ما المقصود باستخبارات التهديدات؟

تعتمد استخبارات التهديدات على دمج بيانات من مصادر متنوعة داخلية وخارجية لفهم التهديدات السيبرانية وتأثيرها على الأعمال، ولتعزيز آليات الحماية. يحقق برنامج استخبارات التهديدات فعاليته من خلال توحيد مصادر المعلومات، وتصنيف التهديدات وفقًا لمخاطر العمل، ثم إدخالها مجددًا في الأنظمة الداخلية وآليات الحماية. تمثل استخبارات التهديدات عنصرًا جوهريًا في أي برنامج ناضج للأمن السيبراني.

تكشف استخبارات التهديدات السيبرانية عن التهديدات القائمة والمستقبلية التي قد تؤثر على المؤسسة. يساعد الإلمام بتكتيكات وأساليب وإجراءات المهاجمين المؤسسات في مواجهة التهديدات بشكل أفضل في جميع مراحل الحوادث الأمنية.

تمكّن برامج استخبارات التهديدات المؤسسات من اتخاذ قرارات مدروسة بشأن معالجة الثغرات، وتطبيق استراتيجيات الاختبار، ووضع خطط الاستجابة للحوادث، وضمان استمرار الأعمال في حال وقوع أي حادث. تتعاون فرق استخبارات التهديدات مع فرق إدارة المخاطر السيبرانية وفرق الحماية.

يُعد نظام استخبارات التهديدات بمثابة نقطة مركزية تجمع بيانات الأمن السيبراني، وتقوم بتحليلها لإنتاج رؤى قابلة للتنفيذ. تعمل هذه الأنظمة على تعقّب الحوادث الأمنية، وتحديد الجهات الفاعلة التي تشكّل تهديدًا، وتوجيه فرق الأمان بشأن الإجراءات الواجب اتخاذها. تعتمد هذه الأنظمة في العادة على استخبارات التهديدات السيبرانية (CTI)، والتي تشمل مصادر بيانات داخلية وخارجية توفّر السياق المطلوب للنظام.

يُعد نظام استخبارات التهديدات مكوّنًا من منظومة أمنية شاملة ومتكاملة. تقوم حلول مثل AWS Security Hub بدمج أنشطة دورة حياة استخبارات التهديدات لتوفير إدارة موحدة ومركزية.

تُعد دورة حياة استخبارات التهديدات عملية دائمة تستلزم تحديثها ومراجعتها بشكل منتظم.

هذه هي المراحل الأساسية التي تتكوّن منها دورة حياة استخبارات التهديدات.

نطاق البيئة

ينبغي على المؤسسات، قبل تنفيذ برنامج لاستخبارات التهديدات، تحديد أنظمتها وبياناتها وشبكاتها وخدماتها والمستخدمين وسائر الأصول التنظيمية. يجب على المؤسسات فرز الأصول التنظيمية بناءً على مدى أهميتها التشغيلية وحساسية البيانات. عندما يتم فهم نطاق البيئة التنظيمية، يمكن تحديد التهديدات التي تؤثر في الأعمال والأصول التي قد تكون أكثر عرضة للهجوم.

جمع بيانات التهديدات

بعد إتمام تحديد النطاق، تكون الخطوة التالية في دورة حياة استخبارات التهديدات السيبرانية هي دمج مصادر البيانات المتنوعة ضمن مصدر موحد وموثوق. يتولى نظام استخبارات التهديدات استيعاب بيانات الأمان الداخلية وتقارير الأنظمة، إلى جانب مصادر خارجية تشمل تدفقات التهديدات في الوقت الفعلي من المصادر المفتوحة والموزعين، فضلًا عن قواعد بيانات الثغرات الأمنية ومراقبة الشبكات الاجتماعية والويب المظلم.

الغرض من هذه المرحلة هو التقاط كم واسع من بيانات التهديدات لضمان تغطية معلوماتية شاملة. في هذه المرحلة، تُجمع البيانات بطريقة مؤتمتة بالكامل، وبشكل متواصل، دون تصفية تتعلق بنطاق العمل.

معالجة البيانات

بعد الانتهاء من تجميع البيانات، تعمل المؤسسة على فلترتها وتنظيمها وتوحيدها وتعزيزها وتحويلها لتكون قابلة للاستخدام. تُحوّل البيانات غير المهيكلة إلى تنسيق قابل للمعالجة آليًا، وتُنظّف البيانات المهيكلة لتعزيز جودتها وتُزوّد بوسوم البيانات الوصفية. يُستبعد كل من البيانات الزائدة عن الحاجة والتي تقع خارج نطاق العمل. يجب أن تكون المعالجة مؤتمتة قدر الإمكان.

التحليل

في مرحلة التحليل، يتم تحويل بيانات استخبارات التهديدات إلى رؤى عملية تفيد النشاط التجاري. تبدأ الأنظمة الآلية بتحليل البيانات المُعالجة لاكتشاف الأنماط والارتباطات، والتركيز على أي حالات شاذة أو اختلافات تستدعي تحقيقًا من جانب فرق الأمن السيبراني.

يستطيع محللو البيانات، في هذه المرحلة، الاستفادة من تقنيات متقدمة مثل تعلم الآلة والنماذج التنبؤية لتحديد مؤشرات التهديد بدقة. تجمع هذه العمليات بين الجوانب اليدوية والمؤتمتة، وتهدف إلى تقديم رؤى فعالة لفرق الأمان تدعم بناء استراتيجيات الدفاع السيبراني.

إعداد التقارير

يتم من خلال التقارير إيصال نتائج تحليل استخبارات التهديدات إلى المعنيين من فرق العمل وأصحاب المصلحة في المؤسسة. تُعد التقارير بما يتناسب مع الجمهور المتلقي، وقد تتضمن لوحات معلومات بسيطة، أو ملفات نصية، أو عروض شرائح، أو أي وسيلة تواصل أخرى.

عادةً ما تُنفذ مرحلة إعداد التقارير بشكل آلي، إذ تُنتج أنظمة استخبارات التهديدات تقريرًا وتُرسله إلى الجهات المعنية. في حال برزت تهديدات أمنية كبيرة، قد تكون هناك حاجة إلى إعداد تقارير بشكل يدوي.

من الممكن أن تُبلّغ الفرق عن التهديدات الجديدة وغير المعروفة للمجتمع الأوسع، بحيث تستفيد منها مؤسسات أخرى عبر إدماجها في أنظمتها.

المراقبة والتعديل

تقوم أنظمة استخبارات التهديدات بمراقبة التهديدات الأمنية المحتملة، وتتبُّع مؤشرات الاختراق (IOCs)، وتقديم الدعم لفرق الأمان. نظام استخبارات التهديدات هو من العناصر البرمجية المحورية داخل مركز عمليات الأمان (SOC) الذي يعمل باستمرار ويضم طاقمًا متخصصًا.

خلال مرحلة التحليل، تعمل الفرق على تتبع مؤشرات الاختراق (IOCs) المرتبطة بالتهديدات المحتملة، بهدف إعداد خطط استجابة للحوادث، وتطبيق ضوابط أمان جديدة أو محسّنة، وتعديل بنية النظام، وتحديث تقييمات المخاطر المتعلقة بالأعمال. تسهم هذه الاستجابة المستنيرة في الحفاظ على سلامة الوضع الأمني للشركة دون تعرّضه لأي انتهاك.

يتعيّن على الفرق الاستفادة من الحوادث الأمنية غير المتوقعة والمستجدات المعلوماتية بهدف مراجعة أدائها السابق وتحسينه. تستطيع فرق الأمان تقييم فعالية أدوات الحماية، وتقديم ملاحظات حول الاستجابات، وتحديد أي تناقضات لدعم التحسين المتواصل لبرامج استخبارات التهديدات.

تتحدد خصائص برنامج استخبارات التهديدات السيبرانية بناءً على تعقيد بيئة العمل، ونوعية البيانات الحساسة، ومتطلبات الالتزام التنظيمي. هذه مجموعة من السمات الأكثر شيوعًا في برامج استخبارات التهديدات.

تدفقات البيانات

تُقصد بتدفقات البيانات تلك المصادر المتنوعة التي تستند إليها منصات استخبارات التهديدات في توليد التحليلات. تشكل هذه الخدمات الخاصة بمعلومات التهديدات جزءًا جوهريًا من أي برنامج لاستخبارات التهديدات.

من بين مصادر تدفقات البيانات الخارجية: الاستخبارات مفتوحة المصدر (OSINT) في الزمن الحقيقي، وتدفقات التهديدات المتاحة للعامة، والبيانات الصادرة عن الجهات الحكومية المختصة بالأمن السيبراني. تتضمن مصادر البيانات الداخلية تدفقات مثل سجلات الجدار الناري، وأنماط وصول المستخدمين، وتنبيهات نظام كشف التسلل (IDS)، وسجلات الأجهزة الطرفية، وبيانات القياس الخاصة بخدمات السحابة.

التقنيات

تستند استخبارات التهديدات إلى مجموعة من التقنيات المتكاملة التي تسهم في جمع البيانات، وتحليلها، وتقديم نتائج عملية تدعم فرق الأمان. فعلى سبيل المثال، توجد برامج لاستخبارات التهديدات تُسهم في جمع البيانات وتنظيمها، وتقوم بإرسال الرؤى مباشرة إلى فرق الأمان عند الضرورة.

تلعب تقنيات التحليلات دورًا أساسيًا في التعرف على الأنماط والاختلافات ضمن البيانات والتي قد تُشير إلى حوادث أمنية وشيكة. القدرات التحليلية في استخبارات التهديدات السيبرانية تعني أي أدوات أو تقنيات تُمكّن الفرق من تحسين وضوح البيانات ودقتها وتفصيلها. من بين هذه القدرات: تحليل تعلم الآلة، والخوارزميات التي تتنبأ بالأنماط، وتحليلات السلوك.

تقوم أنظمة إدارة معلومات الأمان والأحداث (SIEM) بربط بيانات سجلات الأمان الداخلية بمعلومات الأحداث لتوفير رؤى فورية حول كيفية تأثير التهديدات الناشئة على أعمالك. تدمج بعض الشركات تحذيرات داخلية ضمن التطبيقات، لتزويد المطورين بمعلومات إضافية حول الثغرات المحتملة أثناء تطوير أجزاء معينة من المنتج.

أُطر العمل

تمثل الأطر التي تشمل استخبارات التهديدات بنية معيارية تساعد المؤسسات في التنظيم والتنفيذ. تُعتبر هذه الأطر ذات قيمة عالية ويتم تحديثها باستمرار لتوفير توجيهات تفصيلية وإجرائية للمؤسسات. تشمل أطر الأمن السيبراني المعنية باستخبارات التهديدات كلاً من MITRE ATT&CK وسلسلة القتل السيبراني (Cyber Kill Chain). يشمل هذان الإطاران آليات لمعالجة التكتيكات والتشابهات الدلالية الشائعة ومؤشرات الاختراق (IOCs).

الأنشطة

تنفّذ أنظمة استخبارات التهديدات السيبرانية مجموعة من المهام بهدف إنتاج رؤى وتعزيز كفاءتها. فعلى سبيل المثال، قد تُجري هذه الأنظمة تقييمات فورية للمخاطر، وتُصلح الثغرات المعروفة عبر التحديثات، وتستجيب للحوادث باستخدام الملاحظات، وتوفر للخبراء الأمنيين مؤشرات حول الأحداث ذات الأولوية.

يستعين المتخصصون في مجال الأمان السيبراني بأربعة أنواع أساسية من استخبارات التهديدات.

الاستخبارات الاستراتيجية للتهديدات

تشير استخبارات التهديدات الاستراتيجية إلى البيانات الأوسع حول مشهد التهديدات التي تجمعها الأنظمة، بما يشمل البيانات الجيوسياسية والاقتصادية وغيرها من المعلومات غير التقنية التي يمكن أن تساعد في بناء ملف سياقي لحدث أمني محتمل. استخبارات التهديدات الاستراتيجية غير التقنية تُقدّم تحليلات مفيدة تسهم في إدراك نقاط الضعف الأمنية العامة وكيفية تطورها.

الاستخبارات التكتيكية للتهديدات

استخبارات التهديدات التكتيكية تعنى بجمع البيانات المرتبطة بأساليب وتكتيكات وإجراءات المهاجمين (TTPs)، بما فيها تلك التابعة للتهديدات المستمرة المتقدمة (APTs). تُشارك بيانات الاستخبارات على مستوى القطاع عبر تدفقات الأمان العامة. تتيح هذه المعلومات لمتخصصي الأمان إدراك الأنماط المتكررة للهجمات، والتشابهات الدلالية المستخدمة، وترتيب الخطوات التي تُتبع أثناء وقوع حدث أمني معين.

الاستخبارات التقنية للتهديدات

استخبارات التهديدات التقنية تُعنى بأي إشارات اختراق يتم التعرف عليها من خلال الأنظمة أو الأدوات المؤتمتة. تشمل مؤشرات الاختراق (IOCs) التي يُنبّه إليها النظام عناوين IP ضارة، أو عناوين URL أمنية غير متوقعة، أو ردود أفعال من جدران الحماية، أو تغييرات مفاجئة في القيم التشغيلية، ليتم التحقق منها من قبل فرق الأمان.

الاستخبارات التشغيلية للتهديدات

تُعد استخبارات التهديدات التشغيلية مزيجًا من البيانات التكتيكية والمعلومات التقنية. تسلط معلومات التهديدات التشغيلية الضوء على معرفة منتشرة على مستوى القطاع، مثل رصد تزايد استخدام نوع معين من برامج الفدية أو البرمجيات الخبيثة في شركات أو مناطق محددة. تمكّن استخبارات التهديدات التشغيلية المؤسسات من اتخاذ تدابير استباقية لتقليل احتمالية وقوع حوادث أمنية.

توفّر AWS Cloud Security أدوات متخصصة لأمان السحابة تشمل استخبارات التهديدات، والأتمتة، والتصورات لمساعدتك في حماية بيئتك السحابية. تمكّن AWS Cloud Security المؤسسات من اكتشاف المخاطر، وتأمين البنية التحتية باستخدام آليات حماية البيانات، ومراقبة الوضع الأمني للكشف عن الأحداث غير المتوقعة، والتعامل الفوري مع الحوادث.

توفّر AWS Security Hub إمكانية تحديد أولويات المشكلات الأمنية المهمة والاستجابة لها على نطاق واسع لتعزيز حماية بيئتك. تتيح رصد التهديدات من خلال تقديم معلومات استخباراتية، وتحليل الإشارات وربطها للحصول على رؤى عملية تسهّل سرعة الاستجابة.

ابدأ الآن باستخدام استخبارات التهديدات على AWS عن طريق إنشاء حساب مجاني اليوم.