ما هو صيد التهديد 2023؟ [الدليل الكامل]

نشرت: 2023-03-22

يعد البحث عن التهديدات الإلكترونية طريقة استباقية لأمن الإنترنت حيث يبحث صائدو التهديدات عن المخاطر الأمنية التي قد تكون مخفية داخل شبكة الشركة .

يبحث الصيد عبر الإنترنت بشكل نشط عن التهديدات التي لم يتم اكتشافها أو تحديدها أو التي لم يتم علاجها سابقًا والتي ربما تكون قد أفلتت من الآليات الدفاعية الآلية لشبكتك ، على عكس تقنيات البحث عن الأمن السيبراني الأكثر سلبية مثل أنظمة الكشف عن التهديدات الآلية.

جدول المحتويات

ما هو صيد التهديد؟
لماذا يعتبر صيد التهديد مهمًا؟
أنواع صيد التهديد
كيف يعمل صيد التهديد؟
من هم صائدو التهديد السيبراني؟
المتطلبات الأساسية لصيد التهديد
منهجيات صيد التهديد
صيد التهديدات مع وكلاء
كيف يعمل مطاردة التهديد باستخدام سجلات الوكيل؟
الفرق بين تهديد الصيد وذكاء التهديد
الخلاصة: ما هو تهديد الصيد 2023؟

ما هو صيد التهديد؟

يُعرف فعل البحث النشط عن التهديدات السيبرانية التي لا يتم اكتشافها على الشبكة باسم البحث عن التهديدات. البحث عن التهديدات عبر الإنترنت يجوب بيئتك بحثًا عن جهات خبيثة تجاوزت الإجراءات الأمنية الأولية لنقاط النهاية.

بعض الأخطار أكثر تعقيدًا وتقدماً ، في حين أن الغالبية لا يمكنها تجاوز أنظمة الأمان. لأسابيع ، يمكن أن يظل المهاجمون غير مكتشوفين في النظام والملفات بينما يتقدمون ببطء عبر الشبكة لجمع المزيد من البيانات.

قد تمر أسابيع أو حتى أشهر خلال هذا الإجراء. يمكن أن تتجنب الاكتشاف بسهولة من أدوات وأفراد الأمن دون الصيد النشط.

Threat Hunting

لماذا يعتبر صيد التهديد مهمًا؟

نظرًا لأن التهديدات المعقدة يمكن أن تتجنب الأمن السيبراني الآلي ، فإن البحث عن التهديدات أمر بالغ الأهمية.

لا تزال بحاجة إلى القلق بشأن الـ 20٪ المتبقية من التهديدات حتى إذا كان من المفترض أن تتمكن أدوات الأمان المؤتمتة ومحللي مركز عمليات الأمان من المستوى 1 و 2 (SOC) من التعامل مع حوالي 80٪ منها.

من المرجح أن تكون التهديدات في نسبة الـ 20٪ المتبقية معقدة وقادرة على إحداث ضرر كبير.

يمكن للمهاجم الدخول إلى شبكة سرًا والبقاء هناك لعدة أشهر أثناء قيامهم بجمع المعلومات بصمت أو البحث عن مستندات حساسة أو الحصول على بيانات اعتماد تسجيل الدخول التي تسمح لهم بالتجول في البيئة.

تفتقر العديد من الشركات إلى مهارات الكشف المتطورة المطلوبة لمنع التهديدات المستمرة المتقدمة من البقاء في الشبكة بمجرد أن ينجح الخصم في الهروب من الاكتشاف ويخترق الهجوم دفاعات المنظمة.

لذلك فإن صيد التهديد هو عنصر حاسم في أي استراتيجية دفاعية.

أنواع صيد التهديد

أوضح موقع IBM الرسمي على الويب الأنواع الثلاثة الرئيسية لمطاردة التهديدات بشكل مناسب تمامًا. وفقًا لمدونتهم ، فإن البحث عن التهديدات هو من الأنواع التالية:

1. الصيد المنظم

يعتبر مؤشر الهجوم (IoA) وتكتيكات المهاجم وأساليبه وإجراءاته (TTPs) أساسًا لمطاردة منهجية.

يتم التخطيط لكل عملية مطاردة استنادًا إلى TTPs للجهات الفاعلة المهددة. لهذا السبب ، يتعرف الصياد بشكل متكرر على عنصر التهديد قبل أن تتاح للمهاجم فرصة لتعطيل البيئة.

2. الصيد غير المنظم

يتم بدء البحث المخصص بناءً على محفز ، وهو أحد مؤشرات التسوية العديدة (IoC) . يستخدم هذا المشغل عادة لحث الصياد على البحث عن أنماط ما قبل الاكتشاف وبعده .

إلى الحد الذي يسمح به الاحتفاظ بالبيانات والجرائم المرتبطة سابقًا ، يجوز للصياد إجراء دراسة لوضع خطته.

3. الحالة أو الكيان مدفوعة

قد يتم إنتاج فرضية ظرفية من خلال تقييم المخاطر الداخلي للمؤسسة أو عن طريق التحقيق في الاتجاهات ونقاط الضعف الفريدة في البنية التحتية لتكنولوجيا المعلومات الخاصة بها.

بيانات الهجوم التي تم جمعها من عامة الناس ، والتي ، عند مراجعتها ، تُظهر أحدث عمليات نقل الحركة من التهديدات السيبرانية المستمرة ، حيث يتم إنشاء خيوط موجهة للكيانات. يمكن لصائد التهديد بعد ذلك مسح المناطق المحيطة بهذه السلوكيات المحددة.

كيف يعمل صيد التهديد؟

يتم الجمع بين الجانب البشري والقدرة الهائلة على معالجة البيانات لحل برمجي لتعقب التهديدات الإلكترونية بشكل فعال.

يعتمد صائدو التهديدات البشرية على البيانات من أدوات التحليل والمراقبة الأمنية المتطورة لمساعدتهم في اكتشاف التهديدات بشكل استباقي والقضاء عليها.

هدفهم هو استخدام الحلول والذكاء / البيانات للعثور على خصوم قد يهربون من الدفاعات العادية باستخدام استراتيجيات مثل العيش خارج الأرض.

يعتبر الحدس والتفكير الأخلاقي والاستراتيجي وحل المشكلات الإبداعي مكونات أساسية لعملية البحث عبر الإنترنت.

المنظمات قادرة على حل التهديدات بشكل أسرع وأكثر دقة من خلال الاستفادة من هذه السمات البشرية التي يجلبها " صائدو التهديدات الإلكترونية " إلى طاولة المفاوضات بدلاً من مجرد الاعتماد على أنظمة الكشف عن التهديدات الآلية.

صائدو التهديد السيبراني

من هم صائدو التهديد السيبراني؟

يضيف Cyber Threat Hunters لمسة إنسانية لأمن الأعمال ، مما يعزز الإجراءات الآلية. إنهم متخصصون ماهرون في أمن تكنولوجيا المعلومات يقومون بتحديد التهديدات وتسجيلها ومراقبتها والقضاء عليها قبل أن تتاح لهم فرصة أن تصبح مشاكل خطيرة.

على الرغم من كونهم محللين خارجيين في بعض الأحيان ، إلا أنهم محللون أمنيون على دراية بعمل قسم تكنولوجيا المعلومات في الشركة.

يقوم Threat Hunters بمسح المعلومات الأمنية. يبحثون عن أنماط السلوك المشبوهة التي ربما فات جهاز الكمبيوتر أو يعتقد أنه تم التعامل معها ولكن لم يتم التعامل معها ، بالإضافة إلى البرامج الضارة المخفية أو المهاجمين.

كما أنها تساعد في تصحيح نظام أمان الأعمال التجارية لمنع حدوث المستقبل لنفس النوع من الاقتحامات.

ما هو تهديد الصيد

المتطلبات الأساسية لصيد التهديد

يجب على صائدي التهديدات أولاً بناء خط أساس للأحداث المتوقعة أو المعتمدة من أجل اكتشاف الحالات الشاذة بشكل أفضل لكي يكون البحث عن التهديدات الإلكترونية فعالاً.

يمكن لصائدي التهديدات بعد ذلك الاطلاع على بيانات الأمان والمعلومات التي تم جمعها بواسطة تقنيات الكشف عن التهديدات باستخدام خط الأساس هذا وأحدث معلومات التهديدات.

قد تتضمن هذه التقنيات الكشف والاستجابة المُدارين (MDR) ، أو أدوات تحليلات الأمان ، أو معلومات الأمان وحلول إدارة الأحداث (SIEM).

يمكن لصائدي التهديدات البحث في أنظمتك عن الأخطار المحتملة أو الأنشطة المشبوهة أو المشغلات التي تخرج عن القاعدة بعد أن يتم تسليحهم ببيانات من مجموعة متنوعة من المصادر ، بما في ذلك بيانات نقطة النهاية والشبكة والسحابة.

يمكن لصائدي التهديدات إنشاء فرضيات وإجراء تحقيقات شبكية مكثفة إذا تم العثور على تهديد أو إذا كانت معلومات استخبارات التهديد المعروفة تشير إلى تهديدات محتملة جديدة.

يبحث صائدو التهديدات عن المعلومات أثناء هذه التحقيقات لتحديد ما إذا كان التهديد ضارًا أم حميدًا أو ما إذا كانت الشبكة محمية بشكل مناسب من التهديدات السيبرانية الناشئة.

منهجيات صيد التهديد

يبدأ صائدو التهديدات تحقيقاتهم مفترضين أن الأعداء موجودون بالفعل في النظام ويبحثون عن سلوك غريب يمكن أن يشير إلى وجود أنشطة معادية.

غالبًا ما تندرج بداية التحقيق هذه في واحدة من ثلاث فئات في البحث الاستباقي عن التهديدات.

لغرض الدفاع الاستباقي عن أنظمة ومعلومات المؤسسة ، تتضمن الاستراتيجيات الثلاث جميعها جهدًا مدفوعًا بشريًا يجمع بين موارد استخبارات التهديدات وتكنولوجيا الأمان المتطورة.

1. التحقيق القائم على الفرضية

هناك خطر جديد تم اكتشافه من خلال قاعدة بيانات واسعة لبيانات هجوم جماعي غالبًا ما يطلق تحقيقات تستند إلى فرضيات ، مما يوفر معلومات حول أحدث الاستراتيجيات والتقنيات والإجراءات التي يستخدمها المهاجمون (TTP).

سيتحقق صائدو التهديدات بعد ذلك لمعرفة ما إذا كانت الإجراءات الفريدة للمهاجم موجودة في بيئتهم الخاصة بمجرد اكتشاف TTP جديد.

2. تحقيق يستند إلى مؤشرات هجوم محددة أو مؤشرات التسوية

باستخدام استخبارات التهديدات التكتيكية ، فإن طريقة البحث عن التهديدات هذه تُعرف بشركات النفط الدولية (IOC) و IOAs المرتبطة بالتهديدات الجديدة. يمكن لصائدي التهديدات بعد ذلك استخدام هذه كمحفزات للعثور على هجمات سرية محتملة أو أنشطة ضارة مستمرة.

3. التحليلات المتقدمة وتحقيقات التعلم الآلي

تقوم الطريقة الثالثة بالتنقيب في كمية هائلة من البيانات باستخدام التعلم الآلي وتحليل البيانات المتقدم للبحث عن الحالات الشاذة التي قد تشير إلى أنشطة عدائية محتملة.

تصبح هذه الحالات الشاذة خيوط صيد يتم فحصها من قبل محللين مطلعين للعثور على مخاطر سرية.

صيد التهديدات مع وكلاء

قد يجد صائدو التهديدات ثروة من المعلومات في سجلات بروكسي الويب. تعمل هذه الوكلاء كقنوات بين الخادم أو الجهاز الذي يتلقى الطلبات والجهاز الذي يرسل الطلب.

يمكن استخدام مجموعة شائعة من البيانات التي تم إنشاؤها بواسطة وكلاء الويب لاكتشاف السلوك غير المعتاد أو المشبوه.

على سبيل المثال ، قد يقوم صائد التهديدات في إحدى المؤسسات بتحليل معلومات الخطر المضمنة في سجلات وكيل الويب ويكتشف نشاطًا مشبوهًا مع وكلاء المستخدم مثل مواقع cURL و SharePoint .

إنهم يلفتون الانتباه إلى المشكلة ويكتشفون أن الطلبات مشروعة وتنشأ من فرق DevOps.

لفحص هذه السجلات والعثور على أي أفراد ضارين من بين هذا المزيج ، يستخدم صائدو التهديدات مجموعة متنوعة من البروتوكولات والمنهجيات. تقدم سجلات بروكسي الويب في كثير من الأحيان التفاصيل التالية:

عنوان URL المقصود (اسم المضيف)
عنوان الانترنت المطلوب
حالة HTTP
فئة المجال
بروتوكول
ميناء الوصول
وكيل المستخدم
طريقة الطلب
عمل الجهاز
اسم الملف المطلوب
مدة

**و اكثر!

كيف يعمل مطاردة التهديد باستخدام سجلات الوكيل؟

دعنا ندرس كيف تساعد سجلات وكيل الويب هؤلاء الصيادين الآن بعد أن فهمت مطاردة التهديدات. يجب أن يستخدم المحللون مجموعة متنوعة من الطرق للعثور على نقاط الضعف والأطراف الضارة التي تتعامل مع الشبكة لأن سجلات وكيل الويب تحتوي على العديد من أجزاء البيانات.

1. مراجعة حركة المرور المحظورة:

من المهم معرفة ما الذي دفع المستخدم إلى الوصول إلى موقع ويب معين على الرغم من أنه قد يكون محظورًا على مستخدمي المؤسسة. يمكن أن يعني أن جهاز الكمبيوتر الخاص بهم قد أصيب.

2. عناوين URL مع طلبات IP:

يمكن لهذا الترشيح اكتشاف السجلات التي تعمل حول قيود أمان DNS باستخدام عناوين IP المشفرة.

3. عناوين URL ذات امتدادات الملفات:

يجعل هذا الفلتر عناوين URL التي يحتمل أن تكون خطرة مع امتدادات الملفات مثل doc. و pdf. و. exe مرئية. يستخدم المهاجمون بشكل متكرر ملفات doc أو pdf ذات وظائف الماكرو لزرع البرامج الضارة على جهاز أو شبكة.

4. عنوان URL المُحيل المعروف بعنوان URL غير شائع:

قد يكون تحديد روابط التصيد أسهل من خلال تصفية السجلات التي تحتوي على مجالات إحالة شائعة وعناوين URL مميزة.

الفرق بين تهديد الصيد وذكاء التهديد

ذكاء التهديدات عبارة عن مجموعة من البيانات المتعلقة بمحاولة الاقتحام الناجحة أو الناجحة التي يتم جمعها وفحصها عادةً بواسطة أنظمة أمان آلية باستخدام التعلم الآلي والذكاء الاصطناعي.

تُستخدم هذه المعلومات في البحث عن التهديدات لإجراء بحث شامل على مستوى النظام عن المستخدمين الضارين.

بعبارة أخرى ، يبدأ مطاردة التهديدات حيث تنتهي ذكاء التهديد. يمكن أن تجد مطاردة التهديدات المثمرة أيضًا مخاطر لم يتم رؤيتها بعد في البرية.

تُستخدم مؤشرات التهديد أحيانًا كمقدمة أو فرضية في البحث عن التهديدات. تعد بصمات الأصابع الافتراضية التي خلفتها البرامج الضارة أو المهاجمين ، أو عنوان IP الفردي ، أو رسائل البريد الإلكتروني المخادعة ، أو حركة مرور الشبكة الشاذة الأخرى أمثلة على مؤشرات التهديد.

روابط سريعة:

مراجعة Cyberlab
مراجعة CyberImpact
مراجعة تدريب CyberVista على تكنولوجيا المعلومات
أفضل البرامج التابعة للأمن السيبراني

الخلاصة: ما هو تهديد الصيد 2023؟

يتم استكمال الإجراء المعتاد لاكتشاف الحوادث ورد الفعل والمعالجة عن طريق البحث عن التهديدات. تتمثل الإستراتيجية الواقعية والعملية للشركات في تقوية نفسها ضد التهديدات غير المتوقعة.

ومع ذلك ، فإن مراقبة سجلات الوكيل تجعل من الممكن أيضًا تحديد المستخدمين الذين قد يقومون بكشط مواقع الويب. أولئك الذين يحاولون فقط إكمال المهام المشروعة يواجهون مشاكل في مثل هذه الحالة.

من خلال استخدام العديد من الوكلاء ، لا سيما تلك التي تساعد في إخفاء عنوان IP الحقيقي الخاص بهم ، يمكن للمستخدمين تجنب صائدي التهديدات من اكتشاف أنشطتهم.

أيضًا ، لا ترفع سجلاتهم علامة حمراء لهؤلاء الصيادين لأنه لا يوجد عنوان IP واحد لجميع أنشطتهم.

لهذا ، ستحتاج إلى وكلاء عالي الجودة يبدو شرعيًا لبرامج البحث عن التهديدات. للإجابة على سؤالك ، فإن برنامج البحث عن التهديدات هو في الأساس برنامج ينفذ بروتوكولات البحث عن التهديدات وتحليلها.

روابط سريعة

أفضل وكلاء لتجميع أجرة السفر
أفضل وكلاء الفرنسية
أفضل وكلاء Tripadvisor
أفضل وكلاء Etsy
رمز القسيمة IPRoyal
أفضل وكلاء TikTok
أفضل الوكلاء المشتركين