راهنمای جامع ساخت برنامه امنیت سایبری تهدید محور

مقدمه

اطلاعات تهدیدات سایبری یک عنصر حیاتی در امنیت مدرن است، اما بسیاری از سازمان‌ها در استخراج ارزش واقعی از برنامه‌های خود با چالش مواجه هستند. بر اساس مطالعه اخیر Google Cloud، ۶۱٪ از متخصصان امنیت سایبری از حجم زیاد فیدهای اطلاعاتی سردرگم شده‌اند و ۵۹٪ در عملیاتی کردن این اطلاعات و تأیید اعتبار تهدیدات مشکل دارند. این چالش‌ها منجر به هدر رفتن میلیون‌ها دلار و قرار گرفتن سازمان‌ها در معرض ریسک‌های قابل پیشگیری می‌شود.

این مقاله یک نقشه راه عملی برای ساخت یا تقویت یک برنامه اطلاعات تهدیدات مدرن ارائه می‌دهد. با توجه به ظهور بردارهای تهدید جدید مانند بدافزارهای اطلاعات‌ربا (infostealer)، تشدید تاکتیک‌های باج‌افزاری و پذیرش سریع هوش مصنوعی، اکنون زمان مناسبی برای اولویت‌بندی این برنامه‌هاست.

چشم‌انداز تهدیدات و اکوسیستم در حال تحول جرایم سایبری

یکی از محرک‌های اصلی برای اطلاعات تهدیدات سایبری، ماهیت به سرعت در حال تحول اکوسیستم جرایم سایبری است. پیش‌بینی می‌شود که جرایم سایبری تا سال ۲۰۲۵ هزینه‌ای معادل ۱۰.۵ تریلیون دلار برای اقتصاد جهانی به همراه داشته باشد. این جرایم اکنون مانند یک بازار پیچیده با زنجیره‌های تأمین، تخصص‌گرایی و صرفه‌جویی در مقیاس عمل می‌کنند. درک این اکوسیستم و شناسایی نقاطی که می‌توان آن را مختل کرد، وظیفه اصلی تیم‌های اطلاعاتی مؤثر است.

بدافزار اطلاعات‌ربا (Infostealer Malware)

بدافزارهای اطلاعات‌ربا نوعی بدافزار هستند که با آلوده کردن رایانه، اطلاعات حساس مانند اعتبارنامه‌ها، کوکی‌های جلسه و داده‌های ذخیره شده در مرورگرها را سرقت می‌کنند. در پنج سال گذشته، این بدافزارها به یک مشکل بزرگ برای تیم‌های امنیتی سازمان‌ها تبدیل شده‌اند. اغلب کاربران با کلیک بر روی یک تبلیغ مخرب، ناخواسته دستگاه خود را آلوده می‌کنند که منجر به سرقت ده‌ها اعتبارنامه شرکتی می‌شود. این گزارش‌های سرقت شده (stealer logs) در بازارهای وب تاریک فروخته می‌شوند و یک نقطه کور امنیتی بزرگ ایجاد می‌کنند.

بهترین شیوه‌ها برای اطلاعات تهدیدات سایبری مؤثر

برای اطمینان از کارآمدی یک برنامه اطلاعاتی، رویکردی منسجم و مبتنی بر مدل تهدید سازمان ضروری است. این رویکرد شامل ایجاد الزامات اطلاعاتی اولویت‌دار (PIRs)، نگاشت انواع اطلاعات به نتایج کلیدی کسب‌وکار و عملیاتی کردن این اطلاعات است.

الزامات اطلاعاتی اولویت‌دار (PIRs)

PIRها محور اصلی اطلاعات تهدیدات عملیاتی و مؤثر هستند. PIRهای خوب باید ویژگی‌های زیر را داشته باشند:

• دقیق بودن: به جای درخواست‌های مبهم مانند «نظارت بر تهدیدات باج‌افزاری»، سؤالات دقیق بپرسید.
• عملیاتی بودن: هر PIR باید به تصمیمات یا اقدامات مشخصی منجر شود.
• قابل اندازه‌گیری بودن: امکان پیگیری پیشرفت و ارزیابی اثربخشی تلاش‌ها را فراهم کنند.
• زمان‌بندی شده بودن: انتظارات مربوط به فرکانس و به موقع بودن را مشخص کنند.

نگاشت انواع اطلاعات تهدیدات به نیازمندی‌های کسب‌وکار

اطلاعات تهدیدات سایبری به چهار نوع اصلی تقسیم می‌شود که هر کدام باید با نیازمندی‌های خاص کسب‌وکار و ریسک منطبق شوند:

1. اطلاعات استراتژیک: تحلیل سطح بالا برای رهبران سازمان جهت اطلاع‌رسانی در مورد استراتژی بلندمدت و مدیریت ریسک.
2. اطلاعات تاکتیکی: ترجمه تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) دشمن به اقدامات دفاعی کوتاه‌مدت.
3. اطلاعات عملیاتی: استفاده از داده‌های مرتبط با دارایی‌ها و زیرساخت‌های یک سازمان خاص برای اقدامات فوری.
4. اطلاعات فنی: آرتیفکت‌های قابل خواندن توسط ماشین (مانند IoCها) برای غنی‌سازی تله‌متری و مسدودسازی خودکار فعالیت‌های مخرب.

نتیجه‌گیری

سازمان‌ها برای مقابله با چشم‌انداز پیچیده تهدیدات امروزی، دیگر نمی‌توانند به رویکردهای واکنشی یا مبتنی بر انطباق صرف تکیه کنند. ساخت یک برنامه امنیت سایبری تهدید محور که توسط اطلاعات تهدیدات سایبری هدایت می‌شود، برای مدیریت ریسک پیشگیرانه ضروری است. با تعریف الزامات مشخص، همسوسازی اطلاعات با اهداف کسب‌وکار و عملیاتی کردن داده‌ها، سازمان‌ها می‌توانند به طور قابل توجهی وضعیت امنیتی خود را بهبود بخشند و از خود در برابر تهدیدات نوظهور محافظت کنند.

منبع: ISACA – Building a Threat-Led Cybersecurity Program With Cyberthreat Intelligence © 2025 ISACA. All Rights Reserved.