ما المقصود بصيد التهديدات؟

يُعدّ صيد التهديدات أمرًا مهمًا لأنه يساعد المؤسسات على تعزيز أوضاعها الأمنية ضد برامج الفدية الضارة والتهديدات الداخلية وغيرها من الهجمات الإلكترونية التي قد لا تتم ملاحظتها.

في حين يمكن للأدوات الأمنية المؤتمتة ومحللي مركز العمليات الأمنية اليقظين (SOC) اكتشاف معظم تهديدات الأمن الإلكتروني قبل أن تحدث أضرارًا كبيرة، إلا أن بعض التهديدات المتطورة يمكن أن تتخطى هذه الدفاعات.

عندما تتمكن جهة خبيثة من اختراق نظام ما، يمكن أن تتوارى لأسابيع أو حتى أشهر قبل أن يتم اكتشافها. وفقًا لتقرير تكلفة اختراق أمن البيانات الصادر عن IBM، يستغرق الأمر 194 يومًا في المتوسط لتحديد حدوث اختراق أمني للبيانات. وطوال هذه الفترة، يقوم المخترقون بسحب البيانات وسرقة بيانات الاعتماد لكسب المزيد من الوصول.

ما مقدار الضرر الذي يمكن أن تسببه هذه التهديدات المحتملة؟ وفقًا لتقرير تكلفة اختراق أمن البيانات، فإن متوسط تكلفة الاختراق هو 4.88 مليون دولار أمريكي. وكلما طالت الفترة الزمنية بين الوصول الأولي واحتواء الاختراق، زادت تكلفة الاختراق التي تتحملها المؤسسة.

يتضمن صيد التهديدات الفعّال قيام فرق الأمن بالبحث بشكل استباقي عن هذه التهديدات الخفية. لذا، يمكن للمؤسسات اكتشاف الاختراقات ونشر إجراءات التخفيف بسرعة أكبر بكثير، ما يقلل من الأضرار التي يمكن أن يسببها المخترقون.

صائدو التهديدات الإلكترونية هم محترفون مهرة في مجال الأمن الإلكتروني. وعادةً ما يكونون محللين أمنيين من داخل قسم تكنولوجيا المعلومات في الشركة ويعرفون عمليات المؤسسة جيدًا، لكنهم في بعض الأحيان يكونون محللين خارجيين. تستخدم فرق صيد التهديدات الأتمتة الأمنية للمساعدة على البحث عن التهديدات وتسجيلها ومراقبتها وتحييدها قبل أن تتسبب في حدوث مشكلات خطيرة.

تعتمد برامج صيد التهديدات على البيانات، وعلى وجه التحديد، مجموعات البيانات التي تجمعها أنظمة الكشف عن التهديدات في المؤسسة والحلول الأمنية المؤسسية الأخرى. 

وفي أثناء عملية صيد التهديدات، يقوم صائدو التهديدات بتمشيط هذه البيانات الأمنية بحثًا عن البرامج الضارة المخفية والمخترقين المتخفين وأي علامات أخرى على نشاط مشبوه ربما أغلقته الأنظمة المؤتمتة. 

عندما يعثر صائدو التهديدات على شيء ما، يندفعون إلى العمل، فيقضون على التهديد ويعززون الدفاعات للتأكد من عدم حدوثه مرة أخرى.

يبدأ الصيّادون بفرضية تستند إلى ملاحظاتهم أو البيانات الأمنية أو بعض المحفزات الأخرى. تعمل الفرضية كنقطة انطلاق لتحقيق أكثر تعمقًا في التهديدات المحتملة.

تتخذ التحقيقات عادةً شكلاً من ثلاثة أشكال: الصيد المنظم، أو الصيد غير المنظم، أو الصيد الظرفي.

يعتمد الصيد المستند إلى المعلومات على مؤشرات الاختراق من مصادر معلومات التهديدات. ويستخدم صائدو التهديدات أدوات مثل أنظمة إدارة معلومات الأمان والأحداث (SIEM) لمراقبة مؤشرات الاختراق المعروفة، مثل قيم التجزئة وعناوين IP وأسماء النطاقات ومكونات المضيف. عندما يتم اكتشاف مؤشرات الاختراق، يقوم صائدو التهديدات بالتحقيق في الأنشطة الضارة المحتملة من خلال فحص حالة الشبكة قبل التنبيه وبعده.

تسترشد عمليات الصيد المستندة إلى الفرضيات بالفرضيات المسجلة في أطر عمل مثل MITRE ATT&CK. وتستكشف عمليات الصيد المستندة إلى الفرضيات ما إذا كان بإمكان المخترقين استخدام أساليب معينة للوصول إلى شبكة معينة. عند تحديد سلوك ما، يمكن لصائدي التهديدات مراقبة أنماط النشاط لاكتشاف أي تهديدات تستخدم هذا السلوك وتحديدها وعزلها. 

ونظرًا لطبيعتها الاستباقية، يمكن أن تساعد عمليات الصيد المستندة إلى الفرضيات على تحديد التهديدات المستمرة المتقدمة (APT) وإيقافها قبل أن تتسبب في حدوث أضرار جسيمة.

يعتمد الصيد المخصص على سياق المؤسسة: الحوادث الأمنية السابقة والقضايا الجيوسياسية والهجمات المستهدفة والتنبيهات من أنظمة الأمن وعوامل أخرى. يمكن لعمليات الصيد المخصصة أن تجمع بين سمات منهجيات الصيد المستندة إلى المعلومات ومنهجيات الصيد المستندة إلى الفرضيات. 

تستخدم فرق الأمن أدوات مختلفة للمساعدة على صيد التهديدات. وتشمل بعض الأدوات الأكثر شيوعًا ما يلي:

إدارة المعلومات والأحداث الأمنية (SIEM) هو حل أمني يساعد المؤسسات على التعرف على التهديدات والثغرات الأمنية ومعالجتها قبل أن تتاح لها الفرصة لتعطيل عمليات الأعمال. إذ يمكن أن تساعد حلول إدارة المعلومات والأحداث الأمنية (SIEM) على اكتشاف الهجمات في وقت مبكر وتقليل عدد الإيجابيات الخاطئة التي يجب على صائدي التهديدات التحقيق فيها.

يستخدم برنامج كشف نقاط النهاية والاستجابة لها (EDR) التحليلات في الوقت الفعلي والأتمتة القائمة على الذكاء الاصطناعي لحماية المستخدمين النهائيين وأجهزة نقطة النهاية وأصول تكنولوجيا المعلومات في المؤسسة لمواجهة التهديدات الإلكترونية التي تتجاوز حدود أدوات أمن نقاط النهاية التقليدية.

الكشف والاستجابة المُدارة (MDR) هي خدمة أمن إلكتروني تراقب التهديدات وتكتشفها وتستجيب لها في الوقت الفعلي. فهي تجمع بين التكنولوجيا المتقدمة وتحليلات الخبراء لدفع عملية البحث الاستباقي عن التهديدات وتمكين الاستجابة الفعّالة للحوادث وإجراء معالجة سريعة للتهديدات.

تقدم هذه الأنظمة معارف أعمق بشأن البيانات الأمنية من خلال الجمع بين البيانات الكبيرة وأدوات التعلم الآلي والذكاء الاصطناعي المتطورة. يمكن للتحليلات الأمنية تسريع عملية صيد التهديدات الإلكترونية من خلال توفير بيانات تفصيلية قابلة للرصد.

معلومات التهديدات، وتسمى أيضًا ”معلومات التهديدات الإلكترونية“، هي معلومات تفصيلية قابلة للتنفيذ يمكن للمؤسسات استخدامها لمنع تهديدات الأمن الإلكتروني ومكافحتها.

توفر معلومات التهديدات للمؤسسات معارف ثاقبة حول أحدث التهديدات التي تستهدف شبكاتها ومشهد التهديدات الأوسع نطاقًا. 

يستخدم صائدو التهديدات معلومات التهديدات لإجراء عمليات بحث شاملة على مستوى النظام عن الجهات الخبيثة. وبعبارة أخرى، تبدأ عملية صيد التهديدات من حيث تنتهي معلومات التهديدات. فهي تحول معارف معلومات التهديدات إلى إجراءات ملموسة ضرورية للقضاء على التهديدات الحالية ومنع الهجمات المستقبلية.