مقالات

استفاده از هوش تهدید (Threat Intelligence) در تیم واکنش به حوادث امنیتی (Incident Responders)

هوش تهدید سیندادسک
۲۷ بهمن

چالش‌های پیش روی تیم واکنش به حادثه

تیم واکنش به حوادث امنیتی، به‌نوعی مدافعان خط مقدم در برابر حملات سایبری به شمار می‌روند. آن‌ها مسئول بررسی موارد مشکوک امنیتی، شناسایی و مهندسی معکوس حملات امنیتی پیشرفته، انجام عیب‌یابی و برطرف کردن آن‌ها هستند. اعضای تیم واکنش به حادثه (IR) معمولاً تحلیلگران امنیتی باتجربه هستند و می‌توانند بخشی از گروه مرکز عملیات امنیتی (SOC) به‌عنوان تحلیلگر سطح 2 و یا 3 باشند.

چالش‌های پیش روی تیم واکنش امروزه شامل موارد زیر است:

  • الزامات فوری برای تشخیص تهدیدهای جدی‌تر و اولویت‌بندی حوادث بر اساس سطح ریسک که می‌توانند ایجاد کنند.
  • چالش در یافتن افراد و عوامل حوادث و مرتبط کردن و اتصال حوادث به آن‌ها.
  • نیاز به انجام جستجوهای دقیق پایگاه‌های داده و دانش برای یافتن جزئیات در مورد حملات پیچیده و TTP های عوامل تهدید.
  • چالش در توضیح مسائل امنیتی به زبان تجاری تا مدیران بتوانند آن را درک کرده و بر اساس آن اقدام کنند.

در طی یک نظرسنجی، شرکت‌ها گزارش دادند که به طور متوسط سالانه 1.27 میلیون دلار برای پاسخ‌دهی و واکنش به هشدارهای امنیتی کذب و اشتباه، هزینه می‌کنند.

هوش تهدید سیندادسک

نحوه استفاده تیم واکنش از هوش تهدید سایبری

تیم واکنش به حادثه، از هوش تهدید سایبری، برای تشخیص بهتر تهدیدات امنیتی خطرناک، پاسخ سریع به سؤالات مربوط به حملات و اینکه چه کسی، چه چیزی، چرا، چه زمانی و چگونه این حملات را انجام داده، و برای سرعت‌بخشیدن به واکنش و تغییر و اصلاح در امنیت، و همچنین برای کشف ردپا و مدارک از حملات پیشرفته‌ای که بر شبکه شرکتی، به‌صورت پنهان انجام‌گرفته شده است، استفاده می‌کنند.

تیم واکنش سیندادسک

صحت سنجی و اولویت‌بندی حادثه: ارزیابی تأثیر بالقوه بر تجارت شرکت

هنگامی‌که تحلیلگران سطح یک مرکز عملیات، حوادث را به تیم واکنش ابلاغ می‌کنند، تیم واکنش باید آن حوادث را اولویت‌بندی کرده و تصمیم بگیرد که کدام‌یک مستحق بررسی دقیق‌تر هستند. هوش تهدید سایبری می‌تواند به تیم واکنش در شناسایی حملاتی که به‌احتمال بیشتر سازمان را مورد هدف قرار می‌دهند کمک کرده و همچنین به این تیم در ارزیابی اینکه کدام حملات بیشترین پتانسیل را برای ایجاد تأثیرات منفی بر تجارت سازمان دارند، کمک کند.

علاوه بر این، هوش تهدید سایبری می‌تواند با ارائه داده‌های تهدید که شاخص‌های حمله را به عناصری مانند عوامل و افراد تهدیدکننده، انگیزه‌های آن‌ها (مالی، رقابتی و ایدئولوژیک)، اهداف و تأثیر حملات قبلی‌شان مرتبط می‌کند، این روند را تسریع بخشد. خلاصه داده‌های تهدید، به تیم واکنش کمک می‌کند حوادثی را که شرکت‌ها (یا مصرف‌کنندگان) دیگر را هدف قرار می‌دهند، از اولویت حذف کرده و اولویت اصلی را به تجزیه‌ و تحلیل حملاتی که در واقع فرآیندهای تجاری مهم یا دارایی‌های اطلاعاتی ارزشمند را تهدید می‌کنند، بدهند.

تجزیه‌وتحلیل رویداد: مهندسی معکوس حملات

تیم واکنش باید تمرکز خود را از حوادث اولیه دور کنند تا بتوانند تشخیص دهند که آیا حملات هنوز در حال وقوع هستند یا نه و تغییرات ایجادشده در سیستم‌ها و برنامه‌ها را تشخیص داده و آسیب‌های واردشده را از روی‌داده‌های دزدیده‌شده و عملیات مختل شده شناسایی کنند. هوش تهدید سایبری همچنین به آن‌ها کمک می‌کند تا به سؤالات مربوط به حملات (چه کسی، چه چیزی، چرا، کی و چگونه باعث شده) پاسخ دهند تا به درک کاملی از ذات حملات برسند.

هوش تهدید سایبری، تیم IR را قادر می‌سازد تا هشدارها و شاخص‌ها را با رویدادها و عوامل مربوطه پیوند دهد. به‌عنوان‌مثال، اگر یک نمونه بدافزار شناسایی شود، باید بررسی شود که آیا یک آدرس IP وجود دارد که با این بدافزار در ارتباط بوده است یا خیر. هوش تهدید ممکن است نشان دهد که بدافزار در واقع با یک آدرس IP در ارتباط است که به‌عنوان یک سرور فرمان و کنترل، توسط یک سازمان مجرم سایبری استفاده می‌شود. سپس تیم واکنش می‌توانند گزارش‌های شبکه را بررسی کرده تا سایر سیستم‌های شرکتی که با این سرور ارتباط برقرار کرده‌اند و احتمالاً در معرض خطر هستند، را بیابند.

اگر منابع هوش تهدید در یک پایگاه دانش نگهداری شود، تیم واکنش می‌توانند از آن پایگاه دانش برای یافتن اطلاعات دقیق در مورد هویت و تکنیک‌های حمله‌کنندگان سایبری، اهداف آن‌ها، TTP های آن‌ها و اثری که بر شرکت‌های هدف می‌خواهند وارد کنند، استفاده کنند. هوش تهدید، به تیم واکنش، اطلاعاتی از قبیل اینکه چه کسی حمله کرده، دقیقاً چه‌کاری انجام داده ، چگونه آن را انجام داده ، و اینکه آیا حمله هنوز در حال انجام است یا خیر. می‌دهد.

مهار و اصلاح: خنثی‌کردن اثر حمله و از بین بردن آسیب‌پذیری‌ها

تیم واکنش باید اطلاعات یافته شده را در اختیار سایر تیم‌های IT به‌قصد کمک در مهار حملات و جبران خسارات، قرار دهند.

پایگاه هوش تهدید، اطلاعاتی را در مورد انگیزه، تکنیک‌ها و زیرساخت عوامل تهدید مرتبط با حوادث ارائه می‌دهد. همچنین می‌تواند به‌عنوان‌مثال از طریق ایجاد اختلال در ارتباطات با سرورهای فرمان و کنترل خارجی و یا با غیرفعال‌کردن اعتبار کاربری که توسط حملات فیشینگ به خطر می‌افتد، حملات در حال انجام را مسدود کند.

اطلاعات در مورد اینکه چگونه عوامل تهدید، سیستم‌ها را مورد هدف قرار می‌دهند و همچنین در مورد رفتار بدافزاری که از آن استفاده می‌کنند، می‌تواند به تیم‌های IT سازمان کمک کند تا سیستم‌های آلوده‌ شده را شناسایی، بدافزارها را حذف، تغییرات در رجیستری و فایل‌ها را به حالت قبل بازگردانده، و آسیب‌پذیری‌ها را برای جلوگیری از تکرار حملات شناسایی و حذف کنند.

مأموریت‌های شکار (Hunt Mission): شناسایی حملات پنهانی

امروزه اکثر شرکت‌ها، این واقعیت را در نظر می‌گیرند که برخی از حملات سایبری می‌توانند به‌صورت کاملاً مخفی و غیرقابل‌شناسایی، به سیستم‌های حفاظتی و شناسایی آن‌ها نفوذ کرده و بدون جلب‌توجه، در شبکه آن‌ها مستقر شوند. هدف از مأموریت‌های شکار، شناسایی مستمر این حملات مخفی است.

مأموریت‌های شکار واکنشی (Reactive hunt missions)، از هوش تهدید سایبری برای جستجوی حملات مخفی مرتبط با حوادث فعلی استفاده می‌کنند. به‌عنوان‌مثال، اگر یک حادثه مربوط به یک کمپین فیشینگ باشد، هوش تهدید ممکن است نشان دهد که این کمپین توسط یک رقیب خاص استفاده می‌شود که سایر کمپین‌های فیشینگ و نوعی حمله «برکه آب» (Watering hole) را به کار می‌گیرد. ازآنجایی‌که احتمال زیادی وجود دارد که حمله‌کننده از بیش از یک نوع حمله استفاده کند، تیم شکار می‌تواند شواهدی از دیگر کمپین‌های فیشینگ و کارمندانی را که از وب‌سایت مورد حمله برکه آب بازدید کرده‌اند، ردیابی کند. مأموریت‌های شکار پیشگیرانه (Proactive hunt mission) با این فرض شروع می‌شوند که عوامل تهدید شناخته‌شده قبلی، برای هدف قرار دادن برخی سازمان‌ها در یک صنعت خاص، یا سیستم‌های خاص، احتمالاً سازمان‌های دیگر را در همان صنعت یا با همان سیستم‌ها نیز هدف قرار می‌دهند. هوش تهدید، به‌ویژه یک پایگاه اطلاعاتی جامع، به تیم شکار یک منبع دقیق از اطلاعات گروه‌های تهدیدکننده و همچنین قدم‌های بعدی برای مقابله با آن‌ها ، ارائه می‌دهد.

چگونه هوش تهدید سیندادسک به تیم واکنش کمک می‌کند:

  • اطلاعات جامع موجود در بازار

هوش کامل و شاخص‌های مرتبط

– اطلاعات غنی از رقیب‌ها، کمپین‌ها، TTP ها

– بررسی کامل رقیب از جرائم گرفته تا جاسوسی و هکتیویسم.

– تجزیه‌وتحلیل با استفاده از منابع جهانی

– پایگاه‌داده با تاریخ سه سال.

  • API قوی که امکان ادغام با ابزارها و فرایندهای دلخواه را فراهم می‌کند.

نکته پایانی

اطلاعات قابل‌اعتماد، عملی، غنی توسط سیندادسک می‌تواند به تیم واکنش حادثه در شرکت شما کمک کند تا در عملیات امنیتی، سریع‌تر عمل و اقدام کنند، و همچنین تصمیمات آگاهانه بگیرند تا:

  • رویدادهایی را که باید فوراً مورد بررسی قرار گیرند، شناسایی کنند.
  • شاخص‌های مستقل با عوامل تهدید و کمپین‌ها، به‌منظور درک سریع ریشه و اهداف حملات متصل شود.
  • انجام تحقیقات عمیق و دقیق و پاسخ به سؤالات در مورد اینکه توسط چه کسی، چه چیزی، چرا، چه زمانی و چگونه این حملات انجام می‌شوند.
  • حملات در حال انجام زودتر مسدود شده، و تأثیر آن‌ها بر تجارت کاهش یابد.
  • از تکرار انواع مشابه در آینده جلوگیری شود.
  • مأموریت‌های شکار را برای کشف حملاتی که در شبکه شما شناسایی نشده‌اند انجام دهند.

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.