شکار تهدیدات (Threat Hunting)

فرآیند Threat Hunting معمولاً با یک فرضیه شروع می‌شود که از طریق یک هشدار امنیتی، ارزیابی ریسک، تست نفوذ، یا کشف دیگری از فعالیت‌های غیرعادی از تهدید موجود در سیستم ایجاد می‌شود. این فرآیند توسط هر فردی در تیم امنیت به صورت دستی قابل انجام است. به عبارت دیگر شامل مجموعه فرآیندهایی است که به صورت مستمر و بی وقفه، در حال جست و جو در مؤلفه‌های شبکه، جهت یافتن و شناسایی تهدیدات پیشرفته که از نظر راهکارهای امنیتی پنهان هستند، مورد استفاده قرار می‌گیرند.

تشخیص تهدید یک مجموعه فرآیند کامل در تشخیص و ارزیابی تهدیدات، قبل یا بعد از مخاطره است. ابزارهای تشخیص تهدید به تجزیه و تحلیل شبکه، اپلیکیشن، داده و رفتارهای کاربران می‌پردازند تا فعالیت‌های غیرعادی که نشان‌دهنده یک تهدید هستند را شناسایی نمایند. پیش نیاز فرآیند شکار تهدیدات، اتوماسیون و خودکارسازی فرآیندهای کلاسیک است تا تهدیدات رایج قابل شناسایی مشخص شوند.

در فرآیند شکار تهدیدات، برخلاف فرآیندهای تشخیص تهدید گذشته، تحلیل‌گران پیش از آنکه رخدادی به وقوع بپیوندد، داده‌ها را بررسی و تحلیل می‌کنند، از این رو شکار تهدیدات یک فرآیند پیش‌کنشانه است. همچنین حتماً عامل انسانی در فرآیند بررسی و شکار تهدیدات نقش خواهد داشت؛ البته این بدان معنا نیست که ابزار و فرآیندهای خودکار هیچ نقشی ندارد. به بیان دیگر از آنجایی که یکی از اهداف فرآیند شکار تهدیدات شناسایی تهدیدات ناشناخته است، لذا وجه تمایز آن با سایر روش‌های مشابه استفاده از عامل انسانی در تحلیل و بررسی به جای ماشین و عامل‌های خودکار است. لازم به ذکر است که Threat Hunting جزئی از مفهوم کلی‌تر Proactive Defense است.

شکار تهدیدات (Threat Hunting) چه مزایایی دارد:

  • شناسایی تهدیدات پایدار (طولانی مدت) پیشرفته یا APT​
  • شناسایی تهدیدات ناشناخته ​
  • کمک به بهبود سیستم‌ های تشخیص خودکار​
  • ایجاد پایگاه داده تهدید و نشانه‌های حمله (IoCها)​

خدمات ما در حوزه شکار تهدیدات (Threat Hunting):

  • مشاوره، نظارت و اجرای عملیات شکار تهدیدات (Threat Hunting)