الهجمات الإلكترونية المدعومة بالذكاء الاصطناعي: كيفية الكشف عن التهديدات الذكية ومنعها والدفاع ضدها

اقرأ الآن
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/ المدونة / ما هي هندسة الكشف؟
استخبارات التهديدات Threat Intelligence

ما هي هندسة الكشف؟  

إطار عمل تحديد التهديدات والتصدي لها بفعالية
ب دارين سبرويل، نائب رئيس قسم الاستخبارات
شارك هذا المنشور

هندسة الكشف هو مجال من مجالات الأمن السيبراني يركز على تصميم وتنفيذ وصيانة أساليب الكشف لتحديد التهديدات الأمنية المحتملة داخل بيئة المؤسسة. وهي تتجاوز مجرد إعداد التنبيهات وتتضمن نهجًا استراتيجيًا لفهم سلوكيات التهديدات، وتحديد مؤشرات الاختراق، وتطوير منطق الكشف الذي يحدد بدقة النشاط الخبيث دون توليد نتائج إيجابية كاذبة مفرطة. تعد هندسة الكشف ضرورية لتعزيز قدرات المؤسسة على اكتشاف التهديدات وتحسين وضعها الأمني العام. 

من خلال تطوير منطق الكشف الدقيق والتحسين المستمر لآليات الكشف، يساعد مهندسو الكشف في تقليل الوقت المستغرق في الكشف عن الحوادث والوقت اللازم للاستجابة لها. يضمن هذا النهج الاستباقي أن تتمكن فرق الأمن من التصرف بسرعة مع التنبيهات ومنع الاختراقات المحتملة. 

المفاهيم الرئيسية في هندسة الكشف

رسم مرئي يوضح أربعة مفاهيم رئيسية في هندسة الكشف: منطق الكشف، وإدارة النتائج الإيجابية والسلبية الكاذبة، والتحليل السلوكي، ومطاردة التهديدات
  1. منطق الكشف: يشير هذا إلى القواعد والاستعلامات والتحليلات المحددة التي تم تطويرها لتحديد الأنشطة الضارة بناءً على السلوكيات المرصودة وعمليات المراقبة الداخلية. يتم تصميم منطق الكشف الفعّال وفقًا لبيئة المؤسسة ويأخذ في الاعتبار مصادر البيانات المختلفة مثل حركة مرور الشبكة وسجلات نقاط النهاية والخدمات الأخرى.
  2. الإيجابيات الكاذبة والسلبيات الكاذبة: تحدث الإيجابية الكاذبة عندما يتم وضع علامة غير صحيحة على إجراء حميد على أنه خبيث، بينما تحدث السلبية الكاذبة عندما لا يتم اكتشاف إجراء خبيث. تهدف هندسة الكشف إلى تقليل هذه الأخطاء لضمان الحصول على تنبيهات دقيقة وقابلة للتنفيذ.
  3. التحليل السلوكي: على عكس طرق الكشف الثابتة التي تعتمد فقط على مراكز العمليات الدولية، يتضمن التحليل السلوكي مراقبة أنماط السلوك غير الطبيعية التي قد تشير إلى وجود تهديد، مثل أوقات تسجيل الدخول غير المعتادة أو محاولات تسريب البيانات. يساعد هذا النهج في اكتشاف التهديدات الجديدة والمتطورة ولكنه يتطلب خط أساس محدد مسبقًا للسلوك "الطبيعي".
  4. تعقّب التهديدات: تعقّبالتهديدات هو نهج استباقي للكشف عن التهديدات من خلال البحث في الشبكات والأنظمة لتحديد النشاط المشبوه. قد يساعد مهندسو الكشف في إنشاء فرضيات الصيد والعمل مع فرق البحث عن التهديدات للتحقق من صحة منطق الكشف لتطوير تحليلات محسنة، والكشف عن التهديدات الخفية التي قد تفوتها الأنظمة الآلية.

أدوات المهنة

يستخدم مهندسو الكشف مجموعة متنوعة من الأدوات والمعايير للعثور على التهديدات والاستجابة لها. يتم تحسين بعض الأدوات لوظائف مختلفة، بما في ذلك تحليل الملفات، وتحليل الشبكات، وتحليل السجلات.

رسم بياني مصنف لأدوات هندسة الكشف: الأدوات القائمة على الملفات مثل YARA، والأدوات القائمة على الشبكة مثل Suricata وSnort، والأدوات القائمة على السجل مثل Sigma وWazuh
  1. مستند إلى الملف: صُممت هذه الأدوات لتحديد البرمجيات الخبيثة أو الأنشطة المشبوهة بناءً على أنماط الملفات، أو التوقيعات، أو السلوكيات.
    1. YARA هي أداة يستخدمها مهندسو الكشف لتحديد البرمجيات الخبيثة وتصنيفها بناءً على أنماط في الملفات أو العمليات. تتألف قواعد YARA من سلاسل وشروط تحدد ما يشكل تطابقًا، مما يجعلها مصدرًا قويًا لتحديد التهديدات.
  2. مستندة إلى الشبكة: تراقب هذه الأدوات حركة مرور الشبكة للكشف عن الأنشطة المشبوهة أو محاولات التطفل.
    1. سوريكاتا: نظام مفتوح المصدر للكشف عن التسلل إلى الشبكة والوقاية منه (IDS/نظام منع التطفل) يحلل حركة مرور الشبكة في الوقت الفعلي. يستخدم قواعد قائمة على التوقيع لتحديد التهديدات، مثل اكتشاف الهجمات بناءً على سلوك أو أنماط الشبكة المعروفة. ويمكنه أيضًا إجراء فك تشفير جلسات الشبكة وتحليلها، حيث يعمل كنوع من مسجل رحلات الشبكة، ويُنشئ سجلات تدقيق لجميع الأنشطة على الشبكة.
    2. Snort: Snort هي أداة أخرى مفتوحة المصدر شائعة أخرى من أدوات IDS/نظام منع التطفل أداة تستخدم قواعد لفحص حركة مرور البيانات على الشبكة وتحديد التهديدات بناءً على توقيعات الهجمات المعروفة.
    3. زيك: محرك مفتوح المصدر لتحليل الشبكات والتدقيق مع القدرة على تحديد وفك تشفير وإنشاء سجلات تدقيق للعديد من بروتوكولات الشبكة ذات الصلة. يوفر Zeek لغة كاملة محددة المجال لتحليلات بروتوكولات الشبكة، كما يوفر عددًا من الأطر لتطوير المكونات الإضافية بالإضافة إلى واجهات لتطبيق ذكاء التهديدات على مهمة تحليل الشبكة.
  3. مستند إلى السجل: تقوم هذه الأدوات بتحليل سجلات النظام أو التطبيقات للكشف عن الأنماط غير الاعتيادية التي قد تشير إلى حوادث أمنية وغالباً ما يتم استخدامها بشكل متناسق.
    1. سيجما: معيار مفتوح لكتابة قواعد الكشف التي يمكن تطبيقها على بيانات السجل. وهو يوفر تنسيقاً عاماً للقواعد، والذي يمكن ترجمته بعد ذلك إلى أنظمة SIEM مختلفة.
    2. Wazuh: منصة مراقبة أمنية مفتوحة المصدر تدمج بين تحليل السجلات واكتشاف الاختراق ومراقبة سلامة الملفات وإدارة الثغرات الأمنية. ويمكنه مراقبة السجلات من مصادر مختلفة وإنشاء تنبيهات بناءً على قواعد معدة مسبقًا أو قواعد مخصصة.

المشاكل الشائعة

النطاق والموارد

في حين أن مهندسي الكشف قد يرغبون في تأمين المؤسسات ضد جميع أنواع التهديدات، إلا أن المهندسين مقيدون بالموارد والقوى العاملة. لا يمكن لأي مؤسسة أن تحمي نفسها من كل التهديدات، ولذلك يجب عليها أن تصمم جهود هندسة الكشف بما يتناسب مع بيئتها الخاصة. وللقيام بذلك، تحتاج المؤسسات إلى تحسين نهجها للتركيز على ناقلات الهجمات الأكثر عرضة لها.

السياق هو الكلمة الأساسية هنا - يجب مراعاة الصناعات والمنتجات وأنظمة تكنولوجيا المعلومات وحتى المخاطر الجيوسياسية للمؤسسة. يمكن أن تساعد استخبارات التهديدات السيبرانية، وهو مجال وثيق الصلة، في تحديد هذه السياقات. تتمثل إحدى المقاربات الشائعة في التركيز على قطاع الصناعة الخاص بالمؤسسة. على سبيل المثال، ستواجه شركة تسويق مقرها في الولايات المتحدة تهديدات مختلفة عن شركة طاقة في آسيا.

الحد من النتائج الإيجابية الكاذبة

تتمثل إحدى الصعوبات المتأصلة التي يواجهها مهندسو الكشف في تحديد طرق الكشف التي تلتقط التهديدات دون إغراق المحللين بنتائج إيجابية كاذبة. فيما يلي رسم بياني مفيد يوضح هذا المفهوم:

مصفوفة هندسة الكشف التي تعرض العلاقة بين النتائج المتوقعة والنتائج الفعلية، مع تسليط الضوء على النتائج الإيجابية الحقيقية والإيجابية الخاطئة والسلبية الخاطئة والسلبية الحقيقية

يمكن تقليل معدل الخطأ المحتمل من خلال التطوير الدقيق لقواعد الكشف والاختبار الدقيق لهذه القواعد في البيئات المعقدة. وينبغي فحص القواعد في مواجهة التهديدات المعروفة بالإضافة إلى الحالات الحادة والأمثلة الحميدة.

على سبيل المثال، يجب أن تكتشف قاعدة الكشف التي تبحث عن وحدات الماكرو الخبيثة في مستند Microsoft Word وحدات الماكرو الخبيثة باستمرار، مع عدم توليد نتائج إيجابية خاطئة على المستندات العادية.

اصطلاحات التسمية

بمجرد تحديد التهديد وتعريف قواعد الكشف واختبارها، يتم بعد ذلك دمجها في الأدوات التي تستخدمها فرق مركز العمليات الأمنية لمراقبة الشبكات وغالباً ما تتم مشاركتها مع فرق الأمن الأخرى. قد يكون من الصعب تسمية هذه القواعد ووصفها بدقة، خاصةً عندما تكون المؤشرات التي تكتشفها معقدة أو غامضة. إن التوحيد القياسي مهم هنا، ويمكن للمؤسسات تحديد المعايير التي تساعد في التنظيم والتسمية لتسهيل إدارة مكتبات الكشف الكبيرة.

خواطر ختامية

تُعد هندسة الكشف حجر الزاوية في الأمن السيبراني الحديث، حيث توفر إطار عمل لتحديد التهديدات والاستجابة لها بفعالية. من خلال تزويد فرق مركز العمليات الأمنية بالمعلومات التي يحتاجونها للكشف عن التهديدات الناشئة والاستجابة لها، ستظل هندسة الكشف تخصصاً أساسياً للحفاظ على دفاعات أمنية قوية.

اكتشف كيف يمكن ل OPSWAT MetaDefender InSights Threat Intelligence أن يمنح مؤسستك ميزة حاسمة عندما يتعلق الأمر بمنع الهجمات الإلكترونية - تحدث إلى أحد الخبراء اليوم.

تحدث إلى خبير
العلامات:

آخر المقالات

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
اشترك