چالشهای پیش روی تیم واکنش به حادثه
تیم واکنش به حوادث امنیتی، بهنوعی مدافعان خط مقدم در برابر حملات سایبری به شمار میروند. آنها مسئول بررسی موارد مشکوک امنیتی، شناسایی و مهندسی معکوس حملات امنیتی پیشرفته، انجام عیبیابی و برطرف کردن آنها هستند. اعضای تیم واکنش به حادثه (IR) معمولاً تحلیلگران امنیتی باتجربه هستند و میتوانند بخشی از گروه مرکز عملیات امنیتی (SOC) بهعنوان تحلیلگر سطح 2 و یا 3 باشند.
چالشهای پیش روی تیم واکنش امروزه شامل موارد زیر است:
- الزامات فوری برای تشخیص تهدیدهای جدیتر و اولویتبندی حوادث بر اساس سطح ریسک که میتوانند ایجاد کنند.
- چالش در یافتن افراد و عوامل حوادث و مرتبط کردن و اتصال حوادث به آنها.
- نیاز به انجام جستجوهای دقیق پایگاههای داده و دانش برای یافتن جزئیات در مورد حملات پیچیده و TTP های عوامل تهدید.
- چالش در توضیح مسائل امنیتی به زبان تجاری تا مدیران بتوانند آن را درک کرده و بر اساس آن اقدام کنند.
در طی یک نظرسنجی، شرکتها گزارش دادند که به طور متوسط سالانه 1.27 میلیون دلار برای پاسخدهی و واکنش به هشدارهای امنیتی کذب و اشتباه، هزینه میکنند.
نحوه استفاده تیم واکنش از هوش تهدید سایبری
تیم واکنش به حادثه، از هوش تهدید سایبری، برای تشخیص بهتر تهدیدات امنیتی خطرناک، پاسخ سریع به سؤالات مربوط به حملات و اینکه چه کسی، چه چیزی، چرا، چه زمانی و چگونه این حملات را انجام داده، و برای سرعتبخشیدن به واکنش و تغییر و اصلاح در امنیت، و همچنین برای کشف ردپا و مدارک از حملات پیشرفتهای که بر شبکه شرکتی، بهصورت پنهان انجامگرفته شده است، استفاده میکنند.
صحت سنجی و اولویتبندی حادثه: ارزیابی تأثیر بالقوه بر تجارت شرکت
هنگامیکه تحلیلگران سطح یک مرکز عملیات، حوادث را به تیم واکنش ابلاغ میکنند، تیم واکنش باید آن حوادث را اولویتبندی کرده و تصمیم بگیرد که کدامیک مستحق بررسی دقیقتر هستند. هوش تهدید سایبری میتواند به تیم واکنش در شناسایی حملاتی که بهاحتمال بیشتر سازمان را مورد هدف قرار میدهند کمک کرده و همچنین به این تیم در ارزیابی اینکه کدام حملات بیشترین پتانسیل را برای ایجاد تأثیرات منفی بر تجارت سازمان دارند، کمک کند.
علاوه بر این، هوش تهدید سایبری میتواند با ارائه دادههای تهدید که شاخصهای حمله را به عناصری مانند عوامل و افراد تهدیدکننده، انگیزههای آنها (مالی، رقابتی و ایدئولوژیک)، اهداف و تأثیر حملات قبلیشان مرتبط میکند، این روند را تسریع بخشد. خلاصه دادههای تهدید، به تیم واکنش کمک میکند حوادثی را که شرکتها (یا مصرفکنندگان) دیگر را هدف قرار میدهند، از اولویت حذف کرده و اولویت اصلی را به تجزیه و تحلیل حملاتی که در واقع فرآیندهای تجاری مهم یا داراییهای اطلاعاتی ارزشمند را تهدید میکنند، بدهند.
تجزیهوتحلیل رویداد: مهندسی معکوس حملات
تیم واکنش باید تمرکز خود را از حوادث اولیه دور کنند تا بتوانند تشخیص دهند که آیا حملات هنوز در حال وقوع هستند یا نه و تغییرات ایجادشده در سیستمها و برنامهها را تشخیص داده و آسیبهای واردشده را از رویدادههای دزدیدهشده و عملیات مختل شده شناسایی کنند. هوش تهدید سایبری همچنین به آنها کمک میکند تا به سؤالات مربوط به حملات (چه کسی، چه چیزی، چرا، کی و چگونه باعث شده) پاسخ دهند تا به درک کاملی از ذات حملات برسند.
هوش تهدید سایبری، تیم IR را قادر میسازد تا هشدارها و شاخصها را با رویدادها و عوامل مربوطه پیوند دهد. بهعنوانمثال، اگر یک نمونه بدافزار شناسایی شود، باید بررسی شود که آیا یک آدرس IP وجود دارد که با این بدافزار در ارتباط بوده است یا خیر. هوش تهدید ممکن است نشان دهد که بدافزار در واقع با یک آدرس IP در ارتباط است که بهعنوان یک سرور فرمان و کنترل، توسط یک سازمان مجرم سایبری استفاده میشود. سپس تیم واکنش میتوانند گزارشهای شبکه را بررسی کرده تا سایر سیستمهای شرکتی که با این سرور ارتباط برقرار کردهاند و احتمالاً در معرض خطر هستند، را بیابند.
اگر منابع هوش تهدید در یک پایگاه دانش نگهداری شود، تیم واکنش میتوانند از آن پایگاه دانش برای یافتن اطلاعات دقیق در مورد هویت و تکنیکهای حملهکنندگان سایبری، اهداف آنها، TTP های آنها و اثری که بر شرکتهای هدف میخواهند وارد کنند، استفاده کنند. هوش تهدید، به تیم واکنش، اطلاعاتی از قبیل اینکه چه کسی حمله کرده، دقیقاً چهکاری انجام داده ، چگونه آن را انجام داده ، و اینکه آیا حمله هنوز در حال انجام است یا خیر. میدهد.
مهار و اصلاح: خنثیکردن اثر حمله و از بین بردن آسیبپذیریها
تیم واکنش باید اطلاعات یافته شده را در اختیار سایر تیمهای IT بهقصد کمک در مهار حملات و جبران خسارات، قرار دهند.
پایگاه هوش تهدید، اطلاعاتی را در مورد انگیزه، تکنیکها و زیرساخت عوامل تهدید مرتبط با حوادث ارائه میدهد. همچنین میتواند بهعنوانمثال از طریق ایجاد اختلال در ارتباطات با سرورهای فرمان و کنترل خارجی و یا با غیرفعالکردن اعتبار کاربری که توسط حملات فیشینگ به خطر میافتد، حملات در حال انجام را مسدود کند.
اطلاعات در مورد اینکه چگونه عوامل تهدید، سیستمها را مورد هدف قرار میدهند و همچنین در مورد رفتار بدافزاری که از آن استفاده میکنند، میتواند به تیمهای IT سازمان کمک کند تا سیستمهای آلوده شده را شناسایی، بدافزارها را حذف، تغییرات در رجیستری و فایلها را به حالت قبل بازگردانده، و آسیبپذیریها را برای جلوگیری از تکرار حملات شناسایی و حذف کنند.
مأموریتهای شکار (Hunt Mission): شناسایی حملات پنهانی
امروزه اکثر شرکتها، این واقعیت را در نظر میگیرند که برخی از حملات سایبری میتوانند بهصورت کاملاً مخفی و غیرقابلشناسایی، به سیستمهای حفاظتی و شناسایی آنها نفوذ کرده و بدون جلبتوجه، در شبکه آنها مستقر شوند. هدف از مأموریتهای شکار، شناسایی مستمر این حملات مخفی است.
مأموریتهای شکار واکنشی (Reactive hunt missions)، از هوش تهدید سایبری برای جستجوی حملات مخفی مرتبط با حوادث فعلی استفاده میکنند. بهعنوانمثال، اگر یک حادثه مربوط به یک کمپین فیشینگ باشد، هوش تهدید ممکن است نشان دهد که این کمپین توسط یک رقیب خاص استفاده میشود که سایر کمپینهای فیشینگ و نوعی حمله «برکه آب» (Watering hole) را به کار میگیرد. ازآنجاییکه احتمال زیادی وجود دارد که حملهکننده از بیش از یک نوع حمله استفاده کند، تیم شکار میتواند شواهدی از دیگر کمپینهای فیشینگ و کارمندانی را که از وبسایت مورد حمله برکه آب بازدید کردهاند، ردیابی کند. مأموریتهای شکار پیشگیرانه (Proactive hunt mission) با این فرض شروع میشوند که عوامل تهدید شناختهشده قبلی، برای هدف قرار دادن برخی سازمانها در یک صنعت خاص، یا سیستمهای خاص، احتمالاً سازمانهای دیگر را در همان صنعت یا با همان سیستمها نیز هدف قرار میدهند. هوش تهدید، بهویژه یک پایگاه اطلاعاتی جامع، به تیم شکار یک منبع دقیق از اطلاعات گروههای تهدیدکننده و همچنین قدمهای بعدی برای مقابله با آنها ، ارائه میدهد.
چگونه هوش تهدید سیندادسک به تیم واکنش کمک میکند:
- اطلاعات جامع موجود در بازار
هوش کامل و شاخصهای مرتبط
– اطلاعات غنی از رقیبها، کمپینها، TTP ها
– بررسی کامل رقیب از جرائم گرفته تا جاسوسی و هکتیویسم.
– تجزیهوتحلیل با استفاده از منابع جهانی
– پایگاهداده با تاریخ سه سال.
- API قوی که امکان ادغام با ابزارها و فرایندهای دلخواه را فراهم میکند.
نکته پایانی
اطلاعات قابلاعتماد، عملی، غنی توسط سیندادسک میتواند به تیم واکنش حادثه در شرکت شما کمک کند تا در عملیات امنیتی، سریعتر عمل و اقدام کنند، و همچنین تصمیمات آگاهانه بگیرند تا:
- رویدادهایی را که باید فوراً مورد بررسی قرار گیرند، شناسایی کنند.
- شاخصهای مستقل با عوامل تهدید و کمپینها، بهمنظور درک سریع ریشه و اهداف حملات متصل شود.
- انجام تحقیقات عمیق و دقیق و پاسخ به سؤالات در مورد اینکه توسط چه کسی، چه چیزی، چرا، چه زمانی و چگونه این حملات انجام میشوند.
- حملات در حال انجام زودتر مسدود شده، و تأثیر آنها بر تجارت کاهش یابد.
- از تکرار انواع مشابه در آینده جلوگیری شود.
- مأموریتهای شکار را برای کشف حملاتی که در شبکه شما شناسایی نشدهاند انجام دهند.