چرخه حیات هوش تهدید چیست؟

چرخه عمر هوش تهدید چیست؟

چرخه حیات هوش تهدید چیست؟ اطلاعات تهدید سایبری چگونه تولید می‌شوند؟ در این مقاله قصد داریم در این مورد بحث کنیم. با ما همراه باشید.

نوشتار اصلی: هوش تهدید چیست؟

هم‌چنین بخوانید: داده کاوی چیست؟

می‌دانیم که داده‌های خام با اطلاعات یکسان نیستند. اطلاعات تهدیدات سایبری محصول نهایی یک چرخه شش بخشی از جمع‌آوری، پردازش و تجزیه‌وتحلیل داده‌ها است. این فرآیند یک چرخه است زیرا سؤالات و شکاف‌های دانش جدید در طول توسعه هوش شناسایی می‌شوند که منجر به تعریف الزامات مجموعه جدید می‌شود. یک برنامه هوشی مؤثر تکراری است و در طول زمان بالغ می‌شود.

برای به حداکثر رساندن ارزش اطلاعات تهدیدی که تولید می‌کنید، ضروری است که موارد استفاده خود را شناسایی کرده و قبل از انجام هر کار دیگری اهداف خود را مشخص کنید.

برنامه‌ریزی و جهت‌دهی

اولین گام برای تولید اطلاعات عملیاتی تهدید، پرسیدن پرسش‌های درست است.

پرسش‌هایی که به بهترین وجه منجر به شناخت اطلاعات عملیاتی تهدید می‌شوند بر یک واقعیت، رویداد یا فعالیت متمرکز می‌شوند. به طور کلی باید از سوالات عمومی و باز خودداری شود.

برخی از این پرسش‌ها عبارتند از:

۱. آیا مراحل هدایت چرخه حیات با تعریف اهداف برنامه اطلاعاتی تهدید مطابقت دارد؟

۲. دارایی‌های اطلاعاتی و فرآیندهای تجاری که نیاز به محافظت دارند، کدامند؟

۳. اثرات بالقوه از دست دادن این دارایی‌ها یا قطع این فرآیندها چیست؟

۴. انواع اطلاعات تهدید که سازمان امنیتی برای محافظت از دارایی‌ها و پاسخ به تهدیدات نیاز دارد، کدامند؟

۵. اولویت‌ها در مورد آنچه باید محافظت شود کدام‌ها هستند؟

هنگامی که نیازهای هوش تهدید در سطح بالا مشخص شد، یک سازمان می‌تواند سوالاتی را فرموله‌بندی کند که نیاز به اطلاعات را هدایت کند.

اهداف اطلاعاتی خود را بر اساس عواملی مانند میزان هم‌سویی آن‌ها با ارزش‌های اصلی سازمان، تأثیر تصمیم حاصله و به موقع بودن تصمیم، اولویت‌بندی کنید.

دو مورد برای راهنمایی:

۱. یک عامل راهنمای مهم در این مرحله، درک این موضوع است که چه کسی محصول نهایی را مصرف می‌کند و از آن سود می‌برد. آیا این اطلاعات به تیمی از تحلیلگران با تخصص فنی که نیاز به گزارش سریع در مورد یک اکسپلویت جدید دارند، می‌رسد یا مدیری که به دنبال یک مرور کلی از آن است. روندی برای اطلاع از تصمیمات سرمایه گذاری امنیتی خود برای سه ماهه آینده؟

۲. مورد دوم راهنمایی می‌تواند به عنوان مثال، اگر هدف ما صرفا شناسایی دشمنان بالقوه باشد، یک سوال منطقی این خواهد بود که “کدام بازیگران در انجمن‌های زیرزمینی به طور فعال اطلاعاتی را در مورد سازمان ما درخواست می کنند؟”

این مطلب را نیز حتما بخوانید:  خانه هوشمند چیست؟

جمع‌آوری داده

مرحله بعدی جمع‌آوری داده‌های خام است که الزامات تعریف شده در مرحله اول را برآورده می‌کند.

امر گردآوری و فرآیند جمع‌آوری اطلاعات برای برآوردن مهمترین نیازهای اطلاعاتی سازمان، حیاتی است.

بهتر است داده‌ها را از طیف گسترده‌ای از منابع جمع‌آوری کنید، مانند: منابع داخلی چون گزارش رویدادهای شبکه و سوابق واکنش حوادث گذشته، و منابع خارجی از وب باز، دارک وب و از منابع فنی.

جمع‌آوری اطلاعات می‌تواند به صورت ارگانیک از این منابع مختلف انجام شود، از جمله:

۱. استخراج متادیتا و گزارش‌ها از شبکه‌های داخلی و دستگاه‌های امنیتی؛

۲. اشتراک در فیدهای داده تهدید از سازمان‌های صنعتی و فروشندگان امنیت سایبری؛

۳. گفتگوها و مصاحبه‌های متمرکز با منابع آگاه؛

۴. تجزیه و تحلیل اخبار و وبلاگ‌های منبع باز

۵. خراش وب و برداشت داده‌ها و اطلاعات وب‌سایت‌ها و انجمن‌ها

۶. نفوذ به منابع بسته مانند انجمن‌های دارک وب (Dark Web) و وب عمیق (Deep Web).

داده‌های تهدید معمولاً به‌عنوان فهرست‌های IoC، مانند آدرس‌های IP مخرب، دامنه‌ها و هش فایل‌ها در نظر گرفته می‌شوند، اما می‌توانند شامل اطلاعات آسیب‌پذیری مانند اطلاعات شخصی مشتری، کد خام سایت‌های کلاژ و متن اخبار منابع یا شبکه های اجتماعی نیز باشند.

داده‌های جمع‌آوری‌شده معمولاً ترکیبی از اطلاعات محدود، مانند گزارش‌های اطلاعاتی کارشناسان و فروشندگان امنیت سایبری، و داده‌های خام، مانند امضای بدافزار یا اعتبارنامه‌های فاش شده در یک سایت مرتبط خواهد بود.

پردازش

پردازش در ساده‌ترین تعریف، یعنی: تبدیل اطلاعات جمع‌آوری شده به قالب قابل استفاده توسط سازمان.

تقریباً تمام داده‌های خام جمع‌آوری‌شده باید به نحوی پردازش شوند، چه به صورت دستی توسط انسان و چه با استفاده از ماشین.

روش‌های مختلف جمع‌آوری اغلب به ابزارهای مختلف پردازش نیاز دارند. روش‌های پردازش دستی و انسان‌محور ممکن است نیاز به ایجاد همبستگی داده‌ها، طبقه‌بندی، حذف‌واضافه و تأیید داشته باشد.

مثال‌های پردازش

یک مثال ممکن است استخراج آدرس‌های IP از گزارش یک فروشنده امنیتی و افزودن آنها به یک فایل CSV برای وارد کردن به محصول مدیریت اطلاعات امنیتی و رویداد (SIEM) باشد.

در یک حوزه فنی‌تر، پردازش ممکن است شامل استخراج چندین شاخص از یک ایمیل، غنی‌سازی آن با اطلاعات دیگر و سپس ایجاد ارتباط با ابزارهای محافظت از نقطه پایانی برای مسدود کردن خودکار فرآیند باشد.

پس از جمع‌آوری تمام داده‌های خام، باید آن‌ها را مرتب کنید، آن‌ها را با برچسب‌های ابرداده سازماندهی کنید و اطلاعات اضافی یا موارد مثبت و منفی کاذب را فیلتر کنید.

این مطلب را نیز حتما بخوانید:  تفاوت بین داده ها و اطلاعات

امروزه، حتی سازمان‌های کوچک هر روز داده‌هایی را به ترتیب میلیون‌ها رویداد گزارش و صدها هزار متریک جمع‌آوری می‌کنند. این برای تحلیلگران انسانی بسیار سنگین است، زیرا نمی‌توانند به طور مؤثر اطلاعاتی در این حجم را پردازش کنند. جمع‌آوری و پردازش داده‌ها باید خودکار شوند تا شروع به درک آن کنند.

راه‌حل‌هایی مانند SIEM جای خوبی برای شروع هستند زیرا ساختار داده‌ها را با قوانین همبستگی که می‌توان برای چند مورد مختلف پیکربندی کرد، نسبتاً آسان می‌کند، اما آن‌ها فقط می‌توانند تعداد محدودی از انواع داده را در خود جای دهند.

اگر داده‌های بدون ساختار را از منابع مختلف داخلی و خارجی جمع‌آوری می‌کنید، به راه‌حل قوی‌تری نیاز خواهید داشت.

تجزیه‌وتحلیل

سپس نوبت به آنالیز داده‌ها می‌رسد. هدف از تجزیه‌وتحلیل جستجوی مسائل امنیتی بالقوه و اطلاع‌رسانی به تیم‌های آسیب دیده در قالبی است که الزامات اطلاعاتی شرح داده شده در مرحله برنامه‌ریزی و هدایت را برآورده کند.

هوش تهدید بسته به اهداف اولیه و مخاطب مورد نظر می‌تواند اشکال مختلفی داشته باشد، اما ایده اصلی این است که داده‌ها را در قالبی دریافت کنیم که مخاطب آن را درک کند. این امر می‌تواند از لیست‌های تهدید ساده تا گزارش‌های بررسی‌شده متغیر باشد.

تجزیه‌وتحلیل داده‌ها در اصل یک فرآیند انسانی است که اطلاعات پردازش شده را به روشی هوشمند تبدیل می‌کند که می‌تواند هادی تصمیمات باشد. بسته به شرایط، تصمیم‌گیری‌ها ممکن است شامل بررسی یک تهدید بالقوه، اقدامات فوری برای جلوگیری از حمله، نحوه تشدید کنترل‌های امنیتی یا میزان سرمایه‌گذاری در منابع امنیتی اضافی باشد.

ویژگی‌های گزارش آنالیز

شکلی که اطلاعات در آن ارائه می‌شود از اهمیت ویژه ای برخوردار است. جمع‌آوری و پردازش اطلاعات و سپس ارائه آن به شکلی که برای تصمیم‌گیرنده قابل درک و استفاده نباشد، کاملا بیهوده است. به عنوان مثال، اگر می‌خواهید با مدیران غیر فنی ارتباط برقرار کنید، گزارش شما باید:

۱. مختصر باشد (یادداشت یک صفحه ای یا تعدادی اسلاید)

۲. در آن از استفاده از اصطلاحات تخصصی و گیج‌کننده و بیش از حد فنی خودداری شده باشد.

۳. بیان مسائل در شرایط تجاری (مانند هزینه‌های مستقیم و غیرمستقیم و تأثیر شهرت)

۴. شامل یک برنامه اقدام توصیه شده باشد؛

ممکن است لازم باشد برخی از اطلاعات در قالب‌های مختلف برای مخاطبان مختلف ارائه شوند، به عنوان مثال، از طریق پخش زنده ویدیویی یا ارائه پاورپوینت. لازم نیست همه اطلاعات از طریق یک گزارش رسمی تحلیل شوند. تیم‌های موفق در اطلاعات تهدید، گزارش‌های فنی مستمری را در مورد IOC، بدافزار، عوامل تهدید، آسیب‌پذیری‌ها و روند تهدید به سایر تیم‌های امنیتی با زمینه‌های خارجی ارائه می‌کنند.

این مطلب را نیز حتما بخوانید:  پست مهمان چیست؟ چند پرسش و پاسخ در مورد پست مهمان

انتشار

انتشار یعنی رساندن محصول نهایی فرآیند هوش تهدید به دست مشتریان و متقاضیان خدمات شما.

اکثر سازمان‌‌های امنیت سایبری حداقل شش تیم دارند که می‌توانند از اطلاعات تهدید بهره ببرند.

برای هر یک از این مخاطبان، باید از خود بپرسید:

۱. آن‌ها به چه اطلاعات تهدیدی نیاز دارند و اطلاعات خارجی چگونه می‌تواند از کسب‌وکار آن‌ها پشتیبانی کند؟

۲. چگونه باید این اطلاعات ارائه شود تا برای این مخاطب به راحتی قابل درک و عملی باشد؟

۳. هر چند وقت یک‌بار نیاز به ارائه به‌روزرسانی و سایر اطلاعات داریم؟

۴. اطلاعات از طریق کدام رسانه باید منتشر شود؟

۵. اگر سوالی دارند چگونه باید پیگیری کنیم؟

موضوع مهم دیگر در این مرحله این است که بین چرخه فعلی حیات هوش تهدید و چرخه‌های بعدی، همبستگی و تداوم وجود داشته باشد و فرآیند یادگیری تیمی ادامه پیدا کند.

بازخورد

درک اولویت‌های اطلاعاتی به صورت کلی و الزامات تیم‌های امنیتی که از اطلاعات تهدید استفاده می‌کنند بسیار مهم است. نیازهای آن‌ها تمام مراحل چرخه حیات هوش تهدید را راهنمایی می‌کند و به تحلیلگر می‌گوید:

۱. چه نوع داده هایی جمع‌آوری شود؟

۲. نحوه پردازش و غنی‌سازی داده‌ها برای تبدیل آنها به اطلاعات مفید چگونه است؟

۳. نحوه تجزیه‌وتحلیل اطلاعات و ارائه آن به عنوان هوش عملی چطور باید باشد؟

۴. هر نوع هوش باید به چه کسی منتشر شود، با چه سرعتی باید منتشر شود، و با چه سرعتی باید به سوالات پاسخ داد؟

شما به بازخورد منظم نیاز دارید تا اطمینان حاصل کنید که نیازهای هر گروه را درک می‌کنید و با تغییر الزامات و اولویت‌های آن‌ها، تنظیمات را انجام دهید.

در واقع بازخورد مرحله‌ای نهایی است که چرخه حیات هوش تهدید کامل شده و آن را نزدیک به مرحله برنامه‌ریزی و جهت‌گیری اولیه می‌کند.

پس از دریافت محصول هوشمند نهایی، درخواست کننده اصلی آن را بررسی می‌کند و مشخص می‌کند که آیا به سوالات آنها پاسخ داده شده است یا خیر. این امر اهداف و رویه‌ها را برای چرخه اطلاعاتی بعدی تعیین می‌کند و عمل مستندسازی و تداوم را عملیات ضروری می‌سازد.

در این مقاله درباره این که چرخه حیات هوش تهدید چیست، بحث کردیم. با تشکر از مطالعه شما.

منابع

۱. شناخت چرخه حیات هوشمندی در برابر تهدید – ترجمه از انگلیسی

۲. شناخت چرخه حیات هوشمندی در برابر تهدید – ترجمه از انگلیسی

مطالب مرتبط
1 دقیقه

آموزش رایگان طراحی سایت

آژانس معاملات هوشمند

آموزش رایگان طراحی سایت؛ در این مقاله آموزشی راهکارهای طراحی سایت را با توجه به مهارت‌ها و منابع شما بازگو می‌کنیم. در این مقاله صرفا تا حدی که برای دیجیتال مارکتینگ به دانش طراحی سایت نیاز است به آن ورود می‌کنیم و از ورود به مباحث تخصصی‌تر خودداری خواهیم کرد. با رشد و توسعه سریع […]

1 دقیقه

الگوریتم های دسته بندی داده کاوی چیست؟

سهراب محمدی

الگوریتم‌های دسته‌بندی داده‌کاوی چیست؟ در این مقاله قصد داریم به یکی از انواع الگوریتم‌ در داده‌کاوی بپردازیم. پس با ما همراه باشید. بیشتر بخوانید: انواع روشهای داده کاوی چیست؟ ، داده کاوی چیست؟ ما از آموزش (train کردن) مجموعه داده برای به دست آوردن شرایط مرزی (الگوی مرزبندی) بهتر استفاده می‌کنیم که می‌تواند برای تعیین […]

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سبد خرید
Subtotal 0 تومان