ما هو صيد التهديدات؟ دليل شامل

ما هو صيد التهديدات؟

صيد التهديدات هو عملية واستراتيجية نشطة في أمن المعلومات يستخدمها المحللون الأمنيون. يتكون من البحث بشكل متكرر من خلال سجلات الشبكة والسحابة وأنظمة النقاط النهائية لاكتشاف مؤشرات الاختراق (IoCs)؛ تكتيكات وتقنيات وإجراءات المهاجمين (TTPs)؛ والتهديدات مثل التهديدات المستمرة المتقدمة (APTs) التي تتجنب نظام الأمان الحالي لديك.

تشمل أنشطة صيد التهديدات ما يلي:

• البحث عن التهديدات الداخلية أو المهاجمين الخارجيين– يمكن لصيادي التهديدات السيبرانية اكتشاف التهديدات التي يشكلها الداخلون، مثل الموظف، أو الخارجون، مثل منظمة إجرامية.
• الصيد الاستباقي للخصوم المعروفين– المهاجم المعروف هو الذي يتم إدراجه في خدمات استخبارات التهديد، أو أن نمط الشيفرة الخاص به موجود في قائمة الحظر للبرامج الضارة المعروفة.
• البحث عن التهديدات الخفية لمنع حدوث الهجوم– يقوم صائدو التهديدات بتحليل البيئة الحاسوبية من خلال استخدام المراقبة المستمرة. باستخدام التحليل السلوكي، يمكنهم اكتشاف الشذوذات التي قد تشير إلى وجود تهديد.
• تنفيذ خطة الاستجابة للحوادث– عندما يكتشفون تهديدًا، يقوم الصيادون بجمع أكبر قدر ممكن من المعلومات قبل تنفيذ خطة الاستجابة للحوادث للتصدي له. يتم استخدام ذلك لتحديث خطة الاستجابة ومنع هجمات مماثلة.

خطوات البحث عن التهديدات

هناك ثلاث مراحل في عملية صيد التهديدات الاستباقية: مرحلة التحفيز الأولية، تليها مرحلة التحقيق، وتنتهي بمرحلة الحل (أو، في بعض الحالات، التصعيد إلى فرق أخرى كجزء من خطة الاتصالات أو العمل).

الخطوة 1: التحفيز

يُعتبر البحث عن التهديدات عملية مركزة عادةً. يقوم الباحث بجمع المعلومات حول البيئة ويطرح فرضيات حول التهديدات المحتملة. بعد ذلك، يختار الباحث نقطة انطلاق لمزيد من التحقيق. يمكن أن تكون هذه نقطة انطلاق نظام معين، أو منطقة شبكة، أو فرضية تم تفعيلها بواسطة ثغرة معلنة أو تصحيح، أو معلومات حول استغلال يوم الصفر، أو شذوذ داخل مجموعة بيانات الأمان، أو طلب من مكان آخر في المؤسسة.

الخطوة 2: التحقيق

بمجرد تحديد المحفز، تتركز جهود البحث على البحث بشكل استباقي عن الشذوذات التي تثبت أو تنفي الفرضية. غالبًا ما يفترض الباحث في التهديدات: "نحن مخترقون أو معرضون لهذا الاستغلال الجديد" ويعمل على إثبات صحة أو خطأ هذه الافتراضات. خلال التحقيق، يستخدم الباحثون في التهديدات مجموعة واسعة من التقنيات لمساعدتهم في مراجعة سجلات النظام والتحقيق في الشذوذات، التي قد تكون ضارة أو غير ضارة.

الخطوة 3: الحل

يجمع صائدو التهديدات معلومات مهمة خلال مرحلة التحقيق، مجيبين على أسئلة هامة مثل "من؟" (إذا كان الأمر يتعلق بالاعتمادات)، "ماذا؟" (الأحداث التي حدثت بالترتيب)، "متى؟" (الطوابع الزمنية الدقيقة للانحرافات والاقتحامات)، "أين؟" (نطاق الأنظمة المتأثرة، مع قوائم بجميع الأجهزة والكيانات التي ستحتاج إلى إصلاح)، وإذا كان ذلك ممكنًا من الأدلة المقدمة، "لماذا؟" (نقص الالتزام بخطة/إرشادات الأمان، الاستياء، الإهمال، الهجوم الخارجي، إلخ). خلال مرحلة الحل، يتم نقل هذه المعلومات إلى فرق وأدوات أخرى يمكنها الاستجابة، وتحديد الأولويات، وتحليل، أو تخزين المعلومات للاستخدام المستقبلي.

سواء كانت المعلومات المكتشفة تتعلق بأنشطة غير ضارة أو ضارة، فإنها يمكن أن تكون مفيدة في التحليلات والتحقيقات المستقبلية. يمكن استخدامها للتنبؤ بالاتجاهات، وتحديد أولويات الثغرات، وتحسين تدابير الأمان.

أنواع الصيد للتهديدات

إليك ثلاثة أساليب شائعة في البحث عن التهديدات:

الصيد المنظم

يتضمن الصيد المنظم البحث المنهجي عن تهديدات معينة أو مؤشرات على الاختراق (IoCs) بناءً على معايير أو معلومات مسبقة. يبدأ هذا النهج عادةً بسؤال أو فرضية محددة حول تهديد محتمل، مثل: "هل نستخدم برنامج X الذي يحتوي على ثغرة معلنة واستغلال؟"، "هل هناك أي علامات على سلالة معينة من البرمجيات الخبيثة داخل شبكتنا؟"، أو "هل هناك أي دليل على الوصول غير المصرح به إلى بيانات حساسة؟"

للإجابة على هذه الأسئلة، يستخدم صيادو التهديدات معلومات التهديد، وبيانات السجلات، ومصادر أخرى ذات صلة للبحث عن أنماط من النشاط أو شذوذ في سلوك الكيانات قد تشير إلى وجود تهديد. قد تتضمن هذه العملية استخدام أدوات آلية واستعلامات، إلى جانب التحليل اليدوي وترابط البيانات.

الصيد غير المنظم

الصيد غير المنظم، المعروف أيضًا باسم الصيد الاستكشافي، هو نهج مفتوح أكثر لصيد التهديدات لا يعتمد على معايير أو فرضيات محددة مسبقًا. بدلاً من ذلك، يستخدم صائدو التهديدات خبرتهم وحدسهم للبحث عن التهديدات أو الثغرات المحتملة داخل شبكة أو أنظمة المؤسسة، وغالبًا ما يركزون على المناطق التي تُعتبر عالية المخاطر أو التي لديها تاريخ من الحوادث الأمنية. سواء كانت "الجواهر التاجية" للمؤسسة هي بيانات مثل الملكية الفكرية، معلومات العملاء/السجلات المالية/المعلومات الصحية الشخصية، أو مجرد توفر الأصول والقدرة على إجراء المعاملات، يجب أن يكون صائد التهديدات على دراية بسجل المخاطر والكيانات ذات القيمة الأعلى على الشبكة لتركيز جهوده.

قد يتضمن هذا النهج القائم على المخاطر استخدام مصادر بيانات متنوعة، مثل سجلات الشبكة، وبيانات النقاط النهائية، ومعلومات التهديد، بالإضافة إلى تقنيات وأدوات إبداعية لتحديد الأنماط، والشذوذ، أو غيرها من مؤشرات التهديد. يعتبر الصيد غير المنظم مفيدًا بشكل خاص في تحديد التهديدات غير المعروفة أو الناشئة، حيث يسمح لصائدي التهديدات بالتفكير خارج الصندوق والبحث عن علامات النشاط الخبيث التي قد لا تتناسب مع مؤشرات التهديد التقليدية أو ملفات تعريف التهديد.

الصيد القائم على الظروف أو المدفوع بالكيانات

الصيد التهديدي القائم على الوضع أو الكيان هو نهج مستهدف لصيد التهديدات يركز على أحداث أو كيانات أو مواقف معينة قد تشكل خطرًا متزايدًا على أمن المؤسسة. قد تشمل هذه الأحداث البارزة مثل عمليات الدمج والاستحواذ، وإطلاق المنتجات، أو الحوادث الأمنية، بالإضافة إلى كيانات محددة، مثل الأصول ذات القيمة العالية، أو أجهزة الكمبيوتر المحمولة أو الأجهزة اللوحية الخاصة بالشخصيات المهمة، أو البائعين من الأطراف الثالثة وحساباتهم أو حسابات الخدمة التي يمكن أن تصل إلى الشبكة.

تتعاون بعض فرق البحث عن التهديدات مع قسم الموارد البشرية الخاص بها لتتبع الموظفين الجدد والمغادرين، حيث يعتبر كلاهما أهدافًا محتملة لسلوك الخصوم أو تسرب المعلومات. قد يكون لدى الباحثين عن التهديدات بيانات محدودة في البداية، مثل قائمة بالمؤهلات الجديدة أو معلومات عن الموظفين المغادرين، ويبدؤون بحثهم حول وقت حدوث هذه الأحداث.

في هذا النهج الموقفي، يستخدم الباحثون عن التهديدات معلومات التهديدات، إلى جانب بيانات أخرى ذات صلة ومعلومات سياقية حول الكيانات الموجودة على الشبكة، لتحديد التهديدات أو الثغرات المحتملة المرتبطة بالوضع. قد يتضمن ذلك استخدام تقنيات صيد منظمة وغير منظمة، بالإضافة إلى التعاون مع أصحاب المصلحة الآخرين داخل المؤسسة، مثل فرق تكنولوجيا المعلومات أو القانونية أو التجارية.

منهجيات البحث عن التهديدات

الصيد القائم على الذكاء

الصيد القائم على المعلومات الاستخباراتية هو تقنية نشطة لصيد التهديدات مصممة للتفاعل وفقًا لمصادر المعلومات الاستخباراتية. يمكنك إدخال والبحث عن معلومات التهديد مثل مؤشرات الاختراق، عناوين IP، قيم التجزئة، وأسماء النطاقات.

يمكن دمج هذه العملية مع أدوات إدارة معلومات الأمن والأحداث (SIEM) وأدوات استخبارات التهديدات، التي تستخدم المعلومات للبحث عن التهديدات. مصدر آخر رائع للمعلومات هو الآثار المضيفة أو الشبكية المقدمة من فرق الاستجابة للطوارئ الحاسوبية (CERTs) أو مراكز مشاركة وتحليل المعلومات (ISAC)، والتي قد تسمح لك بتصدير تنبيهات آلية أو مشاركة معلومات رئيسية حول الهجمات الجديدة التي تم رؤيتها في منظمات أخرى. يمكنك غالبًا إدخال المعلومات في نظام SIEM الخاص بك باستخدام تبادل المعلومات الاستخباراتية الآلي الموثوق به (TAXII) وتعبير معلومات التهديدات المنظم (STIX). تحتوي العديد من أنظمة SIEM على خدمات معلومات التهديدات المدمجة لتعزيز السياق والمساعدة في بناء أحداث البحث ولوحات المعلومات.

الصيد القائم على الفرضيات

تتضمن تقنية صيد التهديدات هذه اختبار ثلاثة أنواع من الفرضيات:

• مدفوعة بالتحليلات: تستخدم التعلم الآلي (ML) وتحليلات سلوك المستخدمين والكيانات (UEBA) لتطوير درجات المخاطر المجمعة وصياغة الفرضيات.
• مدفوعة بالذكاء: تشمل تحليل البرمجيات الخبيثة، فحص الثغرات، الاستغلالات المكتشفة عبر الإنترنت، وتقارير وبيانات استخباراتية.
• مدفوع بالوعي بالوضع: تقييمات المخاطر المؤسسية وتحليل الجواهر الملكية (تحديد الأصول الرقمية التي تعتبر حيوية للشركة)

كميات كبيرة من البيانات التي تم جمعها تعني أن الباحثين عن التهديدات يحتاجون إلى أتمتة جزء كبير من العملية باستخدام تقنيات التعلم الآلي و ذكاء التهديدات.

التحقيق باستخدام مؤشرات الهجوم (IoA)

أكثر أساليب كشف التهديدات فعاليةً هي التحقيق باستخدام مؤشرات الهجوم (IoAs). الخطوة الأولى هي تحديد مجموعات التهديدات المتقدمة المستمرة (APT) وهجمات البرامج الضارة بالاستفادة من أدلة الكشف العالمية. تتوافق هذه التقنية عادةً مع أطر عمل التهديدات، مثل إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ^™.

إليك الإجراءات التي غالبًا ما تكون متضمنة في العملية:

1. استخدم مؤشرات الهجوم والتكتيكات والتقنيات والإجراءات لتحديد الفاعلين المهددين.
2. يقوم الصياد بتقييم المجال والبيئة وسلوكيات الهجوم لإنشاء فرضية تتماشى مع ATT&CK.
3. بعد تحديد سلوك معين، يحاول صائد التهديدات تحديد الأنماط من خلال البحث في مستودعات السجلات عن تجزئات أو أحداث مطابقة، ومراقبة الأنشطة الجارية. الهدف هو تحديد التهديد ثم عزله لمنع انتشاره أو تفشيه.

الصيد الهجين

تجمع تقنية صيد التهديدات الهجينة بين جميع الطرق المذكورة أعلاه، مما يسمح للمحللين الأمنيين بتخصيص عملية الصيد. عادةً ما تتضمن الصيد القائم على الصناعة مع الوعي بالوضع، بالإضافة إلى متطلبات الصيد المحددة. على سبيل المثال، يمكن تخصيص الصيد باستخدام بيانات حول القضايا الجيوسياسية. يمكنك أيضًا استخدام فرضية كحافز، واستغلال مؤشرات الأنشطة (IoAs) ومؤشرات التهديد (IoCs).

ما الذي يجعل صياد التهديدات عظيمًا؟

صائد التهديدات هو محلل أمني يستخدم تقنيات يدوية أو مدعومة بالآلة للكشف عن التهديدات المتقدمة (APTs) التي لا تكشفها أدوات الأمان الآلية أو المطابقة بناءً على التوقيع/الهاش فقط. لتحسين مهاراتهم، قد يخضع موظفو الأمن لتدريب على صيد التهديدات، أو يحصلون على شهادة في صيد التهديدات، مثل شهادة محترف صيد التهديدات السيبرانية المعتمد (CCTHP) أو شهادة القراصنة الأخلاقيين المعتمدين (CEH).

عادةً ما يقدم صيادو التهديدات تقاريرهم إلى مدير الأمن المعلوماتي، الذي يقدم تقاريره في النهاية إلى كبير مسؤولي الأمن المعلوماتي (CISO). عند العمل في مركز عمليات الأمن (SOC)، يقدم صيادو التهديدات تقاريرهم إلى مدير SOC.

بعض المهارات المهمة لصائد التهديدات الجيد هي:

• التواصل: من الضروري أن يكون لدى صيادي التهديدات القدرة على التواصل بشكل واضح جداً، سواء شفهياً أو كتابياً، حول أنشطتهم، بدءاً من التحقيق وصولاً إلى النتائج والتوصيات للإصلاح.
• تحليل البيانات والتقارير: التعرف على الأنماط، الكتابة التقنية، نظريات علم البيانات، حل المشكلات واستكشاف الأخطاء، والبحث
• معرفة أنظمة التشغيل والشبكات: تحتاج إلى معرفة تفاصيل أنظمة وشبكات المؤسسات، بما في ذلك الوظائف "التقليدية" التي تركز على تكنولوجيا المعلومات مثل المصادقة والتفويض
• خبرة في أمن المعلومات: الهندسة العكسية للبرمجيات الضارة، تتبع الخصوم، وأمان نقاط النهاية؛  يجب أن يكون لديك فهم واضح للتقنيات والأساليب المستخدمة من قبل المهاجمين في الماضي والحاضر.
• معرفة لغات البرمجة: من الشائع أن يكون لديك على الأقل لغة برمجة نصية واحدة ولغة مترجمة واحدة، على الرغم من أن الأدوات الحديثة تقلل بشكل متزايد من الحاجة لاستخدام لغة البرمجة النصية.
• مبادئ أمان التطبيقات (AppSec): لأن العديد من الهجمات تبدأ على مستوى واجهة الويب بسبب الترميز غير الآمن أو المكتبات التابعة لجهات خارجية المعرّضة للخطر أو الأطر غير المحدثة، يجب أن يكون لدى الباحثين عن التهديدات على الأقل معرفة عابرة بكيفية تحديد وإبلاغ فريق التطوير بما هو مطلوب للتصحيح الكامل أو التخفيف.

صيد التهديدات مقابل معلومات التهديدات: ما الفرق؟

بينما يُعتبر كل من صيد التهديدات ومعلومات التهديدات مكونات أساسية لاستراتيجية شاملة للأمن السيبراني، إلا أنهما يخدمان أغراضًا مختلفة ويتطلبان أساليب مختلفة.

استخبارات التهديدات هي جمع وتحليل ونشر المعلومات حول التهديدات السيبرانية المحتملة أو الموجودة، والثغرات، والمخاطر. يتم جمع هذه المعلومات عادةً من مجموعة متنوعة من المصادر، مثل استخبارات المصادر المفتوحة (OSINT)، ومشروع أمان التطبيقات العالمي المفتوح (OWASP)، وتغذيات التهديدات الخاصة بالصناعة، وبيانات الشبكة الداخلية والمراقبة. الهدف الرئيسي من استخبارات التهديدات هو تزويد المنظمات برؤى قابلة للتنفيذ يمكن أن تساعدها في اتخاذ قرارات مستنيرة حول وضعها الأمني السيبراني واستراتيجيات الاستجابة.

صيد التهديدات هو عملية نشطة يقودها البشر تستفيد من معلومات التهديدات، إلى جانب مصادر البيانات والأدوات الأخرى، للبحث بشكل استباقي عن التهديدات المحتملة داخل شبكة أو أنظمة المنظمة. يستخدم صائدو التهديدات معلومات التهديدات، بالإضافة إلى مصادر المعلومات الأخرى ومعرفتهم وخبراتهم الخاصة، لتحديد الأنماط والشذوذ وغيرها من مؤشرات التهديد التي قد تشير إلى وجود مهاجمين في البيئة.

باختصار، توفر استخبارات التهديد المعلومات والسياق الضروريين لأنشطة صيد التهديدات، بينما يستخدم صيد التهديدات هذه المعلومات للبحث النشط عن التهديدات المخفية والتخفيف منها داخل بيئة المنظمة.

3 نصائح لتحسين مهاراتك في البحث عن التهديدات

تتكبد المنظمات خسائر بملايين الدولارات سنويًا بسبب خروقات البيانات والهجمات الإلكترونية. يمكن أن تساعدك هذه النصائح في اكتشاف هذه التهديدات بشكل أفضل:

1. حدد "الطبيعي" في منظمتك

يحتاج الباحثون عن التهديدات إلى فرز الأنشطة الشاذة والتعرف على التهديدات الفعلية، لذا من الضروري فهم ما هي الأنشطة التشغيلية العادية للمؤسسة. لتحقيق ذلك، يتعاون فريق البحث عن التهديدات مع الأفراد الرئيسيين داخل وخارج قسم تكنولوجيا المعلومات لجمع معلومات ورؤى قيمة. وهذا يمكنهم من تحديد ما هو تهديد وما هو نشاط غير عادي ولكنه عادي. يمكن أتمتة هذه العملية باستخدام تقنية مثل UEBA، التي يمكن أن تظهر ظروف التشغيل العادية لبيئة معينة، والمستخدمين والآلات داخلها.

2. راقب، وجه، قرر، تصرف (OODA)

يستخدم صائدوا التهديدات هذه الاستراتيجية، المستمدة من الجيش، في الحرب السيبرانية. OODA تعني:

• راقب– اجمع السجلات بشكل روتيني من أنظمة تكنولوجيا المعلومات والأمن.
• التوجيه- قارن البيانات بالمعلومات المتوفرة. حلل وابحث عن مؤشرات الهجوم، مثل علامات القيادة والتحكم.
• قرر– حدد المسار الصحيح للعمل وفقًا لحالة الحادث.
• الإجراء– في حالة حدوث هجوم، نفذ خطة استجابة الحوادث. اتخذ تدابير لمنع هجمات مماثلة في المستقبل.

3. يجب أن تتوفر موارد مناسبة وكافية.

يجب أن يكون لدى فريق صيد التهديدات ما يكفي من العناصر التالية:

• الأفراد– فريق لصيد التهديدات يتضمن، على الأقل، شخص واحد ذو خبرة في صيد التهديدات السيبرانية
• الأنظمة– بنية تحتية أساسية لصيد التهديدات تجمع وتنظم الحوادث الأمنية والأحداث
• الأدوات– برامج مصممة لتحديد الشذوذ وتتبع المهاجمين

منصات البحث عن التهديدات

يستخدم صائدو التهديدات الحلول والأدوات للعثور على الأنشطة المشبوهة. وهذه هي الفئات الثلاث الرئيسية:

1. أدوات مراقبة الأمان– أدوات مثل الجدران النارية، والبرامج المضادة للفيروسات، وحلول أمان النقاط النهائية تجمع بيانات الأمان وتراقب الشبكة.

2.  حلول SIEM– تساعد حلول إدارة معلومات الأمن والأحداث (SIEM) في إدارة البيانات الأمنية الخام وتقديم تحليل في الوقت الحقيقي للتهديدات الأمنية.

3. أدوات التحليل– توفر برامج التحليل الإحصائي والاستخباراتي تقريرًا بصريًا من خلال الرسوم البيانية التفاعلية، مما يسهل ربط الكيانات واكتشاف الأنماط.

إكزابيم مكتشف التهديدات

تساعد أداة Exabeam Threat Hunter المحللين على التفوق على المهاجمين من خلال تبسيط اكتشاف التهديدات. تتيح Exabeam Threat Hunter للمحققين استخدام البحث بالنقر والنقطة عن معايير محددة تشمل المستخدم، الأصول، الأحداث، نوع المخاطر، التنبيهات، وتكتيكات المهاجمين. يمكن للمحققين أيضًا البحث من خلال الجداول الزمنية عن سلوك غير طبيعي. مع Exabeam Threat Hunter، يمكن للمحللين الاستجابة بشكل أسرع، وإيقاف الهجمات عند ظهورها.

كيف يمكن لأداة Exabeam Threat Hunter أن تساعدك في البحث عن التهديدات؟

ستساعد هذه الميزات الرئيسية للمنصة منظمتك في بناء قدرات أكثر فعالية في البحث عن التهديدات.

• واجهة سهلة الاستخدام— تجعل واجهة النقرة والنقر من السهل استعلام البيانات
• بيانات تأخذ السياق في الاعتبار— تمكن من إجراء عمليات بحث معقدة
• صيد التهديدات السلوكية– يتيح للمحللين البحث عن مؤشرات الهجوم (IoAs)، والتي تعتبر مؤشرات ذات قيمة أعلى بكثير من مؤشرات الاختراق (IoCs)
• الجداول الزمنية للحوادث التلقائية— تجعل الأتمتة جمع الأدلة أسرع وأسهل من الحفاظ على السجلات
• يوفر مساعدة بصرية— يمثل العلاقات، كاشفًا عن الارتباطات المخفية بين البيانات