حفاظت تهدید پیشرفته (ATP) | راهنمایی جامع در ۷ بخش

تهدیدات مستمر پیشرفته (Advanced Persistent Threats) از مهم‌ترین تهدیدات سایبری علیه امنیت شبکه سازمان‌های حساس هستند که نمی‌توان برای مقابله با آن‌ها تنها به راهکارهای روتین امنیت شبکه مثل فایروال‌ها، سامانه‌های پیشگیری از نفوذ (IPS)، راهکارهای ضد دیداس (Anti-DDoS) و ... تکیه کرد. برای مقابله با این تهدیدات، رویکرد امنیتی پیچیده‌تری نیاز است که حفاظت تهدید پیشرفته (Advanced Threat Protection) یا به اختصار، ATP نام دارد. در این رویکرد از روش‌ها و فناوری‌های پیشرفته‌ برای حفاظت فعالانه، هوشمندانه و همه‌جانبه در مقابل تهدیدات پیشرفته و مستمر استفاده می‌شود.

در این بلاگ، به اهمیت ATP در امنیت شبکه می‌پردازیم و سپس مؤلفه‌های کلیدی حفاظت تهدید پیشرفته را معرفی می‌کنیم. همچنین، توضیح خواهیم داد که چگونه می‌توانید این رویکرد در با استراتژی امنیت شبکه خود جای دهید. با سایبرنو همراه باشید.

حفاظت تهدید پیشرفته (ATP) چیست؟

حفاظت تهدید پیشرفته، چیزی فراتر از یک ابزار امنیت شبکه است و می‌توان آن را یک چهارچوب همه‌جانبه برای شناسایی تهدیدات پیشرفته و مقابله به موقع با آن‌ها به صورت لحظه به لحظه دانست. راهکارهای سنتی امنیت شبکه مثل فایروال‌ها و ضدبدافزارها تنها در مقابل تهدیدات شناخته‌شده کارآمد هستند و توانایی مقابله با تهدیدات سایبری نوین و پیشرفته را ندارند. بنابراین، سازمان‌های حساس نیازمند رویکرد حفاظت تهدید پیشرفته و به کارگیری روش‌هایی مثل یادگیری ماشین (machine learning)، هوش مصنوعی (AI) و آنالیز رفتاری (behavioral analytics) برای پیشبینی، شناسایی و تضعیف حملات سایبری پیشرفته هستند.

رویکرد ATP از تحلیل داده‌ها به منظور شناسایی الگوها، رصد لحظه به لحظه ترافیک شبکه و قرنطینه‌سازی فوری فعالیت‌های مشکوک در شبکه، برای مقابله با هر نوع تهدیدی، از حملات روز صفر (zero-day attacks) گرفته تا حملات باج‌افزاری، کمپین‌های فیشینگ پیشرفته و غیره، استفاده می‌کند.

مؤلفه‌های اصلی حفاظت تهدید پیشرفته کدامند؟

رویکرد حفاظت تهدید پیشرفته یا ATP در امنیت شبکه، از چندین مؤلفه اصلی بهم‌پیوسته تشکیل می‌شود که هر کدام از آن‌ها نقش مهمی در مقابله با تهدیدات سایبری پیشرفته دارند. این مؤلفه‌ها به شرح زیر هستند:

۱- شناسایی تهدید

سیستم‌‌های حفاظت تهدید پیشرفته به طور پیوسته شبکه سازمان شما را از نظر وجود هر نوع فعالیت مشکوکی رصد می‌کنند. رویکرد ATP با استفاده از تکنیک‌هایی مثل بازرسی عمیق بسته (deep packet inspection) یا DPI و تشخیص ناهنجاری می‌تواند تهدیداتی را شناسایی کند که ابزارهای سنتی امنیت شبکه مثل فایروال‌ قادر به شناسایی آن‌ها نیستند. برای مثال، ابزارهای حفاظت تهدید پیشرفته می‌توانند بدون به خطر انداختن حریم خصوصی کاربر، ترافیک رمزنگاری شده را رمزگشایی و تحلیل کنند. همچنین، امکان شناسایی ایمیل‌های فیشینگ و فایل‌های بدافزاری، پیش از ورود به inbox ایمیل‌های سازمانی وجود دارد.

نکات فنی برای تیم‌های امنیتی:

رمزگشایی TLS/SSL: از راهکارهای حفاظت تهدید پیشرفته دارای قابلیت رمزگشایی TLS/SSL برای بازرسی ترافیک بدون مختل کردن آن استفاده کنید.
تشخیص بدون امضاء: از ابزارهای حفاظت تهدید پیشرفته با موتورهای DPI هیوریستیک و رفتاری برای شناسایی حملات روز صفر و بدافزارهای پلی‌مورفیک استفاده کنید.
قوانین سفارشی: قوانین خاصی برای تعریف تهدیدات مشخص کنید تا راهکارهای حفاظت تهدید پیشرفته بر اساس آن قوانین، تهدیدات و فعالیت‌های مشکوک در شبکه را شناسایی کنند.

۲- پاسخ به تهدیدات

شناسایی تهدید تنها نیمی از راه مقابله با تهدیدات سایبری است؛ پس از اینکه تهدیدی شناسایی می‌شود، باید به خوبی خنثی‌سازی شود. پاسخ به حوادت (incident response) یا پاسخ به تهدیدات یکی دیگر از مؤلفه‌های اصلی حفاظت تهدید پیشرفته است که می‌تواند شامل قرنطینه کردن سیستم‌های آلوده، مسدود کردن آدرس‌های IP مشکوک و متخاصم یا محدود کردن دسترسی کاربران برای جلوگیری از آسیب بیشتر باشد. بدین ترتیب، نه تنها کار تیم امنیتی سبک‌تر می‌شود، بلکه پنجره فرصت برای هکرها نیز کوچک و کوچک‌تر می‌شود.

البته، پاسخ به تهدیدات فرایندی بسیار پیچیده و گسترده‌ است و به همین دلیل، بسیاری از سازمان‌ها ترجیح می‌دهند که این فرایند را به یک شرکت امنیت سایبری ارائه‌دهنده خدمات پاسخ به تهدیدات، برون‌سپاری کنند.

نکات فنی برای تیم‌های امنیتی:

خودکارسازی جریان کاری: راهکارهای حفاظت تهدید پیشرفته را به گونه‌ای پیکربندی کنید که پاسخ خودکاری به هر کدام از دسته‌های تهدیدات مثل حملات فیشینگ، حملات دیداس، حملات بدافزاری و ... بدهند.
گردآوری داده‌های فارنزیک: از ابزارهای حفاظت تهدید پیشرفته برای گردآوری لاگ‌ها و تله‌متری نقاط پایانی و فعالیت شبکه برای تحلیل پس از حادثه و شناسایی دلایل و منشاء حمله استفاده کنید.
قرنطیه‌سازی تهدیدات: راهکارهای حفاظت تهدید پیشرفته را به گونه‌ای پیکربندی کنید که دستگاه‌های آلوده و دامنه‌ها و IPهای مشکوک و متخاصم را قرنطینه کنند.

۳- هوش تهدید

از دیگر مؤلفه‌های بسیار مهم و متمایزکننده رویکرد حفاظت پیشرفته تهدید، هوش تهدید (Threat Intelligence) است. در واقع، در رویکرد ATP از منابع و ابزارهای هوش تهدید یا اطلاعات تهدید برای گردآوری تازه‌ترین اطلاعات در رابطه با تهدیدات سایبری، شامل امضاء‌های بدافزارها و تاکتیک‌ها و تکنیک‌های حمله استفاده می‌شود. سپس، دیگر سامانه‌های امنیت شبکه مثل آنتی-ویروس چندگانه یا Multi AV، فایروال‌ها، سیستم‌های IDS و IPS، راهکارهای ضددیداس و ... با این اطلاعات خوراک‌دهی می‌شوند تا بتوانند با جدیدترین تهدیدات مقابله کنند.

نکات فنی برای تیم‌های امنیتی:

استفاده از APIهای غنی‌سازی (enrichment APIs): از APIها برای رساندن داده‌های لحظه به لحظه منابع هوش تهدید به سامانه‌های حفاظت تهدید پیشرفته خود استفاده کنید تا این سامانه‌ها بتوانند جدیدترین تهدیدات را شناسایی کنند.
بروزرسانی خودکار شاخص‌های حمله (IoCs): سامانه‌های حفاظت تهدید پیشرفته خود را به گونه‌ای پیکربندی کنید که شاخص‌های حمله (IoCها) به صورت خودکار، بروزرسانی شوند.
اولویت‌بندی تهدیدات: شاخص‌های حمله را بر اساس امتیاز تهدید، اولویت‌بندی کنید تا تمرکز شما روی تهدیدات اصلی باشد.

۴- تحلیل پیشرفته

تحلیل پیشرفته (Advanced Analytics) را می‌توان محور اصلی رویکرد حفاظت تهدید پیشرفته دانست که بر اساس الگوریتم‌های یادگیری ماشین کار می‌کند. ابزارهای تحلیلی، داده‌های بسیار زیادی را برای شناسایی الگوهای تهدید، تحلیل می‌کنند. برای مثال، یک نوسان ناگهانی در داده‌های ترافیکی خروجی یا تلاش غیرمعمول برای ورود به سیستم می‌تواند سبب فعال شدن هشدار شود و امکان مقابله فوری با هر نوع تهدید بالقوه را فراهم آورد.

نکات فنی برای تیم‌های امنیتی:

تحلیل همبستگی (correlation analysis): از منابع مختلف داده مثل فایروال‌ها، ترافیک شبکه، راهکارهای SIEM، دروازه‌های ایمیل، اپلیکیشن‌های ابری و سیستم‌های تشخیص و پاسخ نقطه پایانی (EDR) برای گردآوری داده‌ها استفاده کنید و این داده‌ها را در اختیار ابزارهای تحلیل رفتاری قرار دهید تا تحلیل همبستگی را انجام دهند.
تحلیل بر پایه نمودار (graph-based analysis): بعضی از راهکارهای حفاظت تهدید پیشرفته می‌توانند الگوهای حمله را به صورت نمودار به تصویر بکشند. استفاده از این راهکارها می‌تواند برای تحلیل بصری و انسانی بسیار مفید باشد.

۵- حفاظت نقطه پایانی

سازمان‌های مدرن، محدود به یک ساختمان نیستند؛ دورکاری و دستگاه‌های موبایل، محیط شبکه‌های سازمانی امروزی را گسترده‌تر از قبل کرده‌اند. راهکارهای حفاظت پیشرفته تهدید، هر نقطه پایانی متصل به شبکه، شامل گوشی‌ها و لپ تاپ‌های پرسنل را به دقت رصد می‌کنند تا جلوی نفوذ به شبکه از طریق آسیب‌پذیری‌ها در این دستگاه‌ها را بگیرند.

نکات فنی برای تیم‌های امنیتی:

قرنطینه‌سازی نقطه پایانی: در صورت شناسایی رویدادی مشکوک در هر نقطه پایانی، باید آن نقطه پایانی را قرنطینه و دسترسی آن را به شبکه محدود کنید تا امکان حرکت جانبی تهدید در شبکه وجود نداشته باشد.
پیشگیری از اکسپلویت: از قابلیت‌هایی مثل حفاظت حافظه و لیست سفید اپلیکیشن برای پیشگیری از اکسپلویت کردن آسیب‌پذیری‌ها استفاده کنید.
تحلیل رفتاری: با استفاده از یادگیری ماشین، رفتارهای غیرمعمول را در نقاط پایانی شبکه شناسایی کنید.

۶- مدیریت آسیب‌پذیری پیشرفته

اکثر سامانه‌های حفاظت تهدید پیشرفته دارای قابلیت‌های مدیریت آسیب‌پذیری هستند که می‌توانند سطح حمله را به طور قابل توجهی کاهش دهند. این راهکارها با شناسایی نرم‌افزارهای پچ نشده یا پیکربندی‌های ناامن، سطح حمله را به طور قابل توجهی کاهش می‌دهند.

نکات فنی برای تیم‌های امنیتی:

یکپارچه‌سازی با مدیریت پچ: راهکارهای حفاظت تهدید پیشرفته خود را با سیستم‌های مدیریت پچ، یکپارچه‌سازی کنید تا آسیب‌پذیری‌های شناسایی‌شده، به صورت خودکار، پچ شوند.
بازرسی پیکربندی: با استفاده از قابلیت اسکن آسیب‌پذیری در راهکارهای حفاظت تهدید پیشرفته، پیکربندی شبکه خود را به طور منظم بازرسی و هر پیکربندی اشتباه را تصحیح کنید.
پیش‌بینی اکسپلویت: از تحلیل پیش‌بینانه در راهکارهای حفاظت تهدید پیشرفته برای تعیین اینکه احتمال اکسپلویت شدن کدام آسیب‌پذیری‌ها بیشتر است، استفاده کنید و برطرف کردن آن آسیب‌پذیری‌ها را در اولویت قرار دهید.

۷- بهبود پیوسته به کمک حلقه‌های بازخوردی

یکی از ویژگی‌های سامانه‌های حفاظت تهدید پیشرفته این است که با استفاده از حلقه‌های بازخوردی (feedback loops) قابلیت هوشمندتر شدن دارند. در واقع، وقتی که تهدیدی شناسایی می‌شود، سیستم حفاظت تهدید پیشرفته، مدل‌ها و امضاءهایش را بروز می‌کند تا جلوی حملات مشابه در آینده را بگیرد.

نکاتی برای تیم‌های امنیتی:

مدیریت مثبت‌های کاذب: تیم امنیتی باید به طور منظم، مثبت‌های کاذب را بررسی کند و به سیستم‌های حفاظت تهدید پیشرفته بازخورد بدهد تا در آینده از شناسایی این رویدادهای بی‌خطر در شبکه به عنوان تهدید، پیشگیری کند.
مدل‌های تمرینی: تیم امنیتی باید سیستم‌های حفاظت تهدید پیشرفته را با مدل‌های تمرینی، آموزش دهد تا دقت آن‌ها در شناسایی تهدیدات واقعی، افزایش پیدا کند.

حفاظت تهدید پیشرفته چه ویژگی‌هایی دارد؟

از جمله مهم‌ترین ویژگی‌های حفاظت تهدید پیشرفته می‌توان به موارد زیر اشاره کرد:

شکار تهدید فعالانه: برخلاف رویکردهای سنتی امنیت شبکه که شامل پاسخ منفعلانه و واکنش به تهدیدات هستند، رویکرد ATP به صورت فعالانه و پیشگیرانه به جستجوی آسیب‌پذیری‌ها و شاخص‌های حمله در سرتاسر شبکه سازمان می‌پردازد و بدین ترتیب، اکثر تهدیدات در نطفه خفه می‌شوند.
قابلیت‌های جعبه شن: فایل‌ها یا URLهای مشکوک در محیط‌های ایزوله (جعبه شن) قرنطینه می‌شوند تا رفتار آن‌ها مورد بررسی قرار بگیرد. بنابراین، حتی اگر این فایل‌ها یا URLها واقعا بدافزاری و متخاصم باشند، نمی‌توانند آسیبی به شبکه وارد کنند.
تحلیل رفتاری: ابزارهای ATP، خطوط پایه (baseline) رفتاری برای کاربران، دستگاه‌ها و اپلیکیشن‌ها تعریف می‌کنند. هر انحرافی از این خطوط پایه، مانند تلاش‌های غیرطبیعی برای ورود به سیستم‌ها یا دسترسی غیر مجاز به داده‌ها، به عنوان تهدید شناسایی و گزارش می‌شود.
یکپارچه‌شدن با سامانه‌های ابری یا On-premise: ابزارهای حفاظت تهدید پیشرفته دارای قابلیت تعامل و یکپارچه شدن با سامانه‌های ابری و on-premise هستند که مدیریت یکپارچه شبکه را تسهیل می‌کند و امنیت شبکه را افزایش می‌دهد.

حفاظت تهدید پیشرفته چه مزیت‌هایی دارد؟

در دورانی که تهدیدات سایبری روز به روز در حال پیشرفته‌تر شدن و پیچیده‌تر شدن هستند، اتکاء به روش‌های سنتی امنیت شبکه مثل فایروال‌ها و آنتی‌ویروس‌ها نمی‌تواند امنیت سازمان‌ها را تضمین کند. در چنین شرایطی، رویکرد حفاظت تهدید پیشرفته می‌تواند مزیت‌های زیر را داشته باشد:

۱- تشخیص به موقع تهدیدات

ابزارهای پیشرفته تشخیص تهدید به عنوان بخشی از رویکرد ATP در امنیت سایبری، به گونه‌ای طراحی شده‌اند که می‌توانند تهدیدات را در مراحل اولیه و پیش از اکسپلویت شدن آسیب‌پذیري‌ها در شبکه سازمان شما، شناسایی کنند. این ابزارها که بر اساس یادگیری ماشین، هوش مصنوعی و تحلیل رفتاری کار می‌کنند، هر گونه رخداد غیرطبیعی و مشکوک در شبکه را شناسایی می‌کنند و گزارش می‌دهند.

۲- کاهش زمان پاسخ به تهدیدات

وقتی حمله‌ای به شبکه سازمان شما رخ می‌دهد، هر ثانیه می‌تواند ارزشمند باشد. در رویکرد حفاظت تهدید پیشرفته، پاسخ به تهدیدات به صورت ترکیبی از روش‌های خودکار و دستی انجام می‌شود. روش‌های خودکار مثل قرنطینه کردن تهدید و مسدود کردن دامنه‌های مشکوک، می‌توانند زمان پاسخ به تهدیدات را به شکل قابل توجهی کاهش دهند و تفاوت معنی‌داری در میزان خسارت مادی و معنوی بالقوه به سازمان شما ایجاد کنند.

۳- رصد جامع شبکه

در حفاظت تهدید پیشرفته از پیشخوان‌های متمرکزی استفاده می‌شود که امکان رصد لحظه به لحظه و هر گوشه از شبکه سازمان شما را فرآهم می‌آورند. بدین ترتیب، هر تهدیدی با سرعت بالا شناسایی و خنثی می‌شود. همچنین، متخصصان شبکه و امنیت شما می‌توانند نقاط ضعف امنیتی شبکه را پیش از اینکه مورد سوء استفاده هکرها قرار بگیرند، برطرف کنند.

۴- انطباق با قوانین

با توجه به قوانینی که توسط سازمان‌های دولتی و نهادهای تنظیم‌گر مثل افتا و سازمان پدافند غیر عامل وضع می‌شود، حفاظت از داده‌های کاربران و زیرساخت‌های شبکه هم برای سازمان‌های دولتی و هم برای سازمان‌های خصوصی، ضروری است. حافظت تهدید پیشرفته می‌تواند در دریافت مجوزهای لازم از سازمان‌های تنظیم‌گر، نقش مهمی ایفا کند.

در هنگام انتخاب راهکار حفاظت تهدید پیشرفته به چه مواردی توجه کنیم؟

برای انتخاب راهکار حفاظت تهدید پیشرفته (ATP) توجه به موارد زیر، ضروری است:

سازگاری: هر راهکار حفاظت تهدید پیشرفته که انتخاب می‌کنید، باید با شبکه و راهکارهای امنیت سایبری سازمان شما، همخوانی و سازگاری داشته باشد.
مقیاس‌پذیری: پیش از خرید هر نوع محصول حفاظت تهدید پیشرفته از خودتان بپرسید که آیا در صورت گسترش شبکه سازمان شما، آیا این محصول از مقیاس‌پذیری لازم برای پوشش آن برخوردار است؟
کاربرپسند بودن: رابط کاربری پیچیده در راهکارهای امنیتی می‌تواند سرعت عمل تیم امنیتی شما را کاهش دهد. بنابراین، بهتر است که به دنبال خرید راهکارهای حفاظت تهدید پیشرفته دارای رابط کاربری کاربرپسند و ساده باشید.
عملکرد سامانه: برای مقایسه سامانه‌های حفاظت پیشرفته تهدید می‌توانید شاخص‌های زیر را در نظر بگیرید:
- میانگین زمان تشخیص (MTTD): میانگین زمان برای تشخیص یک تهدید.
- میانگین زمان برای پاسخ (MTTR): میانگین زمان برای خنثی‌سازی یک تهدید شناسایی‌شده
- نرخ تشخیص: درصدی از تهدیدات که توسط سامانه شناسایی می‌شوند.
- نرخ مثبت کاذب: فراوانی رخدادهای بی‌خطری که به عنوان تهدید شناسایی می‌شوند.

تاریخ انتشار: 1403/09/12

تاریخ بروزرسانی: 1403/09/13

نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو

امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.

برچسب‌های مرتبط

آموزش

این مطلب را با دوستان خود به اشتراک بگذارید

نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

Holy guacamole! You should check in on some of those fields below.

با ما در ارتباط باشید

تهران، میدان رسالت، خیابان فرجام، خیابان شهید حسینعلی، پلاک ۹

٠٢١۹١٠۹۴٣٣٠

گواهینامه ها

مشاهده
بیشتر

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.