شکار تهدیدات (Threat Hunting)
فرآیند Threat Hunting معمولاً با یک فرضیه شروع میشود که از طریق یک هشدار امنیتی، ارزیابی ریسک، تست نفوذ، یا کشف دیگری از فعالیتهای غیرعادی از تهدید موجود در سیستم ایجاد میشود. این فرآیند توسط هر فردی در تیم امنیت به صورت دستی قابل انجام است. به عبارت دیگر شامل مجموعه فرآیندهایی است که به صورت مستمر و بی وقفه، در حال جست و جو در مؤلفههای شبکه، جهت یافتن و شناسایی تهدیدات پیشرفته که از نظر راهکارهای امنیتی پنهان هستند، مورد استفاده قرار میگیرند.
تشخیص تهدید یک مجموعه فرآیند کامل در تشخیص و ارزیابی تهدیدات، قبل یا بعد از مخاطره است. ابزارهای تشخیص تهدید به تجزیه و تحلیل شبکه، اپلیکیشن، داده و رفتارهای کاربران میپردازند تا فعالیتهای غیرعادی که نشاندهنده یک تهدید هستند را شناسایی نمایند. پیش نیاز فرآیند شکار تهدیدات، اتوماسیون و خودکارسازی فرآیندهای کلاسیک است تا تهدیدات رایج قابل شناسایی مشخص شوند.
در فرآیند شکار تهدیدات، برخلاف فرآیندهای تشخیص تهدید گذشته، تحلیلگران پیش از آنکه رخدادی به وقوع بپیوندد، دادهها را بررسی و تحلیل میکنند، از این رو شکار تهدیدات یک فرآیند پیشکنشانه است. همچنین حتماً عامل انسانی در فرآیند بررسی و شکار تهدیدات نقش خواهد داشت؛ البته این بدان معنا نیست که ابزار و فرآیندهای خودکار هیچ نقشی ندارد. به بیان دیگر از آنجایی که یکی از اهداف فرآیند شکار تهدیدات شناسایی تهدیدات ناشناخته است، لذا وجه تمایز آن با سایر روشهای مشابه استفاده از عامل انسانی در تحلیل و بررسی به جای ماشین و عاملهای خودکار است. لازم به ذکر است که Threat Hunting جزئی از مفهوم کلیتر Proactive Defense است.
شکار تهدیدات (Threat Hunting) چه مزایایی دارد:
- شناسایی تهدیدات پایدار (طولانی مدت) پیشرفته یا APT
- شناسایی تهدیدات ناشناخته
- کمک به بهبود سیستم های تشخیص خودکار
- ایجاد پایگاه داده تهدید و نشانههای حمله (IoCها)
خدمات ما در حوزه شکار تهدیدات (Threat Hunting):
- مشاوره، نظارت و اجرای عملیات شکار تهدیدات (Threat Hunting)