سلسلة القتل الإلكترونية مقابل ميتري ATT&CK ®: 4 اختلافات رئيسية وتآزر
- 6 minutes to read
فهرس المحتويات
ما هو إطار عمل سلسلة القتل السيبراني؟
إطار عمل سلسلة القتل السيبراني هو نموذج لفهم ووصف كيفية عمل الخصوم السيبرانيين. تم تطويره بواسطة لوكهيد مارتن، وهو مستند إلى مفهوم عسكري يعرف باسم "سلسلة القتل"، الذي يصف هيكل الهجوم من الاستطلاع الأولي إلى الهدف النهائي - سواء كان هذا الهدف هو الإخراج، أو حرمان من التوافر، أو التدمير الكامل، أو أي مزيج من ذلك.
إطار عمل سلسلة القتل السيبراني يقوم بتقسيم الهجوم السيبراني إلى سبع مراحل:
- استطلاع
- تسليح
- توصيل
- استغلال
- تركيب
- القيادة والسيطرة (C2)
- إجراءات بشأن الأهداف
يوفر الإطار نهجًا منهجيًا لفهم دورة حياة الهجوم السيبراني. من خلال رسم المراحل، يصبح من الأسهل تحديد التهديدات والتخفيف منها في كل مرحلة. تمثل كل مرحلة فرصة للم defenders لاكتشاف أو منع أو تعطيل الهجوم.
إطار عمل سلسلة القتل السيبراني، على الرغم من كونه أداة قوية، إلا أنه ليس بدون قيود. قد لا يعكس نموذجه الخطي والتسلسلي بدقة الطبيعة المعقدة والمتكررة وغالبًا المتوازية للهجمات السيبرانية. علاوة على ذلك، يميل إلى التركيز على التهديدات الخارجية، متجاهلاً غالبًا التهديدات الداخلية والنشاطات بعد الاختراق، والتي تعتبر أنواع تهديدات مهمة بشكل حرج.
هذا المحتوى هو جزء من سلسلة حول إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK).
القراءة الموصى بها:UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.
ما هو إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟
إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) هو قاعدة معرفية ونموذج لفهم سلوك الخصم. طوّرته شركة MITRE غير الربحية، وصُمّم في الأصل لدعم الجيش الأمريكي، وهو يغطي كامل نطاق التكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون، بدءًا من الاستطلاع والوصول الأولي وصولًا إلى التأثير.
إطار عمل ATT&CK يتجاوز مجرد رسم مراحل الهجوم. إنه يوفر وصفًا تفصيليًا للتقنيات المستخدمة من قبل المهاجمين في كل مرحلة، بالإضافة إلى استراتيجيات التخفيف وطرق الكشف. يتم تحديثه وتوسيعه بانتظام، مع الأخذ في الاعتبار أحدث معلومات التهديدات والأبحاث.
إطار عمل ATT&CK دقيق وشامل للغاية، حيث يوفر عمقًا واتساعًا في فهم التهديدات السيبرانية. يُستخدم على نطاق واسع من قبل فرق الأمن العالمية لتحسين دفاعاتها، وتطوير قدرات البحث عن التهديدات، وتعزيز استجابتها للحوادث.
اقرأ شرحنا حول إطار عمل MITRE ATT&CK.
سلسلة القتل السيبرانية مقابل ATT&CK: الاختلافات الرئيسية
بينما يوفر كلا الإطارين رؤى قيمة حول التهديدات والهجمات السيبرانية، إلا أنهما يختلفان في عدة مجالات رئيسية.
1. التركيز والمنظور
تركز سلسلة القتل الإلكترونية على مراحل الهجوم، من منظور المهاجم. توفر رؤية عالية المستوى، مما يسمح للمدافعين بفهم عملية المهاجم وإمكانية إيقاف السلسلة في أي مرحلة.
من ناحية أخرى، يركز إطار عمل ATT&CK على التقنيات المستخدمة من قبل المهاجمين. إنه يوفر رؤية أكثر تفصيلاً، مما يسمح للمدافعين بفهم التكتيكات والإجراءات المحددة التي يستخدمها المهاجمون. هذا الاختلاف في التركيز ووجهة النظر يعني أن الإطارين يكملان بعضهما البعض، مما يوفر فهماً شاملاً للتهديدات السيبرانية.
2. العمق والاتساع
تفتقر سلسلة القتل السيبراني، على الرغم من تقديمها تحليلًا مفيدًا لمراحل الهجوم، إلى العمق والشمولية التي يتمتع بها إطار عمل ATT&CK. يوفر إطار عمل ATT&CK وصفًا تفصيليًا لكل تقنية يستخدمها المهاجمون، إلى جانب استراتيجيات التخفيف وطرق الكشف. وهذا يجعل إطار عمل ATT&CK أداة قيمة لتحسين الدفاعات وتطوير قدرات البحث عن التهديدات.
3. التطبيقات وحالات الاستخدام
تُستخدم سلسلة القتل السيبراني غالبًا في المراحل المبكرة من اكتشاف التهديدات والوقاية منها. يمكن أن تساعد في تحديد التهديدات المحتملة وتعطيلها قبل أن تتسبب في أي ضرر.
يتم استخدام إطار عمل ATT&CK عبر دورة حياة الأمن السيبراني بالكامل، بدءًا من اكتشاف المعلومات والتهديدات والوقاية منها، وصولًا إلى الاستجابة للحوادث وصيد التهديدات.
4. المشاركة المجتمعية والتحديثات
سلسلة القتل السيبراني، التي طورتها شركة لوكهيد مارتن، ليست محدثة أو موسعة بشكل منتظم مثل إطار عمل ATT&CK. ولا توجد لديها عملية مدفوعة من المجتمع للتحديثات والتحسينات.
من ناحية أخرى، يتم تحديث إطار عمل ATT&CK وتوسيعه بانتظام من قبل مؤسسة MITRE، بمشاركة من مجتمع الأمن السيبراني. تضمن هذه المشاركة من المجتمع أن يبقى الإطار حديثًا وذو صلة، معبرًا عن أحدث المعلومات الاستخباراتية والبحث.
نصائح من الخبير
ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.
بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل من إطار عمل Cyber سلسلة القتل و إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK):
تعزيز تمارين الفرق الحمراء والزرقاء
استخدم سلسلة القتل السيبراني لهيكلة سيناريوهات الفريق الأحمر، ووجه فريقك الأزرق لاكتشاف والاستجابة للتقنيات المدرجة في ATT&CK. هذه المقاربة ذات الإطارين تحاكي الهجمات الواقعية وتحسن قدرات الكشف.
دمج سلسلة القتل وATT&CK لرؤية الهجوم الكامل
استخدم سلسلة القتل السيبراني لفهم المراحل المتقدمة للهجوم، ثم طبّق إطار عمل ATT&CK للتعمق في التقنيات والتكتيكات المحددة المستخدمة في كل مرحلة. يوفر هذا المزيج رؤية مفصلة لكيفية عمل الخصوم.
استخدم ATT&CK لتحليل ما بعد الاختراق
في حين أن سلسلة القتل تؤكد على مراحل ما قبل الهجوم والتسلل الأولي، استخدم ATT&CK لتتبع سلوك الخصم بعد الوصول الأولي، مثل الحركة الجانبية، والاستمرار، وتسرب البيانات.
أتمتة الكشف عبر كلا الإطارين
أتمتة الكشف عن التهديدات من خلال مواءمة أنظمة SIEM أو XDR مع كل من سلسلة القتل و ATT&CK. على سبيل المثال، الكشف عن التهديدات في مراحلها المبكرة مثل الاستطلاع من خلال سلسلة القتل، بينما يمكن رسم المراحل الأعمق مثل القيادة والتحكم على تقنيات ATT&CK.
أولويات استثمارات الدفاع بناءً على تقنيات ATT&CK
قم بتحليل التقنيات التي تُستخدم عادةً ضد قطاع منظمتك، وحدد أولويات التدابير الدفاعية حول تلك التقنيات. هذا يضمن استراتيجيات دفاعية مركزة وفعالة ضد التهديدات الحقيقية.
التآزر بين سلسلة القتل (Kill Chain) وإطار ATT&CK
تُعدّ سلسلة القتل السيبراني وإطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) أساسيتين في فهم التهديدات السيبرانية والتعامل معها، كما أنهما يُقدّمان منظورين فريدين. يُوفّر الجمع بين هذين الإطارين صورةً شاملةً لمشهد التهديدات. تُمكّن سلسلة القتل السيبراني من تحديد موقع التهديد في عملية الهجوم، بينما يُسلّط إطار عمل ATT&CK الضوء على التكتيكات والتقنيات المُحدّدة المُستخدمة في كل مرحلة.
إليك بعض الطرق التي يمكن أن تستفيد بها المنظمات من التآزر بين سلسلة القتل و ATT&CK.
حدد حالات الاستخدام الرئيسية.
لدمج الإطارين بشكل فعال، تحتاج إلى فهم كيفية استخدامهما في سياق عملك الفريد. ستحتاج إلى فهم قوي لعمليات عملك، بما في ذلك البنية التحتية التكنولوجية، وأصول البيانات، والعمليات التجارية الحيوية، ونقاط الضعف المحتملة. بناءً على هذا الفهم، يمكنك تحديد المجالات الرئيسية التي يمكن أن توفر فيها هذه الإطارات قيمة.
على سبيل المثال، إذا كانت أعمالك تعتمد بشكل كبير على تخزين البيانات السحابية، فقد يتضمن استخدام هذه الأطر تحديد نقاط الهجوم المحتملة القائمة على السحابة وتطوير دفاعات مناسبة. وبالمثل، إذا كانت أعمالك تتعامل مع بيانات العملاء الحساسة، فقد يتضمن الاستخدام فهم وتخفيف سيناريوهات خرق البيانات المحتملة.
لكل حالة استخدام، يمكن أن تساعد سلسلة القتل في نمذجة نمط هجوم "تقليدي"، بينما يمكن أن يساعد ATT&CK في التحضير لمتجهات التهديد المحددة والملائمة.
قم بربط مصادر السجلات بمخاطر الأعمال.
بمجرد تحديد حالات الاستخدام الرئيسية، تكون الخطوة التالية هي ربط مصادر السجلات بمخاطر الأعمال. يتضمن ذلك تحديد مصادر البيانات التي يمكن أن توفر رؤى حول التهديدات المحتملة ومواءمتها مع المجالات ذات أعلى مخاطر الأعمال.
يمكن أن تشمل مصادر السجلات سجلات الشبكة، سجلات النظام، سجلات التطبيقات، وسجلات الأمان. يمكن أن توفر هذه السجلات رؤى قيمة حول الأنشطة المشبوهة، والثغرات المحتملة، والهجمات الجارية.
مراجعة التغطية في المجالات الرئيسية
بعد رسم مصادر السجلات مقابل المخاطر التجارية، حان الوقت لمراجعة التغطية التي توفرها سلسلة القتل وإطارات ATT&CK لأعلى المخاطر التجارية ذات الأولوية. يتضمن ذلك تقييم مدى فعالية هذه الإطارات في التعرف على التهديدات المحتملة ومنعها والتخفيف من آثارها.
يجب أن تأخذ عملية المراجعة في الاعتبار شمولية التغطية، وعمق الرؤى المقدمة، وملاءمة كل إطار عمل للسياق التجاري المحدد. من المهم أيضًا مراعاة سهولة التنفيذ والتأثير المحتمل على العمليات التجارية. بناءً على هذا التحليل، يمكنك تحديد الإطار الذي يجب استخدامه لكل نوع من المخاطر التجارية، وتحديد الفجوات حيث لا يوفر أي من الإطارين نموذج تهديد مناسب.
قدّم تقريرًا عن نتائجك إلى الإدارة العليا.
أخيرًا، بمجرد أن تقوم بتنفيذ سلسلة القتل وإطارات عمل ATT&CK وتقييم تغطيتهما، من المهم الإبلاغ عن نتائجك إلى الإدارة العليا وأصحاب المصلحة.
يجب أن يبرز التقرير النتائج الرئيسية، والإجراءات المتخذة، وتأثيرها على مخاطر الأعمال. كما يجب أن يقدم توصيات للإجراءات المستقبلية، استنادًا إلى الرؤى المكتسبة.
هدف هذا التقرير ليس فقط إبلاغ الإدارة عن حالة الدفاع السيبراني، بل أيضًا تأمين دعمهم للمبادرات المستقبلية. يمكن أن يساعد ذلك في ضمان تخصيص موارد كافية لتنفيذ واستخدام أطر التهديد بشكل مناسب.
اقرأ شرحنا حول التخفيف من آثار إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK).
تتبنى Exabeam إطار عمل ATT&CK.
منصة عمليات الأمن من Exabeam—منصة دمج أمني وExabeam التحقيق الأمني وExabeam Security Analytics و إكسيبيم SIEM وExabeam إدارة سجلات الأمان— بربط الهجمات والتنبيهات وحالات الاستخدام الأساسية بإطار عمل ATT&CK.
يمكن للمنظمات كتابة واختبار ونشر ومراقبة قواعد الترابط المخصصة الخاصة بها للتركيز على الكيانات والأصول التجارية الأكثر أهمية، بما في ذلك تعريف الأهمية العالية أو الإدراج المحدد للشروط المستندة إلى خدمة استخبارات التهديدات، وتعيين تكتيكات وتقنيات وإجراءات محددة من ATT&CK.
تتضمن كل منتج، حيث تستخدم منصة عمليات الأمن من Exabeam إطار عمل ATT&CK كعدسة حاسمة للمساعدة في تحسين رؤية وضعك الأمني.
اقرأ كيفية استخدام قاعدة المعرفة ATT&CK لتحسين عملية البحث عن التهديدات والاستجابة للحوادث.
المزيد من شرح إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
-
ندوة عبر الإنترنت
من الإنسان إلى الهجين: كيف أن الذكاء الاصطناعي والفجوة في التحليلات تغذيان المخاطر الداخلية.
- عرض المزيد