1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. چطور شکار تهدید می‌تواند از صنعت مراقبت بهداشت محافظت کند؟

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

چطور شکار تهدید می‌تواند از صنعت مراقبت بهداشت محافظت کند؟

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۸/۱۲

وقتی صحبت از نقض‌های امنیتی مربوط به دپارتمان بهداشت و سلامت می‌شود هیچ جای شوخی نمی‌ماند. از جولای 2021، تعداد 706 نقض داده مراقب بهداشت (از 500 سابقه ثبت‌شده یا بیشتر) به دپارتمانوزارت بهداشت و خدمات سلامتیِ [1]OCR گزارش شده است. یکی از دلایل مهمی که چرا نقض‌های داده در حوزه سلامت و بهداشت تا این حد شیوع پیدا کرده (و خطرناک شده است) این است که مجرمان سایبری اکنون می‌توانند برای مدت بیشتری در شاکله‌ی شبکه‌های سازمانی ماندگاری داشته باشند. نمونه‌اش هزینه‌ای که آی‌بی‌ام در سال 2020 گزارش داد (به دلیل نقض داه). این نقض 228 روز باقی مانده بود (مدت زیادی است نه؟!). با این حال متوسط زمان ماندگاری نقض داده در صنعت بهداشت و سلامت 329 روز بوده است. برای اینکه مدیران دپارتمان‌های سلامت این متوسط را کم کنند باید موقع رهگیری تهدیدها اقداماتی پیشگیرانه و فعالانه انجام دهند و چاره‌ی کار چیزی نیست جز مفهومی به نام شکار تهدید[2]. با ما همراه بمانید تا این مفهوم را خدمتتان توضیح دهیم.

شکار تهدید چیست؟

شکار تهدید یک رویکرد امنیتی فعالانه است که بواسطه آن، تحلیلگران با دقت شبکه‌ها را زیر نظر می‌گیرند تا تهدیدهای سایبری را ابتدا شناسایی کرده و بعد آن‌هایی را که از حد استاندارد تهدیدهای سایبری فراتر می‌روند قرنطینه کنند. اقدامات استاندارد امنیتی عبارتند از دیوارهای آتشین، ابزارهای رایگان آنتی‌ویروس یا ضدبدافزار و سایر انواع برنامه‌ریزی‌های واکنشی. شکار تهدید که از دیرباز ماهیت پروسه‌اش، دستی یا منوال بوده است حال رویکردی خودکار اتخاذ کرده (به کمک دو فناوری هوش مصنوعی و یادگیری ماشین) که بدین‌ترتیب می‌تواند تهدیدهایی را که در غیر این صورت ممکن بود نادیده گرفته شوند شناسایی می‌کند.

گذار از موضع واکنشی به موضع فعال

تا همین چند سال پیش، در یک شرکت معمولی (هنوز هم شرکت‌های معمولی همینطور هستند) سیستم‌های شناسایی نفوذ و سایر سیستم‌های نظارتی را نصب می‌کردند و بعد منتظر می‌ماندند ببینید آیا هشدارهای نفوذی به صدا درمی‌آیند یا نه. این سیستم‌ها اساساً مبتنی بر امضا هستند و همینطور مجهز به برخی کمک‌های فناوری یادگیری ماشین. وقتی هشدارها خاموش می‌شدند آنوقت موقع‌اش بود که تحلیلگران برای پیدا کردن همین چند هشدار ساده دنبال مثبت کاذب‌های احتمالی بگردند (هزاران مورد در هر روز). برای بررسی این هشدارها تحلیلگر می‌بایست به SIEM نگاه می‌انداخت و لاگ‌های موجود و مناسب را بازیابی می‌کرد تا ببیند آیا آن‌ها می‌توانند منبع رخداد احتمالی را معین کنند یا نه. اگر لاگ‌ها اتفاق خاصی را نشان می‌دادند تیم‌ها ابزارهای بیشتری را به کار می‌گرفتند؛ مانند مجموعه ابزارهای تخصصی تحلیل و سیستم‌های واکنش به رخداد و حالا دیگر نگاهشان را دقیق‌تر می‌کردند.

شکار تهدید فعال در صنعت سلامت و بهداشت

شکار تهدید فعال یعنی چه؟ شکار تهدید فعال در اصل فعالانه به دنبال تهدیدهایی می‌گردد که در کمین سیستم‌ها و شبکه‌هایی هستند که از پوشش‌های دفاعی مبتنی بر امضا/قانون عبور کرده‌اند. تئوری این است که اگر شکارچیان تهدید بفهمند عاملین تهدید چطور عمل می‌کنند و چه تاکتیک‌ها، تکنیک‌ها و رویه‌هایی دارند می‌توانند فرضیه‌ای بسازند در مورد نحوه حمله‌ی احتمالی آن‌ها به تارگت اصلی (آن هم در خود محیط اصلی). البته که موفق شدن در شکار تهدید به افراد خبره با اطلاعات کافی و منابع خاص نیاز دارد. این همچنین نیازمند درک از محیط، ماهیت عاملین تهدید و تحلیلگران حرفه‌ایست. ابتدا بیایید نگاهی کنیم به این محیط و به همراه آن فناوری‌اش. برای پیدا کردن درست و به جای تهدیدهای روی یک شبکه فرد می‌بایست به محیط همانطور نگاه کند که به خود حمله- اینکه چه تجهیزات شبکه‌سازی، کاربردهای اینترنت، شبکه‌های وایرلس و دستگاه‌های متصل به اینترنت در دست است- در اصل هر چیزی که سطح حمله را افزایش دهد. شکارچیان تهدید باید علاوه بر درک دستگاه‌های متصل به شبکه و توپولوژی‌شان بدانند کلمه «عادی» روی شبکه‌هایشان چه معنایی پیدا می‌کند. روش معمولی که داده برای تحلیلگران جمع می‌شود دارد بیش از قبل در حوزه مراقب بهداشت به چالش تبدیل می‌شود. از آنجایی که جمع‌آوری داده معمولاً نیاز به این دارد که عاملی در اندپوینت گذاشته شود و به پلت‌فرم تحلیل‌های تحلیل امنیت متصل گردد. تحلیلگران با این داده‌ها می‌توانند برای رفتار نرمال و تهدیدهای احتمالی یک پایه انتخاب کنند. با این حال این کار در حوزه سلامت و بهداشت همیشه هم به این سادگی‌ها نخواهد بود. برخی‌اوقات دلیل را باید از بخش فنی جویا شد. بعضی‌وقت‌ها هم مشکل از مسائل مربوط به انطباق مقررات پیرامون گواهی دستگاه است. همین توسعه خط مبنایی برای شناسایی تهدیدهای احتمالی را سخت‌تر می‌کند.. با این حال سازمان‌های مراقبت بهداشت می‌توانند دید بهتری روی فعالیت شبکه خود پیدا کنند و نیز برای پیدا کردن ناهمخوانی‌های احتمالی ترافیک را تحت نظارت قرار دهند.

مثل یک مهاجم سایبری فکر کنید

شکار موفق تهدید مستلزم این است که تحلیلگر تفکری مشابه با مهاجم سایبری داشته باشد؛ این یعنی ساخت موفق یک فرضیه از اینکه چطور مهاجمین به محیط حمله می‌کنند؛ همینطور درک روشن از دارایی‌ها و داده‌هایی که ممکن است مهاجمین از همه بیشتر در محیط مورد هدف قرار دهند و نیز اینکه قرار است با چه حربه‌ای به این دارایی‌ها نزدیک شوند. همچنین مهم است که تحلیلگر چشم‌انداز تهدید مراقب سلامت را نیز بدرستی درک کند. آیا عاملین تهدیدی وجود دارند که در منطقه جغرافیایی شما به دپارتمان‌های بهداشت و سلامت حمله کرده باشند؟ آن‌ها از چه ترفندها و رویه‌هایی استفاده کرده‌اند؟ اگر به همه این سوالات پاسخ داده شد شکارچیان تهدید می‌گردند دنبال سرنخ‌هایی از دستکاری. وقتی مهاجمین به این روش مورد رهگیری قرار می‌گیرند زمان شناسایی نقض‌ها را می‌شود از ماه‌ها به چند هفته کاهش داد که همین به طور قابل‌ملاحظه‌ای اثر و قدرت نقض را کنترل می‌کند. البته که استفاده از ابزارهای درست، اطلاعات و منابع کافی به این سادگی‌ها هم نیست.

ابزارهایی برای شکار موفق تهدید

یکی از مجموعه‌ابزارهای اصلی برای شکار تهدید داشتن پلت‌فرم EDR[3] است. این پلت‌فرم‌ها شامل محصولات امنیتی منسجم می‌شود که پیوسته داده‌های اندپوینت را برای تهدیدهای احتمالی کنترل می‌کنند. هر زمان امکانش بود آن‌ها برای حذف یا تخفیف اثر هر تهدید شناسایی‌شده واکنش خودکار نشان می‌دهند. وقتی چنین پاسخ‌هایی ممکن نباشد، پلت‌فرم EDR داده‌های اندپوینت را به دست شکارچیان تهدید یا محققین امنیتی برای بررسی بیشتر و نیز انجام اقدامات لازم ارائه می‌دهد.

البته که صرف راه‌اندازی این پلت‌فرم هم شاید کار چندان فعالانه‌ای نباشد. می‌شود گفت همان پروسه‌ قدیمی واکنشی است که حوزه امنیت، ده‌ها سال است با آن دست و پنجه نرم می‌کند. راز شکار موفق تهدید استفاده از EDR برای شناسایی تهدیدهای شناخته‌شده و جمع‌آوری داده در مورد تهدیدهاست؛ در عین حال شکارچیان تهدید فعالانه باید روند پیشروی نقض‌ها را کنترل کنند. متسفانه وقتی حرف از شکار موفق تهدید می‌شود پیدا کردن فرد شایسته بسیار سخت است. حقیقت این است که شکارچیان تهدید خبره تعدادشان بسیار کم است. این افراد متخصص دستمزدهای بالا می‌گیرند و شرکت‌های بزرگ مدام برای استخدام آن‌ها با همدیگر در نزاعند. درست همینجاست که نقش سرویس‌های MDR[4] مهم می‌شود. MDR همان EDR است به اضافه‌ی سرویس امنیت سایبری که به دنبال تهدیدهای فعال و نقض‌ها در سازمان‌هاست؛ سازمان‌هایی که سال‌ها به دیوارهای دفاعی سنتی و مبتنی بر امضا تکیه کرده بودند. مزایای MDR زیاد است خصوصاً برای شرکت‌های سایز کوچک و متوسط که نمی‌توانند هزینه استخدام را تقبل کنند (حتی اگر بتوانند یکی از آن متخصصین ناب را هم پیدا کنند). بسیار مهم است که سازمان مراقبت بهداشت تصمیمش بر ساخت قابلیت‌های شکار تهدید باشد و یا روی آوردن به یک پارتنز MDR- باید سازمان یک برنامه شکار تهدید داخلی مؤثر در چنته داشته باشد. همچنین سازمان‌های حوزه سلامت باید موقع شناسایی تهدیدها فعال عمل کنند و بازه زمانی برای شناسایی نقض داده را از چند ماه به چند روز یا حتی چند ساعت کاهش دهند.

[1] Office for Civil Rights

[2] threat hunting

[3] endpoint detection and response

[4] managed detection and response