مطاردة التهديدات السيبرانية

يعد البحث عن التهديدات السيبرانية نشاطًا دفاعيًا سيبرانيًا استباقيًا . إنها "عملية البحث الاستباقي والتكراري عبر الشبكات للكشف عن التهديدات المتقدمة وعزلها والتي تتجنب حلول الأمان الحالية." ^[1] وهذا على النقيض من تدابير إدارة التهديدات التقليدية، مثل جدران الحماية وأنظمة اكتشاف التطفل (IDS) وصناديق الحماية من البرامج الضارة (أمان الكمبيوتر) وأنظمة SIEM ، والتي تنطوي عادةً على التحقيق في البيانات القائمة على الأدلة بعد وجود تحذير من وجود تهديد محتمل.^[2]^[3]

المنهجيات

ملخص

في السنوات الأخيرة، شهد العالم ارتفاعًا مثيرًا للقلق في عدد وخطورة الهجمات الإلكترونية، وانتهاكات البيانات، وإصابات البرامج الضارة، وحوادث الاحتيال عبر الإنترنت. وبحسب شركة SonicWall للأمن السيبراني والذكاء الاصطناعي، ارتفع عدد هجمات برامج الفدية بنسبة 105% على مستوى العالم. لقد وقعت شركات كبرى في جميع أنحاء العالم ضحية لانتهاكات البيانات البارزة، حيث تقدر التكلفة المتوسطة لانتهاك البيانات الآن بنحو 4.24 مليون دولار، وفقًا لشركة IBM .^[4]

منهجيات البحث عن التهديدات السيبرانية

كان البحث عن التهديدات تقليديًا عملية يدوية، حيث يقوم محلل الأمن بفحص معلومات البيانات المختلفة باستخدام معرفته ومعرفته بالشبكة لإنشاء فرضيات حول التهديدات المحتملة، مثل، على سبيل المثال لا الحصر، الحركة الجانبية من قبل الجهات الفاعلة في التهديد .^[5] ولكي تكون عملية البحث عن التهديدات أكثر فعالية وكفاءة، فمن الممكن أن تتم أتمتتها جزئيا، أو بمساعدة الآلة أيضا. في هذه الحالة، يستخدم المحلل برنامجًا يستفيد من التعلم الآلي وتحليلات سلوك المستخدم والكيان (UEBA) لإعلام المحلل بالمخاطر المحتملة. ويقوم المحلل بعد ذلك بالتحقيق في هذه المخاطر المحتملة، وتتبع السلوك المشبوه في الشبكة. وبالتالي، فإن عملية الصيد هي عملية تكرارية، وهذا يعني أنه يجب أن تتم بشكل مستمر في حلقة مفرغة، بدءًا من فرضية.

يعتمد على التحليلات: "التعلم الآلي وتحليل المخاطر والتقييمات البيئية، المستخدم لتطوير درجات المخاطر المجمعة التي يمكن أن تعمل أيضًا كفرضيات للصيد"
مدفوعًا بالوعي بالموقف: "تحليل جوهرة التاج، وتقييمات مخاطر المؤسسة، والاتجاهات على مستوى الشركة أو الموظف"
يعتمد على الاستخبارات: "تقارير استخبارات التهديدات، وموجزات استخبارات التهديدات، وتحليل البرامج الضارة، ومسح الثغرات الأمنية"

ويقوم المحللون بالتحقق من فرضياتهم من خلال البحث في كميات هائلة من البيانات المتعلقة بالشبكة. ويتم بعد ذلك تخزين النتائج حتى يمكن استخدامها لتحسين الجزء الآلي من نظام الكشف ولتكون بمثابة أساس للفرضيات المستقبلية.

يشير نموذج مستوى نضج الاكتشاف (DML) ^[6] إلى أنه يمكن اكتشاف مؤشرات التهديد على مستويات دلالية مختلفة. تعتبر المؤشرات الدلالية العالية مثل الهدف والاستراتيجية أو التكتيكات والتقنيات والإجراءات (TTPs) أكثر قيمة للتحديد من المؤشرات الدلالية المنخفضة مثل آثار الشبكة والمؤشرات الذرية مثل عناوين IP.^[7]^[8] توفر أدوات SIEM عادةً مؤشرات على مستويات دلالية منخفضة نسبيًا فقط. لذلك هناك حاجة لتطوير أدوات SIEM التي يمكنها توفير مؤشرات التهديد على مستويات دلالية أعلى.^[9]

المؤشرات

هناك نوعان من المؤشرات:

مؤشر التسوية - يخبرك مؤشر التسوية (IOC) بحدوث إجراء وأنك في وضع رد الفعل. يتم إجراء هذا النوع من IOC من خلال النظر إلى الداخل إلى بياناتك الخاصة من سجلات المعاملات و/أو بيانات SIEM. تتضمن أمثلة IOC حركة مرور الشبكة غير المعتادة، ونشاط حساب المستخدم المميز غير المعتاد، وشذوذ تسجيل الدخول، وزيادات في أحجام قراءة قاعدة البيانات، والتغييرات المشبوهة في السجل أو ملفات النظام، وطلبات DNS غير المعتادة وحركة مرور الويب التي تُظهر سلوكًا غير بشري. تسمح هذه الأنواع من الأنشطة غير المعتادة لفرق إدارة الأمن باكتشاف الجهات الخبيثة في وقت مبكر من عملية الهجوم الإلكتروني .
مؤشر القلق - باستخدام الاستخبارات مفتوحة المصدر (OSINT)، يمكن جمع البيانات من المصادر المتاحة للجمهور لاستخدامها في اكتشاف الهجمات الإلكترونية ومطاردة التهديدات.

التكتيكات والتقنيات والإجراءات

حدد معهد SANS نموذج نضج البحث عن التهديدات على النحو التالي:^[10]

مبدئيًا - عند مستوى النضج 0، تعتمد المنظمة بشكل أساسي على التقارير الآلية ولا تقوم بجمع البيانات الروتينية إلا قليلاً أو لا تقوم بها على الإطلاق.
الحد الأدنى - في مستوى النضج الأول، تقوم المنظمة بدمج عمليات البحث عن مؤشر استخبارات التهديد. يحتوي على مستوى متوسط أو مرتفع من جمع البيانات الروتينية.
الإجرائية - في مستوى النضج الثاني، تتبع المنظمة إجراءات التحليل التي أنشأها الآخرون. إنها تحتوي على مستوى عالٍ أو عالٍ جدًا من جمع البيانات الروتينية.
مبتكر - في مستوى النضج الثالث، تقوم المنظمة بإنشاء إجراءات جديدة لتحليل البيانات. إنها تحتوي على مستوى عالٍ أو عالٍ جدًا من جمع البيانات الروتينية.
الرائد - في مستوى النضج الرابع، يقوم بأتمتة غالبية إجراءات تحليل البيانات الناجحة. إنها تحتوي على مستوى عالٍ أو عالٍ جدًا من جمع البيانات الروتينية.

وقت الإقامة

يشير وقت الانتظار إلى إما الفترة الكاملة لحادث أمني، والتي تشمل من الاختراق الأولي حتى الاكتشاف والتنظيف الكامل، أو "متوسط الوقت للكشف" من الاختراق حتى اكتشافه. وفقًا لتقرير Mandiant M-Trends لعام 2022، يعمل المهاجمون السيبرانيون دون اكتشاف لمدة 21 يومًا في المتوسط، وهو ما يمثل انخفاضًا بنسبة 79% مقارنة بعام 2016، لكن هذا يختلف بشكل كبير حسب المنطقة. حسب شركة Mandiant، قد ينخفض وقت الانتظار إلى 17 يومًا في الأمريكتين، بينما يمكن أن يرتفع إلى 48 يومًا في منطقة أوروبا والشرق الأوسط وأفريقيا. أظهرت الدراسة أيضًا أن 47% من الهجمات لا تُكتشف إلا بعد إبلاغ جهة خارجية.

تقارير نموذجية

سيدوورم: مجموعة تخترق وكالات حكومية وشركات نفط وغاز ومنظمات غير حكومية وشركات اتصالات وتكنولوجيا معلومات

مثال على البحث عن التهديدات

مطاردة التهديدات باستخدام جدران حماية DNS وإثراء البيانات

منهجيات البحث عن التهديدات

داخل محيط الشبكة

البحث عن التهديدات التفاعلية - يتم تشغيل هذه الطريقة بواسطة حدث ضار، عادةً بعد اكتشاف خرق البيانات أو سرقتها. وتتركز الجهود عادة على الأدلة الجنائية والإصلاح.
البحث الاستباقي عن التهديدات - تبحث هذه الطريقة بشكل نشط عن الأحداث والأنشطة الضارة المستمرة داخل الشبكة، والهدف هو اكتشاف هجوم إلكتروني قيد التقدم. وتركز الجهود عادة على الكشف والمعالجة.

خارج محيط الشبكة

البحث عن التهديدات الخارجية - تبحث هذه الطريقة بشكل استباقي عن البنية التحتية للجهات الفاعلة في التهديد الخبيث لرسم خريطة والتنبؤ بالأماكن التي من المرجح أن تظهر فيها الهجمات الإلكترونية لإعداد استراتيجيات دفاعية. وتركز الجهود عادة على استطلاع التهديدات السيبرانية ورسم خرائط سطح التهديدات ومراقبة مخاطر الجهات الخارجية.

انظر أيضا

برنامج مكافأة الأخطاء
الدفاع السيبراني الاستباقي

مراجع

^ "Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic". TechRepublic. مؤرشف من الأصل في 2016-10-27. اطلع عليه بتاريخ 2016-06-07.
^ "MITRE Kill Chain". اطلع عليه بتاريخ 2020-08-27.
^ "Threat Intelligence Platform on War Against Cybercriminals". اطلع عليه بتاريخ 2019-02-17.
^ "The Future of Cyber Security and AI: Protecting Your Digital World". Blue Big Data. مؤرشف من الأصل في 2023-10-30. اطلع عليه بتاريخ 2023-10-13.
^ "Cyber Threat Intelligence (CTI) in a Nutshell". Medium.com. مؤرشف من الأصل في 2023-06-26. اطلع عليه بتاريخ 2020-07-27.
^ Stillions، Ryan (2014). "The DML Model". Ryan Stillions security blog.
^ Bianco، David (17 يناير 2014). "The Pyramid of Pain". detect-respond.blogspot.com. اطلع عليه بتاريخ 2023-07-01.
^ Bianco، David. "The Pyramid of Pain". SANS Institute. اطلع عليه بتاريخ 2023-07-01.
^ Bromander، Siri (2016). "Semantic Cyberthreat Modelling" (PDF). Semantic Technology for Intelligence, Defense and Security (STIDS 2016).
^ Lee، Robert. "The Who, What, Where, When and How of Effective Threat Hunting". SANS Institute. اطلع عليه بتاريخ 2018-05-29.

[1] "Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic". TechRepublic. مؤرشف من الأصل في 2016-10-27. اطلع عليه بتاريخ 2016-06-07.

[2] "MITRE Kill Chain". اطلع عليه بتاريخ 2020-08-27.

[3] "Threat Intelligence Platform on War Against Cybercriminals". اطلع عليه بتاريخ 2019-02-17.

[4] "The Future of Cyber Security and AI: Protecting Your Digital World". Blue Big Data. مؤرشف من الأصل في 2023-10-30. اطلع عليه بتاريخ 2023-10-13.

[5] "Cyber Threat Intelligence (CTI) in a Nutshell". Medium.com. مؤرشف من الأصل في 2023-06-26. اطلع عليه بتاريخ 2020-07-27.

[6] Stillions، Ryan (2014). "The DML Model". Ryan Stillions security blog.

[7] Bianco، David (17 يناير 2014). "The Pyramid of Pain". detect-respond.blogspot.com. اطلع عليه بتاريخ 2023-07-01.

[8] Bianco، David. "The Pyramid of Pain". SANS Institute. اطلع عليه بتاريخ 2023-07-01.

[9] Bromander، Siri (2016). "Semantic Cyberthreat Modelling" (PDF). Semantic Technology for Intelligence, Defense and Security (STIDS 2016).

[10] Lee، Robert. "The Who, What, Where, When and How of Effective Threat Hunting". SANS Institute. اطلع عليه بتاريخ 2018-05-29.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]