ایجاد مقاومت در سازمانها با هوش تهدید

تیم‌های فناوری و مدیران امنیت اطلاعات در سال 2020 میلادی با چالش های امنیتی زیادی مواجه شدند. با توجه به دورکاری سازمان ها، آنها و کارمندان شان با رشد چشمگیر حملات سایبری، کلاهبرداری، حملات فیشینگ روبرو هستند. با وجود این که بعضی از سازمان‌ها پیش از شیوع بیماری کرونا، راهکارهای امنیت سایبری قوی و تاب آورانه داشتند اما حتی آنها هم در مواجه با افزایش فعالیت و تغییر الگوی رفتاری مجرمان سایبری باز هم دچار مشکلات امنیتی زیادی شدند.

یکی از روش های مقابله با چنین مشکلات امنیتی که مدیران تصمیم گیرنده در این حوزه به تازگی متوجه ارزش آن برای حمایت از تداوم کسب و کار، دفاع از اعتبار و شهرت برندها و حفظ اعتماد مشتریان شان شده اند، به کارگیری فناوری هوش تهدید است. در واقع هوش تهدید یا همان هوش تهدید سایبری شامل اطلاعاتی است که سازمان ها می توانند از آنها برای مقابله با تهدیدات سایبری استفاده کنند. این اطلاعات پس از جمع آوری، پردازش، تجزیه و تحلیل داده های خام به دست آمده می توانند برای تصمیم گیری آگاهانه استفاده شوند.

با این وجود حتی استفاده از هوش تهدید برای ایجاد سازمانی مقاوم در برابر تهدیدات سایبری کار چندان ساده‌ای نیست. معمولاً مخاطرات و الزامات در هر سازمانی متفاوت و منحصر به فرد هستند. سایر عوامل مؤثر نیز مثل صنعتی که یک سازمان در آن فعالیت دارد، ابعاد سازمان و بازار همگی این واقعیت مهم را تأیید می‌کنند که یک راهکار کلی برای همه سازمان‌ها مناسب نیست. اگرچه باید به این نکته هم توجه داشت که برخی از عوامل، ثابت و بدون تغییر هستند. از جمله این که برای اجرای طرح‌های کارآمد در زمینه هوش تهدید، باید از افرادی مناسب و در موقعیت‌هایی مناسب استفاده کرد. در ادامه این مطلب از فراست، به بررسی چهار تمرکز هوش تهدید می‌پردازیم که برای ایجاد طرح کسب و کار و تخصیص بودجه در سال 2021 میلادی باید به آنها توجه داشت.

1. هوش پیش‌بینانه

زمانی هوش تهدید را می توان به بهترین شکل عملیاتی به کار گرفت که از آن برای تصمیم گیری‌های پیشگیرانه استفاده شود. قدرتمندترین فناوری هوش تهدید، هوش پیش‌بینانه است. یک برنامه هوش تهدید با عملکرد قوی باید منجر به تولید محصولاتی شود که اطلاعات فنی مثل علایم نفوذ را با تحلیل‌های کاربردی ادغام کند. بنابراین از این اطلاعات می توان به صورت عملی و در راستای به حداقل رساندن قابلیت های مهاجمان یا آسیب های ناشی از نفوذ موفق استفاده کرد. همچنین در صورتی از هوش و اطلاعات به بهترین شکل ممکن می توان استفاده نمود که به تیم مدیریت یا عملیات، امکان انجام کارهایی را بدهد که تأثیر مثبت برای کسب و کار مربوطه داشته و احتمال ایجاد وقفه‌های پرهزینه را کمتر می کند.

هر چند هوش پیش‌بینانه بیشترین تأثیر را دارد اما از طرفی تأمین نیروی لازم برای دستیابی به این هدف کمی سخت است. از آنجا که تمرکز غالب تیم های مسئول، بر تغییرات ایجاد شده در حوزه تهدیدات سایبری است و توجه کمتری به ارزش موضوع هوش تهدید برای کسب وکارشان دارند و با توجه به اینکه چنین رویکردی مستلزم انجام یک ارزیابی و تحلیل جامع از داده های خام است؛ بنابراین گروه های مسئول، نیازمند یک چشم انداز گسترده تر هستند و باید اطلاعات بیشتری را از کسب و کار مربوطه کسب کنند.

2. هوش استراتژیک

با وجو این که هوش پیش‌بینانه به دلیل امکان انجام اقدامات قاطع و پیشگیرانه بیشترین کارایی را دارد اما لزوماً همه شرایط، مربوط به رویدادهای آتی نیستند. هوش استراتژیک با ارایه تحلیل و اطلاعات درباره مسایل راهبردی، به مشتریانی که در سطح مدیریتی قرار دارند کمک می‌کند. هر چند ممکن است این اطلاعات و تحلیل‌ها شامل بخش‌های پیش‌بینانه‌ای هم باشند که برای کمک به تصمیم گیری‌های آینده طراحی شده‌اند اما معمولاً هوش استراتژیک به مسایل، دغدغه‌ها و بحران‌های جاری می‌پردازد. این هوش، در اصل تحلیلی است که برای کمتر کردن زمان تصمیم گیری و کمک به مشتریان جهت دستیابی به نتایجی بهتر طراحی شده است. هوش استراتژیک متمرکز بر سود و زیان شرایط و عواقبی خاص و تأثیر آنها بر کسب و کار است. داده‌های تاکتیکی مثل اطلاعاتی که برای ماشین‌ها خوانا هستند، یکی از محصولات هوش استراتژیک می باشند.

3. هوش واکنش به حادثه

در چشم‌انداز تهدیدات سایبری امروزی، هر تیم واکنش به حادثه‌ای که بدون پشتیبانی هوش تهدید عمل می‌کند، فاقد کارایی لازم خواهد بود. وجود یک جریان اطلاعاتی قوی بین تیم واکنش به حادثه و شخص یا گروهی که به هوش تهدید اختصاص یافته، امکان واکنش سریع‌تر و کارآمدتر را فراهم می‌کند. هوش تهدید امکان تمرکز بر موارد مهمتر و کاهش تعداد گزینه‌هایی که ممکن است مهاجم در مرحله بعد از آنها استفاده کند را مهیا می‌نماید. دستورالعمل های متعددی در رابطه با متداول‌ترین مسیرهای طی شده توسط مهاجمان سایبری طراحی و تولید شده‌اند. این اطلاعات به تیم واکنش به حادثه کمک می‌کنند تا محل وقوع نفوذ اولیه و همچنین دستگاه‌های مورد نفوذ قرار گرفته را بهتر تشخیص داده و برای پیشگیری از نفوذ بیشتر، سازوکارهای دفاعی را در محل مناسب مستقر کنند. در صورت استفاده مناسب از این نوع فناوری، در زمان مورد نیاز برای تحقیق در رابطه با یک حادثه صرفه جویی می شود.

4. هوش شکار

هوش شکار، آخرین گرایش مهم حوزه هوش است. این هوش را می توان به یک تیم شکار انتصاب داد که مأموریت آن پیدا کردن شواهد افشای اطلاعات از جمله خلأهای موجود در سیستم‌های امنیتی است. این فرایند به تیم شکار این امکان را می‌دهد تا فعالیت‌های مخرب را شناسایی کرده و برای مقابله با آنها یا تیم واکنش به حادثه را فعال کند یا تصمیم گیری‌های ویژه انجام داده و سازوکارهای لازم برای پر کردن خلأهای موجود را پیاده‌سازی کند.

در مجموع، کل تیم‌های حوزه هوش تهدید با قرار دادن علایم نفوذ و سایر شاخص‌ها در اختیار مرکز عملیات امنیتی یا یک تیم شکار خاص، به تقویت سازوکارهای دفاعی در سازمان‌هایی که به دنبال شناسایی فعالیت‌های مخرب جدید هستند، کمک می‌کنند. برای مثال استفاده از این اطلاعات برای تعریف دامنه‌ها و آی‌پی‌ها در یک فایروال این امکان را فراهم می‌کند که این فناوری کار شکار را به جای انسان انجام دهد.

درون سپاری و برون سپاری

هر چهار گرایش هوش تهدید به مجموعه مهارت‌ها و داده‌های خاصی نیاز دارند. در دنیای واقعی سازمان های کمی هستند که بودجه لازم برای پیاده‌سازی این گروه‌ها در خود سازمان و همچنین داده‌ها و ابزارهای تحلیلی لازم برای استخراج اطلاعات مفید از همه این چهار حوزه را در اختیار داشته باشند. برخورداری از این تیم ها و فناوری ها در سازمان، امکان واکنش سریع‌تر و درک نیازهای کاری را فراهم می‌کند اما در حالت کلی امکان عملی بودن این راهکار میسر نیست. عوامل مهمی که باعث شده که برون سپاری این کارها مقرون به صرفه‌تر و عملی‌تر باشند، به شرح زیر هستند:

• داده‌های مورد نیاز برای رسیدن به چنین قابلیت‌هایی و همچنین الزاماتی که به یک تیم امکان می‌دهند تا از سطح پشتیبانی فنی به سطح تحلیل استراتژیک و پیش پینانه حرکت کنند، بسیار زیاد هستند. تیم‌هایی که داده‌ها را درون سپاری می‌کنند معمولاً وقت زیادی از تیم هوش تهدید خودشان را صرف تنظیم منابع داده‌ای مورد نیاز برای دستیابی به نتایج ارزشمند می‌کنند. این امر باعث کاهش چشمگیر تأثیر عملکرد این تیم‌ها می‌شود.
• تیمی که بر اساس منابع داخلی تشکیل شده باشد، تنها از طریق فعالیت‌هایی اطلاعات کسب می کند که تأثیر مستقیمی بر کسب و کار شما دارند یا این که با جوامعی همکاری می‌کند که نیاز به کسب اطلاعات درباره سازمان شما دارند. همکاری با تیمی که می‌تواند از تاکتیک‌ها و تکنیک‌های مختلفی استفاده کند و بر اساس تجربه کار با مشتریان مختلف، درک بیشتری درباره چشم‌انداز آسیب‌پذیری و حوزه تهدید دارد به بهبود قابلیت‌های دفاعی سازمان شما کمک چشمگیری می‌کند.
• مهارت‌های مورد نیاز برای پشتیبانی از این چهار گرایش، متنوع و تا حدودی کمیاب هستند. بنابراین استخدام نیروی واجد شرایط و باکیفیت در این حوزه‌ها سخت‌تر است. کارشناسان هوش تهدید که قرار است اعضای تیم واکنش به حادثه و شکار را تشکیل دهند باید در زمینه عملیاتی هم اطلاعات لازم را داشته تا در جریان باشند که چه عواملی باعث کاهش زمان حل مشکل شده و چگونه می‌توانند کارایی محصولاتشان را افزایش دهند. پیدا کردن اشخاصی با این تجربیات که تفکر تحلیلی لازم برای تهیه محصولات مورد نیاز را داشته باشند، کار سختی است. برون سپاری عملیات هوش تهدید باعث می‌شود که زحمت و بار پیاده‌سازی آموزش و راهنمایی‌های لازم از سازمان شما برداشته شود.

صرف نظر از تصمیمی که برای پیاده‌سازی قابلیت‌های هوش تهدید می‌گیرید، همواره باید این پرسش مهم را در نظر داشته باشید که این اقدام چه کمکی به کاهش مخاطره برای کسب و کار شما می‌کند؟ این نکته برای ایجاد یک برنامه هوش موفق ضروری است و همه تصمیم‌ها باید بر اساس پاسخ به این پرسش گرفته شوند. پاسخ به این سؤالات که آیا شما برای پشتیبانی از مدافعان شبکه نیاز به پشتیبانی فنی دارید یا برای کمک به تصمیم گیری‌های کلیدی نیاز به هوش استراتژیک و پیش‌بینانه داشته باشید، نقش مهمی در ساختن سازمانی با ارزش بالا خواهد داشت.