نظرة عامة على معلومات التهديد

التحدي الأكبر الذي يواجه أي فريق أمني هو تحديد وإيقاف التهديدات بأقل قدر من العرقلة لعملية العمل. تضع النطاق الواسع ومعدل ابتكار المهاجمين المؤسسة العادية في موقف دفاعي. غالباً ما تفتقر فرق تقنية المعلومات إلى المهارات والأدوات اللازمة لإيقاف التهديدات. حتى عندما يمتلكون تلك المكونات الأساسية، فإن الشركات ترى فقط جزءًا صغيرًا من المشهد التهديدي العام.

تدعي خدمات معلومات التهديد أنها تسد هذه الفجوة، من خلال تقديم المعلومات اللازمة للكشف عن وإيقاف التهديدات. تتكون خلاصات معلومات التهديدات من قوائم مؤشرات الاختراق، مثل عناوين IP وURLs والنطاقات التي قد تكون ضارة. العديد منها سيشمل أيضًا شدة التهديدات وتكرارها.

حتى الآن، يوجد في السوق مئات الخلاصات المدفوعة وغير المدفوعة لمعلومات التهديد. تحديد جودة الخلاصات صعب بدون معرفة النطاق الكامل للمشهد التهديدي. الدقة تحمل أهمية خاصة لضمان الحد الأدنى من الإيجابيات الكاذبة. الكثير من الإيجابيات الكاذبة يؤدي إلى تنبيهات غير ضرورية تغمر فرق الأمان وتمنعهم من اكتشاف التهديدات الشرعية. الإيجابيات الكاذبة تزعج الأعمال أيضًا، حيث تمنع المستخدمين من الوصول إلى الموارد الشرعية.

حاول محللو الأمان منع الإيجابيات الكاذبة من خلال النظر في مؤشرات الاختراق المشتركة بين عدة خلاصات. تم اعتبار الخلاصات التي تحتوي على المزيد من مؤشرات الاختراق المشتركة بأنها أكثر موثوقية. ومع ذلك، باستخدام هذا النهج مع 30 خلاصات معلومات تهديد، وجد فريق الأمان في كاتو أن 78 في المئة من الخلاصات التي سيتم اعتبارها دقيقة، ما زالت تحتوي على الكثير من الإيجابيات الكاذبة.

الشكل 1. في هذه المصفوفة، نعرض درجة التداخل بين مؤشرات الاختراق في خلاصات معلومات التهديد. تشير الألوان الفاتحة إلى المزيد من التداخلات ودقة أعلى للخلاصات. بشكل عام، أظهرت 75% من خلاصات معلومات التهديد درجة كبيرة من التداخلات.

لتنقيح خلاصات الأمان بشكل أكثر دقة، وجدنا أن تعزيز بيانات الأمان لدينا ببيانات تدفق الشبكة يمكن أن يحسن دقة الخلاصات بشكل كبير. في الماضي، كان استغلال بيانات تدفق الشبكة غير عملي للعديد من المؤسسات. كان هناك حاجة إلى استثمار كبير لاستخراج بيانات الأحداث من أجهزة الأمان والشبكة، وضبط البيانات، وتخزينها، ثم الحصول على أدوات الاستعلام اللازمة لاستجواب قاعدة البيانات.

التحول إلى حلول حافة الخدمة الآمنة للدخول (SASE)، مع ذلك، يجمع الشبكة والأمن معًا. سيكون محللو الأمان الآن قادرين على الاستفادة من بيانات الحدث الشبكي التي كانت غير متاحة سابقاً لتعزيز تحليل الأمان الخاص بهم. المساعدة لا سيما في هذه المنطقة هي شعبية مؤشر الاختراق المفترض بين المستخدمين الفعليين.

وفقًا لتجربتنا، ينتهي غالبية حركة المرور الشرعية إلى المجالات أو عناوين IP التي يتم زيارتها بشكل متكرر من قبل المستخدمين. نحن نفهم هذا بديهياً. المواقع التي يزورها المستخدمون عادة تكون قد عملت لفترة من الزمن. (ما لم تكن تتعامل مع بيئات البحث، والتي غالباً ما تنشئ خوادم جديدة.) وبالمقابل، فإن المهاجمين غالباً ما ينشئون خوادم ومجالات جديدة لتفادي تصنيفها كخبيثة – وبالتالي يُحظر – من خلال مرشحات عناوين URL.

وبالتالي، من خلال تحديد درجة تكرار زيارة المستخدمين الفعليين لأهداف مؤشرات الاختراق – ما نسميه درجة الشعبية – يمكن لمحللي الأمان تحديد أهداف مؤشرات الاختراق التي يحتمل أن تكون إيجابيات كاذبة. كلما قلت حركة المرور المتجهة نحو هدف مؤشر الاختراق، قلت درجة الشعبية، وزادت احتمالية كون الهدف خبيثًا.

في كاتو، نستخرج درجة الشعبية من خلال تشغيل خوارزميات التعلم الآلي ضد مستودع البيانات، الذي يتم بناؤه من البيانات الوصفية لكل تدفق من جميع مستخدمي عملائنا. يمكنك القيام بشيء مشابه من خلال جمع المعلومات الشبكية من سجلات متنوعة والمعدات في شبكتك.

لعزل الإيجابيات الكاذبة الموجودة في خلاصات معلومات التهديد، قمنا بتقييم الخلاصات بطريقتين: "درجة التداخل" التي تشير إلى عدد مؤشرات الاختراق المتداخلة بين الخلاصات، و"درجة الشعبية". في المثالية، نرغب في أن تحتوي خلاصات معلومات التهديد على درجة تداخل عالية ودرجة شعبية منخفضة. تتجه مؤشرات الاختراق الخبيثة الحقيقية إلى أن يتم تحديدها بواسطة عدة خدمات معلومات تهديد، وكما هو ملاحظ، يتم الوصول إليها بشكل غير متكرر من قبل المستخدمين الفعليين.

ومع ذلك، ما وجدناه كان العكس تمامًا. العديد من خلاصات معلومات التهديد (30 في المئة) كانت تحتوي على مؤشرات اختراق بدرجات تداخل منخفضة ودرجات شعبية عالية. حظر مؤشرات الاختراق في هذه الخلاصات سيؤدي إلى تنبيهات أمان غير ضرورية وإزعاج المستخدمين.

الشكل 2. بإدخال معلومات الشبكة في الاعتبار، تمكنا من التخلص من الإيجابيات الكاذبة التي توجد عادة في خلاصات معلومات التهديد. في هذا المثال، نرى متوسط التقييم لـ 30 خلاصات معلومات التهديد (أسماء أُزيلت). تلك التي فوق الخط تعتبر دقيقة. التقييم هو نسبة شعبية الخلاصة إلى عدد التداخلات مع خلاصات معلومات تهديد أخرى. بشكل عام، وجد أن 30% من الخلاصات تحتوي على إيجابيات كاذبة.

باستخدام معلومات الشبكة، تمكنا من التخلص من معظم الإيجابيات الكاذبة، وهو أمر مفيد بحد ذاته للشركة. على الرغم من أن النتائج تتحسن بشكل أكبر بفضل تغذية هذه الأفكار مرة أخرى في عملية الأمان. بمجرد معرفة أن الأصل قد تعرض للاختراق، يمكن تعزيز معلومات التهديد الخارجية تلقائيًا بكل تواصل يخلقه المضيف، مما ينتج معلومات جديدة. يمكن تحديد المجالات وعناوين IP التي يتصل بها المضيف المصاب والملفات التي تم تنزيلها تلقائيًا على أنها خبيثة وإضافتها إلى مؤشرات الاختراق التي تدخل أجهزة الأمان لمزيد من الحماية.

يمدد كاتو بسلاسة القدرات الداخلية للكشف عن التهديدات للعملاء لمراقبة الشبكة باستمرار بحثًا عن النقاط النهائية المعرضة للاختراق والملوثة بالبرامج الضارة. لأن حركة مرور الشبكة تتدفق عبر كاتو، يمكننا تقديم كشف بدون بصمة للتهديدات المستمرة دون تثبيت وكلاء أو أجهزة للحصول على رؤية حركة المرور.

يقدم كاتو خدمة كشف التهديد وإدارة الاستجابة (MDR) للمساعدة في الكشف والتحقيق وتأمين الشبكة والأجهزة المتصلة. يستخدم كاتو MDR مزيجًا من خوارزميات التعلم الآلي التي تستخرج حركة مرور الشبكة لمؤشرات الاختراق، والتحقق البشري من التباين المكتشف. ثم يقود خبراء كاتو العملاء في إصلاح النقاط النهائية المتعرضة للاختراق.

للمزيد من المعلومات حول خدمة MDR، انقر هنا.