معلومات التهديدات، والمعروفة أيضًا باسم معلومات التهديدات عبر الإنترنت، هي معلومات يتم جمعها من مجموعة من المصادر حول الهجمات الحالية أو المحتملة ضد مؤسسة ما. يتم تحليل المعلومات وصقلها وتنظيمها، ثم استخدامها لتقليل وتخفيف مخاطر الأمن السيبراني.
الغرض الرئيسي من الاستخبارات المتعلقة بالتهديدات هو إظهار المخاطر المختلفة التي تواجهها المؤسسات من التهديدات الخارجية، مثل التهديدات الخارجية يوم الصفر نقاط الضعف و التهديدات المستمرة المتقدمة. تشتمل الاستخبارات المتعلقة بالتهديدات على معلومات وسياق متعمقين حول تهديدات محددة، مثل هوية المهاجم وقدراته ودوافعه والهدف منه. مؤشرات التسوية. ومن خلال هذه المعلومات، يمكن للمؤسسات اتخاذ قرارات مستنيرة حول كيفية الدفاع ضد الهجمات الأكثر ضررًا.
ما أهمية الاستخبارات المتعلقة بالتهديدات؟
في السياق العسكري أو التجاري أو الأمني، الاستخبارات هي المعلومات التي تزود المنظمة بدعم القرار وربما ميزة استراتيجية. تعد معلومات التهديدات جزءًا من استراتيجية استخباراتية أمنية أكبر. ويتضمن المعلومات المتعلقة بحماية المؤسسة من التهديدات الخارجية والداخلية، بالإضافة إلى العمليات والسياسات والأدوات المستخدمة لجمع تلك المعلومات وتحليلها. كما أنه يحدد نقاط الضعف المحتملة التي البرمجيات الخبيثة, برامج الفدية و أنواع أخرى من الجرائم الإلكترونية يمكن استغلالها. إنه يسهل اتخاذ القرار في الوقت المناسب عند توقع حدث ما أو حدوثه.
توفر معلومات التهديدات رؤية أفضل لمشهد التهديدات والجهات الفاعلة في مجال التهديد، وتكشف عن أحدث تكتيكاتها وتقنياتها وإجراءاتها. ومن خلال هذه المعلومات، يمكن للمؤسسات تكوين ضوابط الأمان بشكل استباقي لاكتشاف ومنع الهجمات المتقدمة وتهديدات اليوم الأول. يمكن أتمتة العديد من هذه التعديلات بحيث يظل الأمان متوافقًا مع أحدث المعلومات الاستخباراتية في الوقت الفعلي.
تعمل المعلومات الجيدة عن التهديدات على إنشاء وضع أمني قوي، حيث يمكن لمحترفي الأمن وضع القواعد وتحديد أولوياتها لأحداث معينة. فهو يتيح لأدوات الأمان أداء عملها باستخدام بيانات التهديد الدقيقة وتحديد نواقل الهجوم بدقة.
أنواع استخبارات التهديد
هناك أربعة أنواع من الاستخبارات المتعلقة بالتهديدات – الاستراتيجية والتكتيكية والتقنية والتشغيلية. تعتبر العناصر الأربعة جميعها ضرورية للقدرة الاستباقية والشاملة لتقييم التهديدات:
- استخبارات التهديد الاستراتيجي يلخص الهجمات الإلكترونية المحتملة والعواقب المحتملة على الجماهير غير التقنية وأصحاب المصلحة وصناع القرار. ويتم تقديمه في شكل أوراق بيضاء وتقارير وعروض تقديمية، ويستند إلى تحليل مفصل للمخاطر والاتجاهات الناشئة في جميع أنحاء العالم. فهو يوفر نظرة عامة رفيعة المستوى على مشهد التهديدات الخاص بالصناعة أو المؤسسة.
- استخبارات التهديد التكتيكي يوفر تفاصيل حول التكتيكات والتقنيات والإجراءات (TTPs) التي تستخدمها الجهات الفاعلة في مجال التهديد. إنه مخصص لأولئك المشاركين بشكل مباشر في حماية تكنولوجيا المعلومات وموارد البيانات، ويقدم تفاصيل حول كيفية تعرض مؤسسة ما للهجوم وأفضل الطرق للدفاع ضد الهجمات.
- استخبارات التهديد الفني يركز على العلامات التي تشير إلى بدء الهجوم ومكان سطح الهجوم. وتشمل هذه الاستطلاع والتسليح والتسليم، مثل التصيد بالرمح، الاصطياد و الهندسة الاجتماعية. تلعب الاستخبارات التقنية دورًا مهمًا في منع هذه الأنواع من الهجمات. وغالبًا ما يتم تجميعها مع معلومات التهديدات التشغيلية.
- استخبارات التهديد التشغيلي يجمع المعلومات من مصادر مختلفة، بما في ذلك غرف الدردشة ووسائل التواصل الاجتماعي وسجلات مكافحة الفيروسات والأحداث الماضية. يتم استخدامه لتوقع طبيعة وتوقيت الهجمات المستقبلية. استخراج البيانات و التعلم الآلي غالبًا ما تُستخدم لأتمتة معالجة مئات الآلاف من نقاط البيانات عبر لغات متعددة. تستخدم فرق الأمن والاستجابة للحوادث الذكاء التشغيلي لتغيير تكوين الأجهزة مثل قواعد جدار الحماية وقواعد اكتشاف الأحداث وعناصر التحكم في الوصول. ويمكنه أيضًا تحسين أوقات الاستجابة حيث توضح المعلومات ما يجب البحث عنه.
ما هي دورة حياة الاستخبارات التهديدية؟
تتيح الخطوات الخمس التالية جمع معلومات التهديدات بشكل فعال وتحديد أولويات المبادرات الأمنية:
1. الأهداف والغايات
لاختيار مصادر وأدوات استخبارات التهديد المناسبة، يجب على المنظمة أن تقرر ما تأمل في تحقيقه من خلال إضافة استخبارات التهديد إلى استراتيجيتها الأمنية. الهدف على الأرجح هو مساعدة فرق أمن المعلومات في إيقاف التهديدات المحتملة التي تم تحديدها أثناء نمذجة التهديد يمارس. ويتطلب ذلك الحصول على بيانات وأدوات استخباراتية يمكنها تقديم المشورة والتنبيهات في الوقت المناسب بشأن التهديدات عالية المخاطر وعالية التأثير. الهدف المهم الآخر هو ضمان جمع المعلومات الاستخبارية الاستراتيجية الصحيحة وتقديمها مديرو المستوى C حتى يكونوا على دراية بالتغييرات التي تطرأ على مشهد التهديدات في المنظمة.
2. جمع البيانات
سجلات من الأنظمة الداخلية، الضوابط الأمنية وتشكل الخدمات السحابية الأساس لبرنامج استخبارات التهديدات الخاص بالمؤسسة. ومع ذلك، للحصول على رؤى حول أحدث TTPs والاستخبارات الخاصة بالصناعة، من الضروري جمع البيانات من خلاصات بيانات التهديدات التابعة لجهات خارجية. تتضمن هذه المصادر المعلومات التي تم جمعها من مواقع التواصل الاجتماعي ومنتديات المتسللين وعناوين بروتوكول الإنترنت الضارة وقياس مكافحة الفيروسات عن بعد وتقارير أبحاث التهديدات.
3. معالجة البيانات
يتطلب جمع وتنظيم البيانات الأولية اللازمة لإنشاء معلومات تهديد قابلة للتنفيذ معالجة آلية. التصفية اليدوية ليست كافية. تضيف الأنظمة الآلية البيانات الوصفية، وتربط وتجميع أنواعًا مختلفة من البيانات. منصات أو تطبيقات استخبارات التهديدات استخدام التعلم الآلي لأتمتة جمع البيانات ومعالجتها ونشرها حتى تتمكن من توفير المعلومات بشكل مستمر حول أنشطة الجهات التهديدية.
4. تحليل البيانات
تتضمن هذه الخطوة استخدام البيانات المعالجة للعثور على إجابات لأسئلة مثل متى ولماذا وكيف وقع حدث مشبوه. على سبيل المثال، تجيب هذه الخطوة على أسئلة حول وقت وقوع حادثة التصيد الاحتيالي، وما الذي كان يسعى إليه مرتكب الجريمة، وكيفية ربط رسائل البريد الإلكتروني التصيدية والمجال الضار وكيفية استخدامها.
5. تقرير النتائج
يجب أن تكون التقارير الاستخبارية مصممة خصيصًا لجمهور محدد من فريق الاستخبارات بحيث يكون من الواضح كيف تؤثر التهديدات المحددة على مجالات مسؤوليتهم. ويجب مشاركة التقارير مع المجتمع الأوسع عندما يكون ذلك ممكنًا لتحسين العمليات الأمنية بشكل عام.
حالات استخدام معلومات التهديد لفرق الأمن
يتم استخدام بيانات استخبارات التهديدات في عدة أقوال، بما في ذلك ما يلي:
- العمليات الأمنية. مراكز العمليات الأمنية (شركات نفط الجنوب) ويستخدم خبراء الأمن السيبراني بيانات استخبارات التهديدات لتحديد الهجمات السيبرانية وتحليلها والتخفيف من حدتها.
- الاستجابة للحادث. المعلومات الأمنية وإدارة الأحداث تستخدم الفرق معلومات التهديد لتحديد الهجمات واحتوائها وتحييدها.
- صيد التهديد. تستخدم فرق الأمان أيضًا هذه البيانات لملاحقة الجهات الفاعلة التي تشكل تهديدًا محتملاً.
- تحديد الضعف. تساعد معلومات التهديدات فرق SOC على تحديد نقاط الضعف ونقاط الضعف في البنية التحتية الأمنية.
- كشف التسلل. البيانات التي تم جمعها بواسطة أنظمة كشف التسلل ومنع التسلل تعتبر معلومات تهديد مهمة يمكنها تحديد الجهات الفاعلة في التهديد وناقلات التهديد.
- مراقبة نشاط المستخدم. تعمل معلومات التهديدات على مراقبة نشاط نقطة النهاية للمستخدم البعيد المحتمل ومؤشرات التهديد الداخلي.
- تحليلات المخاطر. يمكن أن تساهم معلومات التهديدات في تحليلات المخاطر المستمرة للعمليات التجارية والمالية.
- تحليل البرامج الضارة. تحدد معلومات التهديدات الجهات الفاعلة التي تهدد الأمن السيبراني ومصادر البرامج الضارة قبل شن الهجمات.
- إدارة الأمن. بفضل التسلح بأحدث المعلومات المتعلقة بالتهديدات، يمكن لقادة فرق الأمن تحديد التهديدات ومعالجتها بسهولة أكبر.
من المستفيد من استخبارات التهديد؟
يستخدم العديد من متخصصي تكنولوجيا المعلومات والأمن بيانات التهديدات الاستخباراتية:
- كبار ضباط أمن المعلومات. يحصل مدراء تكنولوجيا المعلومات على معلومات استخباراتية حديثة ودقيقة يمكن على أساسها اتخاذ القرارات والتواصل مع الإدارة العليا الأخرى بشأن القضايا الأمنية.
- فرق SOC. يحتاج موظفو الخطوط الأمامية الذين يتعاملون مع التهديدات السيبرانية إلى معلومات التهديدات لتحديد وتخطيط الاستجابات للهجمات.
- المستجيبون للحوادث. كجزء من فرق SOC، فرق الاستجابة لحوادث أمن الكمبيوتر ويحتاج المستجيبون الآخرون للحوادث إلى معلومات تهديدية عند الرد على هجوم.
- محللين أمنيين. تعد بيانات التهديدات الواردة من مختلف الخلاصات والأنظمة ضرورية للمحللين المكلفين بتقديم توصيات دقيقة وقابلة للتنفيذ بشأن تهديد معين.
- القيادة العليا للشركات. تُعد بيانات الاستخبارات المتعلقة بالتهديدات موردًا أساسيًا لمساعدة القادة على المستوى التنفيذي على فهم القضايا والحوادث الأمنية وشرحها لأصحاب المصلحة والمنظمين ووسائل الإعلام.
ميزات أداة استخبارات التهديدات التي يجب البحث عنها
تساعد العديد من الأدوات المؤسسات على جمع البيانات وتطبيق معلومات التهديدات في عملياتها الأمنية. قائمة على السحابة، مستقلة و أنظمة مفتوحة المصدر متوفرة. تزود خدمات استخبارات التهديدات أيضًا المؤسسات بالمعلومات المتعلقة بمصادر الهجوم المحتملة ذات الصلة بأعمالها؛ يقدم البعض أيضًا خدمات استشارية. في تقييم الأدوات والخدمات المتاحة، ما يلي قدرات إدارة المخاطر السيبرانية تستحق البحث عنها:
- الاستخبارات التهديد وخلاصات البيانات. يجب أن تقوم الأدوات بجمع بيانات التهديد من مصادر مختلفة وتوفير طرق لتوزيعها على الأشخاص المناسبين؛ كلما زاد عدد الخلاصات التي يمكن للأنظمة الوصول إليها، كان ذلك أفضل.
- جمع البيانات وتحليلها آليا. تعمل أتمتة وظائف جمع البيانات وتحليلها على توفير الوقت وتجعل فرق SOC أكثر كفاءة.
- فرز البيانات. كما يتم جمع البيانات، يجب أن يكون تطبيع ووضعها في السياق المناسب للتحليل اللاحق.
- مراقبة في الوقت الحقيقي. هذه هي الوظيفة الأساسية لمعظم أنظمة إدارة الأمن؛ يمكن تغذية البيانات من هذه الأنظمة إلى نظام استخبارات التهديدات لمزيد من التحليل.
- التنبيهات والتقارير. تتضمن المخرجات الصادرة عن أنظمة الاستخبارات المتعلقة بالتهديدات تنبيهات بأحداث محددة، بالإضافة إلى تقارير مخصصة ومقولبة حول ما حدث. يجب أن تقوم الأنظمة بإنشاء تقارير مطبوعة، ويجب أن تعرض لوحات المعلومات بيانات الأحداث في الوقت الفعلي.
- تكامل SOC. يجب أن يتصل نظام استخبارات التهديدات بأنظمة أمنية أخرى لجمع المعلومات الاستخبارية وتحليلها وتبادل البيانات.
- الذكاء الاصطناعي والتعلم الآلي والنمذجة التنبؤية. تعمل هذه التقنيات على تعزيز قدرات استخبارات التهديدات، مما يوفر خدمات أفضل التحليل التنبؤي والنمذجةوتحليل السلوك، وغيرها من الوظائف الهامة.
بائعي وأدوات استخبارات التهديد
أمثلة من بائعي وأدوات استخبارات التهديدات تشمل Bitdefender، وCrowdStrike، وRecorded Future Fusion، وSolarWinds، وThreatConnect، وفقًا لـ EC-Council، وهي منظمة تقدم شهادات أمن تكنولوجيا المعلومات وبرامج التدريب.
هل يحتاج برنامج معلومات التهديدات الخاص بمؤسستك إلى التحديث؟ معظمهم يفعلون ذلك. تعرف على أفضل طريقة ل أتمتة وتحديث استراتيجية الاستخبارات التهديد.
