تمایز میان «اطلاعات هوشمند تهدید» با «داده‌های تهدید»

خوراک‌های اطلاعات هوشمند تهدید یکی از بزرگ‌ترین مؤلفه‌های تغذیه در بسیاری از سازمان‌های امنیت سایبری هستند. طیف گسترده‌ای از فروشندگان فن‌آوری‌های امنیتی مجموعه‌ای به همان اندازه گسترده از محمولات را از آخرین بدافزارها، دامنه‌های مخرب، وب‌گاه‌ها، نشانی‌های آی‌پی و شاخص‌های در خطر مبتنی بر میزبان (IoC) ارائه می‌کنند.
تفکر پشت این تغذیه شدن تهدید تا حد زیادی همان است. شخصیت‌های منفی پیوسته سریع‌تر و سریع‌تر می‌شوند و تغذیه‌ی اطلاعاتی شیوه‌ای برای فروشندگان امنیتی ارائه می‌کند تا به سرعت اطلاعات مربوط به آخرین تهدیدها را که در مجموعه دیده‌اند، جمع‌آوری و به اشتراک بگذارند.
این راه‌برد قطعاً منافعی برای مشترکین به همراه خواهد داشت. از منابع شلوغ اطلاعات با سرعت بیشتری تأیید شده و به دست سازمان‌ها می‌رسد. با این وجود محدودیت‌هایی نیز در کار آن‌ها وجود دارد. در بسیاری از موارد، تغذیه‌ی تهدیدها می‌تواند به سادگی موجب امضای سریع‌تر شود ولی باز هم نمی‌تواند به مهاجمان برسد.
محموله‌های مخرب ، نشانی‌های اینترنتی و آدرس‌های آی پی، چنان به سرعت محو می‌شوند که ممکن است تنها یک بار در یک حمله‌ی واقعی مورد استفاده قرار بگیرند. گزارش بررسی نفوذ داده‌ی Verizon این موضوع را با جزییات کامل نشان می‌دهد.
گزارش Verizon نشان می‌دهد که ۷۰ تا ۹۰ درصد بدافزارهایی که برای نفوذ در سازمان‌ها استفاده می‌شوند، مخصوص همان سازمانی ساخته می‌شوند که به آن حمله شده است. واضح است که اگر تهدید تنها یک بار مورد استفاده قرار گیرد، استفاده از امضای سریع‌تر مشکلی را حل نخواهد کرد.

آزمون بازی در برابر یادگیری
مسأله‌ی اصلی این است که ما باید میان اطلاعات هوشمند و داده تفاوت قایل شویم. اطلاعات هوشمند باید شما را برای ارزیابی و حل مشکلات جدیدی که در گذشته با آن‌ها مواجه نبوده‌اید یاری کنند. اما از طرف دیگر انگار داده‌ها که به یک امتحان خاص پاسخ می‌دهند. اگر پرسش‌های آزمون تغییر کنند، شما مطمئناً به مشکلی جدی برخورد خواهید کرد.
اکثریت قریب به اتفاق اطلاعات موجود در تغذیه‌ی تهدیدها در دسته‌ی دوم قرار دارند، جایی که شاخص‌های جزیی برای تهدیدها در وضعیت یک به یک قرار دارند. حتی اگر در صنعت ردیابی شاخص‌ها بیشتر و بیشتر شده و ارائه‌ی به‌روزرسانی‌ها سریع و سریع‌تر گردد، باز هم این روی‌کرد با چالش‌هایی در امضاء مواجه خواهد بود که سال‌ها از آن رنج می‌برد. اولین مشت مهاجم همواره از سوی جلو فرود می‌آید و مدافع همیشه یک قدم عقب‌تر است.
نکته‌ی مهم این است که اطلاعات واقعی را نمی‌توان تنها از خارج وارد نمود. دریافت پاسخ‌های آزمون قبلی کافی نیست. سازمان نیاز به یک مغز درونی دارد که می‌تواند از گذشته بیاموزد و مطالب جدید و ناشناخته را توسعه دهد.
این بدان معناست که تشخیص‌ها باید فراتر از نگاه قدیمی نزدیک‌بینانه‌ای رشد کند، که تنها تهدیدهای انفرادی را شناسایی می‌کند، و باید به شکلی باشد که بتواند صفات و رفتارهای اساسی مشترک در تهدیدها را شناسایی نماید.

روی‌کردهای جدید به اطلاعات هوشمند
خبر خوب این است که صنعت گام‌هایی را در این زمینه برداشته است. علم داده‌ها و مدل‌های یادگیری ماشینی در حال ارائه‌ی روش‌های جدیدی برای نگاه به تهدیدات هستند. به جای اتخاذ یک روی‌کرد یک به یک که هر تهدید با یک امضاء یا یک IoC مرتبط است، مدل‌های علم داده میتوانند تهدیدها را مورد تجزیه و تحلیل قرار دهند تا بفهمند آن‌ها در چه چیزی مشترک هستند.
این کار یک تأثیر بسیار مهم بر جای می‌گذارد زیرا دیگر به تهدیدات قبلی وابسته نیست. در عوض، می‌تواند هر نوع ترافیکی را که بر اساس داده‌های جمع‌آوری شده از همه‌ی تهدیدها فراهم شده است، ارزیابی کند. اگر چیزی مانند اردک راه رود و مانند اردک سخن گوید، پس با اطمینان می‌توانیم بگوییم که آن یک اردک است، حتی اگر ما از قبل آن را ندیده باشیم.
این مدل‌ها می‌توانند با توجه به اطلاعات داخلی و خارجی گرفته شده، به یادگیری بپردازند. بسیاری از حملات حساس،‌ همچون یک تهدید داخلی و یا مهاجمی که اعتبارنامه‌ای را سرقت می‌کند و آن را به کار می‌برد، تنها در صورتی قابل شناسایی هستند که در چارچوب مشخصی دیده شوند و این چارچوب باید به گونه‌ای باشد که به وسیله‌ی آن دریابیم برای یک شبکه چه چیزی عادی است و چه چیزی نیست. بدیهی است که هر شبکه‌ای منحصربه‌فرد است و رفتارهای کاربران در آن با مشاهده‌ی شبکه‌ی محلی باید فرا گرفته شود.
البته که یک مغز بهتر و تغذیه بهتر داده، متقابلاً انحصاری نیستند. هر دو مورد این موضوعات به زمان زیادی نیاز دارند. فواید یادگیری جمعی از منابع داده به اشتراک گذاشته شده و توسعه‌یافته‌ی غیرقابل انکار است.
اما این کار زمانی به خوبی کار می‌کند که سازمان‌ها مغزی داشته باشند که بتواند از داده‌ها استفاده کند. مدل‌های اشتراکی نظیر STIX و TAXII با شناسایی و به اشتراک‌گذاری اطلاعات در رفتارهای تهدید، موجب امیدبخشی می‌شوند. با این حال،‌ هنوز تغذیه‌های اندکی دارای بینش رفتاری هستند و سازمان‌های اندکی برای استفاده از آن‌ها آماده می‌باشند.
یک بار دیگر تأکید می‌کنیم که عامل راه‌بردی تنها گرفتن داده نیست، بلکه کاربردی کردن این داده هنگامی است که دریافت ‌می‌شود. و این مسأله‌ی اصلی در موضوع اطلاعات تهدید است. داده‌های خارجی خود به خود اطلاعات هوشمند ایجاد نمی‌کنند، بلکه سوخت موتور هوشمند شما هستند. اگر شما عملیات را به اشتباه برنامه‌ریزی کنید، در نهایت با صرف هزینه‌ی بسیار و دریافت نتیجه‌ی اندکی رو به رو خواهید شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.