بسم الله الرحمن الرحيم
نموذج الماسة لتحليل التسلل (Diamond Model of Intrusion Analysis) هو إطار عمل يساعد في فهم وتفسير هجمات الأمن السيبراني. تم تصميم هذا النموذج لتحليل أنشطة المهاجمين وتوضيح العلاقات بين المكونات الأساسية للهجوم السيبراني. يركز النموذج على أربعة عناصر أساسية تعتبر حجر الأساس في فهم أي عملية اختراق، وهي:- الخصم (Adversary): الجهة التي تقوم بالهجوم، سواء كانت فردًا أو مجموعة، وقد تشمل أيضًا الجهات التي تدعم أو تمول الهجوم.
- البنية التحتية (Infrastructure): الوسائل والتقنيات التي يستخدمها الخصم لتنفيذ الهجوم، مثل الخوادم، البرمجيات الضارة، أو الأدوات التي يتم استخدامها للاتصال مع الضحايا.
- القدرات (Capabilities): الأدوات والتقنيات والمهارات التي يمتلكها الخصم، والتي يتم من خلالها تنفيذ الهجوم أو استغلال الثغرات.
- الضحية (Victim): الكيان المستهدف في الهجوم، سواء كان شخصًا، مؤسسة، أو شبكة. يتضمن هذا العنصر أيضًا معلومات عن سبب اختيار الضحية وكيفية تأثير الهجوم عليها.
المقدمة (Introduction)
ما هو نموذج الماس؟تم تطوير نموذج الماس لتحليل التسلل على يد محترفي الأمن السيبراني سيرجيو كالتاجيروني، أندرو بندرغاست، وكريستوفر بتز في عام 2013.
كما وصفه مؤسسو النموذج، يتكون نموذج الماس من أربعة ميزات أساسية: الخصم، البنية التحتية، القدرة، والضحية. وهذه الميزات تمثل العنصر الأساسي لأي نشاط تسللي. قد تكون قد لاحظت أيضًا وجود عنصرين إضافيين أو محورين في نموذج الماس، وهما المحور الاجتماعي والسياسي والتكنولوجي؛ وسنتناول تفاصيلهما لاحقًا.
لماذا يُطلق عليه اسم "نموذج الماس"؟ لأن الميزات الأربعة مترابطة، مما يعكس علاقاتها الأساسية، وهي مرتبة بشكل يشبه الماس.
يحتوي نموذج الماس على المفاهيم الأساسية لتحليل التسلل وعمليات الخصوم، مع توفير مرونة للتوسع واستيعاب أفكار ومفاهيم جديدة. يوفر النموذج فرصًا متنوعة لدمج المعلومات الاستخباراتية في الوقت الحقيقي من أجل الدفاع عن الشبكات، وأتمتة الربط بين الأحداث، وتصنيف الأحداث بثقة ضمن حملات الخصوم، وتوقع عمليات الخصوم أثناء التخطيط وتطوير استراتيجيات التخفيف.
يمكن أن يساعدك نموذج الماس في تحديد عناصر التسلل. في نهاية هذا الجزء، ستتمكن من إنشاء نموذج ماس للأحداث مثل خرق البيانات، التسلل، الهجوم، أو أي حادث آخر. كما ستتمكن من تحليل التهديد المستمر المتقدم (APT).
بالإضافة إلى ذلك، يمكن لنموذج الماس أن يسهل عليك شرح الأحداث للآخرين الذين ليس لديهم خلفية تقنية، مما يساعدهم على فهم ما حدث أثناء الحدث أو أي معلومات قيمة عن الفاعل الخبيث.
الخصم (Adversary)
من هو الخصم؟
الخصم، المعروف أيضًا بالمهاجم، العدو، أو الفاعل الخبيث في الفضاء السيبراني، هو الشخص الذي يقف وراء الهجوم السيبراني. يمكن أن تتضمن الهجمات السيبرانية تعليمات أو خروقات.
وفقًا لمؤسسي نموذج الماس، يُعرَّف الخصم بأنه الفاعل أو المنظمة المسؤولة عن استخدام القدرة ضد الضحية لتحقيق نواياها. وغالبًا ما تكون معرفة الخصم غامضة، وهذا العنصر الأساسي قد يكون فارغًا لمعظم الأحداث، على الأقل في وقت الاكتشاف.
من المهم معرفة الفرق بين مشغل الخصم وزبون الخصم، لأن ذلك سيساعدك على فهم النوايا، ونسب الهجمات، والقدرة على التكيف، والاستمرارية من خلال تشكيل العلاقة بين مجموعة الخصم والضحية.
يصعب تحديد الخصم خلال المراحل الأولى من الهجوم السيبراني. ومع ذلك، يمكن أن تساعدك البيانات المجمعة من الحوادث أو الخروقات، والتوقيعات، وغيرها من المعلومات ذات الصلة في تحديد من قد يكون الخصم.
مشغل الخصم هو "الهاكر" أو الشخص (أو الأشخاص) الذين يقومون بأنشطة التسلل.
زبون الخصم هو الكيان الذي يمكن أن يستفيد من النشاط الذي تم تنفيذه خلال التسلل. قد يكون نفس الشخص الذي يقف وراء مشغل الخصم، أو قد يكون شخصًا أو مجموعة منفصلة.
على سبيل المثال، قد يتحكم زبون الخصم في مشغلين مختلفين في الوقت نفسه، حيث قد يمتلك كل مشغل قدراته وبنيته التحتية الخاصة.
الضحية (Victim)
الضحية هي الهدف الذي يستهدفه الخصم. يمكن أن تكون الضحية منظمة، شخصًا، عنوان بريد إلكتروني مستهدف، عنوان IP، نطاقًا، وغيرها. من الضروري فهم الفرق بين شخصية الضحية والأصول الخاصة بالضحية، حيث إنهما يخدمان وظائف تحليلية مختلفة.تعتبر الضحية فرصة للمهاجمين للحصول على موطئ قدم داخل المنظمة التي يسعون للهجوم عليها. توجد دائمًا ضحية في كل هجوم سيبراني. على سبيل المثال، قد تُرسل رسالة بريد إلكتروني مخادعة (بريد صيد موجه لشخص معين) إلى الشركة، ويفتح شخص ما (الضحية) الرابط. في هذه الحالة، تكون الضحية هي الهدف المحدد للاهتمام من قبل الخصم.
شخصيات الضحية هي الأشخاص والمنظمات المستهدفة، والتي يتم استغلال أصولها. قد تشمل هذه أسماء المنظمات، أسماء الأشخاص، الصناعات، الأدوار الوظيفية، الاهتمامات، وغيرها.
أصول الضحية هي السطح المستهدف للهجوم، وتشمل مجموعة الأنظمة، والشبكات، وعناوين البريد الإلكتروني، والمضيفين، وعناوين IP، وحسابات التواصل الاجتماعي، وغيرها، التي سيوجه إليها الخصم قدراته.
القدرة (Capability)
القدرة، المعروفة أيضًا بالمهارات والأدوات والتقنيات التي يستخدمها الخصم في الحدث، تبرز تكتيكات وتقنيات وإجراءات الخصم (TTPs).يمكن أن تشمل القدرة جميع التقنيات المستخدمة لمهاجمة الضحايا، بدءًا من الأساليب الأقل تعقيدًا، مثل تخمين كلمات المرور يدويًا، وصولًا إلى التقنيات الأكثر تعقيدًا، مثل تطوير البرمجيات الضارة أو أدوات خبيثة.
قدرة القدرة هي جميع الثغرات والمخاطر التي يمكن للقدرة الفردية استغلالها.
ترسانة الخصم هي مجموعة من القدرات التي يمتلكها الخصم. إن القدرة المجمعة لخصائص الخصم تشكل ترسانته.
يجب أن يمتلك الخصم القدرات المطلوبة. يمكن أن تشمل هذه القدرات تطوير البرمجيات الضارة ومهارات إنشاء رسائل البريد الإلكتروني المخادعة، أو على الأقل، الوصول إلى القدرات، مثل الحصول على البرمجيات الضارة أو خدمات الفدية.
البنية التحتية (Infrastructure)
البنية التحتية، المعروفة أيضًا بالبرمجيات أو الأجهزة، هي الشبكات الفيزيائية أو المنطقية التي يستخدمها الخصم لتقديم قدرة معينة أو للحفاظ على السيطرة على القدرات. على سبيل المثال، يمكن أن تشمل مركز القيادة والتحكم (C2) والنتائج المستخرجة من الضحية (مثل تسرب البيانات).يمكن أن تتضمن البنية التحتية أيضًا عناوين IP، أسماء النطاقات، عناوين البريد الإلكتروني، أو حتى جهاز USB خبيث تم العثور عليه في الشارع وتم توصيله بجهاز حاسوب.
البنية التحتية من النوع الأول هي البنية التحتية التي يسيطر عليها أو يمتلكها الخصم.
البنية التحتية من النوع الثاني هي البنية التحتية التي يسيطر عليها وسيط. أحيانًا قد يكون الوسيط على علم بذلك أو لا يكون. هذه هي البنية التحتية التي تراها الضحية على أنها تخص الخصم. تهدف البنية التحتية من النوع الثاني إلى إخفاء مصدر النشاط ونسبه. تشمل هذه البنية التحتية خوادم إعداد البرمجيات الضارة، أسماء النطاقات الخبيثة، وحسابات البريد الإلكتروني المخترقة، وغيرها.
مزودو الخدمة هم المنظمات التي تقدم خدمات تعتبر حيوية لتوافر البنية التحتية من النوعين الأول والثاني، مثل مزودي خدمات الإنترنت، ومسجلي النطاقات، ومقدمي خدمات البريد الإلكتروني.
ميزات الحدث التعريفي (Event Meta Features)
ستة ميزات ميتا محتملة يمكن إضافتها إلى نموذج الماس.
الميزات الميتا ليست إلزامية، لكنها يمكن أن تضيف معلومات أو استخبارات قيمة إلى النموذج.
1. التوقيت(Timestamp) : هو التاريخ والوقت الذي حدث فيه الحدث. يمكن تسجيل كل حدث مع تاريخ ووقت وقوعه، مثل 2021-09-12 02:10:12.136. يمكن أن يتضمن التوقيت وقت بدء وانتهاء الحدث. تعتبر التواريخ مهمة للمساعدة في تحديد الأنماط وتجميع الأنشطة الخبيثة. على سبيل المثال، إذا حدث التسلل أو الخرق في الساعة 3 صباحًا في الولايات المتحدة، قد يكون من الممكن أن الهجوم تم من دولة معينة ذات منطقة زمنية مختلفة وساعات عمل قياسية.
2. المرحلة (Phase): تشير إلى مراحل التسلل أو الهجوم أو الخرق. وفقًا لمؤسسي نموذج الماس والمبدأ الرابع، "كل نشاط خبيث يتضمن مرحلتين أو أكثر يجب أن تُنفذ بنجاح على التوالي لتحقيق النتيجة المطلوبة." لا تحدث الأنشطة الخبيثة كأحداث فردية، بل كترتيب من الأحداث. مثال رائع هو سلسلة قتل السيبرانية التي طورتها لوكهيد مارتن.
المراحل يمكن أن تكون:
1. الاستطلاع (Reconnaissance)
2. التسلح(Weaponization)
3. التسليم(Delivery)
4. الاستغلال(Exploitation)
5. التثبيت(Installation)
6. القيادة والتحكم( Command & Control)
7. اتخاذ الإجراءات لتحقيق الهدف(Actions on Objective)
على سبيل المثال، يحتاج المهاجم إلى إجراء بحث لاكتشاف الهدف أو الضحية. ثم يحاول استغلال الهدف، وإنشاء مركز قيادة وتحكم، وأخيرًا تسريب المعلومات الحساسة.
3. النتيجة(Result) :بينما قد لا تكون نتائج وشروط ما بعد عمليات الخصم دائمًا معروفة أو ذات قيمة عالية من الثقة عند معرفتها، إلا أن تسجيلها يعتبر مفيدًا. من الضروري التقاط النتائج وشروط ما بعد عمليات الخصم، لكن قد لا تكون معروفة دائمًا. يمكن تصنيف نتائج الحدث على أنها "نجاح" أو "فشل" أو "غير معروف". يمكن أيضًا ربط نتائج الحدث بمثلث CIA (السرية، النزاهة، والتوافر)، مثل "السرية تعرضت للخطر" أو "النزاهة تعرضت للخطر" أو "التوافر تعرض للخطر". نهج آخر يمكن أن يكون توثيق جميع الشروط الناتجة عن الحدث، مثل المعلومات التي تم جمعها في مرحلة الاستطلاع أو كلمات المرور/البيانات الحساسة التي تم تسريبها بنجاح.
4. الاتجاه (Direction) : هذه الميزة الميتا تساعد في وصف الأحداث المستندة إلى المضيف والشبكة وتمثل اتجاه هجوم التسلل. يُحدد نموذج الماس لتحليل التسلل سبعة قيم محتملة لهذه الميزة: من الضحية إلى البنية التحتية، من البنية التحتية إلى الضحية، من بنية تحتية إلى بنية تحتية، من الخصم إلى البنية التحتية، من البنية التحتية إلى الخصم، ثنائي الاتجاه أو غير معروف.
5. المنهجية(Methodology) :هذه الميزة الميتا ستتيح للمحلل وصف التصنيف العام للتسلل، مثل التصيد، هجمات حرمان الخدمة الموزعة (DDoS)، الخرق، فحص المنفذ، وغيرها.
6. الموارد(Resources) : وفقًا لنموذج الماس، يحتاج كل حدث تسلل إلى مورد واحد أو أكثر خارجيًا ليكون ناجحًا. تشمل أمثلة الموارد ما يلي: البرمجيات (مثل أنظمة التشغيل، برمجيات المحاكاة الافتراضية، أو إطار عمل Metasploit)، المعرفة (مثل كيفية استخدام Metasploit لتنفيذ الهجوم وتشغيل الاستغلال)، المعلومات (مثل اسم المستخدم/كلمة المرور للتخفي)، الأجهزة (مثل الخوادم، محطات العمل، أجهزة التوجيه)، الأموال (مثل الأموال لشراء النطاقات)، المرافق (مثل الكهرباء أو المأوى)، والوصول (مثل مسار الشبكة من المضيف المصدر إلى الضحية والعكس، والوصول الشبكي من مزود خدمة الإنترنت (ISP)).
المكون الاجتماعي والسياسي (Social-Political Component)
تصف المكون الاجتماعي والسياسي احتياجات ونوايا الخصم، مثل تحقيق مكاسب مالية، أو السعي للحصول على قبول في مجتمع القراصنة، أو القيام بأعمال القرصنة، أو التجسس.
يمكن أن تكون السيناريوهات التي يتم تناولها هي أن الضحية تقدم "منتجًا"، مثل الموارد الحاسوبية وعرض النطاق الترددي كزومبي في شبكة بوت نت لأغراض تعدين العملات المشفرة (إنتاج عملات مشفرة جديدة من خلال حل معادلات تشفيرية باستخدام أجهزة الكمبيوتر)، بينما يستهلك الخصم منتجه أو يحصل على مكاسب مالية.
المكون التكنولوجي (Technology Component)
تسلط ميزة التكنولوجيا الضوء على العلاقة بين الميزات الأساسية: القدرة والبنية التحتية. تصف القدرة والبنية التحتية كيفية عمل الخصم وتواصله.
يمكن أن يكون أحد السيناريوهات هو هجوم "بركة الماء"، وهي منهجية يقوم فيها الخصم باختراق مواقع ويب شرعية يعتقد أنها ستجذب ضحاياه المستهدفين.
تحليل الممارسة (Practice Analysis)
يوجد ملف pdf وبعض الاسئلة عليك إجابتها بعد دراسة الحالة هل تستطيع
؟Capability
Methodology
Lockheed Martin’s Cyber Kill Chain
Adversary
Timestamp
Victim
Resources
Result
THM{DIAMOND_MODEL_ATTACK_CHAIN}
يُعتبر نموذج الماسة طريقة علمية لتحسين كفاءة ودقة تحليل التسلل. باستخدام هذا النموذج، سيكون لديكم فرص للاستفادة من المعلومات الاستخباراتية في الوقت الحقيقي لتعزيز دفاعات الشبكة والتنبؤ بعمليات الخصوم.
قراءة ممتعة 
