ATT&CK

استفاده ازتکنیک ATT&CK برای بهبود، آنالیز و آزمایش رویکرد های شناسایی تهدید

 دشمنان و مهاجمان از مدت ها قبل به صورت گسترده در حال هدف گذاری اطلاعات در سراسر دنیای سایبری بوده اند که بزرگترین تهدید برای رشد و پیشرفت کسب و کار ها و افراد در دنیای سایبری محسوب میشوند. این مهاجمان تخصص ویژه ای در تغییر دادن ویژگی های حمله ی خود دارند  تا بتوانند با از سد مکانیزم های سنتی شناسایی امنیت سایبری بگذرند. از همین رو نیز دنیای امنیت امروز نیازمند محققان و تحلیل گران امنیتی است که ورای نشانه های تکنیکی رایج بدافزار ها و فعالیت های مخرب  را هدف گرفته و با تمرکز بر الگوی رفتاری این تهدیدات مانند تاکتیک ها و تکنیک های  به کار رفته در آن ها برای تعیین فعالیت های مخرب این تهدید ها تلاش کنند.

MITRE ATT&CK ساز و کاری است که برای ایجاد یک پایگاه اطلاعات مرتبط به تاکتیک ها و تکنیک های مهاجمان سایبری بر پایه ی مشاهدات حقیقی و عملی متخصصان امنیت ایجاد شده است. در حقیقت، MITRE ATT&CK بهترین سازوکار ممکن برای تولید برنامه های شناسایی تهدید و پاسخگویی به حوادث سایبری محسوب می شود. ATT&CK هم چنین رویکردی قدرتمند برای بهبود، آنالیز و تست فرایند های شناسایی و شکار تهدید یک سازمان است. برای آشنایی بیشتر با چهارچوب رویکرد MITRE ATT&CK و مزایای به کارگیری آن به مقاله مرتبط با آن در وبلاگ سورین مراجعه کنید.

جایگاه ATT&CK در برنامه ی امنیت سایبری شما چیست؟

سازوکار امنیت سایبری NIST (CSF) شامل پنج حوزه مقررات امنیتی   که به طور جامع محافظت، تشخیص، شناسایی، پاسخ، و بازسازی را شرح می دهند.ساز و کار ATT&CK توانایی مورد استفاده قرار گرفتن در هر پنج حوزه ی NIST CSF را دارا می باشد اما  عمدتا در فاز شناسایی است که مورد استفاده قرار می گیرد. این ساز و کار تعیین می کند که چه تکنیک هایی می توانند در شناسایی و تشخیص حوادث سایبری نقش ایفا کنند. برای مثال، از میان این تکنیک ها می توان به بررسی endpoint ها، PowerShell، تغییرات Active Directory و… اشاره کرد. به کار  بردن ساز و کار ATT&CK در فرایند شناسایی تهدید های سایبری، خسارات ناشی از این تهدید ها را به حداقل می رساند.

تولید برنامه های آنالیز شناسایی ATT&CK تفاوت ویژه ای با دیگر روش های شناسایی تهدید دارد. ATT&CK راهنمایی جامع و کاملی درباره ی چگونگی شناسایی روش های مخرب استفاده شده توسط مهاجمان را با استفاده از log ها و دیگر منابع آنالیز امنیتی را در اختیار شما قرار می دهد. ATT&CK هم چنین می تواند اطلاعات فنی ارزشمندی را در اختیار سازمان ها قرار دهد تا با استفاده از آن ها rule های برررسی خودکار و زیرساخت های اجرای فرایند شکار تهدیدات را فراهم کنند.

فواید استفاده از این روش در اندازه گیری ها و معیار ها

با استفاده از ATT&CK، متخصصان امنیتی می توانند دامنه ی توانایی های شناسایی تهدید یک سیستم از قبیل پوشش (coverage) و  میدان دید (visibility) را اندازه گیری و تعیین کنند. یکی از  بهترین رویکرد ها در این امر، شروع کردن  با زیرمجموعه از تکنیک های قابل مشاهده برای تجزیه و تحلیل  با توجه به  منابع داده ای که در اختیار دارند . با استفاده از ویژگی  میدان دید به عنوان مقیاس، یک تحلیلگر امنیت می تواند تعیین کند چه تعداد تکنیک آشکار و شناخته شده با استفاده از ابزار های امنیتی موجود قابل تشخیص هستند.

ساز و کار ATT&CK هم چنین از اهمیت ویژه ای برای تیم های آبی امنیت  (blue teaming) برخوردار می باشد؛ از آن رو که به آن ها اجازه می دهد با یکدیگر همکاری کرده و  به مرور زمان تکنیک های شناسایی شده ی خود را در برابر [email protected]  پوشش دهند  

نخستین گام برای استفاده از ساز و کار ATT&CK چیست؟

به طور کلی می توان گفت برای یافتن فعالیت های مخرب، شما نیاز دارید بدانید چه اتفاقاتی بر روی شبکه ی تان رخ  می دهد  و شروع به ساختن و استفاده از تحلیلگر های ATT&CK بکنید . از این رو،  باید متوجه شوید  چه داده ها و توانایی های جستجوی سیستم خود دارید که با لز طریق  لیست منابع داده های موجود در هر تکنیک ATT&CK  می توانید درک بهتری نسبت به این مسئله پیدا کنید. حال با داشتن آشنایی با این داده های موجود، شما نیاز دارید داده های خود را درون نوعی پلتفرم جستجو مانند SIEM جمع آوری کرده تا بتوانید تحلیل های خود را بر روی آن اجرا کنید.

MITRE ATT&CK رویکردی به روز است

در دنیایی که مهاجمان سایبری  در حال پیشرفته کردن و بهبود تکنیک های خود با هدف جلوگیری از شناسایی شدن هستند، این به این معناست که شناسایی  تاکتیک های انها روز به روز سخت تر شده و روش های شناسایی سنتی دیگر کافی نباشد یکی از  مزیت های ATT&CK ، جامعه ی بزرگ MITRE محسوب می شود که آنATT&CK ) (را برای مقابله ی پایاپای با تهدیدات همیشه در حال تغییر ، به روز نگاه داشته است.

MITRE ATT&CK رویکردی قدرتمند برای دسته بندی، بررسی و آشنایی با تکنیک های مهاجمان به شمار می رود. – (ATT & CK )  از راه های متنوعی به بهبود وضعیت امنیت سایبری  کمک کرده و  امیدواریم این مطلب به شما در استفاده از  ATT&CK به بهبود، آنالیز و تست روش های شناسایی تهدید خود بر اساس تکنیک های به کار رفته توسط مهاجمان  کمک رسانده باشد

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *