های مخرب در حال انجام، قرار میگیرد.
✔ 3. بررسی بر اساس یادگیری ماشیندر این روش از ابزارهای پیشرفته تحلیل داده و و یادگیری ماشین استفاده میشود تا حجم عظیمی از اطلاعات به منظور شناسایی ناهنجاریهایی که ممکن است نشاندهنده فعالیت مخرب بالقوه باشد، تجزیه و تحلیل شود. این ناهنجاریها به سرنخهایی برای شکارچیان تهدید تبدیل میشوند. در هر سه رویکرد ذکر شده، نیروی انسانی ماهر از ترکیب فناوری پیشرفته امنیتی و منابع اطلاعاتی تهدید بهره میگیرد تا فعالانه از سیستمها و اطلاعات سازمان محافظت کند.
مراحل شکار تهدید
فرآیند شکار پیشگیرانه تهدیدات سایبری معمولاً شامل سه مرحله است: نقطه تحریک، بررسی دقیقتر و حل مسئله.
✔ مرحله 1 - نقطه تحریک: هنگامی که ابزارهای پیشرفته تشخیص تهدید، اقدامات غیرمعمولی را شناسایی می کند که ممکن است نشان دهنده فعالیت مخرب باشد، نقطه تحریک سیستم یا محدوده خاصی از شبکه را نشان میدهد که باید بیشتر بررسی شود. به عنوان مثال، تیم امنیتی ممکن است به دنبال تهدیدهای پیشرفته ای باشد که از ابزارهایی مانند بدافزار بدون فایل نظیر Frodo استفاده میکنند.
✔ مرحله 2 – بررسی دقیقتر: در طول این مرحله، شکارچی تهدید از فناوریهایی مانند EDR استفاده میکند تا خطر بالقوه را به طور عمیق و دقیق شناسایی کند. تحقیقات تا زمانی ادامه مییابد که یا فعالیت بیخطر یا کمخطر تلقی شود یا تصویر کاملی از رفتار مخرب ترسیم شود.
✔ مرحله 3 – حل مسئله: این گام شامل انتقال اطلاعات مربوط به فعالیت های مخرب تیم امنیتی مربوطه است تا آنها بتوانند به رویداد امنیتی پاسخ و تهدیدات را کاهش دهند. دادههای جمعآوریشده در مورد فعالیتهای مخرب و کمخطر را میتوان به ابزارهای اتوماسیون داد تا برای بهبود اثربخشی این ابزار بدون نیاز به منابع انسانی بیشتر استفاده شود. در طول فرآیند شکار تهدیدات سایبری، شکارچیان تا حد امکان اطلاعات بیشتری در مورد اقدامات، روشها و اهداف مهاجم جمعآوری میکنند و از آنها برای از بین بردن آسیبپذیریهای فعلی و پیشبینیهایی برای افزایش امنیت در آینده بهره میجویند.