ما هو إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ^®: Explainer

ما هو إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) هي قاعدة بيانات معرفية عالمية متاحة، تتضمن تكتيكات وأساليب الخصوم، استنادًا إلى مشاهدات واقعية لتهديدات الأمن السيبراني. تُعرض هذه التكتيكات في مصفوفات مُرتبة حسب مراحل الهجوم، بدءًا من الوصول الأولي للنظام وحتى سرقة البيانات أو التحكم في الأجهزة. تتوفر مصفوفات لمنصات سطح المكتب الشائعة - لينكس، وماك أو إس، وويندوز - وتقنيات مثل الحوسبة السحابية، والحاويات، والشبكات، وأنظمة التحكم الصناعي، والمنصات المحمولة.

ما هي التكتيكات في إطار ATT&CK؟

ATT&CK تعني تكتيكات وتقنيات ومعرفة شائعة تتعلق بالخصوم. التكتيكات هي وسيلة حديثة للنظر إلى الهجمات السيبرانية. بدلاً من النظر إلى نتائج الهجوم، المعروفة باسم مؤشر الاختراق (IoC)، تحدد التكتيكات التي تشير إلى أن الهجوم جارٍ. التكتيكات هي "لماذا" تقنية الهجوم.

تحتوي مصفوفة ATT&CK الخاصة بالمؤسسات (تعرف على جميع المصفوفات الثلاث أدناه) على 14 تكتيكًا:

ما هي التقنيات في إطار ATT&CK؟

الحرف الثاني "T" في ATT&CK يمثل التقنيات. كل استراتيجية تتضمن مجموعة من التقنيات التي تم رؤيتها تُستخدم من قبل البرمجيات الخبيثة والمهاجمين. تمثل التقنيات "كيف" - كيف ينفذ المهاجمون استراتيجية معينة في الممارسة العملية. على سبيل المثال، إذا كانت الاستراتيجية هي تصعيد الامتيازات، فإن التقنيات ستكون طرقًا مختلفة ينفذ بها المهاجمون تصعيد الامتيازات في الهجمات الواقعية.

يوجد حاليًا 185 تقنية و367 تقنية فرعية في مصفوفة ATT&CK الخاصة بالشركات، وتقوم Mitre باستمرار بإضافة المزيد. كل تقنية لها رمز مكون من أربعة أرقام - على سبيل المثال، آلية التحكم في رفع الامتيازات هي T1548.

تحتوي كل تقنية على معلومات محددة حول كيفية عمل المهاجمين، مثل الامتيازات المطلوبة، والأنظمة التي تُستخدم فيها هذه التقنية بشكل شائع، وكيفية اكتشاف الأوامر أو الأنشطة المرتبطة بهذه التقنية.

القراءة الموصى بها: UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.

ما هي المعرفة الشائعة في إطار عمل ATT&CK؟

"CK" في نهاية ATT&CK تعني المعرفة الشائعة. هذه هي الاستخدامات الموثقة للتكتيكات والتقنيات من قبل الخصوم. في الأساس، المعرفة الشائعة هي توثيق الإجراءات. أولئك الذين لديهم دراية بالأمن السيبراني قد يكونون على دراية بمصطلح "التكتيكات والتقنيات والإجراءات"، أو TTP. (إن "CK" تجعل الاختصار أكثر جاذبية من "P" - وهو أمر ضروري دائمًا في المشاريع الحكومية.)

من هي MITRE؟

MITRE هي منظمة بحثية ممولة من الحكومة ومقرها في بيدفورد، ماساتشوستس، وماكلين، فيرجينيا. تم تأسيس الشركة في عام 1958 وكانت متورطة في مجموعة من المشاريع التجارية والسرية للغاية للعديد من الوكالات. وشملت هذه المشاريع تطوير نظام التحكم في حركة الطيران FAA ونظام الرادار AWACS الجوّي. تمتلك MITRE ممارسة كبيرة في مجال الأمن السيبراني بتمويل من المعهد الوطني للمعايير والتكنولوجيا (NIST).

(من المثير للاهتمام أن "MITRE" ليس اختصارًا، على الرغم من أن البعض اعتقد أنه يمثل "معهد ماساتشوستس للتكنولوجيا للأبحاث والهندسة". الاسم هو من ابتكار جيمس مكورماك، وهو عضو مجلس إدارة مبكر، الذي أراد اسمًا لا يعني شيئًا ولكنه يبدو مثيرًا.)

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل إطار عمل MITRE ATT&CK لعمليات الأمان الخاصة بك:

محاكاة خصوم العالم الحقيقي لفريق الأحمر
استخدم إطار عمل ATT&CK لنمذجة تكتيكات وتقنيات الخصوم في تمارين فريقك الأحمر. قم بمحاكاة مجموعات الهجوم المحددة، مع إعادة إنشاء أساليبها لاختبار فعالية دفاعاتك ضد التهديدات الحقيقية.

ربط أدوات الكشف والوقاية الحالية بتقنيات ATT&CK
أجرِ مسحًا شاملًا لأدواتك الأمنية الحالية وتقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). حدد الثغرات التي تفتقر حلولك الحالية إلى التغطية الكافية، وحدد أولويات الاستثمار في تلك المجالات.

دمج ATT&CK في كتيبات الاستجابة للحوادث
استخدم إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) كأساس لبناء أدلة الاستجابة للحوادث. صمّم استجاباتك بناءً على التكتيكات والتقنيات الشائعة الاستخدام في الهجمات الواقعية لضمان تغطية فريقك لجميع مراحل دورة حياة الهجوم.

استخدم ATT&CK للبحث عن التهديدات
استفد من مصفوفة ATT&CK لتوجيه جهودك الاستباقية في رصد التهديدات. ركّز على التكتيكات والأساليب عالية المخاطر التي تُعدّ بيئتك عُرضةً لها بشكلٍ خاص، مما يُساعد في كشف الهجمات الخفية والمستمرة.

تخصيص التحليلات السلوكية حول تقنيات ATT&CK
صمّم حلول تحليلات سلوك المستخدم والكيان (UEBA) لديك للكشف عن تقنيات محددة مدرجة في ATT&CK. من خلال تحديد السلوك الطبيعي، يمكنك اكتشاف أي شذوذ مرتبط بتكتيكات مثل التحرك الجانبي أو تصعيد الصلاحيات.

ما هو هدف إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

تهدف مبادرة Mitre الأمنية إلى إنشاء قائمة شاملة بتكتيكات وأساليب الخصوم المعروفة المستخدمة أثناء الهجمات الإلكترونية. هذه القائمة متاحة للمؤسسات الحكومية والتعليمية والتجارية، ومن المفترض أن تجمع نطاقًا واسعًا، ونأمل أن يكون شاملًا، من مراحل وتسلسلات الهجمات. تهدف إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) إلى إنشاء تصنيف معياري لجعل الاتصالات بين المؤسسات أكثر دقة.

تم إنشاء نظام ATT&CK استجابةً للحاجة إلى تصنيف سلوكيات الخصوم بشكل منهجي كجزء من إجراء تمارين محاكاة منظمة للخصوم ضمن بيئة البحث في تجربة فورت ميد التابعة لمؤسسة MITRE.

ما هي مصفوفات ATT&CK؟

هناك ثلاث مصفوفات في إطار عمل ATT&CK:

• Enterprise ATT&CK- نموذج هجومي يشرح الإجراءات التي يمكن للمهاجم اتخاذها للعمل داخل شبكة الشركة. يركز هذا النموذج بشكل أساسي على سلوك ما بعد الاختراق. تساعد هذه المصفوفة في تحديد أولويات دفاع الشبكة، موضحةً التكتيكات والأساليب والإجراءات التي يستخدمها المهاجمون عند دخولهم الشبكة.
• PRE-ATT&CK– تركز هذه المصفوفة على الأنشطة التي تتم قبل الهجوم، والتي تحدث إلى حد كبير خارج رؤية المنظمة. إنها تساعد فرق الأمن على فهم كيفية قيام المهاجمين بإجراء الاستطلاع واختيار نقطة دخولهم، وتجعل من الممكن مراقبة وتحديد أنشطة المهاجمين بشكل أكثر فعالية خارج حدود الشبكة المؤسسية.
• Mobile ATT&CK- استنادًا إلى دليل NIST لتهديدات الأجهزة المحمولة، يُقدم هذا النموذج وصفًا للتكتيكات والأساليب التي يمكن للمهاجمين استخدامها لاختراق الأجهزة المحمولة. وتشمل هذه "التأثيرات الشبكية"، وهي أساليب هجومية يمكن تنفيذها دون الوصول المباشر إلى الجهاز.

كيف تستخدم مصفوفة ATT&CK؟

تُرتِّب مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) جميع التكتيكات والتقنيات المعروفة بصريًا في شكل سهل الفهم. تُعرَض تكتيكات الهجوم في الأعلى، وتُدرَج التقنيات الفردية في أسفل كل عمود.

في مصفوفة ATT&CK الخاصة بالمؤسسات، يتضمن تسلسل الهجوم على الأقل تقنية واحدة لكل تكتيك، وسيتم بناء تسلسل الهجوم المكتمل من اليسار (الوصول الأولي) إلى اليمين (التحكم والأوامر). من الممكن استخدام تقنيات متعددة لتكتيك واحد. على سبيل المثال، قد يحاول المهاجم استخدام كل من المرفق ورابط في استغلال التصيد المستهدف.

ليس من الضروري أن يستخدم المهاجم جميع التكتيكات الإحدى عشر الموجودة في أعلى المصفوفة. بل، سيستخدم المهاجم الحد الأدنى من التكتيكات لتحقيق هدفه، حيث أن ذلك أكثر كفاءة ويقلل من فرص الاكتشاف. في هذا الهجوم (الموضح في الشكل 3)، يقوم الخصم بالوصول الأولي إلى بيانات اعتماد مساعد المدير التنفيذي باستخدام رابط تصيد مستهدف تم إرساله في بريد إلكتروني. بمجرد حصولهم على بيانات اعتماد المسؤول، سيبحث المهاجم عن نظام بعيد في مرحلة الاكتشاف.

يوضح الشكل 3 مثالاً لهجوم يتضمن تقنيات من كل مرحلة تكتيكية من الهجوم.

لنفرض أنهم يسعون للحصول على بيانات حساسة في مجلد Dropbox الذي يمكن للمسؤول الوصول إليه أيضًا، لذا لا حاجة لرفع الامتيازات. المرحلة الأخيرة، وهي جمع البيانات، تتم عن طريق تنزيل الملفات من Dropbox إلى جهاز المهاجم.

لاحظ أنه إذا تم استخدام تحليلات السلوك، فقد يتمكن محلل الأمن من اكتشاف الهجوم أثناء حدوثه من خلال تحديد سلوك المستخدم غير العادي. على سبيل المثال، لنفترض أن المسؤول نقر على رابط لم ينقر عليه أحد في الشركة من قبل، ثم قام المسؤول بالوصول إلى مجلد Dropbox معين في وقت غير عادي. خلال المرحلة النهائية من الهجوم، قام جهاز الكمبيوتر الخاص بالهجوم بالوصول إلى مجلد Dropbox للمرة الأولى. مع تحليلات السلوك، ستُعتبر هذه الأنشطة سلوكيات مستخدم مشبوهة.

كيف يمكن مقارنة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مع Cyber سلسلة القتل من Lockheed Martin؟

تتشابه سلسلة القتل السيبراني ^® من لوكهيد مارتن وATT&CK في كونهما نموذجين يحددان الخطوات التي يتبعها المهاجم لتحقيق هدفه. تحدد سلسلة القتل السيبراني من لوكهيد مارتن سبع خطوات في الهجوم:

1. استطلاع
2. تسليح
3. توصيل
4. استغلال
5. تركيب
6. القيادة والسيطرة
7. إجراءات بشأن الأهداف

تحتوي ATT&CK على عشرة خطوات تشكل سلسلة الهجوم:

1. الوصول الأولي
2. تنفيذ
3. المثابرة
4. تصعيد الامتيازات
5. التهرب من الدفاع
6. الوصول إلى بيانات الاعتماد
7. اكتشاف
8. الحركة الجانبية
9. جمع واستخراج البيانات
10. القيادة والسيطرة

بالإضافة إلى المزيد من الدقة في تكتيكات سلسلة الهجوم، يحدد نموذج ATT&CK التقنيات التي يمكن استخدامها في كل مرحلة، بينما لا يفعل نموذج سلسلة القتل لشركة لوكهيد مارتن ذلك.

ماذا يمكن أن يتم مع إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

هناك عدة طرق يمكن للمؤسسة من خلالها استخدام إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). فيما يلي أمثلة الاستخدام الرئيسية.

• محاكاة الخصم– يمكن استخدام ATT&CK لإنشاء سيناريوهات محاكاة الخصم لاختبار والتحقق من الدفاعات ضد تقنيات الخصم الشائعة.
• فريق الهجوم– يمكن استخدام ATT&CK لإنشاء خطط لفريق الهجوم وتنظيم العمليات لتجنب بعض التدابير الدفاعية التي قد تكون موجودة داخل الشبكة.
• التحليلات السلوكية– يمكن استخدام ATT&CK لبناء واختبار التحليلات السلوكية للكشف عن السلوك العدائي داخل بيئة.
• تقييم الفجوة الدفاعية- يمكن استخدام ATT&CK كنموذج شائع يركز على السلوك لتقييم الأدوات والمراقبة والتخفيف من حدة الدفاعات الموجودة داخل مؤسسة المؤسسة.
• تقييم نضج مركز العمليات الأمنية– يمكن استخدام ATT&CK كأحد المقاييس لتحديد مدى فعالية مركز العمليات الأمنية في اكتشاف الاختراقات وتحليلها والاستجابة لها.
• تعزيز استخبارات التهديد السيبراني– ATT&CK مفيد لفهم وتوثيق ملفات تعريف المجموعات المعادية من منظور سلوكي لا يعتمد على الأدوات التي قد تستخدمها المجموعة.

أدوات وموارد إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)

إليك قائمة بالأدوات والموارد التي يمكنك استخدامها للاستفادة من إطار عمل ATT&CK.

ATT&CK Navigator- أداة مجانية تُمكّنك من ربط عناصر التحكم الأمنية لديك بتقنيات ATT&CK. وتحديدًا، يمكنك إضافة عناصر تحكم استقصائية ووقائية، بل وحتى عرض طبقات من السلوك المُلاحظ. يُمكن استخدام Navigator عبر الإنترنت للنماذج والسيناريوهات البسيطة، أو تنزيله وإعداده داخليًا كحلٍّ أكثر استدامة.
الرابط المباشر: https://github.com/mitre-attack/attack-navigator

مستودع تحليلات MITRE السيبرانية (CAR)- قاعدة بيانات معرفية تحليلية تقدمها MITRE. توفر هذه القاعدة مجموعة بيانات واسعة من الفرضيات، ومجالات المعلومات التي تحدد سياق التحليلات (مثل المضيف، الشبكة)، ومراجع لتقنيات وأساليب ATT&CK محددة، وشبه شيفرة توضح كيفية تنفيذ التحليلات.
الرابط المباشر: https://car.mitre.org/

كالديرا- إطار عمل مفتوح المصدر لأمن الشبكات، مصمم لمحاكاة الهجمات وأتمتة الاستجابات الأمنية. يمكن استخدامه من قِبل الفرق الأمنية وفرق الاستجابة للحوادث. تعتمد إجراءاته الآلية على إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK).
الرابط المباشر: https://github.com/mitre/caldera

فريق ريد كاناري أتوميك ريد- أداة مفتوحة المصدر تُحاكي السلوكيات العدائية المُرتبطة بإطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). وهي مكتبة اختبارات بسيطة تُشغّلها فرق الأمن لاختبار ضوابطها الأمنية. هذه اختبارات مُركّزة، قليلة التبعيات، ومُعرّفة بصيغة مُنظّمة يُمكن استخدامها بواسطة أطر عمل الأتمتة.
الرابط المباشر: https://github.com/redcanaryco/atomic-red-team

أتمتة الفريق الأحمر- أداة أتمتة مفتوحة المصدر أخرى تُحاكي السلوك الخبيث استنادًا إلى تكتيكات وأساليب إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). تتضمن نصًا برمجيًا بلغة بايثون يُحاكي أكثر من 50 تكتيكًا، مع تطبيق ثنائي مُجمّع يُنفّذ أنشطة مثل حقن العمليات ومحاكاة الإشارات.
الرابط المباشر: https://github.com/endgameinc/RTA

علاقة Exabeam مع إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)

يشارك باحثو الأمن في Exabeam في مناقشات وفعاليات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). كما ساهموا بالعديد من التقنيات الجديدة قيد النشر، وأجرى الباحثون أبحاثًا مكثفة حول كيفية الكشف عن الشذوذ القائم على التعلم الآلي لتطبيق إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) بفعالية في ترسانة الكشف الخاصة بمحللي الأمن.

ستعتمد شركة Exabeam إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) في منصة إدارة الأمن بشركة Exabeam وخدمات أمان السحابة الخاصة بشركة Exabeam بدءًا من عام 2019.