بسم الله الرحمن الرحيم
1-المقدمة Introduction to MITRE
MITRE هي منظمة غير ربحية أمريكية معروفة في مجال الأمن السيبراني، ويمكن الناس اللي داخل المجال تعرفها من خلال قائمة الثغرات الأمنية المعروفة بـ
CVEs، واللي ممكن ترجع لها لما تدور على استغلال لثغرة معينة. لكن
MITRE كمان بتشتغل في مجالات ثانية زي الذكاء الاصطناعي، وصحة المعلومات، وأمن الفضاء عشان "تحقق أمان واستقرار ورفاهية البلد". في الأمن السيبراني، طورت
MITRE أدوات مهمة :
- ATT&CK Framework (إطار ATT&CK)
هو إطار بيوثق تكتيكات وأساليب الهاكرز وكيفية تنفيذ الهجمات، وبيساعد الفرق الأمنية على معرفة أساليب الهجوم وطرق الدفاع المناسبة.
- CAR (مستودع تحليلات السايبر)
CAR هو مستودع فيه تحليلات وقواعد تساعد المحللين الأمنيين يكتشفوا نشاطات الهجوم من خلال سجلات البيانات وغيرها.
- ENGAGE
مش اختصار لأي شيء، لكنه دليل بيوضح طرق لإشغال الهاكرز وتضليلهم. يساعد فرق الدفاع على تصميم أفخاخ وخدع في النظام تلهي الهاكرز عن الأهداف المهمة.
- D3FEND Framework (إطار الدفاع)
إطار بيركز على أساليب الدفاع مش الهجوم، وبيقدم تقنيات عشان تحمي النظام ضد الهجمات الشائعة.
- AEP (خطط محاكاة ATT&CK)
AEP بيوفر خطط محاكاة لأساليب الهجوم اللي بيستخدمها الهاكرز، عشان تقدر الفرق الأمنية تختبر دفاعاتها ضد هجمات واقعية وتحسنها.
2 -المصطلحات الأساسية (Basic Terminology):
قبل ما ندخل في التفاصيل، خلينا نشرح بعض المصطلحات اللي راح نسمعها كتير لما نشتغل في إطار العمل أو عند التعامل مع معلومات التهديدات.
APT (التهديدات المتقدمة المستمرة)
APT هو اختصار لـ
Advanced Persistent Threat، ويعني مجموعة تهديدات بتكون إما فريق أو حتى دولة، وهدفهم شن هجمات طويلة الأمد على شركات أو دول. كلمة "متقدمة" ممكن توحي بأن هالمجموعات عندها أسلحة خارقة مثل استغلال الثغرات يوم الصفر (zero-day)، لكن الواقع غير ذالك. أساليبهم غالبًا بتكون عادية وممكن اكتشافها لو كان عندك الأدوات والإعدادات المناسبة. ممكن تشوف قائمة مجموعات
APT الحالية عند
FireEye.
TTP (التكتيكات، التقنيات، والإجراءات)
TTP هو اختصار لـ
Tactics, Techniques, and Procedures، وهنشرح كل واحدة منهم:
- التكتيك (Tactic): هو الهدف الأساسي أو الغاية اللي يسعى لها المهاجم.
- التقنية (Technique): هي الطريقة اللي يستخدمها المهاجم عشان يحقق الهدف أو التكتيك.
- الإجراء (Procedure): هو الكيفية اللي ينفذ بها المهاجم التقنية على أرض الواقع.
3- ATT&CK® Framework
إطار
ATT&CK® هو قاعدة بيانات متاحة عالميًا وبتسجل تكتيكات وتقنيات الهجمات الإلكترونية اللي تم ملاحظتها في العالم الحقيقي.
MITRE بدأت تطور هذا الإطار سنة 2013 لما شافت حاجة لتسجيل وتوثيق
TTPs (تكتيكات، تقنيات، وإجراءات) الى مجموعات التهديدات المتقدمة (
APT) بتستخدمها ضد شبكات ويندوز.
المشروع الأول كان اسمه
FMX (تجربة Fort Meade)، وفيه تم تكليف متخصصين في الأمن بمحاكاة أساليب الهجوم ضد شبكة معينة، وتم تجميع بيانات الهجمات لتحليلها وبناء أولى مكونات إطار
ATT&CK. ومع مرور الوقت، تطور الإطار وصار يشمل مش بس ويندوز، بل كمان أنظمة ثانية زي
macOS و
Linux. ومش بس فرق الدفاع اللي تستفيد منه؛ فرق الهجوم كمان بتستخدمه عشان يفهموا أساليب الدفاع والتقنيات.
لما تزور موقع
ATT&CK، هتلاقي في أسفل الصفحة
مصفوفة ATT&CK للمؤسسات، هاذي بتعرض 14 فئة (أو تكتيك) عبر الأعلى. تحت كل فئة، هتلاقي التقنيات اللي ممكن يستخدمها المهاجم لتنفيذ التكتيك . والفئات هاذي بتغطي المراحل السبع لدورة حياة الهجوم الإلكتروني، والمعروفة بـ
Cyber Kill Chain من Lockheed Martin.
مشاهدة المرفق 14911
(ATT&CK Matrix v11.2)
ضمن الوصول الأولي، هناك 9 تقنيات. تحتوي بعض التقنيات على تقنيات فرعية، مثل التصيد الاحتيالي.
إذا نقرنا على الشريط الرمادي الموجود على اليمين، ستظهر طبقة جديدة تسرد التقنيات الفرعية.
للحصول على فهم أفضل لهذه التقنية والتقنيات الفرعية المرتبطة بها، انقر فوق التصيد الاحتيالي.
لقد تم توجيهنا إلى صفحة مخصصة للتقنية المعروفة باسم التصيد الاحتيالي وجميع المعلومات ذات الصلة المتعلقة بهذه التقنية، مثل الوصف الموجز وأمثلة الإجراءات وعمليات التخفيف.
مشاهدة المرفق 14915
يمكنك بدلاً من ذلك اللجوء إلى استخدام ميزة البحث لاسترداد جميع المعلومات المرتبطة بتقنية معينة و/أو تقنية فرعية و/أو مجموعة معينة.
مشاهدة المرفق 14916
كمان نفس البيانات الخاصة بمصفوفة
ATT&CK® ممكن تتصفحها باستخدام
MITRE ATT&CK® Navigator. الـ
Navigator معمول عشان يسهل التنقل وإضافة ملاحظات على المصفوفات بطريقة بسيطة ومرنة، نفس اللي ناس كثير بيعملوه في أدوات زي
Excel. تقدر تستخدم الـ
Navigator عشان تشوف مستوى التغطية الدفاعية عندك، تخطط لفريق الهجوم/الدفاع (
red/
blue team)، تحدد تكرار التقنيات المكتشفة، أو أي حاجة ثانية حابب تعملها.
تقدر توصل للـ
Navigator لما تزور صفحة مجموعة أو أداة معينة، هيكون عندك خيار
ATT&CK® Navigator Layers لعرض البيانات كطبقات على المصفوفة.
في القائمة الفرعية حدد العرض.
مشاهدة المرفق 14918
دعونا نتعرف على
أداة ATT&CK® Navigator باستخدام مثال
Carbanak. في الجزء العلوي الأيسر، ستجد 3 مجموعات من أدوات التحكم:
- Selection Controls (أدوات التحكم في التحديد): هذه الأدوات تسمح لك باختيار التقنيات التي ترغب في عرضها أو العمل عليها.
- Layer Controls (أدوات التحكم في الطبقات): هنا يمكنك التحكم في الطبقات المختلفة لعرض البيانات، مما يتيح لك رؤية المعلومات بطرق متنوعة حسب احتياجاتك.
- Technique Controls (أدوات التحكم في التقنيات): هذه الأدوات مخصصة لإعدادات التقنيات التي تظهر في المصفوفة، مثل تغيير الألوان أو إضافة ملاحظات على تقنيات معينة.
أنصحك بفحص كل خيار تحت كل مجموعة للتعرف على الإمكانيات المتاحة. يوجد أيضًا علامة
استفهام على اليمين توفر معلومات إضافية حول استخدام الـ
Navigator إذا كنت بحاجة إلى توضيح.
مشاهدة المرفق 14919
تلخيص الموضوع، يمكننا استخدام
مصفوفة ATT&CK لتحديد مجموعة التهديدات وربطها بالتكتيكات والتقنيات الخاصة بها. هناك طرق متعددة لبدء البحث في المصفوفة.
مشاهدة المرفق 14921
4-CAR Knowledge Base
التعريف الرسمي لمستودع
CAR هو: "مستودع
MITRE للتحليلات السيبرانية هو قاعدة معرفية للتحليلات تم تطويرها من قبل
MITRE استنادًا إلى نموذج خصوم
ATT&CK®. يحدد
CAR نموذج بيانات يُستخدم في تمثيلاته
pseudocode، ويتضمن أيضًا تطبيقات موجهة مباشرة لأدوات معينة (مثل
Splunk و
EQL) في تحليلاته. فيما يتعلق بالتغطية، يركز
CAR على تقديم مجموعة من التحليلات المعتمدة والمشروحة بشكل جيد، خاصة فيما يتعلق بنظرية التشغيل والأسباب وراء ذلك.
بدل من محاولة توضيح ما هو
CAR أكثر، دعونا نبدأ في استكشافه. مع المعرفة التي اكتسبناها من القسم السابق، يجب أن نشعر بالراحة ونتفهم المعلومات التي يوفرها لنا
CAR.
عند زيارة الصفحة، سنحصل على وصف موجز للتحليلات ومرجعيات إلى
ATT&CK (التقنية، التقنية الفرعية، والتكتيك). هذه المعلومات ستساعدنا في فهم كيف يمكن استخدام
CAR في سياق تحليل التهديدات وتطوير الدفاعات المناسبة.
مشاهدة المرفق 14923
مشاهدة المرفق 14924
لقد تم تزويدنا أيضًا بالكود الزائف واستعلام حول كيفية البحث عن هذا التحليل المحدد داخل Splunk. الكود الكاذب هو طريقة بسيطة يمكن قراءتها بواسطة الإنسان لوصف مجموعة من التعليمات أو الخوارزميات التي سينفذها برنامج أو نظام.
مشاهدة المرفق 14926
ملاحظة حول Sysmon
إذا لم تكن معتادًا على
Sysmon، يمكنك زيارة غرفة
Sysmon للحصول على معلومات أكثر تفصيلًا.
Sysmon هي أداة تُستخدم لتسجيل الأحداث في نظام
Windows، مما يساعد فرق الأمن في مراقبة النشاطات الضارة وتحليل الهجمات.
الاستفادة الكاملة من CAR
للاستفادة الكاملة من
CAR، يمكننا عرض
القائمة الكاملة للتحليلات أو استخدام
طبقة CAR ATT&CK® Navigator لرؤية جميع التحليلات المتاحة.
القائمة الكاملة للتحليلات
عند عرض القائمة الكاملة للتحليلات، ستكون قادرًا على استكشاف جميع التحليلات المتاحة، مما يمنحك فهمًا شاملًا لكيفية تطبيق هذه التحليلات في سياق نموذج
ATT&CK وتحديد أساليب الكشف المناسبة.
مشاهدة المرفق 14927
في عرض القائمة التحليلية الكاملة، يمكننا رؤية التطبيقات المتاحة لأي تحليل معين بنظرة واحدة، بالإضافة إلى نظام التشغيل الأساسي الذي ينطبق عليه. CAR ATTACK Navigator
مشاهدة المرفق 14928
(التقنيات المميزة باللون البنفسجي هي التحليلات الموجودة حاليًا في CAR)
دعونا نلقي نظرة على تحليل آخر لرؤية تنفيذ مختلف، وهو
CAR-2014-11-004: Remote PowerShell Sessions.
تحت قسم
- Pseudocode: هذا يمثل التعليمات بشكل مبسط لشرح كيفية تنفيذ التحليل.
- EQL Version: نسخة من pseudocode بلغة EQL (التي تُنطق "إيكوال"). EQL هي اختصار لـ Event Query Language، ويمكن استخدامها للاستعلام عن بيانات أحداث Sysmon، وتحليلها، وتنظيمها.
يمكنك قراءة المزيد عن
EQL من خلال الرابط المتوفر للحصول على فهم أعمق لكيفية استخدامها في تحليل البيانات.
مشاهدة المرفق 14929
لتلخيص الموضوع،
CAR هو مكان ممتاز للعثور على التحليلات التي تساعدنا على فهم أعمق من ملخصات التخفيف والكشف في إطار
ATT&CK®. هذه الأداة ليست بديلًا عن
ATT&CK®، بل هي مورد إضافي يمكننا الاستفادة منه.
مشاهدة المرفق 14930
5-
MITRE Engage
بحسب الموقع،
MITRE Engage هو إطار عمل للتخطيط ومناقشة عمليات التعامل مع الخصوم الإلكترونيين، بيساعدك على التعامل مع الخصوم وتحقيق أهدافك في الأمن السيبراني.
نهج التعامل مع الخصوم
يُعتبر
MITRE Engage أسلوبًا للتعامل مع الخصوم من خلال تنفيذ تقنيات
الإنكار السيبراني و
الخداع السيبراني.
- الإنكار السيبراني (Cyber Denial): نمنع الخصم من قدرته على تنفيذ عملياته.
- الخداع السيبراني (Cyber Deception): نضع عمداً أدوات زائفة أو دلائل مضللة لخداع الخصم وتوجيهه بعيدًا عن الأهداف الحقيقية.
مجموعة أدوات البداية
يوفر موقع
Engage مجموعة أدوات البداية، وهي مجموعة من الأوراق البيضاء وملفات
PDF، تشرح قوائم المراجعة، المنهجيات، والعمليات التي تساعدك على البدء بنهج التعامل مع الخصوم.
مصفوفة Engage
كما هو الحال مع
MITRE ATT&CK، يحتوي
Engage على
مصفوفته الخاصة، اللي توفر رؤية مرئية لمختلف أساليب التعامل مع الخصوم ومجالات استخدامها.
مشاهدة المرفق 14955
شرح سريع لكل من فئات Engage بناءً على موقع Engage:
- Prepare (الإعداد): تجهيز مجموعة من الخطوات التشغيلية التي تؤدي لتحقيق النتائج المطلوبة. (Input)
- Expose (الكشف): كشف الخصوم عند تفاعلهم مع أنشطة الخداع اللي تم نشرها.
- Affect (التأثير): تنفيذ إجراءات تؤثر سلبًا على عمليات الخصوم.
- Elicit (استنباط): جمع معلومات عبر مراقبة الخصم، والتعرف على أسلوبه (التكتيكات والتقنيات والإجراءات - TTPs).
- Understand (الفهم): تحليل نتائج الإجراءات التشغيلية لتقييم النتائج. (Output)
يمكنك معرفة المزيد من خلال
Engage Handbook، وللتفاعل مع المصفوفة، يمكن استخدام
Engage Matrix Explorer. كما يمكنك تصفية البيانات لعرض المعلومات المرتبطة بـ
MITRE ATT&CK.
مشاهدة المرفق 14956
يمكنك النقر فوق إعداد أو فهم إذا كنت ترغب في التركيز فقط على هذا الجزء من المصفوفة.
مشاهدة المرفق 14957
مشاهدة المرفق 14958
6- MITRE D3FEND
D3FEND هو مورد من
MITRE يُعرف بأنه "رسم بياني معرفي لإجراءات الأمن السيبراني المضادة" وفقًا للموقع الرسمي. الهدف منه هو تزويد المختصين في الأمن السيبراني بمعرفة شاملة حول الإجراءات المضادة التي يمكنهم استخدامها لحماية شبكاتهم من التهديدات.
معلومات إضافية عن D3FEND:
- ما زال D3FEND في المرحلة التجريبية (beta).
- يتم تمويله من قبل مديرية الأمن السيبراني في وكالة الأمن القومي (NSA).
- D3FEND هو اختصار لـ Detection, Denial, and Disruption Framework Empowering Network Defense.
مصفوفة D3FEND
حتى وقت كتابة هذا النص، تحتوي مصفوفة
D3FEND على
408 عنصر، وتوفر هذه المصفوفة مجموعة من الأدوات والإجراءات لمواجهة التهديدات السيبرانية بفعالية.
مشاهدة المرفق 14959
مشاهدة المرفق 14960
كما ترى، يوفر لك
D3FEND معلومات حول:
- ما هي التقنية (التعريف).
- كيف تعمل التقنية (كيفية العمل).
- الأمور التي يجب التفكير بها عند تنفيذ التقنية (اعتبارات التنفيذ).
- كيفية استخدام التقنية (مثال).
وبما أن هذا المورد لا يزال في المرحلة التجريبية (
beta) ومن المتوقع أن يتغير بشكل كبير في الإصدارات المستقبلية، فلن نقضي الكثير من الوقت على
D3FEND.
مشاهدة المرفق 14961
7-
ATT&CK® Emulation Plans
إذا كانت الأدوات المقدمة من
MITRE غير كافية، فبإمكاننا اللجوء إلى موارد أخرى تحت مظلة
MITRE Engenuity، مثل
CTID و
مكتبة محاكاة الخصوم و
خطط محاكاة ATT&CK®.
CTID (مركز الدفاع المبني على التهديدات)
أنشأت
MITRE منظمة باسم
مركز الدفاع المبني على التهديدات (CTID)، تضم شركات ومزودين من مختلف أنحاء العالم، وهدفهم إجراء بحوث حول التهديدات الإلكترونية وطرق هجومها (
TTPs) ومشاركة هذه البحوث لتحسين الدفاعات السيبرانية.
بعض الشركات المشاركة في
CTID:
- AttackIQ
- Verizon
- Microsoft
- Red Canary
- Splunk
وفقًا لموقعهم،
"نحن معًا نعمل على تطوير حلول لعالم أكثر أمانًا، ونعزز الدفاع المبني على التهديدات باستخدام البرمجيات مفتوحة المصدر، والمنهجيات، والأطر. من خلال التوسع في قاعدة معلومات ATT&CK، نعمل على تحسين فهم العالم للخصوم السيبرانيين وأساليبهم، عبر إصدار مجموعات بيانات عامة تساعد في فهم سلوكهم وتحركاتهم بشكل أفضل."
مكتبة محاكاة الخصوم وخطط محاكاة ATT&CK®
تعد
مكتبة محاكاة الخصوم مكتبة عامة توفر خطط محاكاة مجانية لفريقي
الأزرق و
الأحمر، والتي تقدمها
CTID. تتوفر حاليًا عدة خطط محاكاة من
ATT&CK®، مثل:
APT3 وAPT29 وFIN6. وتعد خطط المحاكاة هذه دليلاً خطوة بخطوة لمحاكاة مجموعات تهديد محددة.
مشاهدة المرفق 14962
8-
ATT&CK® and Threat Intelligence
الذكاء التهديدي (Threat Intelligence - TI)
الذكاء التهديدي أو
الذكاء التهديدي السيبراني (Cyber Threat Intelligence - CTI) هو المعلومات أو تكتيكات وتقنيات وأساليب (
TTPs) منسوبة إلى الخصوم. باستخدام الذكاء التهديدي، يمكن للمدافعين اتخاذ قرارات أفضل بشأن الاستراتيجية الدفاعية.
تتمتع الشركات الكبيرة بفريق مخصص لجمع الذكاء التهديدي لتقديمه إلى الفرق الأخرى في المؤسسة، إلى جانب الاستفادة من المعلومات المتاحة بالفعل من مصادر مفتوحة أو اشتراكات مدفوعة مثل
CrowdStrike. بالمقابل، هناك مدافعون في بعض المؤسسات الصغيرة الذين يقومون بأدوار متعددة، ويحتاجون لتخصيص بعض الوقت للتركيز على الذكاء التهديدي.
الهدف من الذكاء التهديدي
الهدف هو جعل هذه المعلومات قابلة للتنفيذ.
السيناريو
أنت محلل أمني في قطاع الطيران، ومؤسستك تنقل بنيتها التحتية إلى السحابة. هدفك هو استخدام مصفوفة
ATT&CK® لجمع الذكاء التهديدي حول مجموعات التهديد المتقدمة (
APT) التي قد تستهدف هذا القطاع وتستخدم تقنيات تستهدف مجالات اهتمامك. ستقوم بالتحقق من وجود أي ثغرات في التغطية.
بعد اختيار مجموعة تهديد، استعرض معلومات المجموعة وتكتيكاتها وتقنياتها وما إلى ذلك.
مشاهدة المرفق 14963
