شکار تهدید زمانی است که متخصصان امنیتی به دنبال تهدیدهایی هستند که از قبل در محیط IT سازمان آنها وجود دارد. این یک فرآیند جستجوی فعالانه در شبکه ها برای پیگیری حملات و شواهدی است که مهاجمان از خود به جای می گذارند.
Proactive vs Reactive
به طور خلاصه ، شکار تهدید در مورد اتخاذ یک رویکرد فعال در مقابل یک رویکرد واکنشی برای شناسایی حوادث است.
رویکرد واکنشی شامل پاسخگویی به حوادثی است که قبلاً اتفاق افتاده است. وقتی تیم پاسخ به حوادث سازمان از هشدار مطلع می شود و به طور واکنش فوری به آن پاسخ می دهد.
رویکرد پیشگیرانه شامل شناسایی و رفع ضعفها و تهدیدهای امنیتی قبل از وقوع حمله است. وقتی تیم پاسخ به حادثه، فعالانه در جستجوی فعالیت های مخرب (malicious)مبتنی بر تجربه خودو الگوی حوادث هستند.
سازماندهی شکار تهدید
پاسخدهی به حادثه
قبل از شروع شکار ، اطمینان حاصل کنید که فرایندهای لازم برای پاسخگویی موثر را در پیش دارید. این بدان معناست که تیم شما پاسخ های مفید از قبل آماده شده را انجام دهد و مراحل پیشگیری ، اصلاح و بازیابی را به طور موثر اجرا کند.
تولید یک فرضیه شکار
برای ایجاد یک فرضیه باید با پرسیدن سوال شروع کنید. مانند “دارایی حیاتی شرکت چیست؟” ، “چگونه کسی سعی می کند به آن دسترسی پیدا کند؟” و غیره. ایجاد یک فرضیه می تواند منجر به شکار تهدید موثرتری شود.
دامنه متنوع داده ها
یک تیم شکار تهدید خوب باید بتواند هنگام شکار از یک شاخص اساسی به طرق مختلف استفاده کند. هرچه رویکردهای یک تیم برای جمع آوری داده ها بیشتر باشد ، شانس آنها برای شکار تهدید بیشتر است. تیم های موفق شکار فناوری های زیادی را در اختیار دارند تا انواع مختلف فعالیت ها را به روش های مختلف شناسایی کنند.
مقیاس پذیری و اتوماسیون
مهمترین جنبه شکار تهدید اثبات منفی واقعی (true negative) است. به عبارت دیگر این که اثبات کنید هیچ خطری در سیستم وجود ندارد. که البته شما نمیتئانید مطمین باشید که به اندازه کافی سیستم خود را تحت نظر داشتید.
برای مقابله با چنین مشکلاتی ، باید به طور گسترده و کارآمد شکار کنید. که نیاز به ترکیبی از مقیاس پذیری و اتوماسیون پیدا میکنید.
اتوماسیون می تواند همین استراتژی ها و تاکتیک ها را اعمال کند. از طریق اتوماسیون ، می توانید شکار تهدید را افزایش دهید تا تعداد زیادی از حوادث در زمان کمتر شناسایی و بررسی شوند.
شروع یک شکار تهدید
برای انجام یک تمرین شکار تهدید، ابتدا باید تصمیم بگیرید که از یک تیم امنیتی داخلی یا یک ارائه دهنده خدمات شکار تهدید خارجی استفاده کنید. تیم شکار تهدید شما باید با ارزیابی پروژه ها و منابع داخلی تعیین کند که کدامیک با ارزش تر هستند و شروع به شکار می کند.
فواید شکار تهدید
بسیاری از شرکت ها هنوز در تلاشند تا یک برنامه شکار تهدید را نصب کنند. کسانی که موفق شده اند ، منافع قابل توجهی را گزارش کرده اند:
- سرعت و دقت پاسخگویی
- آشکاری تهدیدهای خارجی
- آشکاری میزان و گستردگی حمله (attack)
- کاهش تعداد بدافزار و حملات
