سرویس هوش تهدیدیِ خوب را از کجا میتوان پیدا کرد؟
با گسترش سطح حملات و پیچیدگیِ روزافزون تهدیدات، واکنشِ صِرف به حوادث دیگر کفایت نمیکند. اکنون مهاجمین بیش از هر زمان دیگری برای حمله کردن فرصت نصیبشان میشود. هر صنعت و هر سازمانی اطلاعات ارزشمند مخصوص به خود را دارد که از آن تمام قد حراست میکند؛ همچنین از مجموعه اپها و فناوریهای ویژهای نیز برخوردار است. همهی اینها میتواند خوراکی باشد برای مهاجمین تا با ترفندهای مختلف بدانها یورش ببرند. متودهای حمله هر روز دارد بیشتر و بیشتر میشود.
در طول چند سال گذشته، متوجه مرز باریک بین انواع تهدیدها و انواع عاملین تهدید شدهایم. متودها و ابزارهایی که سابقاً برای یک سری از سازمانها تهدید به حساب میآمدند اکنون در بازار بزرگتری شیوع پیدا کردهاند. یکی از نمونههای بارز، دامپ کردنِ کد، توسط شرکت Shadow Brokers بود که اکسپلویتهای پیشرفتهای در اختیار عاملین جرم گذاشت -عاملینی که در غیر این صورت نمیتوانستند به چنین کد پیشرفتهای دسترسی داشته باشند.
رویکرد جدیدی نیاز است
با توجه به این حقیقت که سازمانها دارند به طور فزایندهای قربانیِ حملات هدفدار و پیشرفته میشوند، پر واضح است که داشتن دفاعی موفق نیازمند متودهای جدید است. شرکتها برای محافظت از خود همواره دارند نظارتهای امنیتی خود را با محیطِ همیشه در حال تغییر تهدید سازگار میکنند. تنها راه کنار آمدن با این تغییرات، ساخت برنامهی هوش تهدیدیِ[1] مؤثر است. هوش تهدیدی همین الانش هم یک مؤلفهی کلیدی در عملیاتهای امنیتی به شمار میآید. این سرویس را تقریباً هر شرکتی با هر ابعادی در تمام صنایع و موقعیتهای جغرافیایی به کار میبرد. هوش تهدیدی میتواند در طول چرخهی مدیریت واقعه از تیمهای امنیتی پشتیبانی کند و آنها را در تصمیمگیریهای راهبردی کمک نماید. با این حال، افزایش تقاضا برای هوش تهدیدیِ خارجی، بیشتر شدن فروشندگان این سرویس را نیز موجب شده است؛ حال دیگر هر یک از آنها سرویسهای هوش تهدیدی متنوعی را در اختیار شرکتها و سازمانها قرار میدهند.
هوش تهدیدی که به تخصص سازمانی شما مرتبط نمیشود میتواند حتی موجب وخیمتر شدن شرایط نیر بشود. در بسیاری از شرکتهای امروزی، تحلیلگران امنیتی به جای تمرکز روی شکار تهدید و واکنش سریع و معقول به آن، بیش از نیمی از زمان خود را صرف ساماندهی مثبتهای کاذب خود میکنند. ارائهی هوش تهدیدیِ نامربوط یا نامناسب به عملیاتهای امنیتی میتواند رقم هشدارهای کاذب را افزایش دهد و تأثیر به شدت منفی روی قابلیتهای واکنشدهی بگذارد.
بهترین هوش تهدیدی را از کجا میتوان پیدا کرد؟
با این حساب شاید برایتان سؤال پیش آید که چطور میتوان هوش تهدیدی مناسب و مرتبطی برای شرکت یا سازمان پیدا کرد؟ چطور میشود از بین این همه فروشنده با بازاریابیهای قوی که همه هم ادعا دارند محصولشان از بقیه بهتر است، سرویس هوش تهدیدیِ مناسبی تهیه کرد؟ گرچه این سوالات مهماند؛ اما فعلاً موقعیت خوبی برای پرسیدنشان نیست. بسیاری از سازمانها که گول وعده وعیدهای رنگین فروشندههای خارجی را میخورند فکر میکنند قرار است برایشان کاری کنند کارستان؛ غافل از اینکه ارزشمندترین هوش تهدیدی در محیط خودِ شبکهی سازمانیشان است.
اطلاعات حاصل از سیستمهای پیشگیری و تشخیص نفوذ، لاگهای اپلیکیشن و لاگهایی از سایر نظارتهای امنیتی میتوانند خود بازتابی باشند از اتفاقات داخل شبکهی سازمانی. هوش تهدیدیِ درونسازمانی میتواند الگوهای فعالیت مخرب مخصوص به سازمان را شناسایی کند؛ فرق بین کاربر معمولی و رفتار شبکهای را متوجه شود؛ به حفظ رشته فعالیتهای دسترسی به داده کمک کند؛ حفره اطلاعاتی احتمالی که نیاز به پلاگ شدن دارد شناسایی کند و غیره. جدا از اینها، استفاده از سرویسهای هوش تهدیدیِ خارجی میتواند همچنین دشوار باشد. در حقیقت برخی فروشندهها ممکن است به واسطهی حضور جهانیشان و قدرتشان در جمعآوری، پردازش و پیوند دادهها به هم -از بخشهای مختلف جهان- تهدیدهای سایبری را با شفافیت بیشتری نمایش دهند اما این تنها زمانی چارهساز است که زمینه و بستر داخلی کافی برای این کار وجود داشته باشد.
مثل مهاجم فکر کنید
برای ساخت برنامهی هوش تهدیدیِ کارامد، شرکتها -از جمله آنهایی که مراکز عملیاتهای امنیتی دارند- باید فکر خود را همسوی مهاجم کنند تا از حیلههای مجرم سایبری جا نخورند. استفاده از هوش تهدیدی وقتی مؤثر است که بتوان درک روشنی از ارزشهای کلیدی داشت. با توجه به منابع محدودی که معمولاً در اختیار دپارتمانهای امنیت اطلاعات است، تحلیل و ثبت کل عملیاتهای سازمانی کار بسیار دشواریست. راهحل، اتخاذِ رویکردی مبتنی بر ریسک با مقدم دانستن هدفهای مستعدتر است. وقتی منابع هوش تهدیدیِ داخلی تعریف و عملیاتی شد، شرکت تازه میتواند به فکر اضافه کردن اطلاعات خارجی به جریانکاریهای فعلیِ خود بیافتد.
صحبت، سرِ اعتماد است
منابع خارجی هوش تهدیدی از سطوح اطمیناندهیِ مختلفی برخوردارند:
• منابع باز رایگانند اما اغلب زمینه ندارند و تعداد قابلملاحظهای مثبت کاذب برمیگردانند.
• برای شروعی خوب، به جوامع اشتراکگذاری هوش (سازمان-محور) مانند FS-ISAC[2] دسترسی پیدا کنید. این جوامع اطلاعات بسیار ارزشمندی ارائه میدهند؛ هرچند اغلب گِیت میشوند و برای دسترسی به آنها باید عضویت داشته باشید.
• منابع تجاریِ هوش تهدیدی به مراتب قابلاطمینانترند گرچه دسترسی بدانها خیلی هزینهبردار است.
توصیهی ما برای انتخاب سرویس هوش تهدیدیِ خارجی این است که کیفیت را بر کمیت مقدم بدانید. اطلاعات فروشندگان مختلف سرویسهای هوش تهدیدی را نمیتوان در قالب همپوشانی مؤثر به کاربرد زیرا منابع هوش و روشهای جمعآوری اطلاعاتشان با هم بسیار تفاوت دارد و همچنین بینشهایی که ارائه میدهند نیز در برخی جنبهها متفاوت است. برای مثال، فروشندهای که در منطقهای خاص حضورِ پررنگی دارد اطلاعات بیشتری در مورد تهدیدهای ناشی از آن منطقه در اختیار دارد؛ این درحالیست که فروشندهای دیگر میتواند اطلاعات بیشتری روی انواع دیگری از تهدیدها بدهد. توجه داشتید باشید که این نوع منابع قابل اعتماد همچنین نیاز به پیشارزیابی دارند تا مطمئن شوید هوشی که تأمین میکنند متناسب با نیازهای خاص سازمانتان است.
مواردی که باید هنگام ارزیابی پیشنهادات تجاری هوش تهدیدی لحاظ کنید
هنوز هم شاخص و ملاک خاصی برای ارزیابی پیشنهادات تجاری هوش تهدیدی وجود ندارد اما در زیر به نمونههایی از آن اشاره کردهایم:
• به دنبال هوشی بگردید که بطور جهانی بشود بدان دسترسی پیدا کرد. حملات، مرز نمیشناسند- حملهای که هدفش، شرکتی در آمریکای لاتین است میتواند از اروپا و برعکس شروع شود.
آیا فروشنده اطلاعات را به طور جهانی بدست آورده و فعالیتهای به ظاهر نامرتبط را به کمپینهای منسجمی تطبیق میدهد؟ این نوع هوش به شما کمک خواهد کرد تا اقدام مناسبی انجام دهید.
• اگر به دنبال محتوایی استراتژیکتر هستید تا شما را از برنامهریزیهای امنیتیِ بلندمدت باخبر کند، به دنبال موارد زیر باشید:
o دیدگاهی سطح بالا از رویههای حمله
o تکنیکها و روشهای بکارگرفتهشده توسط مهاجمین
o انگیزهها و نیات
o نسبتها و غیره
و بعد به سراغ فروشندهی هوش تهدیدیای بروید که در صنعت یا منطقهی شما سابقهی خوشی دارد.
• محتوا اطلاعات را از داده ها میگیرد. شاخصهای تهدید بدون محتوا و زمینه هیچ ارزشی ندارند- باید به دنبال فروشندههایی باشید که به مهمترین سوال شما (چرا این مسئله باید تا این حد اهمیت داشته باشد؟) پاسخ دهند. زمینهی ارتباطی (برای مثال، دامنههای مرتبط با آدرسهای آیپی یا یوآرالهای شناختهشده که فایل بخصوصی از آنها دانلود شده است) گواهی است بر ارزشی بیشتر. بدینترتیب، بررسی روی واقعهی سایبری ارتقا داده میشود و مقیاسبندی وقایع نیز بهتر صورت میگیرد.
• فرض بر این گذاشته شده است که شرکت شما از قبل مجهز به هدایتگرهای امنیتی است، فرآیندهای مرتبط با آن همه تعریف شدهاند و برای شما خیلی مهم است که با همان ابزارهایی که میشناسید و از آنها استفاده میکنید هوش تهدیدی را به کار ببندید. بنابراین به دنبال متودهای تحویل، مکانیزمهای یکپارچهسازی و فرمتهایی باشید که از تجمیع روان هوش تهدیدی و عملیاتهای امنیتیِ فعلیتان حمایت میکنند.
ما در لابراتوار کسپرسکی، بیش از دو دهه است که تمرکز خود را روی بررسی تهدید گذاشتهایم. با در اختیار داشتن پتابایتها دادههای غنی در خصوص تهدیدها، فناوری یادگیری ماشین و کلی متخصص جهانی اینجاییم تا شما را در آشنایی با جدیدترین سرویسهای هوش تهدیدی (در سراسر جهان) آشنا کنیم و کمکتان کنیم حتی از گزند ناشناختهترین و نامحسوسترین حملات سایبری نیز مصون بمانید.