چگونه میتوان شکار تهدید را در امنیت سایبری گنجاند؟
فرآیندهای شکار تهدید به هیچ وجه یکسان نیستند و به همین دلیل است که فرآیند شکار تهدیدهای سایبری باید بخشی از استراتژی مستمر امنیت سایبری باشد و برای آگاهی از آنچه در زیرساختهای سازمان رخ میدهد بطور مرتب به عملیات خود ادامه دهد.
شکار تهدیدهای سایبری مؤلفههای موجود استراتژی امنیت سایبری را تکمیل و تقویت میکند:
• تست نفوذپذیری
که در واقع ارزیابی برنامههای کاربردی یا زیرساختها از خارج از سازمان است و آسیبپذیریهای شناخته شده در برنامههای کاربردی یا طراحی و پیادهسازی سیستمها اکسپلویت میکند. شکار تهدیدهای سایبری نشانههای نفوذ یا حملهای که قبلا رخ داده را در درون زیرساخت سازمان جستجو میکند و این کار را احتمالا (البته نه منحصرا) از طریق اکسپلویت آسیبپذیریهای قبلا شناسایی شده در تست نفوذپذیری انجام میدهد.
• مراکز عملیات امنیت (SOCs)
یا روشها یا ابزارهای پایش امنیت عمومی مانند SIEM (مدیریت امنیت، اطلاعات و رویدادها) زیرساختهای سازمان را برای یافتن شواهد هرگونه فعالیت مخرب، تقریبا به صورت بلادرنگ پایش میکنند. شکار تهدید با دسترسی کنشگرانه به سیستمهای شبکه و بررسی دادههایی که ممکن است از زمانبندی قابلیت SOC خارج شده یا خارج از حوزه SOC تلقی شده باشند- پایش زنده رویدادهای امنیتی سازمانها را تکمیل میکند.
• سیاستهای امنیتی کاربر نهایی
سیاستها و رویههایی هستند که کارکنان هر سازمانی به منظور امنسازی سازمان خود ملزم به پیروی از آنها هستند؛ سیاستهایی مانند عدم انتقال اطلاعات شرکتی به منزل در حافظههای USB یا عدم دسترسی به رایانامه یا سرویسهای اشتراک فایل شخصی در رایانههای شرکت. همیشه راههایی برای دور زدن سیاستهای نرم مانند این وجود دارد. شکار تهدیدهای سایبری از این قابلی برخوردار است که مجموعهای از الزامات سیاستی را دریافت کرده و بطور کنشگرانهای، دادهها را برای شناسایی هرگونه عدم انطباق احتمالی یا تهدیدات داخلی جستجو کند. صرفنظر از اینکه کاربران رفتار مخربی داشته باشند یا خیر، مسئولیت همه سازمانها این است که با حصول اطمینان از انطباق کارکنان با قوانین و سیاستها، از دادههای خود و مشتریان محافظت به عمل آورد.