شکار تهدید (Threat Hunting)

Threat Hunting به چه معناست؟

حملات کامپیوتری روز به روز هوشمندانه‌تر می‌شوند. به عبارتی دیگر از یک الگوی خاص پیروی نمی‌کنند. برای مثال ویروس‌ها، یا به صورت کلی بد افزارها، برای حمله کردن یک الگوی خاصی دارند که آنتی ویروس‌ها یا فایروال‌ها این الگو‌ها را می‌شناسند و به آن‌ها اجازه‌ی نفوذ نمی‌دهند. حال اگر این الگوها وجود نداشته باشد و یک نیروی انسانی در پشت حمله قرار داشته باشد، طبیعتاً دفاع لازم در مقابل این حملات و تامین کردن امنیت شبکه بسیار سخت‌تر و پیچیده‌تر خواهد بود. در اینجاست که فایروال ، IDS/IPS و SIEM به تنهایی نمی‌توانند از شبکه محافظت کنند و مفهوم بسیار جالبی تحت عنوان Threat Hunting قدم به عرصه ی امنیت شبکه می‌گذارد.

بر اساس آمارهای موجود، هر تهدیدی به طور متوسط 191 روز در شبکه می‌ماند و به شبکه می‌پردازد تا روزنه‌ای برای حمله پیدا کند. تجهیزات امنیتی مانند فایروال و … تا حدی می‌توانند این مقدار زمان را افزایش بدهند اما نمی‌توانند به طور کامل آنرا مغلوب کنند. هدف از Threat Hunting این است که حمله‌کننده را قبل از اینکه بتواند آسیبی به شبکه برساند مهار کند.

Threat Hunting چگونه کار می‌کند؟

به زبانی ساده، شکار تهدید به جستجوی فعالیت‌های مشکوک یا غیرمعمول در سطح شبکه می‌پردازد. معمولان کارشناسان فناوری فکر می کنند، که باید منتظر باشند تا از تکنولوژی‌های مختلف اخطار مربوط به یک فعالیت مشکوکی را دریافت نمایند. با توجه به شرایط موجود باید به سمت تغییر این تفکر حرکت کنیم.یک تیم، متشکل از چند مهندس امنیت را استخدام کنیم تا با ارزیابی شبکه هرچیزی که می‌تواند مدرکی دال بر وجود یک تهدید یا حمله باشد را از بین ببرند. این دقیقا کارکرد شکارتهدید است و به کسانی که این کار را انجام می‌دهند، Threat Hunter یا شکارچی تهدید می‌گویند.

عوامل موثر در Threat Hunting عبارتند از:

1. با توجه به اینکه فعالیت شما در چه زمینه‌ای باشد و اغلب چه داده‌هایی را ذخیره می‌کنید، می‌توانید نقاط حساس یا داده‌هایی که می‌تواند برای یک هکر جذاب باشد را پیدا کنید و راه‌های دسترسی به آن‌ها را ببندید.
2. همواره باید امنیت شبکه خود را به‌روز نگه دارید و آن‌ را در مقابل آخرین حملات و تهدید‌ها مقاوم کنید.
3. به طور کلی به هیچ وجه نباید به کسی اجازه بدهید که فرصتی برای نفوذ به شبکه شما پیدا کند؛ این امر مهم فقط با اجرای دقیق گزینه اول و دوم تحقق می‌یابد.

برای Threat Hunting از چه ابزارهایی استفاده می‌شود‌ ؟

ابزار‌های Threat Hunting به طور کلی به سه دسته تقسیم می‌شوند:

1.ابزار‌هایی که لاگ‌گیری می‌کنند یا به عبارتی مجموعه‌ای از آمارها و ارقام را به ما می‌دهند.

ابزار‌های Maltego CE ، Cuckoo Sandbox ، Automater از این دست ابزار‌ها هستند. به طور کلی، این ابزار‌ها فعالیت‌های مخرب یا مشکوک را ارزیابی می‌کنند و در صورت مشاهده فعالیت‌های زیان بار، بلافاصله به ما هشدار می‌دهد.

2. ابزار‌هایی که هوشمند هستند و تا حدی از حملات جلوگیری می‌کنند.

برای مثال می‌توان به YARA ، CrowdFMS ، BotScout اشاره کرد. این‌گونه ابزار‌ها می‌توانند بدافزار‌ها را دسته‌بندی و از آن‌ها جلوگیری کنند و همچنین جلوی وقوع حملات فیشینگ و اسپم‌های دریافتی را بگیرند.

3. ابزار‌هایی که ریسک شبکه را می‌سنجند

ابزار‌های AlEngine و YETI از این دست ابزار‌ها هستند که فعالیت‌های شخص یا شرکت را ارزیابی می‌کنند و همچنین ریسک موجود را می‌سنجند.

لازم به ذکر است که ابزار‌هایی معرفی شده همگی رایگان هستند و با کمی تخصص در حوزه IT می‌توان از آن‌ها استفاده کرد.

همچنین از شرکت‌های معروفی که ابزار‌ها یا نرم‌افزار‌های Threat Hunting را عرضه می‌کنند می‌توان به IBM ، Cisco ، FireEye ، Cynet ، Cyberbit و Microsoft اشاره کرد.