يُعدّ صيد التهديدات، والمعروف أيضًا باسم صيد التهديدات الإلكترونية، نهجًا استباقيًا لتحديد التهديدات الإلكترونية غير المعروفة سابقًا أو المستمرة حاليًا داخل شبكة المؤسسة.
يُعدّ صيد التهديدات أمرًا مهمًا لأنه يساعد المؤسسات على تعزيز أوضاعها الأمنية ضد برامج الفدية الضارة والتهديدات الداخلية وغيرها من الهجمات الإلكترونية التي قد لا تتم ملاحظتها.
في حين يمكن للأدوات الأمنية المؤتمتة ومحللي مركز العمليات الأمنية (SOC) اليقظين اكتشاف معظم تهديدات الأمن السيبراني قبل أن تحدث أضرارًا كبيرة، إلا أن بعض التهديدات المتطورة يمكن أن تتخطى هذه الدفاعات.
عندما يتدخل شخص خبيث الغرض في نظام ما، يمكنه أن يتربص لأسابيع أو حتى أشهر قبل اكتشافه. وفقًا لتقرير تكلفة اختراق أمن البيانات الصادر عن IBM، يستغرق الأمر 181 يومًا في المتوسط لتحديد حدوث اختراق أمن البيانات . وطوال هذا الوقت، يقوم المهاجمون بسحب البيانات وسرقة بيانات الاعتماد للحصول على مزيد من صلاحيات الوصول.
ما مقدار الضرر الذي يمكن أن تسببه هذه التهديدات المحتملة؟ وفقًا لتقرير تكلفة اختراق أمن البيانات، فإن متوسط تكلفة الاختراق هو 4.88 مليون دولار أمريكي. وكلما طالت الفترة الزمنية بين الوصول الأولي واحتواء الاختراق، زادت تكلفة الاختراق التي تتحملها المؤسسة.
يتضمن صيد التهديدات الفعّال قيام فرق الأمن بالبحث بشكل استباقي عن هذه التهديدات الخفية. لذا، يمكن للمؤسسات اكتشاف الاختراقات ونشر إجراءات التخفيف بسرعة أكبر بكثير، ما يقلل من الأضرار التي يمكن أن يسببها المخترقون.
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
صائدو التهديدات الإلكترونية هم محترفون مهرة في مجال الأمن السيبراني. وعادةً ما يكونون محللين أمنيين من داخل قسم تكنولوجيا المعلومات في الشركة ويعرفون عمليات المؤسسة جيدًا، لكنهم في بعض الأحيان يكونون محللين خارجيين. تستخدم فرق صيد التهديدات الأتمتة الأمنية للمساعدة على البحث عن التهديدات وتسجيلها ومراقبتها وتحييدها قبل أن تتسبب في حدوث مشكلات خطيرة.
تعتمد برامج صيد التهديدات على البيانات - وعلى وجه التحديد، مجموعات البيانات التي تجمعها أنظمة الكشف عن التهديدات في المؤسسة والحلول الأمنية المؤسسية الأخرى.
وفي أثناء عملية صيد التهديدات، يقوم صائدو التهديدات بتمشيط هذه البيانات الأمنية بحثًا عن البرامج الضارة المخفية والمخترقين المتخفين وأي علامات أخرى على نشاط مشبوه ربما أغلقته الأنظمة المؤتمتة.
عندما يعثر صائدو التهديدات على شيء ما، يندفعون إلى العمل، فيقضون على التهديد ويعززون الدفاعات للتأكد من عدم حدوثه مرة أخرى.
يبدأ الصيّادون بفرضية تستند إلى ملاحظاتهم أو البيانات الأمنية أو بعض المحفزات الأخرى. تعمل الفرضية كنقطة انطلاق لتحقيق أكثر تعمقًا في التهديدات المحتملة.
تتخذ التحقيقات عادةً شكلاً من ثلاثة أشكال: الصيد المنظم، أو الصيد غير المنظم، أو الصيد الظرفي.
توجه أطر العمل الرسمية، مثل إطار عمل MITRE للأساليب والتقنيات والمعرفة المعادية المشتركة (ATT&CK)، عمليات الصيد المنظمة. فهي تبحث عن مؤشرات محددة للهجوم (IoA) والأساليب والتقنيات والإجراءات (TTPs) الخاصة بجهات التهديد المعروفة.
يكون الصيد غير المنظم أكثر تفاعلية من الصيد المنظم. وغالبًا ما يتم تشغيله من خلال اكتشاف مؤشر اختراق (IoC) في نظام المؤسسة. ثم يبحث الصيادون عن سبب الاختراق وما إذا كان لا يزال موجودًا في الشبكة.
الصيد الظرفي هو استجابة للوضع الفريد للمؤسسة. وعادةً ما يكون مدفوعًا بنتائج تقييم داخلي للمخاطر أو تحليل الاتجاهات والثغرات في بيئة تكنولوجيا المعلومات.
تركز عمليات الصيد القائمة على الكيانات بشكل خاص على الأصول والأنظمة المهمة في الشبكة. ويحدد صائدو التهديدات التهديدات الإلكترونية التي قد تشكل خطرًا على هذه الكيانات ويبحثون عن علامات الاختراقات المستمرة.
يعتمد الصيد المستند إلى المعلومات على مؤشرات الاختراق من مصادر معلومات التهديدات. ويستخدم صائدو التهديدات أدوات مثل أنظمة إدارة المعلومات والأحداث الأمنية (SIEM) لمراقبة مؤشرات الاختراق المعروفة، مثل قيم التجزئة وعناوين IP وأسماء النطاقات ومكونات المضيف. عندما يتم اكتشاف مؤشرات الاختراق، يقوم صائدو التهديدات بالتحقيق في الأنشطة الضارة المحتملة من خلال فحص حالة الشبكة قبل التنبيه وبعده.
تسترشد عمليات الصيد المستندة إلى الفرضيات بالفرضيات المسجلة في أطر عمل مثل MITRE ATT&CK. وتستكشف عمليات الصيد المستندة إلى الفرضيات ما إذا كان بإمكان المخترقين استخدام أساليب معينة للوصول إلى شبكة معينة. عند تحديد سلوك ما، يمكن لصائدي التهديدات مراقبة أنماط النشاط لاكتشاف أي تهديدات تستخدم هذا السلوك وتحديدها وعزلها.
ونظرًا لطبيعتها الاستباقية، يمكن أن تساعد عمليات الصيد المستندة إلى الفرضيات على تحديد التهديدات المستمرة المتقدمة (APT) وإيقافها قبل أن تتسبب في حدوث أضرار جسيمة.
يعتمد الصيد المخصص على سياق المؤسسة: الحوادث الأمنية السابقة والقضايا الجيوسياسية والهجمات المستهدفة والتنبيهات من أنظمة الأمن وعوامل أخرى. يمكن لعمليات الصيد المخصصة أن تجمع بين سمات منهجيات الصيد المستندة إلى المعلومات ومنهجيات الصيد المستندة إلى الفرضيات.
تستخدم فرق الأمن أدوات مختلفة للمساعدة على صيد التهديدات. وتشمل بعض الأدوات الأكثر شيوعًا ما يلي:
إدارة المعلومات والأحداث الأمنية (SIEM) هو حل أمني يساعد المؤسسات على التعرف على التهديدات والثغرات الأمنية ومعالجتها قبل أن تتاح لها الفرصة لتعطيل عمليات الأعمال. إذ يمكن أن تساعد حلول إدارة المعلومات والأحداث الأمنية (SIEM) على اكتشاف الهجمات في وقت مبكر وتقليل عدد الإيجابيات الخاطئة التي يجب على صائدي التهديدات التحقيق فيها.
يستخدم برنامج كشف نقاط النهاية والاستجابة لها (EDR) التحليلات في الوقت الفعلي والأتمتة القائمة على الذكاء الاصطناعي لحماية المستخدمين النهائيين وأجهزة نقطة النهاية وأصول تكنولوجيا المعلومات في المؤسسة لمواجهة التهديدات الإلكترونية التي تتجاوز حدود أدوات أمن نقاط النهاية التقليدية.
الكشف والاستجابة المُدارة (MDR) هي خدمة أمن سيبراني تراقب التهديدات وتكتشفها وتستجيب لها في الوقت الفعلي. فهي تجمع بين التكنولوجيا المتقدمة وتحليلات الخبراء لدفع عملية البحث الاستباقي عن التهديدات وتمكين الاستجابة الفعّالة للحوادث وإجراء معالجة سريعة للتهديدات.
تقدم هذه الأنظمة معارف أعمق بشأن البيانات الأمنية من خلال الجمع بين البيانات الكبيرة وأدوات التعلم الآلي والذكاء الاصطناعي المتطورة. يمكن للتحليلات الأمنية تسريع عملية صيد التهديدات الإلكترونية من خلال توفير بيانات تفصيلية قابلة للرصد.
معلومات التهديدات، وتسمى أيضًا "معلومات التهديدات الإلكترونية"، هي معلومات تفصيلية قابلة للتنفيذ يمكن للمؤسسات استخدامها لمنع تهديدات الأمن السيبراني ومكافحتها.
توفر معلومات التهديدات للمؤسسات معارف ثاقبة حول أحدث التهديدات التي تستهدف شبكاتها ومشهد التهديدات الأوسع نطاقًا.
يستخدم صائدو التهديدات معلومات التهديدات لإجراء عمليات بحث شاملة على مستوى النظام عن الجهات الخبيثة. وبعبارة أخرى، تبدأ عملية صيد التهديدات من حيث تنتهي معلومات التهديدات. فهي تحول معارف معلومات التهديدات إلى إجراءات ملموسة ضرورية للقضاء على التهديدات الحالية ومنع الهجمات المستقبلية.
تعزيز الأمان والامتثال من خلال خدمات إدارة الهوية والوصول (IAM) من IBM، مع تبسيط إدارة الهوية عبر البيئات السحابية الهجينة.
تحسين برنامج الأمن الخاص بك باستخدام خدمات الاستجابة للتهديدات العالمية والمستقلة عن المورِّدين من IBM.
بناء أساس آمن للهوية مع IBM Verify لتبسيط الوصول، وتعزيز المصادقة، والتوسع بثقة.