سلسلة القتل السيبرانية: فهم وتخفيف التهديدات المتقدمة

لقد تطورت الهجمات الإلكترونية بشكل كبير على مدى العقدين الماضيين. لقد غيرت الهندسة الاجتماعية، والتهديدات الداخلية، وتكنولوجيا السحابة الطريقة التي ننظر بها إلى أمان المعلومات، وفي أذهان الكثير من الناس، جعلت المحيط غير ذي صلة.

سلسلة القتل السيبراني هي نموذج أمني تقليدي يصف سيناريو قديم - مهاجم خارجي يتخذ خطوات لاختراق شبكة وسرقة بياناتها - ويقسم خطوات الهجوم لمساعدة المنظمات على الاستعداد. ومع ذلك، لا يزال هذا النموذج ناجحًا بشكل ملحوظ في وصف مسارات التهديدات والهجمات التي تواجه المنظمات اليوم.

القراءة الموصى بها: 4 أنواع من استخبارات التهديد وكيفية استخدامها بشكل فعال.

ما هي سلسلة القتل السيبراني؟

سلسلة القتل السيبراني (CKC) هي نموذج كلاسيكي للأمن السيبراني تم تطويره من قبل فريق استجابة حوادث أمن المعلومات (CSIRT) في لوكهيد مارتن. الغرض من النموذج هو فهم المراحل المطلوبة لتنفيذ هجوم، ومساعدة فرق الأمن على إيقاف الهجوم في كل مرحلة من مراحله.

يصف نموذج CKC هجومًا من قبل مهاجم خارجي يحاول الوصول إلى البيانات أو الأصول داخل محيط الأمان. يقوم المهاجم بإجراء استطلاع، واختراق محيط الأمان، واستغلال الثغرات، وزيادة الامتيازات، والتحرك بشكل جانبي للوصول إلى أهداف أكثر قيمة، ويحاول إخفاء نشاطه، وأخيرًا، يقوم باستخراج البيانات من المنظمة.

نموذج سلسلة القتل السيبراني يصف بشكل رئيسي تهديدًا متقدمًا مستمرًا (APT)، وهو فاعل خبيث معقد يقوم بشن حملة هجوم منظمة ضد شركة معينة.

8 مراحل من سلسلة القتل السيبراني

فيما يلي شرح موجز لكل مرحلة من مراحل الهجوم وفقًا لنموذج CIRT CKC من شركة لوكهيد مارتن. لكل مرحلة، ستجدون قائمة مختصرة بالهجمات المأخوذة من إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)، وهو قاعدة معرفية عالمية متاحة لتكتيكات وتقنيات الخصم، مبنية على مشاهدات واقعية.

1. استطلاع

في مرحلة الاستطلاع، يقوم المهاجم بجمع المعلومات حول المنظمة المستهدفة. يمكنهم استخدام الماسحات الآلية للعثور على الثغرات ونقاط الضعف التي قد تكون قابلة للاختراق. سيحاول المهاجمون تحديد والتحقيق في أنظمة الأمان الموجودة، مثل الجدران النارية، وأنظمة منع التسلل، وآليات المصادقة.

2. تدخل

في مرحلة الاقتحام، يحاول المهاجمون الدخول إلى محيط الأمان. غالبًا ما يقوم المهاجمون بحقن البرمجيات الخبيثة في نظام ما للحصول على موطئ قدم. يمكن أن يتم تسليم البرمجيات الخبيثة عبر رسائل البريد الإلكتروني الهندسية الاجتماعية، أو نظام أو حساب مخترق، أو "باب مفتوح" يمثل ثغرة في الأمان - مثل منفذ مفتوح أو نقطة نهاية غير مؤمنة - أو من خلال متعاون داخلي.

أمثلة على الهجمات في مرحلة الاقتحام:

• الخدمات الخارجية عن بُعد
• مرفقات التصيد الاحتيالي المستهدف
• تسوية سلسلة التوريد

3. الاستغلال

في مرحلة الاستغلال، يسعى المهاجمون للبحث عن ثغرات أو نقاط ضعف إضافية يمكنهم استغلالها داخل أنظمة المنظمة. على سبيل المثال، من الخارج، قد لا يتمكن المهاجم من الوصول إلى قواعد بيانات المنظمة، ولكن بعد التسلل، يمكنهم رؤية أن قاعدة البيانات تستخدم إصدارًا قديمًا ومعرضة لثغرة معروفة.

أمثلة على الهجمات في مرحلة الاستغلال:

• باور شيل
• جدولة الوظائف المحلية
• البرمجة النصية
• تبادل البيانات الديناميكي

4. تصعيد الامتيازات

في مرحلة تصعيد الامتيازات، الهدف من المهاجم هو الحصول على امتيازات إضافية على أنظمة أو حسابات أخرى. قد يحاول المهاجمون تنفيذ هجمات بالقوة الغاشمة، أو البحث عن مستودعات غير مؤمنة للمعلومات، أو مراقبة حركة الشبكة غير المشفرة لتحديد المعلومات، أو تغيير الأذونات على الحسابات المخترقة الموجودة.

أمثلة على الهجمات في مرحلة تصعيد الامتيازات:

• تلاعب برمز الوصول
• اعتراض المسار
• هجوم Sudo
• حقن العمليات

5. الحركة الجانبية

في مرحلة الحركة الجانبية، يتصل المهاجمون بأنظمة إضافية ويحاولون العثور على الأصول الأكثر قيمة في المنظمة. ينتقل المهاجمون جانبياً من نظام إلى آخر للحصول على وصول إلى حسابات مميزة أو بيانات حساسة أو أصول حيوية. الحركة الجانبية هي جهد منسق قد يمتد عبر حسابات مستخدمين متعددة وأنظمة تكنولوجيا المعلومات.

أمثلة على الهجمات في مرحلة الحركة الجانبية:

• اختراق SSH
• التصيد الاحتيالي الداخلي
• جذر الويب المشترك
• إدارة ويندوز عن بُعد

6. إخفاء

في مرحلة التعتيم، يحاول المهاجم إخفاء آثاره. قد يحاول حذف أو تعديل السجلات، تزوير الطوابع الزمنية، العبث بأنظمة الأمان، واتخاذ إجراءات أخرى لإخفاء المراحل السابقة في CKC وجعل الأمر يبدو كما لو أن البيانات أو الأنظمة الحساسة لم تُمس.

أمثلة على الهجمات في مرحلة التعتيم:

• تعبئة ثنائية
• توقيع الشيفرة
• حذف الملف
• المستخدمون المخفيون
• تجويف العملية

7. إنكار الخدمة

في مرحلة هجوم الحرمان من الخدمة (DoS)، يحاول المهاجمون تعطيل عمليات المنظمة. عادةً ما يكون الهدف هو تشتيت انتباه موظفي الأمن والعمليات، مما يمكّن المهاجمين من تحقيق هدفهم الحقيقي، وهو استخراج البيانات. يمكن شن هجمات DoS ضد الشبكات والأنظمة الإنتاجية، بما في ذلك المواقع الإلكترونية، وخوادم البريد الإلكتروني، أو التطبيقات الموجهة للعملاء.

أمثلة على الهجمات في مرحلة نفي الخدمة (DoS):

• رفض الخدمة عند نقطة النهاية
• رفض الخدمة الشبكية
• اختطاف الموارد
• توقف الخدمة
• إيقاف تشغيل النظام

8. الإخلاء

في مرحلة استخراج البيانات، يتمكن المهاجم المتقدم أخيرًا من الوصول إلى البيانات الأكثر حساسية في المنظمة. سيجد المهاجمون آلية - عادةً ما تكون نوعًا من نفق البروتوكول - لنسخ البيانات خارج المنظمة. بعد ذلك، يمكنهم بيعها، أو استخدامها في هجمات إضافية (على سبيل المثال، في حالة بيانات العملاء الشخصية أو تفاصيل الدفع)، أو توزيعها علنًا لإلحاق الضرر بالمنظمة.

أمثلة على الهجمات في مرحلة استخراج البيانات:

• البيانات مضغوطة
• البيانات مشفرة
• استخراج البيانات عبر بروتوكول بديل
• نقل البيانات عبر وسيلة مادية - نقل مجدول

ضوابط الأمان التي يمكنك استخدامها لوقف سلسلة القتل السيبراني.

SBS الأمن اقترحت خمس طرق يمكن للمنظمة استخدامها لوقف هجوم في كل مرحلة من مراحله. هذه هي:

• كشف– تحديد محاولات المسح أو الاختراق للمنظمة.
• إنكار– إيقاف الهجمات عند حدوثها.
• تشويش-اعتراض اتصالات البيانات التي يقوم بها المهاجم وقطعها.
• تدهور– إنشاء تدابير ستحد من فعالية الهجوم.
• خداع– تضليل المهاجم من خلال تقديم معلومات خاطئة أو إعداد أصول وهمية.

تظهر المعلومات التالية كيف يمكن استخدام أدوات الأمان لتطبيق كل من ضوابط الأمان على كل مرحلة من مراحل سلسلة القتل.

المصدر:SBS للأمن السيبراني

كيف تساعد تقنية UEBA في التعرف على التهديدات المستمرة المتقدمة وإيقافها.

نموذج سلسلة القتل السيبراني يركز بشكل أساسي على التهديدات المستمرة المتقدمة (APTs). يتميز المهاجمون من نوع APT بمهارتهم في إخفاء نشاطهم وتتبع آثارهم، مما يجعل من الصعب جداً اكتشافهم بمجرد دخولهم إلى الشبكة المؤسسية. تُنفذ هجمات APT من قبل مجموعة من القراصنة المهرة الذين يستهدفون أنظمة المؤسسات من خلال التسلل والتحرك بشكل جانبي عبر المنظمة على مدى عدة أشهر، مع تجنب الكشف بعناية. بينما قد تتجنب كل خطوة من تلك الخطوات تقنيات الكشف التقليدية، فإنها معاً تخلق صورة شاذة.

تساعد أدوات الأمان الحديثة، مثل تحليل سلوك المستخدم والكيانات (UEBA)، في اكتشاف تقنيات مختلفة يستخدمها المهاجمون الحديثون. يوفر استخدام التعلم الآلي مع UEBA القدرة على تعلم سلوك المستخدم ودمجه في محرك الكشف، مما يوفر للباحثين كمية هائلة من الوقت في الكشف.

يتكيف نظام UEBA ديناميكيًا مع البيئة، وعلى عكس الطرق التقليدية، يمكنه اكتشاف التغيرات الدقيقة في السلوك. يمكن لنظام UEBA تحليل كميات هائلة من البيانات من أنظمة متباينة، وتحديد السلوك الشاذ لدى المستخدمين والآلات والشبكات والتطبيقات. عندما يبدو أن هناك شيئًا غير طبيعي أو مريب، يمكن لنظام UEBA التقاط ذلك وتنبيه فرق الأمن.

من أجل تحليل الأنماط السلوكية وتحويلها إلى تسلسلات هجوم، يحتاج محللو الأمن إلى رؤية الصورة الكاملة لسلسلة قتل الهجوم. يجب أن يربط UEBA جميع الأحداث ذات الصلة معًا في خط زمني لفهم الهجوم. وهذا يجعل من الممكن اكتشاف APTs والتقنيات المرتبطة بالمهاجمين في وقت مبكر قبل حدوث خرق فعلي. على سبيل المثال، يمكن لـ UEBA اكتشاف أنشطة الاستطلاع، التي تظهر كحركة مرور غير منتظمة على الشبكة؛ وتحديد محاولات الاختراق كعمليات تسجيل دخول غير عادية أو مشبوهة؛ والتقاط سلوك غير طبيعي لحسابات المستخدمين المخترقة في المراحل اللاحقة من الهجوم.

السرعة أمر حاسم في العثور على تسلسلات الهجمات المتطورة. مع الأدوات الحديثة مثل UEBA، يمكن للمحللين الأمنيين الآن تتبع الخطوات التي اتخذها المهاجم واكتشافهم قبل أن يتسببوا في ضرر للمنظمة.