Threat Hunting

حملات کامپیوتری روز به روز هوشمندانه تر می شوند. به عبارتی دیگر از یک الگوی خاص پیروی نمیکنند. برای مثال ویروس ها یا به صورت کلی بد افزارها برای حمله کردن یک الگوی خاصی دارند که آنتی ویروس ها یا فایروال ها این الگو ها را می شناسند و اجازه ی نفوذ نمی دهند. حال اگر این الگو نباشد و یک نیروی انسانی در پشت حمله قرار داشته باشد، طبیعتاً دفاع لازم در مقابل این حملات و تامین کردن امنیت شبکه بسیار سخت تر و پیچیده تر خواهد بود. در اینجاست که فایروال ، IDS/IPS و SIEM به تنهایی نمی توانند از شبکه محافظت کنند و مفهوم بسیار جالبی تحت عنوان Threat Hunting قدم به عرصه ی امنیت شبکه می گذارد.

طبق آمار، هر تهدیدی به طور متوسط 191 روز در شبکه می ماند و آنرا مورد بررسی قرار می دهد تا روزنه ای برای حمله پیدا کند. تجهیزات امنیتی مانند فایروال و … تا حدی می توانند این مقدار زمان را افزایش بدهند اما نمی توانند به طور کامل آنرا مغلوب کنند. هدف از Threat Hunting این است که حمله کننده را قبل از اینکه بتواند آسیبی به شبکه برساند مهار کند.

Threat Hunting چگونه کار می کند؟

به زبانی ساده، Threat Hunting به جستجوی فعالیت های مشکوک یا غیر معمول در سطح شبکه می پردازد. تفکر اکثر کسانی که در حوزه امنیت کار میکنند این گونه است که منتظر می نشینند تا تکنولوژی به آنها اخطار دهد که فعالیت مشکوکی در جریان است. حال بیایید این طرز تفکر را عوض کنیم، یک تیم که متشکل از چند مهندس امنیت می باشد را استخدام کنیم و آنها با ارزیابی شبکه هرچیزی که می تواند مدرکی از یک تهدید یا حمله باشد را از بین ببرند ; این دقیقا کارکرد Threat Hunting است و به کسانی که این کار را انجام می دهند، Threat Hunter می گویند.

 

از عواملی که در Threat Hunting  می توان به آن اشاره کرد عبارت است از :

1) با توجه به اینکه فعالیت شما در چه زمینه ای هست و اغلب چه داده هایی را ذخیره می کنید، می توانید نقاط حساس یا داده هایی که می تواند برای یک هکر جذاب باشد را پیدا می کنید و راه های دسترسی به آن ها را ببندید.

2) همواره باید امنیت شبکه خود را به روز نگه دارید و آنرا در مقابل آخرین حملات و تهدید ها مقاوم کنید.

3) به طور کلی اصلا نباید به کسی اجازه دهید که فرصتی برای نفوذ به شبکه شما پیدا کند که این امر مهم فقط با اجرای دقیق گزینه اول و دوم تحقق می یابد.

ابزار های مورد نیاز برای Threat Hunting:

ابزار های Threat Hunting به طور کلی به سه دسته تقسیم می شوند:

ابزار هایی که لاگ گیری می کنند یا به عبارتی یکسری آمار و ارقام به ما می دهند.

ابزار های Maltego CE ، Cuckoo Sandbox ، Automater از این دست ابزار ها هستند. به طور کلی، این ابزار ها فعالیت های مخرب یا مشکوک را ارزیابی می کنند و اگر ببینند که این فعالیت ها می توانند زیان بار باشند بلافاصله به ما هشدار می دهد.

ابزار هایی که هوشمند هستند و از حملات تا حدی جلوگیری می کنند.

برای مثال می توان به YARA ، CrowdFMS ، BotScout اشاره کرد. این گونه ابزار ها می توانند بدافزار ها را دسته بندی کنند و از آنها جلوگیری کنند و همین طور جلوی حملات فیشینگ و اسپم های دریافتی را بگیرند.

 

ابزار هایی که ریسک شبکه را می سنجند.

ابزار های AlEngine و YETI از این دست ابزار ها هستند که فعالیت های شخص یا شرکت را ارزیابی می کنند و همچنین ریسک موجود را می سنجند.

هرکدام از این ابزار ها که در بالا گفته شد رایگان هستند و با کمی تخصص در حوزه IT می توان از آنها استفاده کرد.

همچنین از شرکت های معروفی که ابزار ها یا نرم افزار های Threat Hunting را عرضه می کنند می توان به IBM ، Cisco ، FireEye ، Cynet ، Cyberbit و Microsoft اشاره کرد.