ציד איומי סייבר
ציד איומי סייבר (באנגלית: Cyber Threat Hunting) היא פעולת חיפוש יזומה של התקפות סייבר ברשתות מחשבים. מדובר בטכניקה אקטיבית ומחזורית המשמשת להגנה על רשת מחשבים ארגונית, הננקטת על ידי ארגונים שונים במטרה לצמצם את הנזק הפוטנציאלי מחדירה לרשת על ידי גורם עוין. שיטה זו מתבצעת בנוסף לפתרונות אבטחה הקיימים ברשת, דוגמת אנטי-וירוס, חומת אש ו-IDS, במטרה לאתר התקפות שלא נתפסות על ידי אמצעים אלו.
סקירת התהליך עריכה
במסגרת ציד איומי סייבר, מתבצע מעבר יזום על מקורות מידע שונים ברשת המחשבים אשר עשויים להעיד על פעילות חריגה, דוגמת תיעוד התחברות משתמשים לרכיבי רשת ולמאגרי מידע, או שימוש בפרוטוקולי תקשורת שונים וכמויות תעבורת רשת חריגות. השלב הראשון בשיטה הוא איסוף המידע מנקודות הרשת השונות למקום אחד, דוגמת SIEM. ברשתות תקשורת גדולות מדובר בהרבה מידע מרכיבי תקשורת שונים, ועל כן מתבצע לרוב שימוש בשיטות ופלטפורמות Big data שונות לטובת ניתוחו ביעילות, דוגמת Kibana או Splunk.
פעולה מחקרית זו מתבצעת לרוב על ידי איש מקצוע שמכיר היטב את מבנה הרשת עליה הוא מנסה להגן, במטרה לאתר פעילות חריגה בכמה מרכיבי הרשת ו/או תנועת תוקף רשת בין רכיבי הרשת. מדובר בתהליך מחזורי, במסגרתו מנסה המגונן לאתר שיטות תקיפת רשת שונות במידע שנמצא לרשותו ו/או ישויות המנסות לחדור לרשת. שדרוג לשיטת איתור האיומים המדוברת מתבצע באופן אוטומטי - במקום שאדם יעבור בעצמו על החומרים, ניתן לכתוב תוכנה אשר תבצע לוגיקות לחיפוש פעילות חריגה והתרעתה בפני מרכז אבטחת מידע (אנ'). בתחום עיסוק זה ישנו לרוב שימוש בבינה מלאכותית.
בסוף תהליך המחקר והחיפוש, במידה ונמצאו איומי סייבר מתבצעים צעדי מנע במטרה לעצור איומים אלה הנמצאים ברשת, באופן נקודתי וכן במטרה שלא יחזרו בעתיד. בנוסף מתבצעים מאמצים למצוא ולחשוף את האדם/גוף האחראי על התקיפה וכן את הנכסים בהם השתמש במהלך עבודתו.
כלל התהליך, במידה והצליח, מתועד ע״י ציידי הסייבר במסמכים ודוחות, ולעיתים מפורסמים בפלטפורמות שיתוף מידע בקהילת הסייבר העולמית.
שיטות ציד עריכה
קיימות מספר שיטות בהן משתמש צייד איומי הסייבר במהלך עבודתו.
- שיטת האינדיקטורים (Indicators-Driven) - חיפוש אינדיקציות לחריגה רשתית ו/או התנהגותית ברכיבי ומשתמשי הרשת. ישנן אינדיקציות חשיפה (אנ'), בהן ישנה התנהגות חריגה בכמות/סוג התעבורה ברשת או במכונה קונקרטית. ישנן גם אינדיקציות התנהגותיות(אנ'), דוגמת דיוג.
- שיטת ההתרעה (Intelligence-Driven) - מקרה בו יש התרעה חיצונית על תקיפת הרשת, שלא עלתה ממעקב שוטף אודות המתרחש ברשת. מדובר לרוב על אינדיקציה מסוימת למקום/היקף התקיפה, ובהתאם ניתן לבצע חקירה מעמיקה יזומה באזור זה. למשל - בקשת כופר מחברה לאחר שנפרצה, או היעלמות מידע או גישה ממסד נתונים ברשת.
- שיטת האנליזה (Analytics-Driven) - ביצוע ניתוח אלגוריתמי ו/או היוריסטי של המידע הגולמי תוך אפיון תקיפת רשת. בשיטה זו ישנו שימוש לרוב בבינה מלאכותית ולמידת מכונה.
קישורים חיצוניים עריכה
- Peter H. Gregory, Threat Hunting For Dummies, John Wiley & Sons, Inc., 2017
- Michael Kassner, Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge. TechRepublic.com. April 29, 2016
- Siri Bromander, Audun Jøsang, Martin Eian. Semantic Cyberthreat Modelling. 11th International Conference on Semantic Technologies in Intelligence, Defense, and Security. November 2016
- Dan Gunter, Marc Seitz, A Practical Model for Conducting Cyber Threat Hunting, sans.org. November 29, 2018