اكتشف جميع الطرق التي يمكن أن تساعدك بها MITRE ATT&CK في الدفاع عن مؤسستك. قم ببناء إستراتيجية وسياسات الأمان الخاصة بك من خلال تحقيق أقصى استفادة من إطار العمل المهم هذا.
ما هو إطار عمل MITRE ATT&CK؟
MITRE ATT&CK (التكتيكات والتقنيات والمعرفة المشتركة) هو إطار عمل وقاعدة معرفية معتمدة على نطاق واسع تحدد وتصنف التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة في الهجمات الإلكترونية. يوفر هذا الإطار ، الذي أنشأته منظمة MITRE غير الربحية ، لمتخصصي الأمن رؤى وسياقا يمكن أن يساعدهم على فهم التهديدات السيبرانية وتحديدها والتخفيف من حدتها بشكل فعال.
يتم تنظيم التقنيات والتكتيكات في الإطار في مصفوفة ديناميكية. هذا يجعل التنقل سهلا ويوفر أيضا رؤية شاملة لمجموعة كاملة من سلوكيات الخصم. نتيجة لذلك ، يكون إطار العمل أكثر قابلية للتنفيذ والاستخدام مما لو كان قائمة ثابتة.
يمكن العثور على إطار عمل MITRE ATT&CK هنا: https://attack.mitre.org/
انتبه: تحيزات إطار عمل MITRE ATT &CK
وفقا لإيتاي ماور ، المدير الأول لاستراتيجية الأمن في Cato Networks ، "المعرفة المقدمة في إطار عمل MITRE ATT &CK مستمدة من أدلة العالم الحقيقي على سلوكيات المهاجمين. هذا يجعلها عرضة لبعض التحيزات التي يجب أن يكون محترفو الأمن على دراية بها. من المهم فهم هذه القيود".
التحيز الجديد - يتم الإبلاغ عن التقنيات أو الجهات الفاعلة الجديدة أو المثيرة للاهتمام ، في حين أن التقنيات التي يتم استخدامها مرارا وتكرارا ليست كذلك.
تحيز الرؤية - لدى ناشري تقارير Intel تحيزات في الرؤية تستند إلى كيفية جمع البيانات ، مما يؤدي إلى رؤية بعض التقنيات دون غيرها. بالإضافة إلى ذلك ، يتم النظر إلى التقنيات بشكل مختلف أثناء الحوادث وبعدها.
تحيز المنتج - قد لا تعكس التقارير التي تنشرها بعض المنظمات الصناعة الأوسع أو العالم ككل.
تحيز الضحايا - من المرجح أن تقوم بعض منظمات الضحايا بالإبلاغ أو الإبلاغ عنها أكثر من غيرها.
تحيز التوفر - غالبا ما يتضمن مؤلفو التقارير تقنيات تتبادر إلى الذهن بسرعة في تقاريرهم.
حالات استخدام ميتري ATT &CK Defender
يساعد إطار عمل MITRE ATT&CK المتخصصين في مجال الأمن على البحث عن الهجمات والإجراءات المختلفة وتحليلها. يمكن أن يساعد ذلك في المكافحة الذكية للتهديدات والكشف والتحليلات والمحاكاة والتقييم والهندسة. يعد MITRE ATT&CK Navigator أداة يمكن أن تساعد في استكشاف المصفوفة وتصورها ، مما يعزز تحليل التغطية الدفاعية والتخطيط الأمني وتردد التقنية والمزيد.
يضيف إيتاي ماور ، "يمكن أن يكون الإطار عميقا كما تريد أن يكون أو يمكن أن يكون على مستوى عال كما تريد. يمكن استخدامه كأداة لإظهار التعيين وما إذا كنا جيدين أو سيئين في مناطق معينة ، ولكن يمكن أن يصل إلى عمق فهم الإجراء المحدد للغاية وحتى سطر التعليمات البرمجية الذي تم استخدامه في هجوم معين ".
فيما يلي بعض الأمثلة على كيفية استخدام إطار العمل والمستكشف:
تحليل ممثل التهديد
يمكن لمتخصصي الأمن الاستفادة من MITRE ATT&CK للتحقيق في جهات تهديد محددة. على سبيل المثال ، يمكنهم التعمق في المصفوفة ومعرفة التقنيات التي تستخدمها الجهات الفاعلة المختلفة ، وكيفية تنفيذها ، والأدوات التي يستخدمونها ، وما إلى ذلك. تساعد هذه المعلومات في التحقيق في هجمات معينة. كما أنه يوسع معرفة الباحثين وطريقة تفكيرهم من خلال تعريفهم بأنماط إضافية من العمليات التي يتخذها المهاجمون.
على مستوى أعلى ، يمكن استخدام إطار العمل للإجابة على أسئلة المستوى C حول الانتهاكات أو الجهات الفاعلة في التهديد. على سبيل المثال، إذا سئل - "نعتقد أننا قد نكون هدفا للجهات الفاعلة في تهديد الدولة القومية الإيرانية". يتيح إطار العمل التعمق في الجهات الفاعلة في التهديد الإيراني مثل APT33 ، وإظهار التقنيات التي يستخدمونها ، ومعرفات الهجوم ، والمزيد.
تحليل الجهات الفاعلة المتعددة للتهديد بصرف النظر عن البحث عن جهات فاعلة محددة ، يسمح إطار عمل MITRE ATT &CK أيضا بتحليل جهات تهديد متعددة. على سبيل المثال ، إذا أثيرت مخاوف من أنه "بسبب الأحداث السياسية والعسكرية الأخيرة في إيران ، نعتقد أنه سيكون هناك انتقام في شكل هجوم إلكتروني. ما هي تكتيكات الهجوم الشائعة لجهات التهديد الإيرانية؟" ، يمكن استخدام الإطار لتحديد التكتيكات الشائعة التي يستخدمها عدد من الجهات الفاعلة في الدول القومية.
إليك ما يمكن أن يبدو عليه تحليل الجهات الفاعلة المتعددة التهديدات المرئية ، حيث يمثل اللونان الأحمر والأصفر التقنيات المستخدمة من قبل جهات فاعلة مختلفة ويمثل اللون الأخضر تداخلا.
تحليل الفجوات يساعد إطار عمل MITRE ATT&CK أيضا في تحليل الثغرات الموجودة في الدفاعات. وهذا يمكن المدافعين من تحديد وتصور وفرز أي منها لا تغطيه المنظمة.
إليك ما يمكن أن يبدو عليه ، مع الألوان المستخدمة لتحديد الأولويات.
الاختبار الذري أخيرا ، الفريق الأحمر الذري عبارة عن مكتبة مفتوحة المصدر للاختبارات تم تعيينها إلى إطار عمل MITRE ATT &CK. يمكن استخدام هذه الاختبارات لاختبار البنية التحتية والأنظمة الخاصة بك بناء على إطار العمل ، للمساعدة في تحديد فجوات التغطية وتخفيفها.
MITRE CTID (مركز الدفاع المستنير بالتهديدات)
MITRE CTID (مركز الدفاع المستنير بالتهديدات) هو مركز للبحث والتطوير ، تموله كيانات خاصة ، ويتعاون مع كل من منظمات القطاع الخاص والمنظمات غير الربحية. هدفهم هو إحداث ثورة في النهج المتبع تجاه الخصوم من خلال تجميع الموارد والتأكيد على الاستجابة الاستباقية للحوادث بدلا من التدابير التفاعلية. هذه المهمة مدفوعة بالاعتقاد ، المستوحى من جون لامبرت ، بأن المدافعين يجب أن يتحولوا من التفكير في القوائم إلى التفكير في الرسوم البيانية إذا كانوا يريدون التغلب على مزايا المهاجمين.
يعلق إيتاي ماور قائلا: "هذا مهم جدا. نحن بحاجة إلى تسهيل التعاون بين المدافعين عبر مختلف المستويات. نحن متحمسون جدا لهذا الأمر".
ومن المبادرات الهامة في هذا السياق مشروع "تدفق الهجوم". يعالج Attack Flow التحدي الذي يواجهه المدافعون ، الذين غالبا ما يركزون على سلوكيات المهاجم الذري الفردية. بدلا من ذلك ، يستخدم Attack Flow لغة وأدوات جديدة لوصف تدفق تقنيات ATT &CK. ثم يتم دمج هذه التقنيات في أنماط السلوك. يمكن هذا النهج المدافعين والقادة من اكتساب فهم أعمق لكيفية عمل الخصوم ، حتى يتمكنوا من تحسين استراتيجياتهم وفقا لذلك.
يمكنك أن ترى هنا كيف يبدو تدفق الهجوم.
مع تدفقات الهجوم هذه ، يمكن للمدافعين الإجابة على أسئلة مثل:
ماذا كان يفعل الخصوم؟
كيف يتغير الخصوم؟
يمكن أن تساعدهم الإجابات في التقاط أنماط الهجوم ومشاركتها وتحليلها.
بعد ذلك ، سيكونون قادرين على الإجابة على أهم الأسئلة:
ما هو الشيء التالي الأكثر احتمالا الذي سيفعلونه؟
ما الذي افتقدناه؟
تدعو CTID المجتمع للمشاركة في أنشطتها والمساهمة في قاعدة معارفها. يمكنك الاتصال بهم على LinkedIn.
لمعرفة المزيد حول إطار عمل MITRE ATT&CK ، شاهد الدورة التدريبية بأكملها هنا.
