يشرح إيتسيك كوتلر ، كبير التكنولوجيا والشريك المؤسس لـ SafeBreach ، كيفية التغلب على المشاكل الناجمة عن الحمل الزائد للمعلومات ، والتي يمكن أن تؤدي إلى الشلل. ومع التقدم في إعداد تقارير البيانات المستقاة من أدوات المعلومات الأمنية وإدارة الأحداث (SIEM) والحلول المجاورة ، يمكن أن يواجه كل فريق أمني اليوم عبء المعلومات الزائد والشلل. ولتحقيق الوضوح في ظل هذا الغموض ، ظهرت ممارسة تحليل التهديدات وتستمر في التطور مع مرور الوقت.

باستخدامه ، يمكن لمتخصصي الأمن إيجاد وإصلاح المشكلات الأكثر إلحاحًا من بين الحوادث التي يتم الإبلاغ عنها يوميًا.

يمكن أن تؤدي أدوات إدارة الثغرات الأمنية المزعجة إلى إنشاء العديد من المهام. قد لا تقوم أنظمة استخبارات التهديدات المضبوطة بشكل سيئ بتصفية الإشارة من الضوضاء وتوفير الكثير من البيانات التي يمكن أن تبقي الفرق مشغولة بمهام متكررة منخفضة القيمة. تتطلب العشرات من حلول أمان النقاط معرفة وإتقانًا محددًا ، الأمر الذي يستغرق وقتًا لتحقيقه والحفاظ عليه. أضف التحول المستمر من عقلية الدفاع المحيط نحو الامتثال والنهج القائمة على المخاطر. يتضح لماذا تجد الفرق صعوبة أكثر من أي وقت مضى في تركيز الجهود على التهديدات التي يمكن أن تولد أسوأ تأثير.

تحليل التهديد: الماضي والحاضر والمستقبل

قامت الشركات والحكومات بتحليل التهديدات لإيجاد وفرز المخاطر المحتملة. تظل الأسئلة الأساسية لتحليل التهديدات كما هي:

التأثير - ما مقدار الضرر الذي يمكن أن يحدث؟

الدافع - من يقف وراء التهديد؟

الاحتمالية - ما هي القدرة التي يمتلكها ممثل التهديد لتوجيه هجوم؟

المهارات - ما مدى خطورة التهديد وما الهدف؟

كلما زاد عدد الهجمات والبيانات ، زادت صعوبة الإجابة على هذه الأسئلة بسرعة. في حين أن الأمن السيبراني SIEM يمكن أن يكون مفيدًا ، إلا أنه يمكن أن يجعل هذه المشكلة أسوأ.

الفاعلون في التهديد السيبراني

مع ظهور شبكات تكنولوجيا المعلومات والإنترنت ، انتقلت التهديدات التي تتعرض لها الشركات والكيانات الأخرى إلى الفضاء الإلكتروني. في السنوات الخمس الماضية ، تطورت مصادر التهديدات الإلكترونية بسرعة.

بالإضافة إلى الهجمات الإجرامية الإلكترونية العادية التي أصبحت شائعة في العقد الماضي ، كانت الجهات الفاعلة التي ترعاها الدولة تنفذ أيضًا هجمات إلكترونية بارزة. في الآونة الأخيرة ، تضاعف هؤلاء الفاعلون مع ظهور مجموعات التهديد المستمر المتقدمة (APT) التي تعمل كهجوم حكومي وأسلحة تجسس صناعي ، وغالبًا ما تعزز مهاراتهم.

تنمو APTs هذه بشكل أكثر دقة وتظهر سلوكيات مشابهة للمجرمين الرقميين ، مما يجعل من الصعب تصنيف الهجمات ونسبها.

الهجمات كخدمة تخفض من مستوى البار

علاوة على التهديدات المتنوعة القادمة من الدول القومية وجماعات الجريمة المنظمة ، فإن التدفق اللامتناهي للهجمات الانتهازية أو الآلية أو المكتوبة قد غمر الإنترنت.

يقود الارتفاع في هذه الحالات سوقًا سريًا مزدهرًا وناضجًا لعمليات الاستغلال المخصصة وبرامج الفدية ومجموعات أدوات الهجوم وبيانات الدفع المسروقة وبيانات الاعتماد المسروقة وخدمات حملات التصيد الاحتيالي. يمكن للمهاجمين استئجار روبوتات من أجهزة الكمبيوتر المخترقة أو أجهزة إنترنت الأشياء (IoT) ، مثل الطابعات والكاميرات ، لتنفيذ الهجمات.

تعتبر الهجمات الإلكترونية وجميع مكوناتها سلعة في الوقت الحاضر ، وغالبًا ما يتم تشغيلها في نماذج "كخدمة" التي توفر المهارات التقنية والأدوات للراغبين في الدفع. شريط تنفيذ الهجمات ، حتى على الأهداف الأكثر صلابة ، منخفض.

تنويع برمجيات إكسبلويت

مع نمو سطح الهجوم العالمي ، نمت أيضًا أعداد وأنواع عمليات الاستغلال. كان هناك ما يقرب من 20 ضعف عدد التنبيهات الشائعة عن نقاط الضعف والتعرض (CVE) في عام 2019 مقارنة بعام 1999. واستجابة لذلك ، تنشر كيانات اليوم العشرات من عناصر التحكم التي تتطلب صقلًا مستمرًا لتغطية النطاق الكامل من التهديدات المحتملة. ليس من المفاجئ أن فرق الأمن لم تعد قادرة على تصحيح جميع الفتحات الممكنة أو ضبط جميع عناصر التحكم يدويًا.

التهديدات القديمة تعود من جديد

ومما زاد الطين بلة ، أن التهديدات القديمة تعاود الظهور مع التقلبات الجديدة. شاهد برنامج Emotet الضار المعروف. تم اكتشاف Emotet لأول مرة في عام 2014 ، حيث قام المبرمجون بتعديله لتجنب الاكتشاف والتحكم. أصبح التهديد الأكثر نشاطًا للبرامج الضارة في عامي 2018 و 2019 ثم أصبح خامدًا. جاءت أحدث عودة للظهور في يوليو 2020 عندما بدأت شبكة Emotet botnets في إرسال رسائل بريد إلكتروني مليئة بعناوين URL أو مرفقات ضارة.

عادة ما تكون هجمات Emotet مصحوبة بهجمات إضافية ، مثل Ryuk ransomware ، والتي تستفيد من Emotet لنشر حمولاتها الضارة. في الوقت الحاضر ، يتم استخدام Emotet من قبل العديد من مجموعات الجرائم الإلكترونية المنظمة ، وغالبًا ما تعمل مع بعضها البعض.

هذا هو المعيار الجديد. إنه يسلط الضوء على أسباب الارتفاع المستمر في الحوادث الأمنية التي يتعين على الفرق فرزها والتعامل معها ، وحاجتهم المتزايدة إلى رؤية أفضل وأسرع لما هو أكثر أهمية.

التحدي الجديد في متطلبات تحليل التهديد

توفير تحليل موثوق وفعال للتهديدات السيبرانية لعامل ثابت تتطلب المناظر الطبيعية المتطورة ما قبل التطور المهارة والأتمتة والأدوات المناسبة وتحديد أولويات التهديدات. مع ظهور المزيد من تقنيات وأساليب التحليل بمرور الوقت ، يتم إنتاج البيانات بسرعة أكبر بكثير. يعد توسيع نطاق التغطية دون إضافة موارد ، مع الحفاظ على السياق والبقاء دقيقًا ، أمرًا أساسيًا.

في ظل هذه الخلفية ، تحولت الشركات من النظر إلى الأمن السيبراني على أنه بوليصة تأمين إلى اعتباره جزءًا مهمًا من الأعمال. ليس لدى فرق SecOps الوقت لتحليل جميع التقارير وفهم جميع التغييرات المطلوبة لمنع الهجمات. يجب أن يعتمدوا أكثر على أدوات التصفية الآلية وتحديد الأولويات مثل محاكاة الاختراق والهجوم (BAS) لفهم التهديدات التي تشكل مصدر قلق حقيقي والتي تغطيها الضوابط الحالية.

فوائد برنامج BAS في إعداد تقارير تحليل التهديدات

يمكن لفريق استخبارات التهديدات الذي يستخدم النظام الأساسي BAS الحصول بسرعة على المزيد من البيانات المفيدة لتحسين تقارير تحليل التهديدات. قد يعتقد محللو التهديدات أن جهة فاعلة معينة أو APT من المرجح أن تستهدف صناعتهم (وشركتهم). باستخدام نموذج تحليل التهديدات BAS ، يمكنهم اكتساب المزيد من الأفكار حول التقنيات والتكتيكات والإجراءات (TTPs) المعنية. يمكن أن يؤدي تضييق نطاق سيناريوهات الهجوم المحتمل إلى تمكين المحللين من تحميل أساليب هجوم قواعد اللعبة من أجل التحقق من الحماية التي يوفرها إعداد الأمان الحالي. أيضًا ، يمكن للمحللين رؤية كيف يمكن أن يحدث هجوم ، ورؤية نقاط الدخول المحتملة وفرص الحركة الأفقية. يمكنهم اكتشاف التحول من أهداف أقل أهمية إلى أهداف ذات قيمة أعلى بمجرد وصول المهاجم إلى أنظمة عالية المستوى.

يمكن أن تظهر الاختبارات أيضًا مجموعات من السلوكيات التي تشير إلى احتمالية أعلى للهجوم ، حتى عندما يكون حجم المؤشرات الواضحة للتسوية (IOC) محدودًا.

يمكن دمج إشارات الإخبار ، مثل محاولة التصيد بالرمح ، أو ماكرو ضار غامض في مرفق أو مسارات تنقل أخرى ، لتوفير إطار عمل أكثر اكتمالاً لتحليل التهديدات. هذه السلوكيات المحددة كتنبيهات منفصلة تسبب فقط إجهاد التنبيه. عندما يتم ربطهم من خلال تقارير تحليل التهديدات الذكية ، فإنهم يرسمون صورة أكمل للهجوم المتطور.

يعمل هذا النهج القائم على الإجراء على تحويل تحليل التهديد إلى اتجاه أكثر استباقية ، مما يسمح له بالتنبؤ إلى أين يتجه المهاجمون. هذا يمكن أن يقلل أوقات الاستجابة من أيام أو أسابيع إلى ساعات أو حتى دقائق. يمكن رؤية هذه الأنماط باستخدام أنظمة التعلم الآلي التي يمكنها تحديد الأنماط الجديدة للنشاط الضار من تلقاء نفسها استنادًا إلى الحالات السابقة من ملفات السجل والتحف الأخرى. يمكن لهذه الأنظمة مزج مطابقة الأنماط عبر المزيد من المتغيرات والتعلم عبر الشبكات ، بعيدًا عن كيان واحد.

ابق هادئًا واستمر في التطور

من المؤكد أن الهجمات تتطور ، لكن المتخصصين في مجال الأمن يتخذون خطوات لوقف تلك الهجمات كل يوم أيضًا. نحن متفائلون بشأن مستقبل تحليل التهديدات. لقد تطورت بسرعة كبيرة خلال العقد الماضي وتتحسن باستمرار.

يمكن للفرق الآن تشغيل عمليات محاكاة هجوم مستمرة بناءً على عشرات الآلاف من الثغرات الأمنية وكتيبات قواعد الهجوم المعروفة. تتيح الأطر والأدوات الصناعية ، مثل قاعدة المعرفة ATT & CK التابعة لـ MITRE ، النشر السريع للمعلومات والتحديثات المتعلقة بأحدث برامج نقل التكنولوجيا (TTPs).

يمكن لأنظمة التعلم الآلي أتمتة الكثير من أنشطة مطابقة أنماط المستوى 1 للسماح لمحللي التهديدات بالتركيز على التحليل ذي القيمة الأعلى. انتقل تحليل التهديدات إلى ما هو أبعد من التواقيع البسيطة إلى فهم السلوكيات المركبة والمعقدة التي تشير إلى احتمالية الهجوم. هذا يعني أن تحليل التهديدات يمكن ، إذا تم التخطيط له وتشغيله بشكل صحيح ، تقديم إرشادات أفضل لإدارة الثغرات الأمنية وفرق الاستجابة للحوادث وتقليل عبء العمل على فرق SecOps المثقلة من خلال مساعدتهم على التركيز على عمليات الاستغلال و APT والهجمات التي تشكل أكبر المخاطر على أعمالهم .