الصفحة الرئيسية

مفسرون

أمان المعلومات

صيد التهديد مقابل استخبارات التهديد: الفروق والتعاون

6 minutes to read

فهرس المحتويات

ما هو صيد التهديدات؟

صيد التهديدات هو عملية أمن سيبراني استباقية حيث يقوم أفراد مدربون، يعرفون بصائدي التهديدات، بالبحث بنشاط عن التهديدات المتقدمة وتحديدها وعزلها التي تتجاوز الحلول الأمنية الحالية. الأمر لا يتعلق بالانتظار لتنبيه للتحرك؛ بل يتعلق بالسعي الاستباقي للبحث عن التهديد الخفي الذي يختبئ داخل نظامك.

عن هذا المقال:

هذا جزء من سلسلة مقالات حول استخبارات التهديد.

القراءة الموصى بها: تحليلات البيانات الكبيرة في الأمن: الماضي والحاضر والمستقبل.

الأدوار التي تتضمن البحث عن التهديدات

من بين الأدوار المعنية في البحث عن التهديدات: محللو التهديدات، المستجيبون للحوادث، ومهندسو الأمن السيبراني.

محللو التهديدات مسؤولون بشكل أساسي عن فهم وتوقع سلوك المهاجم من خلال تحليل البيانات المتاحة. وهم في بعض الأحيان جزء من فرق التهديدات الداخلية الرسمية.
مستجيبو الحوادث يتخذون إجراءات فورية للتخفيف من تأثير حادث أمني.
مهندسو الأمن السيبراني مسؤولون عن تصميم وتنفيذ وتحديث حلول الشبكات الآمنة للدفاع ضد التهديدات السيبرانية المتقدمة.
فرق DevSecOps، على الرغم من أنها عادة ليست جزءًا رسميًا من فريق مركز عمليات الأمن (SOC)، قد تتفاعل غالبًا مع فريق SOC عند اكتشاف أحداث تتطلب تحديثات في مكتبات التطبيقات أو الأدوات أو الموارد بسبب الثغرات الأمنية المعلنة.

قد تقوم كل من هذه الأدوار بتنفيذ عمليات البحث عن التهديدات كجزء من مسؤولياتها. كما يمكنها التعاون ودمج معارفها ومهاراتها لتنفيذ عمليات بحث عن التهديدات أكثر تعقيدًا.

الأدوات والتدريب اللازمين لصيد التهديدات

الأدوات المستخدمة عادة في البحث عن التهديدات تشمل:

أنظمة إدارة معلومات وأحداث الأمان (SIEM): توفر تحليلًا في الوقت الحقيقي لتنبيهات الأمان
أنظمة كشف التسلل (IDS): تراقب الشبكات لرصد الأنشطة المشبوهة.
الكشف والاستجابة للنقاط النهائية (EDR): يوفر رؤية حول التهديدات على النقاط النهائية، ويسمح لفرق الأمان بإجراء تحقيقات جنائية سريعة، والاستجابة للتهديدات من خلال مزيج من الإجراءات الآلية واليدوية.
اختبار أمان التطبيقات الديناميكية أو الثابتة (DAST/SAST) بالإضافة إلى تحليل تكوين البرمجيات (SCA): سواء كان جزءًا من السبرينتات، أو ربع سنوي، أو سنوي كجزء من مبادرة الامتثال الكاملة، فإن الوصول إلى التقارير والنتائج يمكن أن يعزز الفهم الكامل لصائد التهديدات الكبير لأسباب الجذور خلال تغيير في وضع الأمان.

تعرف على المزيد في دليلنا المفصل حول أدوات استخبارات التهديد.

يتطلب البحث عن التهديدات أيضًا تدريبًا. فهو يتضمن فهم تعقيدات بيئة تكنولوجيا المعلومات الخاصة بك، وتعلم كيفية صياغة فرضيات حول التهديدات المحتملة، وكيفية جمع البيانات وتحليلها، وكيفية استخدام أدوات الأمن السيبراني ذات الصلة بشكل فعال - وكيفية تصعيد الأمور أو التواصل مع الفرق الأخرى للحصول على مساعدتها أو دعمها في إغلاق التخفيفات إلى تعويض كامل.

حول هذا Explainer:

هذا المحتوى هو جزء من سلسلة حول أمان المعلومات.

ما هي استخبارات التهديد؟

معلومات التهديدات هي المعرفة التي تتيح لك منع أو التخفيف من التهديدات السيبرانية. يتعلق الأمر بمعرفة عدوك: فهم من هم، وما قد تكون دوافعهم، والتقنيات التي يستخدمونها. هذه المعلومات حيوية في صياغة تدابير واستراتيجيات أمنية استباقية. (محتوى ذو صلة: اقرأ دليلنا إلى مزودي معلومات التهديدات)

مصادر استخبارات التهديد

يمكن أن تأتي معلومات التهديدات من العديد من المصادر، حيث يقدم كل منها جزءًا مختلفًا من اللغز، لتكوين صورة شاملة عن التهديدات المحتملة. تشمل هذه المصادر:

المعلومات الاستخباراتية مفتوحة المصدر (OSINT): معلومات متاحة للجمهور، يمكن جمعها من مصادر عبر الإنترنت متعددة.
ذكاء وسائل التواصل الاجتماعي (SOCMINT): يتضمن فحص منصات وسائل التواصل الاجتماعي بحثًا عن أدلة حول التهديدات السيبرانية المحتملة.
الذكاء البشري (HUMINT): يتضمن التفاعل بين الأشخاص ويمكن أن يوفر معلومات داخلية حول التهديدات المحتملة.
تحليل البيانات التقنية: تشمل الأمثلة عينات البرمجيات الخبيثة، سجلات الخادم، أو عناوين IP المستهدفة، لفهم أساليب المهاجم.

المخاطر التقنية مقابل المخاطر التجارية

عند التعامل مع استخبارات التهديد، من المهم فهم الفرق بين المخاطر التقنية والمخاطر التجارية. المخاطر التقنية هي الإمكانية لحدوث فشل تكنولوجي، مثل ثغرات البرمجيات أو أعطال الأجهزة. من ناحية أخرى، تتعلق المخاطر التجارية بالإمكانية لحدوث أي أنشطة قد تؤثر سلبًا على قدرة المنظمة على العمل أو تحقيق الأرباح.

كلا نوعي المخاطر مترابطان في مجال الأمن السيبراني. يمكن أن تؤدي المخاطر التقنية، مثل خرق البيانات، إلى مخاطر تجارية كبيرة، بما في ذلك فقدان ثقة العملاء والآثار القانونية المحتملة. لذلك، تتضمن المعلومات الفعالة حول التهديدات إدارة كل من المخاطر التقنية والتجارية.

مجموعات الفاعلين المهددين

مجموعات الفاعلين المهددين هي كيانات منظمة تقوم بتنفيذ الهجمات السيبرانية. يمكن أن تتراوح من مجموعات مدعومة من الدولة تعمل لأسباب سياسية، إلى مجموعات إجرامية تسعى لتحقيق مكاسب مالية، إلى مجموعات ناشطة مدفوعة بأهداف أيديولوجية. فهم المجموعات المختلفة للفاعلين المهددين هو جزء حاسم من استخبارات التهديد.

إن معرفة من تواجهه يساعدك على توقع تحركاته وحماية أنظمتك بفعالية أكبر. لكل مجموعة أساليبها وأهدافها المفضلة، وهذه المعلومات تُرشد استراتيجياتك الأمنية. على سبيل المثال، إذا كانت مجموعة معينة معروفة باستهداف المؤسسات المالية ببرامج الفدية التي تتبع نمطًا معروفًا في تنفيذ برامج الهجوم، فيمكن للبنك استخدام هذه المعلومات لتعزيز دفاعاته ضد نواقل هجماته المعتادة. هذا جزء من سلسلة مقالات حول أمن المعلومات.

صيد التهديد مقابل استخبارات التهديد: الفروق الرئيسية

منهجية

صيد التهديدات هو نهج استباقي في الأمن السيبراني. يتضمن البحث بنشاط عن التهديدات التي قد تكون قد تسربت من تدابير الأمان الآلية، أو التي لا تغطيها مجموعة الأمان الحالية. يتطلب ذلك التعمق في سجلات النظام، وحركة مرور الشبكة، وسلوك المستخدمين لتحديد التهديدات المحتملة. لاستخدام مثال من عام 2021، عندما ظهرت ثغرات Log4J عبر SOCMINT، كان على صائدي التهديدات تحديد:

هل كان يتم استخدام Log4J من قبل خادم ويب Apache في بيئتهم؟
هل الإصدار الحالي من Apache المستخدم معرض للثغرات أم تم تصحيحه لأحدث إصدار؟
إذا كانت هناك ثغرات، هل هناك أي آثار لاستغلال معروف يتم اكتشافه في بيئتهم؟

تتركز استخبارات التهديد على جمع وتحليل وتطبيق المعلومات حول التهديدات المحتملة. إنها نهج أكثر تفاعلية، حيث يكون التركيز على فهم مشهد التهديدات والاستعداد للهجمات المحتملة.

غرض

الهدف الرئيسي من البحث عن التهديدات هو التعرف على التهديدات وإبطال مفعولها قبل أن تتسبب في أضرار كبيرة. يتعلق الأمر بالبقاء خطوة واحدة أمام المهاجمين وتقليل الأثر المحتمل للاختراق.

استخبارات التهديد تتعلق بفهم مشهد التهديدات. إنها تتعلق بمعرفة من هم المهاجمون المحتملون، وما هي تكتيكاتهم، وكيفية الاستعداد لهجماتهم.

الاعتماديات

يعتمد البحث عن التهديدات بشكل كبير على مهارات وخبرات صائد التهديدات. يتطلب ذلك فهماً عميقاً للأنظمة والتطبيقات والشبكات وطرق المصادقة وسلوك المستخدمين، بالإضافة إلى القدرة على التفكير مثل المهاجم.

تعتمد استخبارات التهديدات بشكل أكبر على جودة وملاءمة المعلومات المجمعة. وتتطلب مهارات تحليلية قوية لفهم المعلومات وتطبيقها بشكل فعال ضمن بيئة المدافع.

تقنيات وأدوات

كل من صيد التهديدات واستخبارات التهديدات يستخدمان مجموعة من التقنيات والأدوات. يمكن أن تتراوح هذه الأدوات من أدوات مراقبة الشبكة البسيطة إلى خوارزميات الذكاء الاصطناعي المتقدمة.

ومع ذلك، يكمن الفرق الرئيسي في كيفية استخدام هذه الأدوات. في صيد التهديدات، يكون التركيز على استخدام هذه الأدوات للبحث النشط عن التهديدات. في استخبارات التهديدات، تُستخدم الأدوات لجمع وتحليل المعلومات حول التهديدات المحتملة.

تعرف على المزيد في دليلنا المفصل حول برامج استخبارات التهديدات.

التكامل بين صيد التهديدات واستخبارات التهديد

غالبًا ما يتم استخدام الصيد للتهديدات واستخبارات التهديدات معًا. في الواقع، من الصعب القيام بصيد فعال للتهديدات دون وجود استخبارات جيدة للتهديدات. دعونا نلقي نظرة على كيفية تكامل هذين النهجين.

التحضير لمواجهة التهديدات النشطة مقابل التهديدات التفاعلية

يتضمن الصيد النشط للتهديدات البحث الاستباقي عن التهديدات، بينما يتضمن الصيد التفاعلي الاستجابة للتنبيهات أو الحوادث. يمكن أن تلعب معلومات التهديدات دورًا حاسمًا في كلا النهجين.

في البحث النشط عن التهديدات، يمكن أن توجه المعلومات حول التهديدات المحتملة عملية البحث، مما يساعد على التركيز على المناطق في النظام التي من المرجح أن تكون مستهدفة.
في الصيد التهديدي التفاعلي، يمكن أن تساعد المعلومات حول الأساليب والتكتيكات المستخدمة من قبل المهاجمين في تحديد التهديدات بسرعة وحيادها.

نمذجة الهجمات باستخدام معلومات الصناعة

طريقة أخرى يمكن أن تساعد بها معلومات التهديدات في عملية البحث عن التهديدات هي من خلال توفير معلومات عن التهديدات على مستوى الصناعة. يمكن استخدام هذه المعلومات لنمذجة الهجمات المحتملة، مما يساعد في توقع والاستعداد لتهديدات معينة. بهذه الطريقة، يمكن لمعلومات التهديدات توجيه عملية البحث عن التهديدات، مما يجعلها أكثر استهدافًا وفعالية.

تأطير التهديدات من خلال الأنماط السلوكية

غالبًا ما تتضمن معلومات التهديدات أنماط سلوكية لمجموعات معينة من المهاجمين بالإضافة إلى تركيبات البرمجيات الخبيثة الموجودة في العالم. من خلال دمج هذه المعلومات، يمكن أن يصبح البحث عن التهديدات أكثر دقة. على سبيل المثال، إذا كانت تغذية معلومات التهديدات تشير إلى أن مجموعة معينة تستخدم بشكل متكرر هجمات التصيد الموجه كوسيلة هجوم أولية، يمكن لصيادي التهديدات التركيز على فحص رسائل البريد الإلكتروني الواردة والسجلات ذات الصلة بشكل أكثر دقة. وهذا يجعل عملية البحث ليست مجرد بحث عن الشذوذ، بل تحقيقًا مستهدفًا يعتمد على معلومات موثوقة.

اتخاذ القرار التعاوني من أجل التخفيف

يمكن لمنصات استخبارات التهديد تجميع البيانات من مصادر متعددة، مما يخلق رؤية شاملة لمشهد التهديدات. من ناحية أخرى، يقوم الباحثون عن التهديدات بتوليد بيانات داخلية لا تقدر بثمن من خلال تحقيقاتهم. عندما يتم دمج هذين النوعين من البيانات، يمكن لفريق الأمن اتخاذ قرارات أكثر استنارة حول كيفية التخفيف من المخاطر. على سبيل المثال، إذا كانت استخبارات التهديد تشير إلى حملة برمجيات خبيثة ناشئة، وحدد البحث عن التهديدات حركة مرور غير عادية صادرة من خادم داخلي، يمكن تعديل التدابير الأمنية وفقًا لذلك.

محتوى ذي صلة: اقرأ دليلنا حول حلول استخبارات التهديدات.

صيد التهديدات باستخدام Exabeam

تساعد Exabeam المحللين على التفوق على المهاجمين من خلال تبسيط الكشف عن التهديدات والتحقيق والاستجابة (TDIR). تتيح Exabeam للمحققين استخدام البحث بنقطة ونقر للمعايير المحددة بما في ذلك حسب المستخدم، والأصل، والحدث، ونوع المخاطر، والتنبيهات، وعناصر المؤشر، وتكتيكات المهاجمين. يمكن للمحققين أيضًا البحث من خلال الجداول الزمنية عن سلوك غير طبيعي. مع Exabeam، يمكن للمحللين الاستجابة بشكل أسرع، مما يوقف الهجمات عند ظهورها.

محتوى ذي صلة: اقرأ دليلنا حول خدمات استخبارات التهديدات لأمن المؤسسات.

كيف يمكن لـ Exabeam مساعدتك في البحث عن التهديدات؟

ستساعد هذه الميزات الرئيسية للمنصة منظمتك في بناء قدرات أكثر فعالية في البحث عن التهديدات.

واجهة بحث سهلة الاستخدام: واجهة النقطة والنقر تجعل من السهل استعلام البيانات للبحث عن الشذوذ والتهديدات
البيانات التي تأخذ السياق في الاعتبار: تمكّن عمليات البحث المعقدة حول مؤشرات الاختراق (IoCs) وغيرها
صيد التهديدات السلوكية: يتيح للمحللين البحث عن السجلات أو الأحداث المرتبطة، بالإضافة إلى مؤشرات الأنشطة الضارة (IoAs)، والتي يمكن أن تكون مؤشرات ذات قيمة أعلى بكثير من مؤشرات الاختراق (IoCs) بمفردها
الخط الزمني للحوادث التلقائية: تجعل الأتمتة جمع الأدلة أسرع وأسهل من الحفاظ على السجلات.
تصور البيانات: يمثل العلاقات، كاشفًا عن الارتباطات المخفية بين البيانات

تعلم المزيد:

هل تحتاج إلى حل لصيد التهديدات؟ انقر هنا لمعرفة المزيد عن Exabeam وصيد التهديدات.

تعلم المزيد عن إكزابييم

تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.

مدونة
AI Access Without Add-Ons or Limits

اقرأ الآن
ورقة بيضاء
Strengthening Threat Detection and Investigation With Network Traffic Analysis

اقرأ الآن
موجز
نشاط مميز

اقرأ الآن
موجز
تلاعب التدقيق

اقرأ الآن
عرض المزيد