امنیت

مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model چیست؟

مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model چیست؟

امروزه بسیاری از سازمان ها به سرعت در حال کشف شکار تهدید یا تهدیدات سایبری یا اصطلاحاً Threat Hunting هستند، از این Threat Hunting گام بعدی در سیر تکالی Modern SOCها محسوب می شود اما در مورد چگونگی شروع به شکار تهدیداتی که سازمان ما را مورد حمله قرار می دهند یا تهدید می کنند یا اینکه چقدر در پیشرفت توانایی های شکار خود مطمئن هستیم یا خیر چه راهکاری وجود دارد؟ و اینکه چطور می توانید کیفیت خود و سازمان خود را در این زمینه (شکار مؤثر تهدیدات سایبری) تعیین کنید؟ برای پاسخ به این سوالات یک مدلی تحت عنوان مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model ارائه شده است که در طول این مقاله به توضیح آن خواهیم پرداخت.

منظور از شکار تهدیدات یا Threat Hunting چیست؟

مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model
مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model

قبل از اینکه به موضوع مدل بلوغ شکار تهدید سایبری یا ‌اصطلاحاً Cyber Threat Hunting Maturity Model – HMM بپردازیم، معنی دقیق زمانی که از اصطلاح hunting استفاده می کنیم را مرور کنیم. ما hunting را به عنوان “پروسه یا فرآیند فعلانه و تکراری جستجوی شبکه جهت تشخیص و ایزوله سازی تهدیدات پیشرفته ای که راهکارهای امنیتی موجود ما را دور می زنند”، تعریف می کنیم. از این رو کارشناسانی که این پروسه ها و فرآیندها را توسط تکنیک های مختلفی که جهت جستجوی attackerها و نفوذگران و فعالیت های مخرب آنها عملیاتی و پیاده سازی می کنند را نیز “شکارچیان تهدید سایبری” یا اصطلاحاً Cyber Threat Hunter می نامیم که معمولا در لایه 3 از SOCهای مدرن فعالیت می کنند.

منظور از Hunting Maturity Model چیست؟

با تعریف ارائه شده از hunting، حال اجازده دهید تا نگاهی داشته باشیم به یک برنامه hunting خوب و ببینیم که نحوه کارکرد آن چگونه است. بطور کلی 3 فاکتور را می بایست زمان قضاوت درباره توانایی hunting سازمانی در نظر داشت: کیفیت و کمیت اطلاعاتی که آنها برای پروسه hunting جمع آوری می کنند، ابزارهایی که جهت دسترسی و آنالیز این اطلاعات فراهم کرده اند و مهارت های آنالیزی که واقعاً از این اطلاعات و ابزارها جهت پیدا کردن Security Incidentها استفاده می کنند.

البته در این فاکتور، احتمالاً مهارت های آنالیز مهمتر از بقیه هستند، چرا که این مهارت ها به hunterها امکان ردیابی داده ها و تشخیص آنها را می دهند. همچنین کیفیت و کمیت داده هایی که یک سازمان از زیرساخت IT خود جمع آوری نیز یکی از فاکتورهای موثر در تعیین سطح HMM به حساب می آید. اطلاعات بیشتری که شما درباره سازمان بدست می آورید و برای متخصص شکار تهدیدات خود فراهم می کنید، به آنها در پیدا کردن نتیجه بیشتر کمک شایانی خواهد کرد. مجموعه ابزارهایی که شما استفاده می کنید، سبک شکارهای شما را شکل می دهند و هر یک تکنیک های مختلفی برای شکار تهدیدات را در اختیاران قرار خواهند داد.

بطور کلی مدل بلوغ تهدید یا به اختصار HMM خود دارای 5 سطح است که از پایین ترین سطح Level 0 تا بالاترین سطح Level 5 در شکل زیر مشخص شده است. این مدل توسط تیم معماران امنیتی و شکارچیان تهدیدات سایبری Sqrrl که بر روی آنالیز رفتاری و یادگیری ماشین در امنیت سازمانی تمرکز دارند به خصوص David J. Bianco ارائه شده است. وجود چنین مدلی به سازمان ها کمک خواهد کرد تا شرایط موجود خود را با هر یک از سطوح در در نظر گرفته شد در این مدل تطابق داده و شرایط فعلی و آینده سازمان خود را براساس آن منطبق نمایند.

در ادامه به توضیح هر یک از سطوح مدل بلوغ تهدید یا HMM خواهیم پراخت.
سطوح مدل بلوغ تهدید یا HMM
سطوح مدل بلوغ تهدید یا HMM

سطح صفرم یا HMM0-Initial

در سطح HMM0، یک سازمان اساساً بر روی ابزارهای Automated Alerting از جمله IDS و SIEM یا Antivirus جهت تشخیص فعالیت های مخرب که ممکن است در سازمان وجود داشته باشند تمرکز می کند. آنها ممکن است feedهای signature updateها یا indicatorهای Threat Intelligence (هوش تهدید) را درج کرده و حتی ممکن است signatureها یا indicatorهایی را خودشان ایجاد کنند اما اینها به صورت مستقیم توسط سیستم های مانیتورینگ تغذیه می شوند.
سازمان هایی که در سطح HMM0 هستند اطلاعات بیشتری را از سیستم های IT خود جمع آوری نمی کنند، بنابراین توانایی آنها در جستجوی فعالاته تهدیدات بسیار محدودت است. همچنین سازمان هایی در این سطح قابلیت های شکار تهدیدات را در نظر نمی گیرند.

سطح یکم یا HMM1-Minimal

یک سازمان در سطح HMM1 هنوز متکی بر Automated Alerting جهت بررسی پروسه Incident Response یا IR خود است اما این سازمان ها واقعاً یکسری از اطلاعات IT را نیز از زیرساخت های شبکه ای خود جمع آوری می کنند. این سازمان ها اغلب آرزوی تشخیص تهدیدات به صورت intel-driven detection یا تشخیص مبتنی بر هوش تهدیدات را دارند و آنها اغلب آخرین گزارشات مربوط به تهدیدات را از ترکیبی از منابع Open Source و Cloud Source دنبال می کنند.

سازمان هایی در سطح HMM1 به طور معمول حداقل انواعی از اطلاعات و داده ها را شبکه enterprise خود در یک سیستم متمرکز همچون یک SIEM یا یک محصول Log Management جمع آوری می کنند. اما بعضی از آنها ممکن است واقعاً اطلاعات زیادی را جمع آوری کنند، بنابراین زمانیکه تهدیدات جدیدی مورد توجه آنها قرار گیرد، تحلیگران آنها قادر خواهند بود تا توسط شاخص های کلیدی دقیقی که از گزارشات و historical data جستجو شده جهت کشف اینکه آنها (تهدیدات) اخیراً مشاهده شده اند یا خیر استفاده کنند.

سطح دوم یا HMM2-Procedural

اگر شما اینترنت را برای جستجوی مراحل hunting جستجو کنید، حتماً نمونه های عالی برای این منظور را پیدا خواهید کرد. این مراحل اغلب با یک نوع از دیتای وروردی مورد انتظار با یک تکنیک آنالیز خاص جهت کشف یک نوع فعالیت مخرب ترکیب می شوند. (برای مثال، تشخیص بد افزار توسط جمع آوری اطلاعاتی درباره برنامه هایی که به صورت خودکار بر روی میزبان ها اجرا می شوند). سازمان هایی در سطح HMM2 قادر به یادگیری و اعمال مراحل توسعه داده شده توسط دیگران به طور منظم هستند، هر چند ممکن است در آنها تغییرات جزئی را نیز ایجاد کنند اما آنها هنوز قادر به ایجاد مراحل جدید بطور کامل برای خودشان نیستند.
از آنجایی که بسیاری از روش های رایج در دسترس به نوعی به آنالیز حداقل فرکانس یا least-frequency analysis متکی هستند، سازمان های در سطح HMM2 معمولاً یک مقدار بسیار زیاد از اطلاعات را از زیرساخت enterprise خود جمع آوری می کنند.

سطح سوم یا HMM3- Innovative

سازمان هایی در سطح HMM3 دارای حداقل چند نفر شکارچی تهدیدات سایبری یا hunterها در مجموعه خود هستند انواع تکنیک های مختلف آنالیز اطلاعات را می دانند و قادر به اعمال آنها بر روی فعالیت های مخرب مشخصی هستند. این سازمان ها به جای تکیه بر روی مراحل توسعه داده توسط دیگران (همانطور که در مورد HMM2 توضیح دادم) معمولاً خودش این مراحل را ایجاد و منتشر می کنند. مهارت های تحلیلی ممکن است در حد آمارهای پایه ساده باشند یا اینکه شامل مباحث پیشرفته تری مانند تجزیه و تحلیل داده های پیوندی یا Linked data analysis، مصورسازی اطلاعات یا data visualization و یا یادگیری ماشین یا اصطلاحاً Machine Learning را نیز در بر بگیرند. کلید این مرحله برای تحلیلگران اعمال این تکنیک ها جهت ایجاد رویه های قابل تکرار است که بر روی یک تهدید خاص داکیومنت و اجرا شده اند.
سازمان هایی که در سطح HMM3 می توانند کاملا در جستجو و مبارزه با فعالیت های بازیگران تهدید کاملاً مؤثر باشند. هر چند که تعداد پروسه های huntingی که آنها در طول زمان به مرور توسعه پیدا می کند، آنها ممکن است با مشکلات مقیاس پذیری روبرو شوند و سعی کنند همه آنها را در یک برنامه معقول انجام دهند، مگر این تعداد تحلیلگران موجود خود را برای هماهنگی بیشتر افزایش دهند.

سطح چهارم یا HMM4-Leading

یک سازمان در سطح HMM4 اساساً همانند یک سازمان در سطح HMM3 است با یک تفاوت مهم که: Automation است. در HMM4، هر پروسه و فرآیند شکار تهدید موفقیت آمیزی عملیاتی شده و به ردیابی خودکار تبدیل می شود. این موضوع باعث میشود تا تحلیلگران از بار اجرای همان فرآیندها رها شده و به آنها اجازه می دهد تا در عوض تمرکز خود را در بهبود روندهای موجود یا ایجاد مراحل جدید متمرکز کنند.
سازمان های در سطح HMM4 به شدت در مقاومت بر علیه فعالیت های دشمن (منظور attackerها و نفوذگران و…) مؤثر هستند. سطح بالای اتوماتیک سازی فرآیندها به این سازمان ها اجازه می دهد تا تمرکز موثری بر روی ایجاد یک جریان از پروسه های hunting داشته باشند که در نتیجه باعث پیشرفت برنامه تشخیص آنها خواهد شد.

نویسنده مقاله: میثم ناظمی

منابع:

[1] Threat Hunting For Dummies, Peter H. Gregory, John Wiley & Sons, Inc., 2017.

[2] The Hunter’s Handbook – Endgame’s Guide to Adversary Hunting, Karen Scarfone, CyberEdge Group, LLC, 2016.

[3] Practical Threat Hunting, James Spiteri, Packt Publishing, 2019.

[4] Hunt Evil your practical guide to Threat Hunting, Sqrrl

[5] The Cyber Hunting Maturity Model, Sqrrl (https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model-6d506faa8ad5), 2015.

یک دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


دکمه بازگشت به بالا