Scripting for Threat Hunters

یک شکارچی تهدیدهای سایبری (که تحلیلگر تهدیدهای سایبری نیز نامیده می‌شود)، به‌طور فعالانه رخدادهای امنیتی را در زیرساخت سازمان شناسایی می‌کند که ممکن است توسط ابزارهای امنیتی خودکار، مانند آنتی‌ویروس، EDR و فایروال‌ها شناسایی نشده باشند. یک شکارچی تهدیدها برای یافتن این حوادث امنیتی بالقوه، فعالیت‌های مختلفی مانند تحلیل ترافیک شبکه، بررسی فعالیت آدرس‌های IP مختلف، بررسی نقاط پایانی (Endpoints) و تحلیل مجموعه‌ی لاگ‌ها را برای کشف رخدادهایی انجام می‌دهد که در غیر این صورت ممکن است شناسایی نشوند و خسارات جبران‌ناپذیری برای سازمان قربانی به همراه داشته باشند. در واقع، شکارچی تهدید یک خط دفاعی اضافی در برابر حملات سایبری و به خصوص تهدیدات APT فراهم می‌کند.

با توجه به گستردگی داده‌های مورد تحلیل در فرآیند شکار تهدیدات و از سوی دیگر پیچیدگی تهدیدات APT، نیاز است تا شکارچیان تهدید بتوانند با خودکارسازی فعالیت‌های دستی خود، بتوانند از زمان و توانمندی‌های خود بهره‌برداری بهتری داشته و همچنین بتوانند حجم بالایی از داده‌های پیش روی خود را مورد بررسی و کاوش قرار دهند. در نتیجه این افراد باید حداقل به یک زبان اسکریپت‌نویسی (پایتون، PowerShell و غیره) مسلط باشند. البته، آشنایی با یک یا چند زبان سطح پایین‌تر (مانند C++ و غیره) نیز می‌تواند برای آن‌ها بسیار مفید باشد. البته در کنار توانایی برنامه‌نویسی، این افراد همچنین نیاز به دانستن چگونگی تجزیه و تحلیل لاگ‌ها، خودکار کردن جستجوها و انجام تجزیه و تحلیل داده‌های پیچیده با استفاده از این زبان‌ها را نیز دارند.