ציד איומי סייבר – הבדלי גרסאות

ציד אימוי סייבר (באנגלית: Cyber Threat Hunting) הנו פעולת חיפוש יזומה של התקפות סייבר ברשתות מחשבים. מדובר בטכניקה אקטיבית ומחזורית המשמשת להגנה על רשת מחשבים ארגונית, הננקטת על ידי ארגונים שונים במטרה לצמצם את הנזק הפוטנציאלי מחדירה לרשת ע"י גורם עוין. שיטה זו מתבצעת בנוסף לפתרונות אבטחה הקיימים ברשת, דוגמת אנטי-וירוס, חומת אש ו-IDS, במטרה לאתר התקפות שלא נתפסות ע"י אמצעים אלו.

השיטה

במסגרת ציד איומי סייבר, מתבצע מעבר יזום על מקורות מידע שונים ברשת המחשבים אשר עשויים להעיד על פעילות חריגה, דוגמת תיעוד התחברות משתמשים לרכיבי רשת ולמאגרי מידע, או שימוש בפרוטוקולי תקשורת שונים וכמויות תעבורת רשת חריגות. ברשתות תקשורת גדולות מדובר בהרבה מידע מרכיבי תקשורת שונים, ועל כן מתבצע לרוב שימוש בשיטות ופלטפורמות Big data שונות לטובת ניתוחו ביעילות, דוגמת Kibana או Splunk.

פעולה מחקרית זו מתבצעת לרוב על ידי איש מקצוע שמכיר היטב את מבנה הרשת עליה הוא מנסה להגן, במטרה לאתר פעילות חריגה בכמה מרכיבי הרשת ו/או תנועת תוקף רשת בין רכיבי הרשת. מדובר בתהליך מחזורי, במסגרתו מנסה המגונן לאתר שיטות תקיפת רשת שונות במידע שנמצא לרשותו ו/או ישויות המנסות לחדור לרשת.

שדרוג לשיטת איתור האיומים המדוברת הנו ע"י ביצועה באופן אוטומטי - במקום שאדם יעבור בעצמו על החומרים, ניתן לכתוב תוכנה אשר תבצע לוגיקות לחיפוש פעילות חריגה והתרעתה בפני מרכז אבטחת מידע^(אנ'). בתחום עיסוק זה ישנו לרוב שימוש בבינה מלאכותית.

לקריאה נוספת

• Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge
• Semantic Cyberthreat Modelling