حداقل نیازمندیهای پایه ای برای شکار تهدیدات

به صورت حداقلی، نیازمندیهای پایه ای برای شکار تهدیدات شامل سه مورد میباشند؛
افراد و یا تیمی که بتوانند به صورت تخصصی مشغول شکار تهدیدات باشند؛
افرادی که توانمندی های مناسب جهت شکار تهدیدات را داشته باشند و توانایی های لازم برای حضور در تیم های پاسخدهی به حوادث امنیتی داشته باشند. این افراد حداقل دانش های مربوط به حوزه ی فارنزیک، تحلیل بدافزار، مهندی معکوس، توانایی های تحلیلی و پاسخدهی به حوادث را می بایست داشته باشند. ولی به طور کلی هر فردی در تیم امنیت اطلاعات و یا در تیم عملیات امنیت که دانش امنیت کافی داشته و متخصص در هر حوزه ای باشد امکان استفاده از تجارب خود برای کمک به شکار تهدیدات را دارد.
سامانه های امنیتی پیشرفته و تخصصی جهت جمع آوری داده ها اطلاعات و خودکار سازی فرایندهای امنیت سایبری در مواجهه با حادثه؛
به طور ساده زمانی که افراد مورد نیاز جهت شکار تهدیدات را در اختیار داشته باشید، می بایست فیدهای اطلاعاتی و داده های مناسبی در اختیارشان قرار دهید تا امکان شکار تهدیدات را برایشان فراهم آورید. ابزرهای امنیتی گوناگون مبتنی بر نوع دارایی های سازمان می بایست مورد استفاده قرار بگیرد تا بتوانند داده ها و اطلاعات مورد نیاز جهت شکار تهدیدات را در اختیار شکارچیان قرار دهد. هر میزان پیشرفته تر و کاربردی تر باشند و امکان خودکار سازی بالاتری داشته باشند برای تیم شکارچیان کاربردی تر خواهند بود. ابزارهای نظیر SIEM، سامانه های تشخیص نفوذ، فایروال های تخصصی، ضد بدافزارها، راهکارهای نوین نظیر EDR، UBA، EUBA، DLP، TI، ابزارهای فارنزیک و نظایر آن ها همگی داده ها و اطلاعات خوبی برای تیم شکارچیان فراهم می سازند. جمع آوری اطلاعات در سطح “نقاط پایانی” از ضدبدافزارها و نظایر آن(پویش پراسس های سیستمی، فایل سیستم و …) راهکارهای EDR، همچنین جمع آوری “تمامی پکتهای ارسالی” در سطح شبکه به ازای نواحی و مناطق مختلف شبکه از اساسی ترین اطلاعات مورد نیاز و کاربردی برای شکارچیان می باشد. استفاده از تحلیل “تمامی پکتهای ارسالی” در سطح شبکه عمق بسیار خوبی به داده ها و اطلاعات جمع آوری شده سایر تجهیزات پایش شبکه می دهد که برای تحلیل بسیار ضروری می باشد. با این حال به دلیل مشکلات پیش رو در نگه داری این حجم زیاد عموم سازمان ها از این مورد به طور کل صرف نظر میکنند در حالی که می بایست حداقل به ازای تمام نقاط ورودی خروجی هر ناحیه این مورد اعمال شود. نکته ی مهم در این میان راهنمایی کاربردی است که فرایند هوشمندسازی، بهخصوص هوشمندی پیرامون تهدیدات، در اختیار شکارچیان میگذارد و با استفاده از حملات اخیر بهترین موقعیت ها را برای شکار تهدیدات به شکارچیان نشان میدهد.
لیستی از موارد کاربردی برای شکار تهدیدات؛
در نهایت می بایست لیستی از مواردی که قصد شکار آن ها را دارید تهیه کنید تا امکان شکار تهدیدات به صورت بهینه فراهم باشد. در اینجا به این سوال پاسخ داده می شود که دنبال چه چیزی هستید؟
این قسمت به شما کمک میکند تا حتی بتوانید نوع دادههایی را که جمع آوری می سازید را انتخاب کنید. انتخاب تاکتیک و متدی که میخواهید با تکیه بر آن اقدام به شکار تهدیدات نمایید در این قسمت گنجیده میشود.
چهارچوب ارائه شدهی MITRE تحت عنوان MITRE ATT&CK framework می تواند نقطه شروع مناسبی برای سازمان ها باشد. در این چهارچوب، شمای کلی تاکتیک ها و تکنیک هایی که به طور معمول توسط مهاجمان در طول هر مرحله از چرخه ی عمر یک حمله مورد بهره برداری قرار میگیرد ترسیم شده است. ضمن اطلاع از اینکه قرار است دقیقا چه انواعی از تهدیدات را شکار کنید به شما در نوع ابزارهای مورد بهره برداری جهت جمع آوری داده ها و اطلاعات مورد نیاز کمک می کند.
در این چارچوب، MITRE اقدام به ایجاد پایگاه دانشی از تاکتیکها و تکنیکهای مورد استفاده نفوذگران بواسطهی مشاهده شواهد عینی از حملات ثبت شده جهت بررسی امنیت سایبری کرده است. این پایگاه دانش میتواند به عنوان پایهای برای توسعهی مدل سازی تهدیدات و متدولوژی های نفوذگران مورد استفاده قرار بگیرد.
دسته بندی های ارائه شده برای تهدیدات توسط MITRE در ماتریس ATT&CK برای سازمان های پیشرفته به شرح زیر می باشد؛
Initial Access
Execution
Persistence
Privilege Scalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Collection
Exfiltration
Command & Control
برای بررسی بیشتر می توان به آدرس لینک زیر مراجعه کرد؛
https://attack.mitre.org/

حداقل نیازمندی‌های پایه ای برای شکار تهدیدات...