يمكننا تعريف الكشف عن التهديدات بأنه قدرة المؤسسة على مراقبة الأحداث في بيئة تكنولوجيا المعلومات الخاصة بها واكتشاف الحوادث الأمنية الحقيقية. و عادة ما يتكامل هذا الجهد مع منع التهديدات هو القدرة على منع تهديدات معينة قبل أن تخترق بيئة المؤسسة أو قبل أن تسبب الضرر. يسير الاكتشاف والوقاية جنباً إلى جنب. لمنع التهديدات ، يجب أن تكون قادراً على اكتشافها في الوقت الفعلي. تستخدم المنظمات الأمنية أدوات متطورة لاكتشاف ومنع التهديدات. يمثل نظام معلومات الأمان وإدارة الأحداث (SIEM) أحد أدوات اكتشاف التهديدات.
كشفت دراسة حديثة لـ Verizon أن أكثر من نصف الانتهاكات يتم الكشف عنها من قبل الفاعل المهدِّد نفسه بعد نجاح الخرق. تتطور استمرار تطور الهجمات من حيث الأساليب. لذلك تحتاج فرق الأمن إلى إعطاء الأولوية لاكتشاف التهديدات حتى يتمكنوا من تحديد النشاط المشبوه قبل حدوث الخرق.
يرتبط اكتشاف التهديدات اليوم بالطرق التي يجب استخدامها و كذلك بالبيانات. تمثل سجلات المخدمات و الحواسب نقطة البداية. ولكن سيكون هناك نقاط عمياء في ذلك الجهد إذا لم تمتد رؤية الكشف عن التهديدات إلى الشبكة والسحابة أيضاً. تحتاج الفرق إلى النظر في البيانات التي يجب استخدامها ، وكيف يمكن أن تشير البيانات إلى نشاط مشبوه ، وما يمكن توقعه. يشارك معكم روبودين هذه المقالة لـ Andrew Hollister الذي يناقش فيها ثلاث طرق اكتشاف رئيسية – التوقيع signature، السلوك behavioral learning ، والتعلم الآليmachine learning. و كذلك يشرح لماذا جميع هذه الطرق ضرورية للأمن السيبراني للمؤسسات.
الكشف عن التهديدات باستخدام التوقيع
تشمل طرق الكشف القائمة على التوقيع Signature-based detection البحث عن المؤشرات، كأسماء الملفات أو أيكلمات مفتاحية تظهر في ملف مرتبط بالنشاط الضار. على سبيل المثال: اسم ملف معروف مرتبط ببرنامج ضار مثل c: \ windows \ system32 \ bigdrop.exe . أو ملف لديه Hash يطابق البرامج الضارة المعروفة. ولكن هناك المزيد من التوقيعات أيضاً. مثل القيم الجديدة التي يستخدمها المهاجمون للبحث عن PowerShell. أو برنامج Microsoft Word الذي يطلق برنامج PowerShell.
كانت الأساليب القائمة على التوقيع موجودة منذ فترة طويلة ويمكن استخدامها لكل من عمليات الكشف القائمة على نقطة النهاية والشبكة. على سبيل المثال ، يستخدم Snort ، وهو نظام مفتوح المصدر لمنع التطفل (IPS) قواعد للكشف عن نشاط الشبكة الضار وينشئ تنبيهات لمحللي الأمن لمراجعتها. و هو بذلك يعتبر نظاماً ممتازاً للتسجيل حيث يمكن العثور على هجمات يعود تاريخها إلى 20 عاماً. تسمح المكتبات الضخمة داخل أنظمة الكشف القائمة على التوقيع لمطاردي التهديدات بالرجوع إلى مؤشرات البرامج الضارة حتى القديمة جداً منها.
تعتبر طرق الكشف القائمة على التوقيع رائعة في تحديد الهجمات المعروفة ، لكنها لا تستطيع مساعدتك إذا كان المهاجم يستخدم تقنيات جديدة أو تعديلات طفيفة على الأساليب القديمة. كذلك فإن غياب الأتمتة يزيد صعوبة إدارة هذا النوع من أنواع اكتشاف التهديدات .
الكشف عن التهديدات القائم على السلوك
تعد طرق الكشف القائمة على السلوك طريقة ممتازة لتحديد السلوك غير الطبيعي. قد يشير هذا السلوك إلى هجمات ضارة على نقاط النهاية والأجهزة وما إلى ذلك. يستخدم محللو الأمان مجموعة متنوعة من الأساليب لإنشاء أنماط أساسية للمقارنة baselines للمستخدمين. و يتم لاحقاً مقارنة تلك الأنماط مع أي إجراءات غير قياسية تم اكتشافها. على سبيل المثال ، يمكنك إنشاء أساس baselines لاستخدام التطبيقات لمستخدم ومقارنته مع أقرانه. حينها يمكن اللإبلاغ عن أشياء مثل استخدام تطبيق لم يستخدم من قبل أو ربما تسجيل الدخول من موقع لم يسبق له زيارته من قبل.
تتطلب طرق الكشف هذه تحديثات منتظمة لسلوك المستخدمين و التطبيقات الحالي. من الخطأ الاعتماد على نمط مقارنة تم إنشاؤه مرة واحدة فقط. فسلوك المستخدم يتغير دائماً ، لذلك يحتاج نموذج المقارنة إلى التحديث بانتظام لمراعاة السلوك الجديد والمختلف وغير المشبوه. يمكن لبعض الأدوات أن تبني خطوطاً أساسية للسلوك تلقائياً ، بينما تتطلب أدوات أخرى تدخلاً يدوياً.
طرق كشف التهديدات المستندة إلى التعلم الآليMachine learning
التعلم الآلي هو أحد تلك التعابير التي يمكن أن تعني أشياء مختلفة بناءً على البائع أو قطاع الصناعة المستخدمة فيه. ولكن لأغراض الكشف عن التهديدات ، يوفر التعلم الآلي طريقة جديدة لزيادة كفاءة الأمن السيبراني. يمكن مثلاً الاستفادة من البيانات بشكل أفضل عبر تجميع بيانات الشبكة ونقطة النهاية و مختلف الخدمات و النظم المعلوماتية في المؤسسة.
يمكن استخدام أساليب التعلم على مجموعات البيانات الكبيرة هذه لإظهار التغييرات الطفيفة التي قد تكون مؤشراً على نشاط ضار. لقد أعطانا هذا التطور في تحليل مجموعات البيانات الضخمة رؤية ساعدتنا على اكتشاف السلوكيات الغريبة التي قد تؤشر على وجود التهديدات .
عادةً ، قد لا يكون التعلم الآلي وحده قادراً على إظهار التهديدات بشكل مباشر ولكن يمكن استخدامه مع منهجيات كشف داعمة لتحسين دقة التنبيهات. على سبيل المثال ، لدينا حالة مستخدم لديه درجة عالية الخطورة ولكنه يقوم أيضاً بتوليد حركة مرور غير عادية على الشبكة: قد لا يكون أي من هذه الأشياء بمفرده مثيراً للاهتمام ولكن تراكم المعلومات يساعدنا في تكوين صورة أدق.
تعد جودة البيانات التي يتم تحليلها أمراً بالغ الأهمية في هذه الطريقة. من المهم أيضاً كيفية تحويل النتائج الصادرة عن التعلم الآلي إلى لغة مفهومة من قبل المحلل الأمني البشري.
كلمة أخيرة
مع الارتفاع المستمر في التهديدات السيبرانية ، من المهم أكثر من أي وقت مضى أن يكون لدى المؤسسات حل مراقبة الأمان الذي سيتيح لهم الرؤية الكاملة لبيئتهم سواء في مكان العمل أو في السحابة أو النموذج الهجين. يمكن أن تساعد منصات الأمن السيبراني التي توفر إمكانات استجابة آلية في إحباط هذه التهديدات من خلال السماح بقدرات الكشف والاستجابة التي تحافظ على أمان البيانات مع ضمان حماية العملاء والشركات على حد سواء.