يعد العثور على الجهات الفاعلة في التهديد قبل أن يعثروا عليك أمرًا أساسيًا لتعزيز دفاعاتك الإلكترونية. إن كيفية القيام بذلك بكفاءة وفعالية ليست مهمة سهلة – ولكن باستثمار صغير من الوقت ، يمكنك إتقان مطاردة التهديدات وتوفير ملايين الدولارات لمؤسستك. 6 خطوات للتهديد الفعال بالتصيد
ضع في اعتبارك هذه الإحصائية المذهلة. تقدر شركة Cybersecurity Ventures أن الجريمة السيبرانية ستؤثر على الاقتصاد العالمي بمقدار 10.5 تريليون دولار بحلول عام 2025. وبقياس هذا المبلغ كدولة ، فإن تكلفة الجرائم الإلكترونية تساوي ثالث أكبر اقتصاد في العالم بعد الولايات المتحدة والصين. ولكن من خلال البحث الفعال عن التهديدات ، يمكنك منع الجهات الفاعلة السيئة من إحداث فوضى في مؤسستك.
تقدم هذه المقالة شرحًا مفصلاً لمطاردة التهديدات – ما هو ، وكيفية القيام بذلك بشكل شامل وفعال ، وكيف يمكن لذكاء التهديد السيبراني (CTI) أن يعزز جهود البحث عن التهديدات.
ما هو مطاردة التهديد؟
تعمل عملية البحث عن التهديدات السيبرانية على جمع الأدلة على أن التهديد يتجسد. إنها عملية مستمرة تساعدك في العثور على التهديدات التي تشكل أكبر خطر على مؤسستك وتمكن فريقك من إيقافها قبل إطلاق أي هجوم.
صيد التهديد في ستة أجزاء
طوال عملية البحث ، يعد التخطيط الدقيق والاهتمام بالتفاصيل أمرًا ضروريًا ، بالإضافة إلى ضمان اتباع جميع أعضاء الفريق لنفس الخطة. للحفاظ على الكفاءة ، قم بتوثيق كل خطوة حتى يتمكن الآخرون في فريقك من تكرار نفس العملية بسهولة.
1 – تنظيم المطاردة.
تأكد من إعداد فريقك وتنظيمه من خلال جرد أصولك الهامة ، بما في ذلك نقاط النهاية والخوادم والتطبيقات والخدمات. تساعدك هذه الخطوة على فهم ما تحاول حمايته والتهديدات الأكثر عرضة لها. بعد ذلك ، حدد موقع كل أصل ، ومن لديه حق الوصول ، وكيف يتم توفير الوصول.
أخيرًا ، حدد متطلبات الاستخبارات ذات الأولوية (PIRs) عن طريق طرح أسئلة حول التهديدات المحتملة بناءً على بيئة مؤسستك والبنية التحتية. على سبيل المثال ، إذا كان لديك قوة عاملة عن بعد أو مختلطة ، فقد تشمل هذه الأسئلة ما يلي:
ما هي التهديدات التي تعتبر الأجهزة البعيدة أكثر عرضة للخطر؟
أي نوع من الأدلة ستتركه هذه التهديدات؟
كيف سنحدد ما إذا كان الموظف قد تعرض للخطر؟
2 – خطط للبحث.
في هذه المرحلة ، ستقوم بتعيين المعلمات الضرورية من خلال ما يلي:
حدد الغرض الخاص بك – بما في ذلك سبب ضرورة المطاردة والتهديد (التهديدات) الذي يجب التركيز عليه ، على النحو الذي تحدده تقارير PIR الخاصة بك. (على سبيل المثال ، قد تكون القوى العاملة البعيدة أكثر عرضة لهجمات التصيد الاحتيالي بموجب نموذج BYOD.)
حدد النطاق – حدد افتراضاتك واذكر فرضيتك بناءً على ما تعرفه. يمكنك تضييق نطاقك من خلال فهم الدليل الذي سيظهر إذا انطلق التهديد الذي تبحث عنه.
افهم حدودك ، مثل مجموعات البيانات التي يمكنك الوصول إليها والموارد التي يجب عليك تحليلها ومقدار الوقت المتاح لك.
حدد الإطار الزمني بموعد نهائي واقعي.
حدد البيئات التي يجب استبعادها ، وابحث عن العلاقات التعاقدية التي قد تمنعك من إجراء البحث في أماكن معينة.
افهم القيود القانونية والتنظيمية التي يجب عليك اتباعها. (لا يمكنك خرق القانون ، حتى عند البحث عن الأشرار).
3- استخدم الأدوات المناسبة للوظيفة.
هناك الكثير من الأدوات للبحث عن التهديدات ، اعتمادًا على مخزون الأصول والفرضيات. على سبيل المثال ، إذا كنت تبحث عن حل وسط محتمل ، فيمكن أن تساعدك أدوات SIEM والتحقيق في مراجعة السجلات وتحديد ما إذا كانت هناك أي تسريبات. فيما يلي قائمة عينة من الخيارات التي يمكن أن تحسن بشكل كبير من كفاءة البحث عن التهديدات:
استخبارات التهديدات – على وجه التحديد ، الخلاصات الآلية وبوابات التحقيق التي تجلب معلومات استخباراتية عن التهديدات من شبكة الويب العميقة والمظلمة
محركات البحث وعناكب الويب
معلومات من شركات الأمن السيبراني وبرامج مكافحة الفيروسات
الموارد الحكومية
وسائل الإعلام العامة – مدونات الأمن السيبراني والمواقع الإخبارية والمجلات على الإنترنت
SIEM و SOAR وأدوات التحقيق وأدوات OSINT
4 – تنفيذ المطاردة.
عند تنفيذ المطاردة ، من الأفضل أن تبقي الأمر بسيطًا. اتبع خطتك نقطة تلو الأخرى للبقاء على المسار الصحيح وتجنب الانحرافات والمشتتات. يتم التنفيذ على أربع مراحل:
التجميع: هذا هو الجزء الأكثر كثافة في عملية البحث عن التهديدات ، خاصة إذا كنت تستخدم الأساليب اليدوية لجمع معلومات التهديد.
العملية: قم بتجميع البيانات ومعالجتها بتنسيق منظم وقابل للقراءة لفهم محللي التهديدات الآخرين.
التحليل: حدد ما تكشفه نتائجك.
الخلاصة: إذا وجدت تهديدًا ، فهل لديك بيانات تدعم خطورته؟
5- اختتم المطاردة وتقيمها.
يعد تقييم عملك قبل أن تبدأ البحث التالي أمرًا ضروريًا لمساعدتك على التحسن مع تقدمك. فيما يلي بعض الأسئلة التي يجب مراعاتها في هذه المرحلة:
- هل كانت الفرضية المختارة مناسبة للبحث؟
- هل كان النطاق ضيقًا بدرجة كافية؟
- هل جمعت معلومات استخباراتية مفيدة ، أم يمكن إجراء بعض العمليات بشكل مختلف؟
- هل لديك الأدوات الصحيحة؟
- هل اتبع الجميع الخطة والعملية؟
- هل شعرت القيادة بالقدرة على التصدي لها على طول الطريق ، وهل تمكنوا من الوصول إلى جميع المعلومات المطلوبة؟
6 – قم بالإبلاغ عن النتائج الخاصة بك والعمل على أساسها.
في ختام البحث ، يمكنك معرفة ما إذا كانت بياناتك تدعم فرضيتك – وإذا كانت كذلك ، فسوف تنبه فرق الأمن السيبراني والاستجابة للحوادث. إذا لم يكن هناك دليل على المشكلة المحددة ، فستحتاج إلى تقييم الموارد والتأكد من عدم وجود ثغرات في تحليل البيانات. على سبيل المثال ، قد تدرك أنك راجعت سجلاتك بحثًا عن حل وسط ولكنك لم تتحقق من وجود بيانات مسربة على الويب المظلم.
ارتقِ بمطاردة التهديد إلى المستوى التالي باستخدام CTI
يمكن أن يكون CTI مكونًا فعالًا في برنامج البحث عن التهديدات ، لا سيما عندما تكون بيانات استخبارات التهديد شاملة وتتضمن سياق العمل وأهميته بالنسبة لمؤسستك. يزيل Cybersixgill حاجز الوصول إلى المصادر الأكثر قيمة لـ CTI ويوفر إمكانات استقصائية عميقة لمساعدة فريقك في البحث عن التهديدات السيبرانية المحتملة ذات الأولوية القصوى.
تتيح لك بوابتنا الاستقصائية تجميع وإدارة ومراقبة مخزون الأصول بالكامل عبر شبكة الويب العميقة والمظلمة والواضحة. تساعدك هذه المعلومات الاستخباراتية على تحديد المخاطر المحتملة والتعرض لها ، وفهم مسارات الهجوم المحتملة والجهات الفاعلة في التهديد TTPs لكشف الهجمات الإلكترونية الناشئة ومنعها بشكل استباقي قبل أن يتم تسليحها.
لمزيد من المعلومات ، يرجى تنزيل أحدث تقريري Threat Hunting من أجل أمن إلكتروني فعال. لجدولة عرض توضيحي ، تفضل بزيارة . 6 خطوات للتهديد الفعال بالتصيد
ملاحظة: تمت كتابة هذه المقالة والمساهمة فيها بخبرة من مايكل-أنجيلو زومو ، كبير محللي استخبارات التهديدات الإلكترونية في Cybersixgill.