مراحل ودورة استخبارات التهديدت السیبرانیة CTI Lifecycle

في الدرس الأول تحدثنا عن مقدمة لاستخبارات التهديد السيبرانية وتطرقنا لأهميتها الأن في عالم أمن السايبر بالنسبة للشركات والحكومات.في الدرس الثاني سنتحدث عن دورة حياة استخبارات التهديد والإستفاضة بشرح مراحلها.
استخبارات التهديدات مبنية على تقنيات تحليلية تم تجميعها وتحليلها واستخلاص نتائجها على مدى عدة سنوات من قبل الوكالات الحكومية والعسكرية وأيضاً الشركات.تركز استخبارات التهديد السيبرانية على ست مراحل متميزة تشكل ما يسمى “CTI Lifecycle ” وهي كالتالي :
1 – التخطيط أو تحديد المتطلبات Direction.
2 – التجميع Collection.
3- المعالجة Processing
4 – التحليل Analysis.
5 – النشر والتوزيع Dissemination.
6 – التغذية الراجعة أو ما يعرف ب Feedback.

1 – التخطيط أو تحديد المتطلبات Direction.
في هذه المرحلة ، يتم تطوير الخطة المناسبة بناءً على متطلبات الاستخبارات الاستراتيجية ، على سبيل المثال ، ما هي متطلبات تطوير استخبارات التهديد ، وما هي المعلومات الاستخباراتية التي يجب أن تعطى الأولوية ، وما إلى ذلك. تحدد هذه المرحلة برنامج الاستخبارات بالكامل من جمع البيانات إلى تسلیم تقریر استخباراتي نهائي ويعمل كأساس لعملية استخبارات كاملة. كما تتضمن تحديد متطلبات البيانات ، والطرق التي سيتم استخدامها لجمع البيانات ، ووضع خطة جمع المعلومات.
يتم تعيين المتطلبات بطريقة يمكن من خلالها جمع بيانات استخباراتية فعالة وحقيقية باستخدام عدد ثابت من الموارد من مختلف مصادر الاستخبارات المفتوحة المصدر (OSINT). إلى جانب المتطلبات ، يتم إرسال الطلبات لجمع البيانات من مصادر داخلية وخارجية مختلفة وهذا يتم في المرحلة الثانية. خلال هذه المرحلة ، يتم تشكيل فريق استخبارات من أجل مباشرة مهامه ، كما يتم صياغة أدوارهم ومسؤولياتهم الرئيسية. أيضًا ، يتم تعيين التخطيط والمتطلبات للمراحل اللاحقة من الدورة لتوفير الدعم المناسب لعملها.

2 – التجميع Collection
في هذه المرحلة ، نحتاج إلى التركيز أكثر على جمع المعومات الاستخباراتية المطلوبة حول الهدف والذي تم إقراره في المرحلة الأولى. يمكن جمع البيانات بطرق مختلفة إما من خلال الوسائل التقنية أو البشرية. يمكن القيام بجمع المعلومات بشكل مباشر أو سري بناءً على سرية المعلومات. يتم جمع المعلومات الاستخباراتية من خلال مصادر الاستخبارات البشرية (HUMINT) ، استخبارات الصور (IMINT) ، استخبارات الإشارات (SIGNT) ، والأهم هو استخبارات المصادر المفتوحة (OSINT) وربما أيضاً أطراف ثالثة أخرى تقدم معلومات استخباراتية. هذا يشمل جمع البيانات من التطبيقات الهامة ، البنية التحتية للشبكة ، البنية التحتية الأمنية ، وما إلى ذلك. بمجرد الانتهاء من عملية التجميع ، يتم نقل البيانات للمعالجة في المرحلة التالية.

3- المعالجة Processing
في هذه المرحلة أيضاً لا تكون البيانات في تنسيق مناسب وربما تكون عشوائية ، وهي في شكل بيانات أولية . تتم معالجة البيانات التي تم الحصول عليها من المراحل السابقة للاستغلال وتحويلها إلى معلومات مفيدة يمكن أن يفهمها المحللون. يتم تحويل البيانات الأولية إلى معلومات ذات مغزى من قبل محترفين مدربين تدريباً عالياً باستخدام تقنيات وأدوات متطورة. يتم تحويل هذه البيانات المفسرة إلى تنسيق قابل للاستخدام يمكن استخدامه مباشرة في مرحلة تحليل البيانات.
تتطلب المعالجة لتكون فعالة , الفهم المناسب بوضع خطة فعالة لجمع البيانات ،معرفة متطلبات الشركات والغاية من إطلاق عملية الاستخبارات ، الاستراتيجية التحليلية وأنواع البيانات التي تتم معالجتها أيضاً مهمة. يتم استخدام العديد من الأدوات الآلية لتطبيق وظائف معالجة البيانات مثل الهيكلة وفك التشفير وترجمة اللغة والتحليل وتقليل البيانات والتصفية وترابط البيانات وتجميع البيانات.

4 – التحليل Analysis
بعد معالجة المعلومات ووضعها في تنسيق مناسب تأتي المرحلة المهمة وهي تحليل تلك البيانات . هنا نقوم بشبه عملية تصفية وغربلة لكثير من المعلومات الاستخبارتية. يتم إجراء التحليل للحصول على معلومات دقيقة في هذه المرحلة. يتضمن تحليل الحقائق والنتائج والتنبؤات التي تمكن من تقدير وتوقع الهجمات والنتائج. يجب أن يكون التحليل موضوعيًا وفي الوقت المناسب دقيقًا وقابل للتنفيذ لاستخراج معلومات دقيقة وفي الوقت المناسب. يحتاج المحللون إلى تنفيذ أربعة أنواع من تقنيات التفكير ، والتي تشمل الاستنتاج والاستقراء والأسلوب العلمي القائم على النظريات. نظرًا لأنه يتم الحصول على المعلومات من مصادر مختلفة ، يحاول المحللون دمج هذه المصادر المختلفة في كيان واحد في هذه المرحلة.
يتم تحويل البيانات الخام إلى معلومات من خلال تطبيق تقنيات تحليل البيانات المختلفة مثل التحليلات النوعية والكمية والتقنيات المعتمدة على الآلة والأساليب الإحصائية. عندما توفر المعلومات التي تم تحليلها سياقًا كافيًا لتحديد التهديد ، يتم رفعها إلى مستوى الاستخبارات. تحدد هذه المرحلة التهديدات المحتملة للمنظمة وتساعد بشكل أكبر في تطوير تدابير مضادة مناسبة للرد على التهديدات المحددة.

5 – النشر والتوزيع Dissemination
في هذه المرحلة تصبح المعلومات التي تم تحليلها جاهزة للتكامل والتوزيع على المستهلكين المستهدفين ، ويتم ذلك إما عن طريق الوسائل الآلية أو بالطرق اليدوية.
تتضمن أنواع معلومات التهديد الرئيسية التي تُستخدم عمومًا لنشر مؤشرات التهديد ، TIPs الخاصة بالخصم ،التنبيهات الأمنية ، تقارير استخبارات التهديدات ومعلومات تكوين الأداة لاستخدام الأدوات لأتمتة جميع مراحل استخبارات التهديد. يتم إنشاء تقارير استخباراتية مختلفة لتلبية متطلبات الإدارة والمديرين التنفيذيين رفيعي المستوى على المستويات الاستراتيجية والتشغيلية والتكتيكية والفنية.

يتم استهلاك مراحل استخبارات التهديد الاستراتيجية من قبل المديرين التنفيذيين والإدارة رفيعة المستوى وتركز على استراتيجيات الأعمال عالية المستوى. يتم استهلاك معلومات التهديد التشغيلية من قبل متخصصي الأمن السيبراني مثل مديري الأمن والمدافعين عن الشبكة وتركز بشكل أساسي على تهديدات محددة للمؤسسات. يتم تحول تلك التقارير في العادة لمتخصصو الأمن السيبراني مثل مديري خدمات تكنولوجيا المعلومات ومديري مراكز العمليات الأمنية SOC والمسؤولين والمهندسين المعماريين وتركز تقارير استخبارات تهديدات السايبر بشكل رئيسي على نصائح حول تهديدات الخصم .

يتم استهلاك معلومات التهديدات الفنية من قبل موظفي مراكز العمليات الأمنية SOC وفرق الاستجابة للحوادث IR وتتضمن المعلومات المتعلقة بـمؤشرات التهديد المحددة IoCs . تساعد المعلومات الاستخبارية المنتشرة المنظمات في بناء استراتيجيات دفاعية وتخفيف التهديدات المحتملة على المنظمة. أيضاً تساعد مشاركة معلومات التهديد داخليًا وخارجيًا المؤسسات على اكتساب الوعي بالموقف وتعزيز الوضع الأمني ​​الحالي وعمليات إدارة المخاطر.

6 – التغذية الراجعة أو ما يعرف ب Feedback
توفر هذه المرحلة ملاحظات حول المزيد من المدخلات لمتطلبات المعلومات وبالتالي تكرار دورة حياة معلومات التهديد. التغذية الراجعة هي تقييم يصف ما إذا كانت المعلومات الاستخبارية المستخرجة تلبي متطلبات المستهلك الاستخباري. تساعد هذه التعليقات في إنتاج معلومات استخباراتية أكثر دقة من خلال التقييمات ذات الصلة وفي الوقت المناسب