چرخه حیات هوش تهدید چیست؟ اطلاعات تهدید سایبری چگونه تولید میشوند؟ در این مقاله قصد داریم در این مورد بحث کنیم. با ما همراه باشید.
نوشتار اصلی: هوش تهدید چیست؟
همچنین بخوانید: داده کاوی چیست؟
میدانیم که دادههای خام با اطلاعات یکسان نیستند. اطلاعات تهدیدات سایبری محصول نهایی یک چرخه شش بخشی از جمعآوری، پردازش و تجزیهوتحلیل دادهها است. این فرآیند یک چرخه است زیرا سؤالات و شکافهای دانش جدید در طول توسعه هوش شناسایی میشوند که منجر به تعریف الزامات مجموعه جدید میشود. یک برنامه هوشی مؤثر تکراری است و در طول زمان بالغ میشود.
برای به حداکثر رساندن ارزش اطلاعات تهدیدی که تولید میکنید، ضروری است که موارد استفاده خود را شناسایی کرده و قبل از انجام هر کار دیگری اهداف خود را مشخص کنید.
برنامهریزی و جهتدهی
اولین گام برای تولید اطلاعات عملیاتی تهدید، پرسیدن پرسشهای درست است.
پرسشهایی که به بهترین وجه منجر به شناخت اطلاعات عملیاتی تهدید میشوند بر یک واقعیت، رویداد یا فعالیت متمرکز میشوند. به طور کلی باید از سوالات عمومی و باز خودداری شود.
برخی از این پرسشها عبارتند از:
۱. آیا مراحل هدایت چرخه حیات با تعریف اهداف برنامه اطلاعاتی تهدید مطابقت دارد؟
۲. داراییهای اطلاعاتی و فرآیندهای تجاری که نیاز به محافظت دارند، کدامند؟
۳. اثرات بالقوه از دست دادن این داراییها یا قطع این فرآیندها چیست؟
۴. انواع اطلاعات تهدید که سازمان امنیتی برای محافظت از داراییها و پاسخ به تهدیدات نیاز دارد، کدامند؟
۵. اولویتها در مورد آنچه باید محافظت شود کدامها هستند؟
هنگامی که نیازهای هوش تهدید در سطح بالا مشخص شد، یک سازمان میتواند سوالاتی را فرمولهبندی کند که نیاز به اطلاعات را هدایت کند.
اهداف اطلاعاتی خود را بر اساس عواملی مانند میزان همسویی آنها با ارزشهای اصلی سازمان، تأثیر تصمیم حاصله و به موقع بودن تصمیم، اولویتبندی کنید.
دو مورد برای راهنمایی:
۱. یک عامل راهنمای مهم در این مرحله، درک این موضوع است که چه کسی محصول نهایی را مصرف میکند و از آن سود میبرد. آیا این اطلاعات به تیمی از تحلیلگران با تخصص فنی که نیاز به گزارش سریع در مورد یک اکسپلویت جدید دارند، میرسد یا مدیری که به دنبال یک مرور کلی از آن است. روندی برای اطلاع از تصمیمات سرمایه گذاری امنیتی خود برای سه ماهه آینده؟
۲. مورد دوم راهنمایی میتواند به عنوان مثال، اگر هدف ما صرفا شناسایی دشمنان بالقوه باشد، یک سوال منطقی این خواهد بود که “کدام بازیگران در انجمنهای زیرزمینی به طور فعال اطلاعاتی را در مورد سازمان ما درخواست می کنند؟”
جمعآوری داده
مرحله بعدی جمعآوری دادههای خام است که الزامات تعریف شده در مرحله اول را برآورده میکند.
امر گردآوری و فرآیند جمعآوری اطلاعات برای برآوردن مهمترین نیازهای اطلاعاتی سازمان، حیاتی است.
بهتر است دادهها را از طیف گستردهای از منابع جمعآوری کنید، مانند: منابع داخلی چون گزارش رویدادهای شبکه و سوابق واکنش حوادث گذشته، و منابع خارجی از وب باز، دارک وب و از منابع فنی.
جمعآوری اطلاعات میتواند به صورت ارگانیک از این منابع مختلف انجام شود، از جمله:
۱. استخراج متادیتا و گزارشها از شبکههای داخلی و دستگاههای امنیتی؛
۲. اشتراک در فیدهای داده تهدید از سازمانهای صنعتی و فروشندگان امنیت سایبری؛
۳. گفتگوها و مصاحبههای متمرکز با منابع آگاه؛
۴. تجزیه و تحلیل اخبار و وبلاگهای منبع باز
۵. خراش وب و برداشت دادهها و اطلاعات وبسایتها و انجمنها
۶. نفوذ به منابع بسته مانند انجمنهای دارک وب (Dark Web) و وب عمیق (Deep Web).
دادههای تهدید معمولاً بهعنوان فهرستهای IoC، مانند آدرسهای IP مخرب، دامنهها و هش فایلها در نظر گرفته میشوند، اما میتوانند شامل اطلاعات آسیبپذیری مانند اطلاعات شخصی مشتری، کد خام سایتهای کلاژ و متن اخبار منابع یا شبکه های اجتماعی نیز باشند.
دادههای جمعآوریشده معمولاً ترکیبی از اطلاعات محدود، مانند گزارشهای اطلاعاتی کارشناسان و فروشندگان امنیت سایبری، و دادههای خام، مانند امضای بدافزار یا اعتبارنامههای فاش شده در یک سایت مرتبط خواهد بود.
پردازش
پردازش در سادهترین تعریف، یعنی: تبدیل اطلاعات جمعآوری شده به قالب قابل استفاده توسط سازمان.
تقریباً تمام دادههای خام جمعآوریشده باید به نحوی پردازش شوند، چه به صورت دستی توسط انسان و چه با استفاده از ماشین.
روشهای مختلف جمعآوری اغلب به ابزارهای مختلف پردازش نیاز دارند. روشهای پردازش دستی و انسانمحور ممکن است نیاز به ایجاد همبستگی دادهها، طبقهبندی، حذفواضافه و تأیید داشته باشد.
مثالهای پردازش
یک مثال ممکن است استخراج آدرسهای IP از گزارش یک فروشنده امنیتی و افزودن آنها به یک فایل CSV برای وارد کردن به محصول مدیریت اطلاعات امنیتی و رویداد (SIEM) باشد.
در یک حوزه فنیتر، پردازش ممکن است شامل استخراج چندین شاخص از یک ایمیل، غنیسازی آن با اطلاعات دیگر و سپس ایجاد ارتباط با ابزارهای محافظت از نقطه پایانی برای مسدود کردن خودکار فرآیند باشد.
پس از جمعآوری تمام دادههای خام، باید آنها را مرتب کنید، آنها را با برچسبهای ابرداده سازماندهی کنید و اطلاعات اضافی یا موارد مثبت و منفی کاذب را فیلتر کنید.
امروزه، حتی سازمانهای کوچک هر روز دادههایی را به ترتیب میلیونها رویداد گزارش و صدها هزار متریک جمعآوری میکنند. این برای تحلیلگران انسانی بسیار سنگین است، زیرا نمیتوانند به طور مؤثر اطلاعاتی در این حجم را پردازش کنند. جمعآوری و پردازش دادهها باید خودکار شوند تا شروع به درک آن کنند.
راهحلهایی مانند SIEM جای خوبی برای شروع هستند زیرا ساختار دادهها را با قوانین همبستگی که میتوان برای چند مورد مختلف پیکربندی کرد، نسبتاً آسان میکند، اما آنها فقط میتوانند تعداد محدودی از انواع داده را در خود جای دهند.
اگر دادههای بدون ساختار را از منابع مختلف داخلی و خارجی جمعآوری میکنید، به راهحل قویتری نیاز خواهید داشت.
تجزیهوتحلیل
سپس نوبت به آنالیز دادهها میرسد. هدف از تجزیهوتحلیل جستجوی مسائل امنیتی بالقوه و اطلاعرسانی به تیمهای آسیب دیده در قالبی است که الزامات اطلاعاتی شرح داده شده در مرحله برنامهریزی و هدایت را برآورده کند.
هوش تهدید بسته به اهداف اولیه و مخاطب مورد نظر میتواند اشکال مختلفی داشته باشد، اما ایده اصلی این است که دادهها را در قالبی دریافت کنیم که مخاطب آن را درک کند. این امر میتواند از لیستهای تهدید ساده تا گزارشهای بررسیشده متغیر باشد.
تجزیهوتحلیل دادهها در اصل یک فرآیند انسانی است که اطلاعات پردازش شده را به روشی هوشمند تبدیل میکند که میتواند هادی تصمیمات باشد. بسته به شرایط، تصمیمگیریها ممکن است شامل بررسی یک تهدید بالقوه، اقدامات فوری برای جلوگیری از حمله، نحوه تشدید کنترلهای امنیتی یا میزان سرمایهگذاری در منابع امنیتی اضافی باشد.
ویژگیهای گزارش آنالیز
شکلی که اطلاعات در آن ارائه میشود از اهمیت ویژه ای برخوردار است. جمعآوری و پردازش اطلاعات و سپس ارائه آن به شکلی که برای تصمیمگیرنده قابل درک و استفاده نباشد، کاملا بیهوده است. به عنوان مثال، اگر میخواهید با مدیران غیر فنی ارتباط برقرار کنید، گزارش شما باید:
۱. مختصر باشد (یادداشت یک صفحه ای یا تعدادی اسلاید)
۲. در آن از استفاده از اصطلاحات تخصصی و گیجکننده و بیش از حد فنی خودداری شده باشد.
۳. بیان مسائل در شرایط تجاری (مانند هزینههای مستقیم و غیرمستقیم و تأثیر شهرت)
۴. شامل یک برنامه اقدام توصیه شده باشد؛
ممکن است لازم باشد برخی از اطلاعات در قالبهای مختلف برای مخاطبان مختلف ارائه شوند، به عنوان مثال، از طریق پخش زنده ویدیویی یا ارائه پاورپوینت. لازم نیست همه اطلاعات از طریق یک گزارش رسمی تحلیل شوند. تیمهای موفق در اطلاعات تهدید، گزارشهای فنی مستمری را در مورد IOC، بدافزار، عوامل تهدید، آسیبپذیریها و روند تهدید به سایر تیمهای امنیتی با زمینههای خارجی ارائه میکنند.
انتشار
انتشار یعنی رساندن محصول نهایی فرآیند هوش تهدید به دست مشتریان و متقاضیان خدمات شما.
اکثر سازمانهای امنیت سایبری حداقل شش تیم دارند که میتوانند از اطلاعات تهدید بهره ببرند.
برای هر یک از این مخاطبان، باید از خود بپرسید:
۱. آنها به چه اطلاعات تهدیدی نیاز دارند و اطلاعات خارجی چگونه میتواند از کسبوکار آنها پشتیبانی کند؟
۲. چگونه باید این اطلاعات ارائه شود تا برای این مخاطب به راحتی قابل درک و عملی باشد؟
۳. هر چند وقت یکبار نیاز به ارائه بهروزرسانی و سایر اطلاعات داریم؟
۴. اطلاعات از طریق کدام رسانه باید منتشر شود؟
۵. اگر سوالی دارند چگونه باید پیگیری کنیم؟
موضوع مهم دیگر در این مرحله این است که بین چرخه فعلی حیات هوش تهدید و چرخههای بعدی، همبستگی و تداوم وجود داشته باشد و فرآیند یادگیری تیمی ادامه پیدا کند.
بازخورد
درک اولویتهای اطلاعاتی به صورت کلی و الزامات تیمهای امنیتی که از اطلاعات تهدید استفاده میکنند بسیار مهم است. نیازهای آنها تمام مراحل چرخه حیات هوش تهدید را راهنمایی میکند و به تحلیلگر میگوید:
۱. چه نوع داده هایی جمعآوری شود؟
۲. نحوه پردازش و غنیسازی دادهها برای تبدیل آنها به اطلاعات مفید چگونه است؟
۳. نحوه تجزیهوتحلیل اطلاعات و ارائه آن به عنوان هوش عملی چطور باید باشد؟
۴. هر نوع هوش باید به چه کسی منتشر شود، با چه سرعتی باید منتشر شود، و با چه سرعتی باید به سوالات پاسخ داد؟
شما به بازخورد منظم نیاز دارید تا اطمینان حاصل کنید که نیازهای هر گروه را درک میکنید و با تغییر الزامات و اولویتهای آنها، تنظیمات را انجام دهید.
در واقع بازخورد مرحلهای نهایی است که چرخه حیات هوش تهدید کامل شده و آن را نزدیک به مرحله برنامهریزی و جهتگیری اولیه میکند.
پس از دریافت محصول هوشمند نهایی، درخواست کننده اصلی آن را بررسی میکند و مشخص میکند که آیا به سوالات آنها پاسخ داده شده است یا خیر. این امر اهداف و رویهها را برای چرخه اطلاعاتی بعدی تعیین میکند و عمل مستندسازی و تداوم را عملیات ضروری میسازد.
در این مقاله درباره این که چرخه حیات هوش تهدید چیست، بحث کردیم. با تشکر از مطالعه شما.
منابع
۱. شناخت چرخه حیات هوشمندی در برابر تهدید – ترجمه از انگلیسی
۲. شناخت چرخه حیات هوشمندی در برابر تهدید – ترجمه از انگلیسی
این مقاله برای من مفید بود
1+ 0 نفر این مقاله را پسندیده