لم يكن لدى فرق الأمن المزيد من الأدوات تحت تصرفها من قبل: منصات الكشف، ولوحات المعلومات، وأنظمة التحذير. تستمر الكومة في النمو، ومع ذلك يستمر المهاجمون في العثور على طريقهم. في بعض الأحيان يعتمد الأمر على الحظ.
وفي أغلب الأحيان، يعرفون ببساطة كيفية التحرك بطرق لم تكن الأدوات الحالية مخصصة لها. هذه الفجوة بين ما تكتشفه تقنيتك وما تفتقده هي بالضبط المكان الذي يجب أن تقوم فيه بمطاردة التهديدات.
كبير مهندسي سلامة المنتجات في Cribl.
بالنسبة للقادة الأمنيين، هذه الفجوة هي: مخاطر الأعمال حيث تؤدي التهديدات غير المكتشفة إلى زيادة وقت الإقامة وتضخيم التأثير المحتمل وتعرض المؤسسات لأضرار مالية وتشغيلية وأضرار تتعلق بالسمعة.
كيف يمكن لصيد التهديدات أن يساعد في سد هذه الفجوة؟ لا ينتظر إطلاق التنبيه. يبدأ الأمر بسؤال مختلف تمامًا: ماذا لو حدث خطأ ما بالفعل ولم يلاحظه أحد؟ ثم يبحث عن الإجابات.
طريقة تفكير وليس دور
غالبًا ما يُساء فهم مطاردة التهديدات على أنها وظيفة أو منصب متخصص. في الواقع، إنها عقلية يجب أن تنطبق على فريق الأمن بأكمله، وتبدأ بمستوى صحي من الشك. وبدلاً من افتراض أن الأنظمة آمنة، يعتمد الصيادون على افتراض أن الحالات الشاذة قد تكون موجودة بالفعل تحت السطح.
إنه نهج يتطلب جرعة صحية من الفضول. يقوم صائدو التهديدات المهرة بالبحث بشكل أعمق، ولا يسألون فقط عما حدث، بل عن السبب. يدرس الكثيرون التقنيات الهجومية عمدًا لفهم كيفية تفكير وتحرك الخصوم.
يقومون بإجراء عمليات محاكاة للهجوم لمعرفة الإشارات التي تظهر في هجماتهم بيانات. يقومون بتحليل الأحداث الماضية لمعرفة أين كان من الممكن اكتشافها مبكرًا.
ومن خلال دمج هذه العقلية في جميع الوظائف الأمنية، بدلاً من عزلها ضمن فريق واحد، يمكن للمؤسسات توسيع نطاق مطاردة التهديدات بشكل فعال.
التعلم من خلال المحاكاة
أفضل طريقة لبناء وتطوير غرائز صيد التهديدات هي تكرار الهجمات في بيئة خاضعة للرقابة. مكان رائع للبدء هو التخلص من بيانات الاعتماد. قم بتشغيل أداة مثل Mimikatz في بيئة معملية مع تمكين التسجيل بشكل كامل للحصول على معلومات قيمة.
يمكن للمحللين معرفة العمليات التي يتم تشغيلها، والتبعيات التي يتم تحميلها، وكيفية تسجيل الأحداث عبر أنظمة مختلفة. على سبيل المثال، يمكنك البحث عن إشارات حول العمليات التي تبدأ؟ ما هي ملفات DLL التي يقومون بتحميلها؟ هل توجد معرفات أحداث غير معروفة أو علاقات عملية غير عادية بين الوالدين والطفل؟
والهدف ليس مجرد تحديد المؤشرات، بل فهم السياق الأوسع الذي تحدث فيه الهجمات. هذا النوع من التدريب العملي يعلم المحللين كيفية التعرف على أنماط السلوك الخبيث. عندما تظهر نفس الأنماط في البيئات المعيشية، يمكن رؤيتها بسرعة أكبر وتفسيرها بسهولة أكبر.
معرفة كيف يبدو “طبيعيًا”.
يعتمد البحث الجيد عن التهديدات على السياق. بدون صورة واضحة لما يبدو عليه محيطك “الطبيعي”، يصبح اكتشاف الحالات الشاذة أكثر صعوبة مما ينبغي. ولذلك، فمن المهم إنشاء خط الأساس.
لا يتطلب بناء خط الأساس هذا نقطة بداية معقدة. يمكن أن يبدأ بمصدر بيانات واحد سجلات المصادقة أو نشاط DNS أو أحداث إنشاء العملية. مع مرور الوقت، تظهر الأنماط. بدأت الفرق في التعرف على الحسابات النشطة عادةً، وكيفية تفاعل الأنظمة، وما هو تدفق حركة المرور المتوقع.
التقط كل التفاصيل والملاحظات فور حدوثها. يؤدي توثيق الملاحظات إلى إنشاء نقطة مرجعية، ومع زيادة المعرفة بالبيئة، تصبح الانحرافات أكثر وضوحًا. ما بدا ذات يوم وكأنه ضجيج بدأ يكشف عن نفسه باعتباره خطرًا محتملاً.
استكشاف ما هو غير متوقع
الأهم من ذلك، أن وظيفتك الأولى لا تقتصر فقط على تحديد ما إذا كان الشيء جيدًا أم سيئًا. وبينما تميل الغريزة إلى التصنيف بسرعة، فإن الأولوية هي فهم ما يشكل تهديدًا.
وهذا يعني البدء بالأساسيات وفحص السياق المحيط بالحدث. من الذي بدأ العمل؟ ما هي الأنظمة التي شاركت؟ ماذا كان يحدث في نفس الوقت؟ هل السلوك يتوافق مع الخطوط الأساسية المحددة؟
ومن هناك، قم بتوسيع نطاق البحث. هل ظهر نفس الأمر أو العملية في مكان آخر؟ يفعل نفس الشيء يظهر عنوان IP في سجلات أخرى؟ هل هناك علامات على الحركة الجانبية أو السلوك المتكرر عبر الأنظمة؟
لن تسلط كل حالة شاذة الضوء على تهديد ما، أو تنشئ قاعدة اكتشاف جديدة، أو تطلق تنبيهًا داخليًا، أو توفر نقطة مرجعية مفيدة. ومع ذلك، فإن كل تحقيق يجعل برنامج السلامة أكثر وضوحًا ويساعدك على تطوير غرائزك بشكل أكبر.
إعطاء الأولوية للبيانات الصحيحة
إن العائق الشائع أمام مطاردة التهديدات ليس نقص البيانات، بل كثرة البيانات. غالبًا ما تكون المعلومات متناثرة عبر أنظمة متعددة، مما يجعل من الصعب الوصول إليها وتحليلها بشكل فعال.
لكي تكون عملية البحث عن التهديدات فعالة، يجب أن تكون البيانات متاحة وذات معنى. وهذا يشمل القياس عن بعد لنقطة النهاية، وحركة مرور الشبكة، وسجلات المصادقة، ونشاط DNS. ومن المهم بنفس القدر القدرة على إثراء هذه البيانات وربطها بطريقة تسهل الفحص السريع.
بدون هذا المستوى من الرؤية، حتى المحللين ذوي الخبرة سيكونون محدودين فيما يمكنهم اكتشافه. ولا ينبغي أن يكون التركيز على جمع المزيد من البيانات، بل على ضمان إمكانية استخدام البيانات المتاحة بفعالية.
التعامل مع مطاردة التهديدات كممارسة، وليس كمشروع
إن مطاردة التهديدات ليست مهمة لمرة واحدة. إنه نظام يتطور بمرور الوقت من خلال التكرار. فكر في الأمر على أنه تطوير لذاكرة العضلات الحسية.
لا تؤدي الجهود المبكرة دائمًا إلى استنتاجات ذات معنى، وهذا جزء من العملية. تساهم كل دراسة في فهم أعمق للأنظمة والسلوكيات.
كلما زادت الخبرة، زاد الأداء. ويبدأ المحللون في طرح أسئلة أكثر دقة، والتعرف على الأنماط بشكل أسرع، وتحديد المخاطر التي لم يكن من الممكن أن يلاحظها أحد في السابق.
تعمل هذه الممارسة المستمرة على تعزيز قدرات الكشف عن التهديدات الفردية والوضع الأمني الأوسع للمؤسسة. ستجد نفسك في موقف حيث يمكنك البدء ليس فقط في الثقة، ولكن أيضًا الاعتماد على غرائزك.
قم بدمج البحث عن التهديدات في أنشطتك اليومية
وفي نهاية المطاف، فإن صيد التهديدات يتعلق بالمرونة. إنه يتحدى الافتراض القائل بأن الأدوات الحالية ستلتقط كل شيء وتشجع الفرق على البحث بنشاط عما قد تفتقده أدواتهم.
ومن خلال تطبيق هذا النهج في العمليات اليومية، تصبح المؤسسات مجهزة بشكل أفضل لاكتشاف التهديدات في وقت مبكر والاستجابة لها بشكل أكثر فعالية. والفكرة هي تقليل عدم اليقين، وتقصير نافذة التعرض ومنح المنظمات سيطرة أكبر على المخاطر التي قد تمر دون أن يلاحظها أحد.
المبدأ بسيط. كن فضوليا. سؤال ماذا ترى. ولا تفترض أبدًا أن الصمت يعني أنك آمن.
تم إنشاء المقالة كجزء من توقعات TechRadar بروتعرض قناتنا أفضل وألمع العقول في صناعة التكنولوجيا اليوم.
الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالتعاون، يمكنك العثور على مزيد من المعلومات هنا: https://www.techradar.com/pro/perspectives-how-to-submit
