مساكم الله بالخير..
ودي اتكلم في هذا الثريد عن
Threat Intelligence (TI) أو تحليل التهديدات السيبرانية بصفة عامة ومن غير الدخول للتفاصيل الدقيقة . بحكم ان المجال جديد وكثير من الناس ما يعرفونه وأيضًا لتعم الفائدة على الجميع
ودي اتكلم في هذا الثريد عن
Threat Intelligence (TI) أو تحليل التهديدات السيبرانية بصفة عامة ومن غير الدخول للتفاصيل الدقيقة . بحكم ان المجال جديد وكثير من الناس ما يعرفونه وأيضًا لتعم الفائدة على الجميع
من مدة طويلة جدًا وموظفي الأمن السيبراني أو أمن المعلومات يحاولون حماية المعلومات والأصول في الشركات والجهات الحكومية في أغلب الدول ولكن فيه خلل بسيط ولكن أثره كبير جدًا..وهو عدم معرفة المهاجم واساليبه وتقنياته ومالذي يستهدفه وما أهميته وكيف يستهدفه
كما أنه من الصعب جدًا أن أكلفك بمهمة حماية نفسك ومعلوماتك من عدو تجهله وتجهل أساليبه وأهدافه وما الذي يسعى خلفه
وببساطة من هنا جاءت فكرة
Cyber Threat Intelligence.
وببساطة من هنا جاءت فكرة
Cyber Threat Intelligence.
تحليل التهديدات هو مصطلح عسكري كفكرة ومبدأ وورث مختصي الأمن السيبراني هذا المبدأ وحتى المصطلحات الخاصة به على سبيل المثال:
Tactics, techniques and procedures (TTPs). والتي تكمننا من فهم الاساليب والتقنيات والطرق المستخدمة من قبل المخترقين مما يعزز من عمل Blue Teams في الحماية
Tactics, techniques and procedures (TTPs). والتي تكمننا من فهم الاساليب والتقنيات والطرق المستخدمة من قبل المخترقين مما يعزز من عمل Blue Teams في الحماية
قبل أن أكمل الحديث عن التهديدات السيبرانية من المهم جدًا قبل أن تفهم عدوك أن تكون على علم تام بالمعلومات والأصول التي تحميها وما الأهمية التي من الممكن أن تشكلها لأي مجموعة أختراق أو الدافع الذي قد يحملهم للقيام باستهدافها.
تحليل التهديدات السيبرانية علم قائم بحد ذاته و مبدأ تحول إلى Business وأصبح هناك الكثير من الشركات التي تعمل فقط في هذا المجال. وبصفة عامة تحليل التهديدات السيبرانية يقوم على عدة أشياء وهي:
١- تحديد الاساليب والتقنيات المستخدمة من قبل مجموعات الاختراق.والتي يتم تحديدها من قبل شركات Cybersecurity أو الأجهزة الحكومية التي تتابع مجموعات الاختراق وتستجيب للحوادث السيبرانية التي قاموا بها وجمع تلك المعلومات لبيعها كمنتج من قبل الشركات المختصة أو لتنبيه الجهات المستهدفه
٢- تصنيف المجموعات ومراقبتها ومتابعة المتغيرات في أساليبها وتقنياتها مما يساعد إدارة الأمن السيبراني أو CISO على توظيف التقنيات والموارد اللازمة لتحقيق الهدف المنشود من القسم وهو حماية المعلومات والشبكات والأصول.
٣- استخلاص المعلومات اللازمة (actionable intelligence ) والتي تكون عادة عبارة عن indicator of compromise (IoCs) تخص مجموعات الأختراق أو trending vulnerabilities التي يقوم المخترقون باستغلالها متى ما أتيحت لهم الفرصة.
٤- تزويد الفرق المعنية في تقنية المعلومات بالمعلومات المستخلصة لكي يتحقق الهدف من threat intelligence وهي على سبيل المثال لا الحصر:
* متابعة وحجب مؤشرات الاختراق IoCs من قبل فريق المراقبة.
* اغلاق الثغرات المستخدمة من قبل مجموعة الاختراق عن طريق فريق تقنية المعلومات.
* متابعة وحجب مؤشرات الاختراق IoCs من قبل فريق المراقبة.
* اغلاق الثغرات المستخدمة من قبل مجموعة الاختراق عن طريق فريق تقنية المعلومات.
* كتابة التقارير لإدارة الأمن السيبراني والإدارة العليا لتوجية اهتمامهم للمخاطر المحيطة.
* مساعدة الفريق المختص بأمن الشبكات لتأمين الشبكات من الأساليب الجديدة المتبعة من قبل مجموعات الاختراق.
* مساعدة الفريق المختص بأمن الشبكات لتأمين الشبكات من الأساليب الجديدة المتبعة من قبل مجموعات الاختراق.
وأخيرًا تحليل التهديدات السيبرانية مبدأ قبل أن يكون اختصاص ، كما لا يلزمك أكثر من أن تكون جيدًا في البحث عن المعلومة والاعتماد على OSINT أو المصادر المفتوحة للبحث عن التهديدات وتحليلها.
مما يعني أن جميع من يعمل في مجال الأمن السيبراني وتقنية المعلومات يستطيع أن يطبق هذا المبدأ من زاويته سواءً كان يعمل في
SoC, VA , network security..etc.
SoC, VA , network security..etc.
جاري تحميل الاقتراحات...