شش گام در شکار موفق و کارآمد تهدیدات

1- از وجود داده‌های صحیح و مناسب، مطمئن شوید.

 بدون داده هیچ شکاری رخ نمی‌دهد، تمام. شکار موفقیت تهدیدات کاملاً بستگی به وجود داده‌های صحیح جهت پاسخگویی به پرسش‌های صحیح دارد. شما بدون وجود داده‌های مناسب، توانایی شکار موفق و مؤثر را نخواهید داشت. شما باید از یک دستگاه کنترل از راه دور (تله‌متری) استفاده کرده که طیف گسترده‌ای از فعالیت‌ها و رفتارها را در چندین سیستم‌عامل ثبت کرده و به‌عنوان یک مبنا برای کلیه اقدامات شکار تهدیدات شما عمل می‌کند. لازم است تا کنترل دستگاه شامل داده‌هایی همانند الگوهای ترافیک شبکه، هش فایل‌ها، فرآیندها، فعالیت کاربران، فعالیت شبکه، عملیات فایل، فعالیت پایایی، لاگ های سیستم و رویدادها، ارتباطات رد شده و فعالیت محیطی دستگاه باشد.

 صرف وجود داده‌های خام، کفایت نمی‌کند. شما باید نسبت به وجود زمینه مشخص پیرامون داده‌ها، اطمینان پیدا کنید. شناخت نوع مطلوب داده‌ها جهت ترکیب، ارتباط یا گسترش، ضروری است. شما در بهترین حالت، به دنبال ابزارهایی هستید که امکان بررسی شفاف کلیه داده‌های فوق را باقابلیت‌های قدرتمند جهت زمینه‌سازی و مرتبط سازی خودکار رویدادهای مختلف به حالت‌های تشخیص واحدی هستید که سبب حداقل شدن میزان غربال دستی از طریق لاگ های خام می‌شوند.

قابلیت خطوط زمانی که امتیاز انحصاری آن در اختیار نخجیرپان (XDR) است، امکان ایجاد ارتباط و زمینه کاربردی و واقعی را برای تحلیل‌گران جهت شناخت اتفاقات رخ‌داده در محیط شما فراهم می‌کند.

 هر عامل مستقل نخجیرپان (XDR)، مدلی را برای زیرساخت نقطه انتهایی و رفتار اجرایی واقعی خود ایجاد می‌کند. هر جزء یک داستان دارای خط داستان مشابهی است. این حالت موجب ایجاد تصویر کاملی برای شما نسبت به شناخت تمامی اتفاقات رخ‌داده بر روی یک دستگاه و عوامل بروز این اتفاقات می‌شود. ابزار نخجیرپان (XDR)، ارتباط خودکاری را میان فعالیت مرتبط در هشدارهای واحد به‌منظور ارائه نگرش سطح کارزار ایجاد می‌کند. این قابلیت سبب کاهش تلاش‌های لازم از سوی کاربران، کمک به کاهش خستگی هشدار و کاهش معنادار محدودیت مجموعه مهارت‌های لازم  در پاسخگویی به هشدارها می‌شود.

2- ایجاد مبنا جهت شناخت وضعیت عادی در محیط

شکارچیان تهدیدات نیاز به شناخت دقیقی پیرامون مشخصات سازمان، فعالیت‌های کسب‌وکار جهت جذب عوامل تهدیدکننده نظیر استخدام کارکنان جدید یا خرید دارایی‌های تازه و شرکت‌ها دارند. مؤلفه بسیار مهم در شکار تهدیدات، ارائه داده‌هایی جهت تعیین مبنای وضعیت عادی و یافتن داده‌های پرت (تحلیل داده‌های پرت) است. مهاجمان غالباً به دنبال این هستند که فعالیت خود را همانند کاربران عادی نشان داده تا به اطلاعات کاربردی از کارزارهای حملات فیشینگ دست پیدا کنند، بنابراین شناخت رفتار عادی کاربران، مبنای مفیدی جهت بررسی دسترسی غیرعادی به فایل‌ها یا موارد ورود به شبکه است. علاوه براین، شناخت ارزش داده‌های شرکت برای مهاجمان و موقعیت مکانی آن می‌تواند به ارائه فرضیه‌هایی نظیر”آیا مهاجم به دنبال سرقت داده‌های موجود در یک موقعیت مکانی خاص است؟” کمک کند. از طرفی این روند به تسریع روند جمع‌آوری داده‌ها جهت پاسخ به پرسش‌هایی نظیر” کدام دسته از کاربران به آن محل برای اولین بار طی n روز گذشته دسترسی داشته‌اند؟ کمک می‌کند.

3- ارائه یک فرضیه

بسیاری از موارد شکار تهدیدات از یک منبع اطلاعات محرمانه آغازشده که در آن از شاخص‌های تسخیر (IoC ها)، مقادیر هش، آدرس‌های IP، نام دامنه‌ها، آرتیفکت‌ها (فرآورده‌ها) شبکه یا میزبان‌ها با منابع داده گروه سوم نظیر مرکز تحلیل و اشتراک‌گذاری اطلاعات (ISAC) استفاده می‌شود. همچنین ممکن است شکارها تهدید محور باشند؛ شما باید برحسب هر نوع تهدید در مورد چگونگی و زمان وقوع آن پاسخ دهید. بااین‌حال، کلیه تهدیدات معلوم و مشخص نیستند. درواقع، بخش عمده‌ای از تهدیدات نامعلوم بوده و درنتیجه شکار صرفاً مبتنی بر استفاده از روش‌های معلوم و شناخته‌شده نیست.

در یک جریان کاری فرضیه محور، شکار با طرح یک فرضیه یا حدس دقیق در مورد برخی از فعالیت‌های احتمالی در محیط شما آغاز می‌شود. درصورتی‌که شما از مقصد و هدف جستجوی خودآگاه باشید، ابزارها و چارچوب‌های هوش متن‌باز (OSINT) نظیر MITRE ATT&CK، عملکرد بسیار خوبی در این زمینه خواهند داشت. بدین ترتیب، می‌توان به یکی از اصلی‌ترین اجزاء شکار تهدیدات اشاره کرد: شکل‌گیری و آزمون فرضیه. فرضیه‌ها عموماً توسط شکارچیان بر اساس ابزارها و چارچوب‌ها، هوش اجتماعی، هوش تهدید و تجربیات گذشته، تدوین می‌شوند. می‌توان پرسش‌های کلی زیر را در این حالت مطرح کرد: “اگر من قصد حمله به این محیط را داشتم، چگونه اقدام می‌کردم؟ من در پی دسترسی به چه چیزی هستم؟ چه مواردی جزو اهداف من قرار دارند؟” همچنین می‌توان این پرسش‌ها را مطرح کرد”من چه نگاهی به HTTPS رمزنگاری‌شده و ترافیک FTP در کشورهای غربی در محیط خود دارم؟”و یا “چرا من به دنبال مشاهده حجم غیرعادی جستجوهای DNS از یک ماشین هستم؟ می‌توان ایده‌ها را از منابع زیر به دست آورد:

• چارچوب MITRE ATT&AC

یک پایگاه دانش بسیار گسترده پیرامون تاکتیک‌ها، تکنیک‌ها و رویه‌های حملات. می‌توان مطالعه تکنیک‌های MITRE و شبیه‌سازی آن‌ها در محیط‌های آزمایشگاهی را به‌عنوان مبنایی جهت ارائه فرضیه‌ها در نظر گرفت.

• گزارش‌های هوش تهدیدات

این گزارش‌ها حاوی اطلاعات مفیدی در مورد تکنیک‌ها و رویه‌های حملات بر اساس رخدادها و تهدیدات واقعی هستند. تحلیل سیستماتیک این گزارش‌ها می‌تواند سبب روشن شدن و ارائه اطلاعات در مورد بسیاری از ایده‌های شکار تهدیدات شود.

• بلاگ ها، توییتر و کنفرانس‌ها

اطلاعاتی پیرامون چگونگی پیدایش تکنیک‌های تازه حملات از طریق جستجو در بلاگ ها و کنفرانس‌ها حتی پیش از آنکه مهاجمان شروع به استفاده از آن کنند. مطالعه به هنگام این اطلاعات سبب اقدام پیش‌دستانه شکارچیان تهدیدات و آمادگی آن‌ها پیش از گسترش تکنیک تازه تهاجم می‌شود.

• تست نفوذ

مهاجمان در پی استفاده از ابزارهایی مشابه با ابزارهای مورداستفاده توسط آزمایش‌کنندگان مجرب نفوذپذیری هستند. بنابراین، مطالعه رویه‌های اجرایی تست نفوذ موجب ارائه اطلاعات بسیار ارزشمندی جهت طرح فرضیه‌های شکار تهدیدات می‌شود.

قابلیت رؤیت عمیق که در نخجیرپان (XDR) قرار دارد، امکان جستجوی سریع و تکرارپذیر و تغییر محوری در کنترل راه دور نقطه انتهایی از دستگاه‌های نقطه انتهایی را جهت راستی آزمایی فرضیه‌ها فراهم می‌کند. به‌طور مثال، در یک پروسس با تزریق کد، یک پروسس دیگر اصلاح می‌شود. هنگامی‌که شما در حال انجام جستجو هستید، کلیه تعاملات میان پروسس منبع، پروسس هدف و پروسس والد در جزئیات بین پروسس ها نشان داده می‌شود. در این حالت شما می‌توانید به‌سرعت به روابط داده‌ها پی ببرید: علت ریشه‌ای مرتبط با یک تهدید با زمینه، روابط و فعالیت‌های آن. همچنین تحلیل‌گران توانایی به‌کارگیری داده‌های گذشته را جهت نگاشت و پایش کارزارهای تهدیدات پیشرفته در طی زمان به‌منظور ارائه فرضیه‌های مطلوب خواهند داشت.

شما می‌توانید جستجوهای مؤثر شکار را با میانبرهای ساده ایجاد کنید. چارچوب  MITRE ATT&CK به‌عنوان یکی از ابزارهای شکارچی تهدیدات، احتمالاً یکی از ابزارهای کاربردی شما خواهد بود. نخجیرپان (XDR) فرآیند شکار را برای تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPها) MITRE ATT&CK با سرعت‌بالا و بدون زحمت، انجام می‌دهد. می‌توان به‌سادگی ID تکنیک MITRE را وارد کرده و از این برنامه جهت شکار استفاده کرد.

نخجیرپان (XDR) یک کتابخانه جستجو پیرامون شکار را با استفاده از داده‌های مختلف منابع متن‌باز، تجاری و سفارشی برگزیده جستجوی نخجیرپان، ارائه کرده است. این شکارها، خروجی فرضیه‌هایی هستند که در میان داده‌های تحقیق به اثبات رسیده و به‌صورت عمومی هستند. به‌طور مثال، استفاده از ابزار مدیریت نشده و امضا نشده پاورشل، در بیشتر محیط‌ها، عادی نیست و بررسی‌های بیشتری در مورد آن لازم است. هر دو مثال بالا دارای ماهیت خرابکارانه نبوده و در جریان کاری شکار استفاده‌ شده و به‌عنوان شاخص توصیفی رویدادهای غیرعادی تلقی می‌شوند.

4- بررسی و تحلیل تهدیدات احتمالی

پس از ارائه فرضیه، نوبت به پیگیری و بررسی این فرضیه با ارزیابی ابزارها و تکنیک‌های مختلف جهت کشف الگوهای مخرب جدید در داده‌ها و افشا کردن TTPهای مهاجمان می‌رسد. در صورت درست بودن فرضیه و مشاهده شواهدی از فعالیت‌های مخرب، در این صورت شکارچی تهدیدات به‌سرعت ماهیت، دامنه، تأثیر و چارچوب این یافته را راستی آزمایی می‌کند.

هرچند که شکار تهدیدات با فرضیه ارائه‌شده توسط انسان آغاز می‌شود، اما ابزارهای محافظت در برابر تهدیدات نظیر نخجیرپان (XDR)، بررسی را با کارایی بسیار بیشتری انجام می‌دهند.

قابلیت رؤیت عمیق نخجیرپان (XDR) سبب ارتقای قابلیت‌های شکار سریع تهدیدات با وجود خط زمانی می‌شود. هر عامل مستقل نخجیرپان در پی پایش فعالیت نقطه انتهایی و رفتار اجرای واقعی است. قابلیت رؤیت عمیق با وجود خط زمانی کلیه داده‌های زمینه‌ای را بازگردانده و بدین ترتیب شما می‌توانید علت اصلی یک تهدید را کل زمینه‌ها، روابط و فعالیت‌های آشکارشده از یک جستجو، مشاهده کنید. خط زمانی ، این امکان را به شکارچیان تهدیدات می‌دهد تا کل رویدادهای رخ‌داده را در یک نقطه انتهایی مشاهده کرده و زنجیره کاملی از رویدادها را نظاره کرده و سبب صرفه‌جویی در زمان برای گروه‌های امنیتی شما شود.

5- پاسخ سریع جهت رفع تهدیدات

شما هنگام آشکار کردن یک TTP جدید، باید در جهت پاسخ مؤثر و رفع تهدید عمل کنید. این پاسخ باید به‌طور مشخص معیارهای پاسخ کوتاه‌مدت و بلندمدت را جهت خنثی کردن تهاجم، تعریف کند. هدف اصلی پاسخ، خاتمه دادن و رفع حمله پیش رو جهت پیشگیری از خرابی سیستم با بروز تهدید احتمالی است. اما شناخت علت تهدید جهت بهبود امنیت و پیشگیری از حملات مشابه در آینده ضروری است. لازم است تا کلیه اقدامات لازم جهت عدم وقوع دوباره حملات مشابه اجرا شوند.

تحلیل‌گر صرفاً با یک کلیک می‌تواند تهدید را بازگردانی کرده و یا هر نوع اقدام دیگر جهت مهار تهدیدات را انجام دهد. قابلیت بازگردانی سبب بازیابی خودکار کلیه فایل‌های حذف‌شده یا تخریب‌شده به دلیل فعالیت باج افزار در حالت پیش از نفوذ بدون نیاز به بازطراحی دوباره دستگاه می‌شود.

همچنین می‌توان تهدید را با نشان برطرف شده به بخش موارد استثنا (Exclusions) اضافه کرده و توضیحات لازم را جهت ارائه منطق تصمیم اتخاذشده، بیان کرد. همچنین سامانه نخجیرپان (XDR)، قابلیت‌های ریموت شل را برای گروه امنیتی (شل راه دور) به‌صورت کامل جهت امکان بررسی سریع حملات، جمع‌آوری داده‌های جرم یابی و رفع رخنه‌ها صرف‌نظر از موقعیت مکانی نقاط انتهایی در معرض خطر، برطرف کردن عدم قطعیت و کاهش معنادار هر نوع زمان ازکارافتادگی ناشی از حمله ارائه می‌کند.

همچنین نخجیرپان (XDR) توانایی تشخیص زودهنگام تهدیدات را با کمک قابلیت یادگیری ماشین و خودکار سازی هوشمند خود دارد. این برنامه توانایی پیش‌بینی تهدیدات و حملات را با بررسی دقیق فایل‌ها، اسناد، ایمیل‌ها، اطلاعات کاربری، جستجوگرها، سرریزها (پی لودها) و فضای حافظه دارد. همچنین برنامه می‌تواند با شناسایی تهدید یا تهاجم امنیتی احتمالی، ارتباط دستگاه را از شبکه قطع کند.

6- غنی‌سازی و خودکارسازی برای رویدادهای آینده

درنهایت، شکارهای موفق سبب ایجاد مبنایی جهت آگاه‌سازی و غنی‌تر شدن ابزارهای تحلیلی خودکار می‌شود. مرحله نهایی در فرآیند شکار تهدیدات، استفاده از دانش ایجادشده در طی فرآیند شکار تهدیدات جهت غنی کردن و بهبود سیستم‌های EDR است. در این حالت، امنیت کلی سازمان به دلیل کشف تهدیدات در طی بررسی، بهبود می‌یابد.

سامانه نخجیرپان (XDR) به‌منظور کمک به گروه شما در مسیر پیش رو طراحی‌شده و می‌توان با استفاده از آن، از ابزارهای لازم جهت راه‌اندازی و اجرای جستجوهای سفارشی شکار تهدیدات بهره برد.

شما می‌توانید با قوانین تشخیص سفارشی پاسخ خودکار ، جستجوهای قابلیت رؤیت عمیق را به قوانین شکار خودکار تبدیل کرده که در صورت تطبیق شرایط توسط قوانین، هشدارها و پاسخ‌ها را فعال می‌کنند.

همچنین نخجیرپان (XDR) توانایی رفع خودکار تهدیدات تشخیص داده‌شده را بر اساس خط‌مشی تهدیدات مشکوک یا خط‌مشی تهدیدات مخرب داشته و قابلیت ایجاد نقاط انتهایی را در شبکه قرنطینه دارد هشدارها به‌صورت نسبتاً آنی فعال‌شده و در لاگ فعالیت در کنسول مدیریت (Management) نشان داده می‌شوند.

شما می‌توانید پس از انجام جستجو در بخش قابلیت رؤیت و بررسی‌های لازم، قابلیت پاسخ خودکار را جهت رفع خودکار موارد تشخیص بر اساس قانون، انتخاب کنید. بدین ترتیب، شما راهکار نخجیرپان (XDR) خود را جهت محافظت خودکار از محیط بر اساس نیازها نسبت به هر تهدید و در هر زمان از روز، تنظیم کرده‌اید. مهاجمان پیشرفته در حال خودکار سازی تکنیک‌ها، تاکتیک‌ها و رویه‌های خود جهت عبور از سپرهای دفاعی پیشگیرانه هستند، بنابراین گروه‌های امنیتی شرکت‌ها می‌توانند با خودکار سازی بارکاری دستی خود، به توانایی بیشتری جهت مقابله با حملات برسند.