استعلامات التهديدات—والتي تسمى أيضًا استعلامات التهديد السيبراني (CTI) أو threat intel—هي معلومات مفصلة وقابلة للتنفيذ حول تهديدات الأمن السيبراني . تساعد استعلامات التهديدات فرق الأمن على اتباع نهج أكثر استباقية للكشف عن الهجمات السيبرانية وتخفيفها ومنعها.
استعلامات التهديدات هي أكثر من مجرد معلومات عن التهديدات الأولية. بل هي معلومات التهديدات التي تم ربطها وتحليلها لمنح المتخصصين في مجال الأمن فهمًا متعمقًا للتهديدات المحتملة التي تواجهها مؤسساتهم—بما في ذلك كيفية مواجهتها.
وبشكل أكثر تحديدًا، تتسم استعلامات التهديدات بثلاث خصائص رئيسية تميزها عن معلومات التهديدات الأولية:
خاصة بالمؤسسة: تتجاوز استعلامات التهديدات المعلومات العامة حول التهديدات والهجمات الافتراضية. وبدلاً من ذلك، تركز على الوضع الفريد للمؤسسة: الثغرات الأمنية المحددة في سطح هجوم المؤسسة، والهجمات التي تتسبب فيها هذه الثغرات، والأصول التي تكشفها.
تفصيلية وسياقية: تغطي استعلامات التهديدات أكثر من مجرد التهديدات المحتملة للمجموعة. كما تغطي أيضًا عناصر التهديد التي تقف وراء الهجمات، والأساليب والتقنيات والإجراءات التي تستخدمها ومؤشرات الاختراق التي قد تشير إلى هجوم إلكتروني ناجح.
قابلة للتنفيذ: تمنح استعلامات التهديدات فرق أمن المعلومات رؤى يمكنهم استخدامها لمعالجة الثغرات الأمنية وتحديد أولويات التهديدات ومعالجة المخاطر وتحسين الوضع الأمني العام.
وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، فإن متوسط تكلفة اختراق أمن البيانات تبلغ 4.88 ملايين دولار أمريكي. تمثل تكاليف الاكتشاف والتصعيد الجزء الأكبر من ذلك المبلغ، حيث تبلغ 1.63 مليون دولار أمريكي.
توفر برامج معلومات التهديدات للمتخصصين في مجال الأمن المعلومات التي يمكن أن تساعد على اكتشاف الهجمات في أقرب وقت—ومنع حدوث بعض الهجمات من البداية. جدير بالذكر أن هذه الاستجابات الأسرع والأكثر فعالية يمكن أن تخفض تكاليف الكشف وتحد بشكل كبير من تأثير الاختراقات الناجحة.
دورة حياة استعلامات التهديدات هي عملية متكررة ومستمرة تقوم من خلالها فرق الأمن بإصدار معلومات التهديدات ومشاركتها. في حين أن التفاصيل يمكن أن تختلف من مؤسسة إلى أخرى، فإن معظم فرق استعلامات التهديدات تتبع نسخة من العملية نفسها المكونة من ست خطوات.
يتعاون محللو الأمن مع الأطراف المؤسسية المعنية من أجل تحديد متطلبات المعلومات. ويمكن أن تشمل الأطراف المعنية القادة التنفيذيين ورؤساء الأقسام وأعضاء فريق تكنولوجيا المعلومات والفريق الأمني وأي شخص آخر مشارك في عملية صنع القرار في مجال الأمن السيبراني.
متطلبات الاستعلامات هي، بشكل أساسي، الأسئلة التي يجب على استعلامات التهديدات الإجابة عنها للأطراف المعنية. على سبيل المثال، قد يرغب المدير التنفيذي لأمن المعلومات (CISO) في معرفة ما إذا كان من المرجح أن تؤثر سلالة جديدة من برامج الفدية التي تتصدر عناوين الأخبار على المؤسسة.
يجمع فريق الأمن بيانات التهديدات الأولية لتلبية متطلبات الاستعلامات والإجابة عن أسئلة الأطراف المعنية.
على سبيل المثال، إذا كان فريق أمني يحقق في سلالة جديدة من برمجيات الفدية الخبيثة، فقد يجمع معلومات عن عصابة برمجيات الفدية الخبيثة التي تقف وراء الهجمات. قد يبحث الفريق أيضًا في أنواع المؤسسات التي استهدفتها في الماضي ونواقل الهجوم التي استغلتها لإصابة الضحايا السابقين.
يمكن أن تأتي بيانات التهديد هذه من مصادر مختلفة. وتشمل بعض المصادر الأكثر شيوعًا ما يلي:
مواجز استعلامات التهديدات هي تدفقات من معلومات التهديدات في الوقت الفعلي. قد يكون الاسم مضللاً في بعض الأحيان: ففي حين أن بعض المواجز تتضمن استعلامات التهديدات التي تمت معالجتها أو تحليلها، فإن البعض الآخر يتكون من بيانات التهديدات الأولية (تسمى أحيانًا مواجز بيانات التهديدات).
عادةً ما تشترك الفرق الأمنية في العديد من المصادر المفتوحة المصدر والمواجز التجارية التي توفرها مختلف خدمات استعلامات التهديدات. ويمكن للمواجز المختلفة أن تتناول أشياء مختلفة.
على سبيل المثال، قد تكون لدى المؤسسة مواجز منفصلة لكل من هذه الأغراض:
تتبع مؤشرات الخطر للهجمات الشائعة
تجميع أخبار الأمن السيبراني
توفير تحليلات تفصيلية لسلالات البرمجيات الخبيثة الجديدة
البحث في وسائل التواصل الاجتماعي وشبكة الإنترنت الخفية عن محادثات حول التهديدات الإلكترونية الناشئة
مجتمعات تبادل المعلومات هي منتديات وجمعيات مهنية ومجتمعات أخرى يتبادل فيها المحللون الخبرات المباشرة والمعارف وبيانات التهديدات وغيرها من المعلومات مع بعضهم.
تدير العديد من قطاعات البنية التحتية الحيوية في الولايات المتحدة—مثل قطاعات الرعاية الصحية والخدمات المالية والنفط والغاز—مراكز تبادل المعلومات والتحليل (ISACs) الخاصة بكل قطاع. وتنسق هذه المراكز مع بعضها من خلال المجلس الوطني لمراكز تبادل المعلومات والتحليل (NSI).
على الصعيد الدولي، تدعم منصة MISP مفتوحة المصدر لمشاركة معلومات التهديدات العديد من مجتمعات تبادل المعلومات المنظمة حول مواقع وصناعات ومواضيع مختلفة. وقد حصلت منصة MISP على دعم مالي من كل من حلف شمال الأطلسي والاتحاد الأوروبي.
يمكن أن توفر البيانات المستمدة من الحلول الأمنية الداخلية وأنظمة الكشف عن التهديدات معارف قيمة حول التهديدات الإلكترونية الفعلية والمحتملة. وتشمل المصادر الشائعة لسجلات الأمن الداخلي ما يلي:
توفر سجلات الأمن الداخلي سجلاً للتهديدات والهجمات الإلكترونية التي واجهتها المؤسسة، ويمكن أن تساعد على الكشف عن أدلة لم يتم التعرف عليها من قبل على وجود تهديدات داخلية أو خارجية.
وعادةً ما يتم تجميع المعلومات من هذه المصادر المتباينة في لوحة تحكم مركزية، مثل إدارة معلومات الأمان والأحداث أو منصة مخصصة لمعلومات التهديدات، لتسهيل الإدارة والمعالجة المؤتمتة.
في هذه المرحلة، يقوم محللو الأمن بتجميع وتوحيد وربط البيانات غير منسقة التي جمعوها لتسهيل التحليل. قد تتضمن المعالجة تطبيق MITRE ATT&CK أو إطار العمل لاستعلامات التهديدات لوضع البيانات في سياقها، وتصفية الإيجابيات الخاطئة وتجميع الحوادث المتشابهة.
تعمل العديد من أدوات استعلامات التهديدات على أتمتة هذه المعالجة باستخدام الذكاء الاصطناعي (AI) والتعلم الآلي لربط معلومات التهديد من مصادر متعددة وتحديد الاتجاهات أو الأنماط الأولية في البيانات. تتضمن بعض منصات استعلامات التهديدات الآن نماذج الذكاء الاصطناعي التوليدي التي يمكنها المساعدة في تفسير بيانات التهديد وتوليد خطوات العمل بناءً على تحليلها.
التحليل هو النقطة التي تتحول فيها بيانات التهديدات الأولية إلى استعلامات تهديدات حقيقية. في هذه المرحلة، يستخلص المحللون الأمنيون المعارف التي يحتاجونها لتلبية متطلبات المعلومات والتخطيط لخطواتهم التالية.
على سبيل المثال، قد يجد المحللون الأمنيون أن العصابة المرتبطة بسلالة جديدة من برامج الفدية الضارة قد استهدفت شركات أخرى في مجال عمل المؤسسة. فتشير هذه النتيجة إلى أن هذه السلالة من برامج الفدية الضارة قد تمثل مشكلة للمؤسسة أيضًا.
وباستخدام هذه المعلومات، يمكن للفريق تحديد الثغرات الأمنية في البنية التحتية لتكنولوجيا المعلومات في المؤسسة التي قد تستغلها العصابة و الضوابط الأمنية التي يمكن استخدامها للتخفيف من تلك الثغرات.
يشارك الفريق الأمني معارفه وتوصياته مع الأطراف المعنية. يمكن اتخاذ إجراءات بناءً على هذه التوصيات، مثل إنشاء قواعد جديدة للكشف عن إدارة المعلومات والأحداث الأمنية (SIEM) لاستهداف مؤشرات التهديد التي تم تحديدها حديثًا أو تحديث جدران الحماية لحظر عناوين بروتوكول الإنترنت وأسماء النطاقات المشتبه فيها.
تتكامل العديد من أدوات معلومات التهديدات وتتشارك البيانات مع الأدوات الأمنية مثل SOARs و XDRs وأنظمة إدارة الثغرات الأمنية. يمكن لهذه الأدوات استخدام استعلامات التهديدات لإنشاء تنبيهات تلقائية للهجمات النشطة، وتعيين درجات المخاطر لتحديد أولويات التهديدات، وتحفيز إجراءات الاستجابة الأخرى.
في هذه المرحلة، يفكّر الأطراف المعنيون والمحللون في أحدث دورة لاستعلامات التهديدات لتحديد ما إذا كانت المتطلبات قد استوفيت. وسيتم توجيه أي أسئلة جديدة تنشأ أو أي ثغرات معلوماتية جديدة يتم تحديدها إلى الجولة التالية من دورة الحياة.
تصدر الفرق الأمنية أنواعًا مختلفة من الاستعلامات وتستخدمها، بحسب أهدافها. وتشمل أنواع استعلامات التهديد ما يلي:
تساعد استعلامات التهديدات التكتيكية مراكز العمليات الأمنية (SOCs) على التنبؤ بالهجمات المستقبلية واكتشاف الهجمات الجارية بشكل أفضل.
تحدد استعلامات التهديدات هذه عادةً مؤشرات الاختراق الشائعة، مثل عناوين بروتوكول الإنترنت المرتبطة بخوادم التحكم والسيطرة، أو قيم تجزئة الملفات لهجمات البرامج الضارة المعروفة، أو عناوين مواضيع البريد الإلكتروني لهجمات التصيد الاحتيالي.
بالإضافة إلى مساعدة فرق الاستجابة للحوادث في اعتراض الهجمات، يُستخدم ذكاء التهديدات التكتيكي أيضًا من قِبل فرق صيد التهديدات لتعقب التهديدات المستمرة المتقدمة (APTs) والمهاجمين النشطين الآخرين المختبئين.
تُعد استعلامات التهديدات التشغيلية أوسع نطاقًا وأكثر تطورًا من استعلامات التهديدات التكتيكية. إذ تركز على فهم أساليب التهديدات التكتيكية وسلوكيات الجهات الفاعلة في مجال التهديدات—نواقل الهجوم التي تستخدمها، والثغرات التي تستغلها، والأصول التي تستهدفها وغيرها من الخصائص المميزة.
يستخدم صانعو القرار في مجال أمن المعلومات استعلامات التهديدات التشغيلية لتحديد الجهات الفاعلة في مجال التهديدات التي من المحتمل أن تهاجم مؤسساتهم وتحديد الضوابط الأمنية ووضع إستراتيجيات التخفيف من المخاطر التي يمكن أن تحبط هجماتها بفعالية.
استعلامات التهديدات الإستراتيجية هي معلومات استخباراتية رفيعة المستوى حول مشهد التهديدات العالمية ومكانة المؤسسة داخلها. تمنح استعلامات التهديدات الإستراتيجية صانعي القرار من خارج مجال تكنولوجيا المعلومات، مثل المديرين التنفيذيين وغيرهم من المسؤولين التنفيذيين، فهمًا للتهديدات الإلكترونية التي تواجهها مؤسساتهم.
تركز استعلامات التهديدات الاستراتيجية عادةً على قضايا مثل الأوضاع الجيوسياسية، أو اتجاهات التهديدات السيبرانية في صناعة معينة، أو كيف ولماذا قد يتم استهداف الأصول الاستراتيجية للمجموعة. يستخدم الأطراف المعنية استعلامات التهديدات الاستراتيجية لمواءمة استراتيجيات إدارة المخاطر التنظيمية والاستثمارات الأوسع نطاقًا مع مشهد التهديدات السيبرانية.