راهنمای امنیتی؛ نکات امنیتی دورکاری کارکنان در سازمانها قبل از مطالعه بدانید: در این راهنما به درست/نادرست بودن دورکاری اشاره ای نگردیده، زیرا که سیاستها و نیازهای سازمانها متفاوت است. پس با فرض اینکه به این نتیجه رسیدهاید که دورکاری در شرکت یا سازمان شما انجام گردد، میتوانید از این راهنما در خصوص افزایش امنیت […]
شکار تهدید منافع زیادی برای سازمانها با هر اندازهای به دنبال دارد. این منافع منحصر به شکار تهدیدهای سایبری است، زیرا این فرآیند تهدیدها را در حوزههایی تشخیص میدهد که ممکن است خارج از گستره عملیات کنترلها یا دستگاههای امنیت سایبری موجود باشد. این کار با استفاده از شکارچیان تهدید ماهری انجام میشود که ترکیبی از ابزارهای خودکار و تکنیکهای بررسی دستی را بکار میگیرند. کنترلها یا دستگاههای موجود میتوانند شامل سیاستها و رویهها یا ابزارهای امنیتی خودکار مانند سیستمهای تشخیص نفوذ شبکه یا فایروالها باشند.
بطور خاص، شکار تهدیدهای سایبری مزایای زیر را به همراه دارد:
• تضمین اینکه کنترلهای امنیت سایبری موجود در محافظت از سازمان در برابر نفوذ یا حملات مؤثر واقع میشوند.
• توصیههایی برای بهبود کنترلهای موجود امنیت سایبری یا معرفی کنترلهای جدید بر اساس واقعیتهای صریح که به پشتیبانی از هرگونه سرمایهگذاری از محل بودجههای امنیت سایبری کمک میکند.
• محافظت در برابر مهاجمان در هر قالب و شکلی اعم از بدافزارها، تهدیدات داخلی، بازیگران مخرب خاص، پیکربندی نامناسب یا طراحی ناامن. شکار تهدیدهای سایبری به خاطر قابلیت محافظت در برابر تهدیدات داخلی و نشت دادهها- از طریق شناسایی عدم انطباق با سیاستهای امنیت سایبری که کارکنان باید به آنها پایبند باشند- فوقالعاده مفید واقع میشود.
بدون کمک کارشناسی، هیچ سازمانی صرفنظر از اندازه و مقیاس، نمیتواند اطمینان داشته باشد که در سیستمهای آن بدافزاری وجود ندارد. برای ما که بررسیهای استاندارد روی سیستم عاملها، برنامههای کاربردی و شبکه و سرویسهای ابری انجام میدهیم، عدم کشف شواهدی از بدافزار امری غیرمعمول است. وقتی بدانیم که چه چیزی را جستجو کنیم و ابزارها و روشهای درستی برای شکار تهدیدها داشته باشیم، میتوانیم با ایزولهسازی و از بین بردن تهدید، این نوع ریسکها را کاهش دهیم. پس از تحلیل فورنسیک دیجیتال، میتوانیم گزارش دقیقی از خسارت وارده ارائه کرده و مشتریان خود را در ارزیابی مناسب ریسکهای شرایط موجود با توجه به همه واقعیتها، کمک کنیم.
فرآیندهای شکار تهدید به هیچ وجه یکسان نیستند و به همین دلیل است که فرآیند شکار تهدیدهای سایبری باید بخشی از استراتژی مستمر امنیت سایبری باشد و برای آگاهی از آنچه در زیرساختهای سازمان رخ میدهد بطور مرتب به عملیات خود ادامه دهد.
شکار تهدیدهای سایبری مؤلفههای موجود استراتژی امنیت سایبری را تکمیل و تقویت میکند:
• تست نفوذپذیری
که در واقع ارزیابی برنامههای کاربردی یا زیرساختها از خارج از سازمان است و آسیبپذیریهای شناخته شده در برنامههای کاربردی یا طراحی و پیادهسازی سیستمها اکسپلویت میکند. شکار تهدیدهای سایبری نشانههای نفوذ یا حملهای که قبلا رخ داده را در درون زیرساخت سازمان جستجو میکند و این کار را احتمالا (البته نه منحصرا) از طریق اکسپلویت آسیبپذیریهای قبلا شناسایی شده در تست نفوذپذیری انجام میدهد.
• مراکز عملیات امنیت (SOCs)
یا روشها یا ابزارهای پایش امنیت عمومی مانند SIEM (مدیریت امنیت، اطلاعات و رویدادها) زیرساختهای سازمان را برای یافتن شواهد هرگونه فعالیت مخرب، تقریبا به صورت بلادرنگ پایش میکنند. شکار تهدید با دسترسی کنشگرانه به سیستمهای شبکه و بررسی دادههایی که ممکن است از زمانبندی قابلیت SOC خارج شده یا خارج از حوزه SOC تلقی شده باشند- پایش زنده رویدادهای امنیتی سازمانها را تکمیل میکند.
• سیاستهای امنیتی کاربر نهایی
سیاستها و رویههایی هستند که کارکنان هر سازمانی به منظور امنسازی سازمان خود ملزم به پیروی از آنها هستند؛ سیاستهایی مانند عدم انتقال اطلاعات شرکتی به منزل در حافظههای USB یا عدم دسترسی به رایانامه یا سرویسهای اشتراک فایل شخصی در رایانههای شرکت. همیشه راههایی برای دور زدن سیاستهای نرم مانند این وجود دارد. شکار تهدیدهای سایبری از این قابلی برخوردار است که مجموعهای از الزامات سیاستی را دریافت کرده و بطور کنشگرانهای، دادهها را برای شناسایی هرگونه عدم انطباق احتمالی یا تهدیدات داخلی جستجو کند. صرفنظر از اینکه کاربران رفتار مخربی داشته باشند یا خیر، مسئولیت همه سازمانها این است که با حصول اطمینان از انطباق کارکنان با قوانین و سیاستها، از دادههای خود و مشتریان محافظت به عمل آورد.
شکار تهدیدهای سایبری فرآیندی است که در آن، زیرساخت سازمان به منظور کشف شواهد تهدیداتی که به طرق دیگر ناشناخته مانده است، به صورت کنشگرانه مورد جستجو قرار میگیرد. در واقع این فرآیند، آلودگی سازمان را نشان میدهد.
۷Safe میتواند شکار تهدید را برای هر سازمان بر اساس زیرساخت، سیاستها و رویههای موجود و اولویتهای مرتبط با امنیت سایبری آن، سفارشیسازی و متناسب کند.
در سبد سرویسهای امنیت سایبری سازمانها، گنجاندن شکار تهدیدهای سایبری بین تست نفوذپذیری و ریسک و انطباق میتواند مناسبترین حالت ممکن باشد.
شکار تهدیدهای سایبری چه چیزهایی را افشا میکند؟
یافتههای شکار تهدیدهای سایبری بستگی به گستره مورد توافق فعالیت آن خواهد داشت. بنابراین سازمان باید از ابتدا اولویتهای خود در رابطه با شکار تهدیدها را مشخص کند که از جمله این اولویتها میتوان به تهدیدات خارجی، فعالیت مشکوک کاربران، نرمافزارهای ناامن، نشت دادهها یا بسیاری گزینههای دیگر اشاره کرد.
برخی اطلاعات که ۷Safe میتواند با سرویس شکار تهدید ارائه دهد عبارتند از:
• دادههای خارج شده از سازمان با استفاده از برنامههای کاربردی اشتراکگذاری فایل شرکتهای پیمانکار
• دادههای شخصی ذخیره شده در موقعیتهای ناامن
• نرمافزارهای منسوخ شده یا وصله نشدهای که در سیستمهای حیاتی اجرا میشوند
• سوءاستفاده از حقوق راهبران سیستمها
• دادههای حساسی که مرتبا در دستگاههای قابل حمل کپی میشوند و خارج از حوزه کنترلهای امنیتی قرار دارند
• برنامههای ناشناخته یا غیرمجازی که در سیستمهای کاربران اجرا میشوند
• فعالیتهای غیرمعمول دسترسی فایل که در سیستمهای اشتراکگذاری فایل ثبت شده است
• ارتقاء غیرمجاز حقوق دسترسی در حساب کاربران عادی که نشانگر وجود بدافزار یا فعالیت عوامل مخرب داخلی است
• تشخیص ترافیک غیرمعمول در شبکه از سیستمهای مرکزی.
فرآیند شکار تهدید با یک کارگاه آغاز میشود. هدف از برگزاری این کارگاه، آشنایی با زیرساختهای سازمان به منظور شناسایی مؤثر مناسبترین دادهها برای بررسی است. پس از این مشاوره اولیه، کارشناسان مجرب شکار تهدید در سازمان مستقر میشوند تا به جمعآوری دادههای مناسب و تشخیص تهدیدها بپردازند. در نهایت نیز گزارش تهدید متناسب با سازمان، همه یافتهها را به شیوهای قابل فهم ارائه میکند تا جذب و اشتراکگذاری آن بین کارکنان امنیت سایبری آسان باشد. برای کمک به پیادهسازی اقدامات اصلاحی، میتوان یافتههای فنی عمیق را نیز به عنوان پیوست ارائه کرد.