هوش تهدیدات سایبری (Cyber threat intelligence) یک فناوری پویا و سازگارشونده است که در آن از دادههای قبلی در مقیاس وسیع استفاده میشود تا حملات مخرب به شبکه در آینده، مسدود و رفع شوند. هوش تهدیدات سایبری به خودی خود یک راهکار به حساب نمیآید، بلکه یک جزء حیاتی در معماری امنیت است. با توجه به اینکه همواره تهدیدات جدیدی پدید میآیند، راهکارهای امنیتی صرفاً به اندازه هوشی که دارند، مؤثر هستند.
تحلیل تهدیدات سایبری، فرآیندی است که در آن ویژگیهای تهدیدات و فایلهای مخرب، شناسایی و ارزیابی میشوند. یک تحلیل خوب برای تهدیدات سایبری را میتوان به عنوان اولویتی اصلی برای یک هوش تهدید سایبری عالی و قابل اقدام دانست.
از گذشته نیز در دفاع امنیتی به شدت بر روی اعطا و حذف دسترسیهای پیرامونی تأکید شده است. اما تهدیدات معمولاً از ترفندهایی استفاده میکنند تا خود را مخفی کرده و شناسایی نشوند. در تحلیل تهدیدات سایبری، فایلها را همواره و به صورت مستمر ارزیابی میکنند. اگر در هر مقطعی از تحلیل مشخص شود که یک فایل تهدید دارد، این تهدید ثبت شده و به طور کامل مسدود میشود.
هوش تهدیدات سایبری را میتوان به عنوان نتیجه نهایی در تحلیل تهدیدات سایبری دانست. این هوش، در واقع مجموعهای از یافتهها است که از آنها برای اقدام و دفاع در برابر تهدیدات استفاده میشود. در هوش تهدیدات سایبری، به جای آنکه دسترسیها به صورت دستی اعطا یا حذف شوند، تهدیدات مخرب ردیابی شوند و عوامل مخرب قبلی ثبت شوند، اقداماتی جامع به صورت خودکار انجام میشوند. مثلاً اگر یک فایل به عنوان فایل مخرب تشخیص داده شود، بلافاصله در کل شبکه مسدود میشود.
امروزه سازمانها میتوانند با سرمایهگذاری بر روی هوش تهدیدات سایبری، به یک پایگاه عظیم داده از تهدیدات دسترسی پیدا کرده و راهکارهای خود را بهبود بخشند. راهکارهای امنیتی نیز در پایان روز به اندازه همان هوش تهدیدی که از آن استفاده شده است، قدرت خواهند داشت.
در یک پلتفرم هوش تهدید (threat intelligence platform)، مجموعهای از اطلاعات تهدید از چندین و چند منبع دادهای با قالبهای مختلف جمعآوری شده و در کنار هم قرار میگیرد. حجم دادههای هوش تهدید بسیار زیاد است. بنابراین، پلتفرمهای هوش تهدید را به شکلی طراحی میکنند که دادههای مورد نظر در یک مکان واحد جمعآوری شده و مهمتر آنکه دادهها در قالبی قابل فهم و قابل استفاده نشان داده شوند.
داده، دادههای بیشتر و باز هم دادههای بیشتر. برای آنکه بتوان به یک هوش تهدید عملی رسید، باید دادههای مربوط به تهدیدات قبلی در اختیار باشند. تحلیل تهدیدات سایبری و قابلیتهای یادگیری ماشین، اطلاعات و دیدگاههای بسیار خوبی فراهم مینمایند. مثلاً اگر یک هوش تهدید تجاری فقط 10 داده در خصوص تهدیدات داشته باشد، میتواند 10 تهدید را به شکل پیشدستانه مسدود کرده و جلوی آنها را بگیرد. هر چه این مجموعه داده بزرگتر شود، هوش تهدید هم اطلاعات بیشتری از تهدیدات مخربی شبکه را به صورت بالقوه تهدید میکنند، به دست میآورد. با افزایش داده، الگوریتمهای تحلیلی که بر پایه یادگیری ماشین کار میکنند هم بهتر میشوند.
اگر از یک تحلیل دقیق برای تهدیدات سایبری استفاده کرده باشید، از قابلیتهای یادگیری ماشین هم بهره برده باشید و دادههای زیادی هم از تهدیدات قبلی در اختیار داشته باشید، باز هم سیستم هوش تهدیدات سایبری شما باید امکان استفاده از این ابزارها را داشته باشد تا بتواند به شکل خودکار عمل کند. اینکه سیستم شما فقط در مقابل تهدیدات شناساییشده اقدام کند، کافی نیست بلکه باید بتواند اقداماتی را به صورت پیشدستانه انجام داده و تهدیدات را به صورت دائمی مسدود کند.
تعداد تهدیدات سایبری به شکل نمایی افزایش پیدا کردهاند و به نظر میرسد که در آینده هم همین روند ادامه داشته باشد. نمیتوانید همچنان از اقدامات دستی استفاده کنید. به همین دلیل، سازمانها باید حتماً از راهکارهای مدیریت تهدید یکپارچهای (unified threat management) استفاده کنند که امکان شناسایی تهدیدات، مثلاً در آسیا را داشته و بلافاصله تهدیدات شناساییشده را در آمریکای جنوبی مسدود و رفع کنند.
هوش تهدیدات سایبری باید بتواند تهدیدات سایبری را به خوبی تحلیل کند. امروزه سازمانها با دادههای بیشتری نسبت به گذشته سر و کار دارند و به همین دلیل، هکرها انگیزههای مالی بیشتری نسبت به گذشته پیدا کردهاند. امروز هکرها بیش از پیش پیچیده و هماهنگ شدهاند. در نتیجه، مسائل و چالشهای بیشتری پدید آمدهاند که حل و فصل آنها نیاز به روشهای نوآورانهتر برای تحلیل تهدیدات سایبری دارد.
افزایش حجم تهدیدات و پیدایش سریعتر تهدیدات مشترک را میتوان به عنوان دو مورد از روندهای امروزی در حوزه دفاع در برابر تهدیدات دانست. برای آنکه بتوانید خود را با این روندها همسو ساخته و وفق دهید، هوش تهدیدات سایبری شما باید از قابلیتهای یادگیری ماشین در وضعیتهای تهدید استفاده کند. یادگیری ماشین میتواند الگوها را تشخیص داده و تهدیدات در مجموعه دادههای بزرگ را پیشبینی کند. تمام این کارها هم با سرعت ماشین انجام میشود. تیمهای عملیات امنیت میتوانند از این قابلیتها استفاده کرده و تهدیدات پیشرفته را به سرعت تشخیص داده و اولویتبندی کنند. این کار به طور معمول نیاز به تحلیلهای عمیق توسط انسان دارد. برای آنکه سازمانها بتوانند از قابلیتهای مؤثر در یادگیری ماشین استفاده کنند، باید موارد زیر را مد نظر قرار دهند:
تنوع و دقت مجموعه داده. برای آنکه بتوان به یک پوشش جامع دست یافت، لازم است تا بدافزارهایی که سازمانها در صنایع مختلف با اندازهها و مکانهای جغرافیایی مختلف با آنها روبرو میشوند، به شکل متوازن نشان داده شده و به صورت بردارهای مختلف تهدید ارائه شوند.
پردازش چندلایهای. هر یک از مراحل پردازش در خط لوله یادگیری ماشین باید جزئیات و دقت تشخیص را افزایش دهند تا مطمئن شویم که تیمهای امنیتی ما با تشخیصهای اولویتدار و محتوای قوی سر و کار دارند.
رابطه بین دادهها در نقطه انتهایی و دادههای شبکه. سیستم باید با پیداکردن رابطه بین نتایج حاصل از پردازش در هر یک از لایهها، تشخیصها را تقویت کرده، دقت را افزایش داده، قابلیتهای یادگیری توسط خود ماشین را بهبود بخشیده و تهدیدات بیشتری را با سرعت بیشتر تشخیص دهد.
تخصص بیشتر در مورد دامنه و دستهبندیکنندههایی که همواره آموزش میبینند. کسب اطلاعات بیشتر در خصوص دامنه و یادگیری مستمر را میتوان به عنوان اجزایی حیاتی در ایجاد یک سیستم قدرتمند برای یادگیری ماشین دانست که دیگر، دستکاری و تغییر در آن ساده نخواهد بود.