شرح مصادر استخبارات التهديد (Explain Threat Intelligence Sources)
بصفتك محترفًا في مجال الحماية، يجب أن تستمر في توسيع معرفتك بكل استراتيجية وتقنية وتكنولوجيا تستخدمها. (Threat Actor) وكذلك مواكبة الاستراتيجيات الجديدة التي يمكن استخدامها من قبل (Threat Agent). يتضمن ذلك ثغرات أمنية جديدة تظهر باستمرار يوميًا في تقنيات مختلفة، بالإضافة إلى معرفة البرامج الضارة الجديدة بحيث يسهل عليك تعزيز أجهزة الحماية (Security Control) داخل الشركة.
Threat Research Sources
البحث عن تهديدات أمنية جديدة هو جهد كبير تحاول فيه الشركات الأمنية والباحثون اكتشاف تكتيكات وتقنيات وإجراءات TTP. هناك العديد من الشركات المشاركة في هذه الأبحاث لغرض مكافحة التجسس في جميع أنحاء العالم. مثل الشركات التي تنتج برامج مكافحة البرامج الضارة وكذلك الشركات التي تنتج جدار حماية.
وتحتاج تلك الشركات إلى هذا البحث لغرض تعزيز السيطرة الأمنية. نظرًا لأن هذه الشركات تساعد العملاء في مجال الأمن السيبراني، فهي قادرة على تحليل TTP بشكل كبير ومحاولة مراقبة المتسللين أيضًا.
Deep Web أو Dark Web هو أحد المصادر الرئيسية للبحث الجديد عن التهديدات Dark Web هو جزء من الشبكة العالمية التي لا يتم فهرستها بواسطة محركات البحث العادية. ولهذا السبب، فإن توافر المعلومات من هذا النوع وفير. هذا لأن تتبع ذلك صعب للغاية. هذا بسبب طرق تشفير الشبكة الداخلية القوية داخل تلك الشبكة.
Dark Net: هي شبكة يمكن الوصول إليها باستخدام برامج أخرى مثل TOR التي تختصر إلى The Onion Router أو I2P أو Freenet في جميع البرامج التي يمكن استخدامها لدخول هذا العالم. يعمل أيضًا على إخفاء هُوِيَّة الخادم ومنع أي ثلاثة أطراف من معرفة الاتصال أو تحليل أي نشاط، على سبيل المثال استخدام التقاط TOR متعدد للتشفير.
Threat Intelligence Providers
تحدثنا عن الشبكة المظلمة وعرفنا أنها مصدر رئيسي للبحث عن تهديدات أمنية جديدة، ولكن هناك أيضًا شركات يمكنني متابعتها لرؤية أي ثُغْرَة أمنية جديدة ولدى هذه الشركات اشتراك سنوي أو شهري في المقابل يخبرك عن أحدث التهديدات الأمنية وأساليب الحماية مثل IBM X-Force Exchange و Recorded Future و FireEye.
يمكنك أيضًا متابعة Vendor websites حتى تحصل على أحدث التهديدات الأمنية وطرق الحل، وتقدم الشركات هذه الخدمة مجانًا. على سبيل المثال، لدى Microsoft مدونة خاصة لتلك التهديدات الأمنية الجديدة وطرق الحل. Vendor websites هنا هي شركات تستخدم خدماتها ولديها في إحدى هذه الخِدْمَات فجوة أمنية، على سبيل المثال. ستجد تلك الشركة تتحدث عن نِقَاط الضعف والتصحيح الأمني.
Public/private information sharing centers
وفي العديد من الصناعات، أنشئ مركز لتبادل المعلومات بين القطاعين العام والخاص (ISACs) بغرض تبادل المعلومات عن التهديدات الأمنية وتعزيز أفضل الممارسات الأمنية. أتحدث هنا عن الصناعات الحيوية مثل الأسواق المالية أو موارد الطاقة أو الطيران، على سبيل المثال، في غياب التغطية من ISAC تجتمع تلك الشركات لتقديم الدعم المتبادل.
(Open source intelligence (OSINT
يشير OSINT إلى جمع المعلومات من مراكز البيانات العامة وأن البيانات يتم جمعها لخدمة وظيفية محددة وتشمل مواقع أو مدونات وسائل التواصل الاجتماعي. على الرغم من أن مفهوم OSINT كبير جدًا، إلا أننا نتحدث عنه ببساطة، لكننا سنحاول تعريف OSINT ببساطة، ويقع في الاعتبار، يتم جمع المعلومات العامة الحالية وتحليلها لغرض محدد.
أنت تعلم أنه لا توجد خصوصية على الإنترنت. وفي حالة Threat Intelligence، يستخدم مفهوم OSINT لغرض الكشف عن التهديدات الأمنية الجديدة مثل Malware، على سبيل المثال، ويشمل جمع المعلومات وتحليلها أيضأ موقع (VirusTotal).
Tactic, technique, or procedure (TTP)
التقنية أو التكتيكات أو الإجراءات أو ما يسمى TTP هي عملية يتم فيها تحليل سلوك الخصم من حيث استراتيجيات الهجوم، أساليب تنفيذ الهجوم، أو الأدوات المستخدمة، أو يمكنك أن تقول كيف يتصرف الخصم من حيث الاستراتيجيات، التصنيف وكيفية تحديد الشكل الذي قد تبدو عليه تلك الإجراءات، وهذه الاستراتيجيات هامة جدا لتقييم الحالة الأمنية للشركة.
