عمليات البحث عن معلومات التهديدات مفتوحة المصدر عن …

Robert Lemos

طالما أن المجتمع قوي ، فإن المعلومات التي يشاركها في موجزات المصدر المفتوح ستكون كذلك. ولكن إذا انهار هذا المجتمع …

عندما يقوم مركز الاستجابة لحوادث الكمبيوتر في لوكسمبورغ (CIRCL) بتحليل الحوادث للحصول على معلومات حول التهديد ، تتعامل المجموعة في الغالب مع المعلومات السرية والحساسة وفي بعض الحالات ، من الشركات والمجتمعات التي يعمل معها فريق الاستجابة للحوادث بانتظام.

ومع ذلك ، تعتمد المجموعة أيضًا بشكل كبير على استخبارات المصادر المفتوحة كطريقة للقضاء على ضجيج التهديدات المعروفة وتقليل عبء العمل على مشغلي المجموعة ، كما يقول Andras Iklody ، مشغل CIRCL والمطور الأساسي لمنصة مشاركة معلومات التهديدات MISP. ويضيف أن ذكاء التهديدات مفتوح المصدر يتيح للمجموعة التمهيد لتحليلاتها وتساعد على تقليل عبء العمل بسرعة للتركيز بدلاً من ذلك على التهديدات الجديدة.

يقول إكلودي: “إنه يجعل حياتنا أسهل من خلال إخراج الفاكهة المتدلية من الطريق”. “على الرغم من أننا لا نستخدمه بشكل مباشر لأغراض الكشف – وهو ما يمكننا ، اعتمادًا على المصدر – فهو بالفعل مساعدة كبيرة ، على سبيل المثال ، في التعرف بسرعة على ما نتعامل معه. هل هو شيء معروف بالفعل؟ أم أنه شيء يجب قضاء المزيد من الوقت معه؟ “

تتحسن موجزات المعلومات مفتوحة المصدر من نواح كثيرة. على سبيل المثال ، عادةً ما تكون المعلومات أكثر تركيزًا وأفضل تدقيقًا مما كانت عليه في الماضي. لكن الخبراء يقولون إن هناك مخاطر محتملة. نظرًا لأن تصفية البيانات السيئة من موجز التهديد تستغرق وقتًا طويلاً وصعبة ، فغالبًا ما تتخلف معلومات التهديدات مفتوحة المصدر عن المعلومات الاستخباراتية التي تقدمها المصادر الأخرى. من ناحية أخرى ، يمكن لبعض الأنظمة الآلية أو أنظمة التعهيد الجماعي – مثل AbuseIPDB ، وهي قاعدة بيانات لسمعة عناوين الإنترنت – أن تجد مؤشرات مبكرة على الخبث.

يمثل الخير والشر العلاقة بين ذكاء التهديدات مفتوح المصدر والمتطوعين في المجتمع الذين يمنحون وقتهم لإنشاء الأدوات وتحليل التهديدات المحتملة ، كما يقول كارل سيجلر ، كبير مديري الأبحاث الأمنية في Trustwave. في حين أن الجهود الضخمة يمكن أن تؤدي إلى مصادر قوية لبيانات التهديد ، غالبًا ما تختفي هذه المجتمعات إذا تضاءل الاهتمام.

يقول: “طالما ظل المجتمع قويًا ، فستظل التغذية مفتوحة المصدر”. “لكن المجتمعات تميل إلى الانهيار ، لذلك لا يمكنك دائمًا الاعتماد على الخلاصات الموجودة هناك.”

ومع ذلك ، لا تغطي خلاصات معلومات التهديدات مفتوحة المصدر والموجزات التجارية نفس الأرضية ، مما يجعل اتخاذ أي قرار صعبًا. في بحث في أغسطس ، قارن باحثون من جامعات في هولندا وألمانيا مؤشرات التهديد من أربعة موجزات استخباراتية للتهديدات مفتوحة المصدر وخلاصتين تجاريتين ، ووجدوا القليل جدًا من التداخل في مصادر البيانات. وجدت مقارنة المؤشرات على 22 مجموعة تهديد أن الخلاصات تحتوي ، على الأكثر ، على 4٪ فقط من مؤشرات التهديد المشتركة.

ابدء
بالنسبة لمعظم الشركات ، تعتبر البيانات من تدفقات الشبكة وسجلات الأمان الخاصة بها هي أكثر معلومات التهديدات قيمة. يجب أن تركز الشركات التي تبدأ في استخبارات التهديدات على الانضمام إلى مجموعة تبادل معلومات التهديدات الخاصة بالقطاع أو الصناعة ، كما ينصح إكلودي من MISP. لن تنبه هذه المجموعات الشركات الأعضاء إلى التهديدات المحتملة فحسب ، بل سيكون لديها أيضًا أفضل الممارسات الخاصة بالصناعة التي يمكن أن تساعد في تعزيز دفاعات المؤسسة.

يقول: “اجتمعوا مع منظمة مماثلة يمكنك تبادل المعلومات معها”. “إذا كنت تعمل في قطاع معين ويمكنك الانضمام إلى ISAC ، فافعل ذلك واحصل على المعلومات التي يمكنهم مشاركتها معك.”

يجب على أي شركة تستخدم ذكاء التهديدات التأكد من أنها تستهلك البيانات من الخلاصات بشكل مناسب وبعيون متشككة. يقول أندرو موريس ، مؤسس شركة GreyNoise Intelligence الناشئة لإثراء بيانات التهديد ، إن المؤشرات الفنية لتهديد معين يستهدف مؤسسة ما قد تختلف اختلافًا كبيرًا عن مؤشرات التهديد نفسه الذي يهاجم منظمة أخرى.

يقول: “لمعرفة مكان السوء هو الأكثر صلة بك ، تمر ببعض العمليات على شبكتك”.

يمكن للشركات دمج البيانات من شبكاتها وبيئاتها الخاصة ، والاستعلام عن تلك البيانات ، للحصول على معلومات حول التهديدات المحددة التي تؤثر على مستخدميها.

“واحدة من القضايا هي [because] يقول موريس: “هناك الكثير من مصادر التهديد التي تكون كبيرة جدًا ولديها القليل جدًا من السياق وتتغير بسرعة كبيرة ، ومن المكلف للغاية محاولة تنفيذ جميع موجزات intel المختلفة والتخلص من الإيجابيات الخاطئة واستخلاص القيمة”

يمكن أن تكون الطبيعة العامة لخلاصات معلومات التهديدات مفتوحة المصدر نقطة ضعف أيضًا. لا يتعين على الشركات فقط النظر في مقدار التفاصيل التي يجب الإفصاح عنها علنًا ، ولكن غالبًا ما يكون هذا الكشف العلني بمثابة تحذير للمهاجمين لتغيير سلوكهم ، وبالتالي يصبح اكتشافه أكثر صعوبة ، كما يقول موريتس لوكاس ، مدير الاستخبارات في Intel471 ، وهو استخبارات تهديد تجاري مزود.

يقول: “بعض البتات التي لا يمكنك نشرها في مصدر مفتوح لأن المصدر المفتوح متاح للأشخاص الذين تراقبهم”. “لذا فإن كل ما تنشره سيكون الأول والأخير [indicator] التي ستنشرها على هذا المصدر المحدد “.

التحقق من الواقع
هل يمكن إصلاح نقاط الضعف في ذكاء المصدر المفتوح؟ إن اقتصاديات مشاركة المعلومات والقيمة المضافة من قبل الشركات في فحص موجزات معلومات التهديدات التجارية الخاصة بهم تجعل ذلك غير مرجح.

يشير إكلودي من مجموعة خدمات MISP إلى تأثير المشاركة القسرية كمثال. عندما طلبت منظمة مشاركة المعلومات في منطقة آسيا والمحيط الهادئ من الأعضاء مشاركة قدر معين من البيانات كل شهر للاحتفاظ بعضويةهم ، لم يكن لدى العديد من الشركات الصغيرة معلومات منتظمة عن الحوادث. وبدلاً من ذلك ، أعادت الشركات تصنيف المخاوف البسيطة على أنها تهديدات وانتهى بها الأمر بإغراق تغذية المجموعات بالضوضاء ، كما يقول.

هذه الأنواع من الأساليب ، التي تهدف إلى حل مشاكل مساهمة المصدر المفتوح ، تؤكد على عدم التناسق بين الشركات الكبرى ذات البرامج الأمنية الناضجة واللاعبين الصناعيين الأصغر الذين ينتهي بهم الأمر في المقام الأول إلى التستر على مثل هذه المعلومات.

يقول إكلودي: “عندما يكون لديك مطلب بأن يشارك الناس المعلومات ، فإنه يأتي بنتائج عكسية”. “هناك بعض الاستثناءات لذلك ، ولكن في كثير من الحالات لا تستطيع المنظمات إنتاج البيانات بالسرعة الكافية ، أو تبدأ في إغراق المجتمع بالخردة”.

ومع ذلك ، بالنسبة للشركات التي بدأت للتو في استخبارات التهديدات ، يمكن أن تكون طريقة للعمل مع أشكال موحدة من التقارير والتحليلات التي يتم تدريسها على نطاق واسع ، كما يقول سيجلر من Trustwave.

يقول: “أوصي دائمًا بالبدء بمصدر مفتوح ، ليس فقط بموجزات إنتل ولكن بكل أمان”. “إنه يتيح لك غمس إصبع قدمك في الماء دون التزام. أرى مرات عديدة أن الناس يلتزمون بمنتج يجلس على رفهم.”

صحفي تقني مخضرم لأكثر من 20 عامًا. مهندس بحث سابق. كتب لأكثر من عشرين مطبوعة ، بما في ذلك CNET News.com و Dark Reading و MIT’s Technology Review و Popular Science و Wired News. خمس جوائز للصحافة منها أفضل موعد نهائي … مشاهدة السيرة الذاتية كاملة

اقتراحات للقراءة:

المزيد من الأفكار

قد يعجبك ايضا