Threat Hunting
تعریف:
شکار تهدیدات فرآیند جستجوی پیش کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه ها، سیستم های کاربران و یا دیتاست ها با هدف شناسایی فعالیت های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده اند
تعریف:
شکار تهدیدات فرآیند جستجوی پیش کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه ها، سیستم های کاربران و یا دیتاست ها با هدف شناسایی فعالیت های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده اند
شکار تهدید فرآیند پیشگیرانه و متناوب جستجو در شبکه ها برای تشخیص و تفکیک تهدیدات پیشرفته ای است که راهکارهای امنیتی موجود را دور زده اند. این فعالیت نقطه مقابل راهکارهای مدیریت تهدید سنتی مانند فایروال ها، سیستم های تشخیص نفوذ و تجهیزات SIEM است؛ راهکارهایی که معمولا بررسی یک تهدید را بعد از دریافت یک هشدار یا بعد از وقوع یک رخداد انجام می دهند. پس می توان گفت، فرآیند شکار تهدید، پیشگیرانه است از آن جهت که سعی دارد قبل از وقوع رخداد تهدیدات احتمالی را شناسایی کند یا تهدیدات را در گام های اولیه وقوع منهدم سازد و در عین حال متناوب است زیرا باید در یک چرخه انجام شود در هر دور حلقه اثرات آن بهبود یاد.
اما فرآیند شکار تهدید می تواند یک فرآیند دستی (غیرخودکار) باشد که در طی آن تحلیل گر امنیت، اطلاعات مختلف را وارسی می کند تا از طریق آن به فرض ها یا سناریوهای احتمالی تهدید برسد. اما در برخی شرایط و با هدف کارآیی و اثربخشی بهتر می توان این فرآیند را خودکار کرد یا در انجام آن از ماشین بهره گرفت.
اما فرآیند شکار تهدید می تواند یک فرآیند دستی (غیرخودکار) باشد که در طی آن تحلیل گر امنیت، اطلاعات مختلف را وارسی می کند تا از طریق آن به فرض ها یا سناریوهای احتمالی تهدید برسد. اما در برخی شرایط و با هدف کارآیی و اثربخشی بهتر می توان این فرآیند را خودکار کرد یا در انجام آن از ماشین بهره گرفت.
پس از تعیین تعداد دفعات شکار و همچنین تعیین هدف شکار، می توان فرآیند شکار را آغاز کرد. در حالی که مدل زمان بندی تشریح شده در بخش قبل می تواند به تعیین تعداد دفعات شکار در یک بازه زمانی کمک کند، سوال اینجاست که فرآیند کاربردی برای انجام فعالیت شکار چیست؟
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.