ایجاد مقاومت در سازمانها با هوش تهدید

تیمهای فناوری و مدیران امنیت اطلاعات در سال 2020 میلادی با چالش های امنیتی زیادی مواجه شدند. با توجه به دورکاری سازمان ها، آنها و کارمندان شان با رشد چشمگیر حملات سایبری، کلاهبرداری، حملات فیشینگ روبرو هستند. با وجود این که بعضی از سازمانها پیش از شیوع بیماری کرونا، راهکارهای امنیت سایبری قوی و تاب آورانه داشتند اما حتی آنها هم در مواجه با افزایش فعالیت و تغییر الگوی رفتاری مجرمان سایبری باز هم دچار مشکلات امنیتی زیادی شدند.
یکی از روش های مقابله با چنین مشکلات امنیتی که مدیران تصمیم گیرنده در این حوزه به تازگی متوجه ارزش آن برای حمایت از تداوم کسب و کار، دفاع از اعتبار و شهرت برندها و حفظ اعتماد مشتریان شان شده اند، به کارگیری فناوری هوش تهدید است. در واقع هوش تهدید یا همان هوش تهدید سایبری شامل اطلاعاتی است که سازمان ها می توانند از آنها برای مقابله با تهدیدات سایبری استفاده کنند. این اطلاعات پس از جمع آوری، پردازش، تجزیه و تحلیل داده های خام به دست آمده می توانند برای تصمیم گیری آگاهانه استفاده شوند.
با این وجود حتی استفاده از هوش تهدید برای ایجاد سازمانی مقاوم در برابر تهدیدات سایبری کار چندان سادهای نیست. معمولاً مخاطرات و الزامات در هر سازمانی متفاوت و منحصر به فرد هستند. سایر عوامل مؤثر نیز مثل صنعتی که یک سازمان در آن فعالیت دارد، ابعاد سازمان و بازار همگی این واقعیت مهم را تأیید میکنند که یک راهکار کلی برای همه سازمانها مناسب نیست. اگرچه باید به این نکته هم توجه داشت که برخی از عوامل، ثابت و بدون تغییر هستند. از جمله این که برای اجرای طرحهای کارآمد در زمینه هوش تهدید، باید از افرادی مناسب و در موقعیتهایی مناسب استفاده کرد. در ادامه این مطلب از فراست، به بررسی چهار تمرکز هوش تهدید میپردازیم که برای ایجاد طرح کسب و کار و تخصیص بودجه در سال 2021 میلادی باید به آنها توجه داشت.
1. هوش پیشبینانه
زمانی هوش تهدید را می توان به بهترین شکل عملیاتی به کار گرفت که از آن برای تصمیم گیریهای پیشگیرانه استفاده شود. قدرتمندترین فناوری هوش تهدید، هوش پیشبینانه است. یک برنامه هوش تهدید با عملکرد قوی باید منجر به تولید محصولاتی شود که اطلاعات فنی مثل علایم نفوذ را با تحلیلهای کاربردی ادغام کند. بنابراین از این اطلاعات می توان به صورت عملی و در راستای به حداقل رساندن قابلیت های مهاجمان یا آسیب های ناشی از نفوذ موفق استفاده کرد. همچنین در صورتی از هوش و اطلاعات به بهترین شکل ممکن می توان استفاده نمود که به تیم مدیریت یا عملیات، امکان انجام کارهایی را بدهد که تأثیر مثبت برای کسب و کار مربوطه داشته و احتمال ایجاد وقفههای پرهزینه را کمتر می کند.
هر چند هوش پیشبینانه بیشترین تأثیر را دارد اما از طرفی تأمین نیروی لازم برای دستیابی به این هدف کمی سخت است. از آنجا که تمرکز غالب تیم های مسئول، بر تغییرات ایجاد شده در حوزه تهدیدات سایبری است و توجه کمتری به ارزش موضوع هوش تهدید برای کسب وکارشان دارند و با توجه به اینکه چنین رویکردی مستلزم انجام یک ارزیابی و تحلیل جامع از داده های خام است؛ بنابراین گروه های مسئول، نیازمند یک چشم انداز گسترده تر هستند و باید اطلاعات بیشتری را از کسب و کار مربوطه کسب کنند.
2. هوش استراتژیک
با وجو این که هوش پیشبینانه به دلیل امکان انجام اقدامات قاطع و پیشگیرانه بیشترین کارایی را دارد اما لزوماً همه شرایط، مربوط به رویدادهای آتی نیستند. هوش استراتژیک با ارایه تحلیل و اطلاعات درباره مسایل راهبردی، به مشتریانی که در سطح مدیریتی قرار دارند کمک میکند. هر چند ممکن است این اطلاعات و تحلیلها شامل بخشهای پیشبینانهای هم باشند که برای کمک به تصمیم گیریهای آینده طراحی شدهاند اما معمولاً هوش استراتژیک به مسایل، دغدغهها و بحرانهای جاری میپردازد. این هوش، در اصل تحلیلی است که برای کمتر کردن زمان تصمیم گیری و کمک به مشتریان جهت دستیابی به نتایجی بهتر طراحی شده است. هوش استراتژیک متمرکز بر سود و زیان شرایط و عواقبی خاص و تأثیر آنها بر کسب و کار است. دادههای تاکتیکی مثل اطلاعاتی که برای ماشینها خوانا هستند، یکی از محصولات هوش استراتژیک می باشند.
3. هوش واکنش به حادثه
در چشمانداز تهدیدات سایبری امروزی، هر تیم واکنش به حادثهای که بدون پشتیبانی هوش تهدید عمل میکند، فاقد کارایی لازم خواهد بود. وجود یک جریان اطلاعاتی قوی بین تیم واکنش به حادثه و شخص یا گروهی که به هوش تهدید اختصاص یافته، امکان واکنش سریعتر و کارآمدتر را فراهم میکند. هوش تهدید امکان تمرکز بر موارد مهمتر و کاهش تعداد گزینههایی که ممکن است مهاجم در مرحله بعد از آنها استفاده کند را مهیا مینماید. دستورالعمل های متعددی در رابطه با متداولترین مسیرهای طی شده توسط مهاجمان سایبری طراحی و تولید شدهاند. این اطلاعات به تیم واکنش به حادثه کمک میکنند تا محل وقوع نفوذ اولیه و همچنین دستگاههای مورد نفوذ قرار گرفته را بهتر تشخیص داده و برای پیشگیری از نفوذ بیشتر، سازوکارهای دفاعی را در محل مناسب مستقر کنند. در صورت استفاده مناسب از این نوع فناوری، در زمان مورد نیاز برای تحقیق در رابطه با یک حادثه صرفه جویی می شود.
4. هوش شکار
هوش شکار، آخرین گرایش مهم حوزه هوش است. این هوش را می توان به یک تیم شکار انتصاب داد که مأموریت آن پیدا کردن شواهد افشای اطلاعات از جمله خلأهای موجود در سیستمهای امنیتی است. این فرایند به تیم شکار این امکان را میدهد تا فعالیتهای مخرب را شناسایی کرده و برای مقابله با آنها یا تیم واکنش به حادثه را فعال کند یا تصمیم گیریهای ویژه انجام داده و سازوکارهای لازم برای پر کردن خلأهای موجود را پیادهسازی کند.
در مجموع، کل تیمهای حوزه هوش تهدید با قرار دادن علایم نفوذ و سایر شاخصها در اختیار مرکز عملیات امنیتی یا یک تیم شکار خاص، به تقویت سازوکارهای دفاعی در سازمانهایی که به دنبال شناسایی فعالیتهای مخرب جدید هستند، کمک میکنند. برای مثال استفاده از این اطلاعات برای تعریف دامنهها و آیپیها در یک فایروال این امکان را فراهم میکند که این فناوری کار شکار را به جای انسان انجام دهد.
درون سپاری و برون سپاری
هر چهار گرایش هوش تهدید به مجموعه مهارتها و دادههای خاصی نیاز دارند. در دنیای واقعی سازمان های کمی هستند که بودجه لازم برای پیادهسازی این گروهها در خود سازمان و همچنین دادهها و ابزارهای تحلیلی لازم برای استخراج اطلاعات مفید از همه این چهار حوزه را در اختیار داشته باشند. برخورداری از این تیم ها و فناوری ها در سازمان، امکان واکنش سریعتر و درک نیازهای کاری را فراهم میکند اما در حالت کلی امکان عملی بودن این راهکار میسر نیست. عوامل مهمی که باعث شده که برون سپاری این کارها مقرون به صرفهتر و عملیتر باشند، به شرح زیر هستند:
- دادههای مورد نیاز برای رسیدن به چنین قابلیتهایی و همچنین الزاماتی که به یک تیم امکان میدهند تا از سطح پشتیبانی فنی به سطح تحلیل استراتژیک و پیش پینانه حرکت کنند، بسیار زیاد هستند. تیمهایی که دادهها را درون سپاری میکنند معمولاً وقت زیادی از تیم هوش تهدید خودشان را صرف تنظیم منابع دادهای مورد نیاز برای دستیابی به نتایج ارزشمند میکنند. این امر باعث کاهش چشمگیر تأثیر عملکرد این تیمها میشود.
- تیمی که بر اساس منابع داخلی تشکیل شده باشد، تنها از طریق فعالیتهایی اطلاعات کسب می کند که تأثیر مستقیمی بر کسب و کار شما دارند یا این که با جوامعی همکاری میکند که نیاز به کسب اطلاعات درباره سازمان شما دارند. همکاری با تیمی که میتواند از تاکتیکها و تکنیکهای مختلفی استفاده کند و بر اساس تجربه کار با مشتریان مختلف، درک بیشتری درباره چشمانداز آسیبپذیری و حوزه تهدید دارد به بهبود قابلیتهای دفاعی سازمان شما کمک چشمگیری میکند.
- مهارتهای مورد نیاز برای پشتیبانی از این چهار گرایش، متنوع و تا حدودی کمیاب هستند. بنابراین استخدام نیروی واجد شرایط و باکیفیت در این حوزهها سختتر است. کارشناسان هوش تهدید که قرار است اعضای تیم واکنش به حادثه و شکار را تشکیل دهند باید در زمینه عملیاتی هم اطلاعات لازم را داشته تا در جریان باشند که چه عواملی باعث کاهش زمان حل مشکل شده و چگونه میتوانند کارایی محصولاتشان را افزایش دهند. پیدا کردن اشخاصی با این تجربیات که تفکر تحلیلی لازم برای تهیه محصولات مورد نیاز را داشته باشند، کار سختی است. برون سپاری عملیات هوش تهدید باعث میشود که زحمت و بار پیادهسازی آموزش و راهنماییهای لازم از سازمان شما برداشته شود.
صرف نظر از تصمیمی که برای پیادهسازی قابلیتهای هوش تهدید میگیرید، همواره باید این پرسش مهم را در نظر داشته باشید که این اقدام چه کمکی به کاهش مخاطره برای کسب و کار شما میکند؟ این نکته برای ایجاد یک برنامه هوش موفق ضروری است و همه تصمیمها باید بر اساس پاسخ به این پرسش گرفته شوند. پاسخ به این سؤالات که آیا شما برای پشتیبانی از مدافعان شبکه نیاز به پشتیبانی فنی دارید یا برای کمک به تصمیم گیریهای کلیدی نیاز به هوش استراتژیک و پیشبینانه داشته باشید، نقش مهمی در ساختن سازمانی با ارزش بالا خواهد داشت.