بررسي علمی به Threat Hunting و فرایند در شناسایی عوامل مخرب زا

به‌طور سنتی در یک Security Operations Center یا SOC، شناسایی تهدیدات و عکس العمل مناسب سازمان در برابر آن ها معمولاً واکنشی است که باید آن را در اسرع وقت انجام داد تا بتوان سازمان را از تهدیدات احتمالی حفظ کرد. برای شناسایی عملی مخرب روی شبکه، یک قاعده در سیستم Security Information Event Management یا SIEM تنظیم می‌شود و تحلیلگر SOC منتظر فعال شدن یک هشدار می‌ماند تا بتواند مشخص کند که شاید حادثه‌ی مخربی در حال وقوع باشد. با افزایش پیچیدگی حملات مهاجمین و تکنیک‌های پنهانی آن‌ها برای اجتناب از شناسایی شدن، استفاده‌ی یک SOC از یک رویکرد هشدار واکنشی در تلاش برای شناسایی اقدامات مخرب به طرزی قابل‌اعتماد شاید بهترین رویکرد محسوب نشود. تحلیلگران SOC می‌توانند رویکردی فعال و آینده‌نگرانه را به Threat Hunting اتخاذ کنند تا مشخص گردد که آیا مهاجمی به محیط حمله کرده است یا خیر. افراد بسیاری در حوزه‌ی امنیت اطلاعات، Threat Hunting را قدمی حیاتی در شناسایی مهاجمان و ایجاد یک برنامه‌ی امنیتی کامل می‌دانند.

هر تحلیلگر SOC ممکن است این تصمیم را گرفته باشد که می‌خواهد Threat Hunting را شروع کند اما مطمئن نیست که نقطه‌ی شروع کجا است. Threat Hunting می‌تواند برای تحلیلگران بی‌تجربه فرایندی گیج‌کننده و چالش‌برانگیز باشد. بسیاری از منابع آنلاین صرفاً بیان می‌کنند که «سؤال بپرس، حالا برو و Threat Hunting را شروع کن.» فقط بیان اینکه باید به دنبال تهدیدات گشت، کار را برای تحلیلگرانی که برای انجام Threat Hunting خود نیازمند یک فرایند ساختارمند هستند، ساده‌تر نمی‌کند. توسعه‌ی یک فرضیه بخشی اساسی از این فرایند است.

روش عملی، روشی است که صدها سال در حوزه های علمی مثل پزشکی و فیزیک وجود داشته است. این روش چندین مرحله را پیشنهاد می‌کند که محقق می‌تواند با طی کردن آن‌ها، براساس آزمایش‌هایی که با اطلاعات به‌خصوصی که در زمان تست دردسترس است انجام می‌گردند، به نتیجه‌ای از یک فرضیه برسد. مطالعات گسترده‌ای روی روش علمی انجام شده است و جنبه‌ی فلسفی عمیقی دارد. مجموعه‌ی Science Buddies مراحل عملی این روش را شرح داده است. در ادامه ماهیت Threat Hunting، روش علمی و نحوه‌ی استفاده از آن به‌عنوان روشی از تیم Threat Hunting یک مرکز SOC شرح داده می‌شود.

این نتایج را می‌توان همسان‌سازی کرد و به اشتراک گذاشت تا از نتایج باثبات اطمینان حاصل شود، سوگیری در تائید کنار رود و محرمانگی در امنیت شبکه‌ی رایانه‌ای افزایش پیدا کند.
Threat Hunting و روش علمی
Threat Hunting چیست؟

برای ساده‌ترین تعریف از Threat Hunting می‌توان گفت رویکردی فعال و پیشگیرانه برای جستجو و پیدا کردن تهدیداتی در شبکه‌ی یک سازمان است که ممکن است به دلیل نقاط ضعف در سیستم‌ها و تکنیک‌های قدیمی، مدت زیادی شناسایی نشوند.

زمانی که Threat Hunting ظهور کرد از نظر افراد بسیاری در صنعت امنیت اطلاعات، روشی ضروری در عملیات یک تیم امنیتی بود. Threat Hunting مکمل ابزار و روش‌های موجود برای کاهش زمان شناسایی یک حمله، تشخیص شکاف‌های قابلیت شناسایی در یک شبکه، کمک به جلو بودن از تهدیداتی که به‌سرعت تغییر پیدا می‌کنند و فراهم کردن مکانیزمی برای پاسخ سریع به این تهدیدات است. Threat Hunting جایگزین سیستم‌ها یا فرایندها در یک تیم امنیتی نیست بلکه به امکانات موجود اضافه می‌کند تا یک تصویر امنیتی کامل از سازمان فراهم گردد. یکی از اهداف Threat Hunting کاهش یا حذف سوگیری در تائید توسط سازمان‌هایی است که خود را ایمن می‌پندارند زیرا سیستم شناسایی جدیدی را پیاده‌سازی کرده‌اند و هیچ هشداری برای آن‌ها ایجاد نشده است. مهاجمین بیش از پیش توانایی اجتناب از روش‌های شناسایی واکنشی را پیدا کرده‌اند و زمان بین حمله و شناسایی را افزایش داده‌اند؛ به این زمان «زمان ساکن» گفته می‌شود. هدف از Threat Hunting این است که این فرصت مهاجمین را تا جای ممکن کاهش دهد و شانس برگشت را از آن‌ها بگیرد.

اطلاعات TTPها همراه با داده‌های جمع‌آوری‌شده در یک سیستم SIEM از چندین منبع درون سازمان، Datasetی را تشکیل می‌دهد که یک پژوهشگر برای انجام Threat Hunting از آن استفاده می‌کند. نتایجی که در طول فرایند Threat Hunting ثبت می‌شوند را می‌توان در جستجوهای بعدی مورد استفاده قرار داد یا با دیگر سازمان‌ها یا همکاران در جامعه‌ی امنیت اطلاعات به اشتراک گذاشت تا در فعالیت‌های Threat Hunting آن‌ها یاری‌شان کند. در Threat Hunting همیشه فرض بر این است که نقض امنیتی اتفاق افتاده و مسئله این نیست که آیا یک سازمان دچار نقض امنیتی می‌شود یا خیر، بلکه مسئله این است که چه زمانی این اتفاق می‌افتد. Threat Hunting به یک مدافع تحلیلگر امنیت این امکان را می‌دهد که مثل یک مهاجم فکر کند و سؤالاتی را بپرسد از قبیل اینکه «چطور می‌توانم این شبکه را دچار نقض کنم؟»، «چطور می‌توانم از شناسایی شدن اجتناب کنم؟»، «آیا می‌توانم مهاجم را شناسایی کنم؟»، «اگر نتوانم مهاجم را شناسایی کنم به چه چیزی نیاز دارم یا چه چیزی باید تغییر کند تا من بتوانم آن‌ها را شناسایی نمایم؟»

روش علمی چیست؟

اینکه روش علمی چیست باید گفت روش علمی فرایندي آزمايشي براي سنجيدن يك فرضيه به منظور پاسخگويي به سوالات است. این روش طی صدها سال در پیشرفت علم در زمینه هایی مانند پزشکی، زیست‌شناسی، شیمی و فیزیک کاربرد داشته است. طی این فرآیند بر چیزی که محقق مشاهده کرده یا به آن اندیشیده است، تحقیق و آزمایشاتی صورت می‌گیرد.

اگرچه استفاده از این روش در زمینه‌های مختلف ممکن است کمی متفاوت باشد، این فرآیند شامل 6 عمل میباشد که به صورت زیر است:

1. سوال پرسیدن

2. انجام تحقیقات پس‌زمینه.

٣. ساخت فرضیه

4- سنجش فرضیه با آزمایش

5. يافته‌هاي آزمایش‌ و نتیجه‌گیری

6. ارائه گزارش از نتیجه‌ها

فرضیه، که بخشی حیاتی از کل فرآیند است، گزاره‌ای است که محقق با توجه به تجربه و یافته‌های تحقیقاتی خود می‌سازد تا پاسخ سوالی را بیابد. این سوال ممکن است کلی، یا مختص موضوع مورد بررسی كاربر باشد. قابل آزمایش بودن و توانایی تولید نتیجه از نشانه‌های یک فرضیه موفق است. هنگام تحقیق باید از استدلال قیاسی و استقرایی استفاده کرد. استدلال قیاسی از یک فرضیه معتبر برای رسیدن به یک نتیجه منطقی صحیح استفاده می‌کند، در حالی که استدلال استقرایی رویکردی مخالف برای رسیدن به هدف اتخاذ می‌کند. آزمایش‌ها باید شامل یک گروه آزمایش و یک گروه کنترل کننده باشند.، گروه کنترل به مقایسه می‌پردازد و درنتیجه با مقایسه نتایج با یک معیار مشخص، می‌توان تشخیص داد که آیا آزمایش موفقیت‌آمیز بوده است یا خیر.

یکی از اهداف استفاده از آزمایش در روش علمی حذف یا کاهش ریسک انسانی و در عوض اتکا به شواهد تجربی در نتیجه‌گیری است. رعایت نکردن اطمینان از وضعیت، نمونه‌ای از یک ریسک می تواند باشد.

بسته به نتایج آزمایش، ممکن است لازم باشد فرضیه اصلی اصلاح گردد، تغییر کند یا صراحتا رد شود. اگر روش علمی به طور مستمر برای آزمایش مورد استفاده قرار گیرد، نتایجی که از به‌کارگیری‌های قبلی این فرآیند به دست آمده با کسب اطلاعات جدید بهبود خواهد یافت. در برخی موارد، نتایج روش علمی ممکن است سوالات جدید و متفاوتی را برانگيزد.

فرضیه‌ای که با استفاده از روش علمی به خوبی مورد حمایت و پذیرش قرار گیرد، به عنوان تئوری شناخته می‌شود و در قالب مطالعات در مجلات علمی منتشر می‌شود. از جمله نظریه‌های معروف که در آن‌ها از روش علمی استفاده شده است، «نظریه نسبیت عام انیشتين»، «نظریه تکامل» یا «نظریه مکانیک کوانتوم» را می‌توان نام برد.

با به‌کارگیری مکرر روش علمی، نتایج به‌دست‌آمده پیکره‌ای از دانش تجمیعی را شکل خواهد داد. تکرارپذیری مطالعات منتشرشده، یکی از نتایج اصلی کاربرد روش علمی است. اگر دیگران نتوانند پژوهشی را بازتولید کنند، یعنی به همان نتایج پژوهش قبلی برسند، آن پژوهش نادرست تلقی شده و از پیکرۀ دانش علمی کنار گذاشته می‌شود. پس از اتمام فرآیند، نتایج به اصلاح فرضیه اصلی کمک می‌کند، زمینه را برای پژوهش دیگری فراهم می‌کند، باعث ایجاد سوالات جدید می‌شود، یا آن فرضیه را رد می‌کند تا محقق بتواند آن پیش‌فرض را کنار گذاشته و بر رویکرد دیگری کار کند.