تخطي إلى المحتوى

Exabeam توسع ذكاء السلوك لتأمين المؤسسة الوكيلة —اقرأ الأخبار

سلسلة القتل السيبرانية مقابل ميتري ATT&CK ®: 5 اختلافات رئيسية وتآزر

  • 8 minutes to read

فهرس المحتويات

    ما هو إطار عمل سلسلة القتل السيبراني؟

    إطار عمل سلسلة القتل السيبراني هو نموذج لفهم ووصف كيفية عمل الخصوم السيبرانيين. تم تطويره بواسطة لوكهيد مارتن، وهو مستند إلى مفهوم عسكري يعرف باسم "سلسلة القتل"، الذي يصف هيكل الهجوم من الاستطلاع الأولي إلى الهدف النهائي - سواء كان هذا الهدف هو الإخراج، أو حرمان من التوافر، أو التدمير الكامل، أو أي مزيج من ذلك.

    إطار عمل سلسلة القتل السيبراني يقوم بتقسيم الهجوم السيبراني إلى سبع مراحل:

    1. استطلاع
    2. تسليح
    3. توصيل
    4. استغلال
    5. تركيب
    6. القيادة والسيطرة (C2)
    7. إجراءات بشأن الأهداف

    يوفر الإطار نهجًا منهجيًا لفهم دورة حياة الهجوم السيبراني. من خلال رسم المراحل، يصبح من الأسهل تحديد التهديدات والتخفيف منها في كل مرحلة. تمثل كل مرحلة فرصة للم defenders لاكتشاف أو منع أو تعطيل الهجوم.

    إطار عمل سلسلة القتل السيبراني، على الرغم من كونه أداة قوية، إلا أنه ليس بدون قيود. قد لا يعكس نموذجه الخطي والتسلسلي بدقة الطبيعة المعقدة والمتكررة وغالبًا المتوازية للهجمات السيبرانية. علاوة على ذلك، يميل إلى التركيز على التهديدات الخارجية، متجاهلاً غالبًا التهديدات الداخلية والنشاطات بعد الاختراق، والتي تعتبر أنواع تهديدات مهمة بشكل حرج.

    حول هذا Explainer:

    هذا المحتوى هو جزء من سلسلة حول إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK).

    القراءة الموصى بها:UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.


    ما هو إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

    إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) هو قاعدة معرفية ونموذج لفهم سلوك الخصم. طوّرته شركة MITRE غير الربحية، وصُمّم في الأصل لدعم الجيش الأمريكي، وهو يغطي كامل نطاق التكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون، بدءًا من الاستطلاع والوصول الأولي وصولًا إلى التأثير.

    إطار عمل ATT&CK يتجاوز مجرد رسم مراحل الهجوم. إنه يوفر وصفًا تفصيليًا للتقنيات المستخدمة من قبل المهاجمين في كل مرحلة، بالإضافة إلى استراتيجيات التخفيف وطرق الكشف. يتم تحديثه وتوسيعه بانتظام، مع الأخذ في الاعتبار أحدث معلومات التهديدات والأبحاث.

    إطار عمل ATT&CK دقيق وشامل للغاية، حيث يوفر عمقًا واتساعًا في فهم التهديدات السيبرانية. يُستخدم على نطاق واسع من قبل فرق الأمن العالمية لتحسين دفاعاتها، وتطوير قدرات البحث عن التهديدات، وتعزيز استجابتها للحوادث.

    تعلم المزيد:

    اقرأ شرحنا حول إطار عمل MITRE ATT&CK.


    سلسلة القتل السيبرانية مقابل ATT&CK: الاختلافات الرئيسية

    بينما يوفر كلا الإطارين رؤى قيمة حول التهديدات والهجمات السيبرانية، إلا أنهما يختلفان في عدة مجالات رئيسية.

    1. مستوى التجريد

    سلسلة القتل السيبراني تعمل على مستوى عالٍ ومبسطة عمدًا. كل مرحلة تمثل فئة واسعة من أنشطة المهاجمين، مثل "التسليم" أو "الاستغلال"، دون تحديد كيفية تنفيذ تلك الأفعال. هذه التجريد يجعلها مفيدة للتواصل حول مفاهيم الهجوم بين الفرق، بما في ذلك أصحاب المصلحة غير التقنيين. ومع ذلك، تفتقر إلى التفاصيل اللازمة لرسم الخرائط مباشرةً للسجلات، أو التنبيهات، أو القياسات إلى سلوكيات المهاجمين المحددة.

    صُممت ATT&CK للاستخدام التشغيلي على مستوى منخفض. تُقسّم كل تكتيكة (السبب) إلى تقنيات، وغالبًا إلى تقنيات فرعية (الكيفية). على سبيل المثال، بدلًا من مرحلة "الاستغلال" العامة، تُحدد ATT&CK عشرات الطرق التي يمكن أن يحدث بها الاستغلال، وكل منها مرتبط بنشاط النظام القابل للملاحظة. يُمكّن هذا المستوى من التفصيل فرق الأمن من ربط الحوادث الحقيقية بالسلوكيات المعروفة، والتحقق من صحة عمليات الكشف، وتحديد أولويات الدفاعات بناءً على التقنيات الفعلية المستخدمة في الواقع.

    2. الهيكل والتدفق

    سلسلة القتل السيبراني تستخدم نموذجًا خطيًا صارمًا. تفترض أن المهاجمين يتحركون خطوة بخطوة من الاستطلاع إلى التأثير النهائي، مع اعتماد كل مرحلة على السابقة. هذه البنية سهلة المتابعة وتعمل بشكل جيد لشرح سيناريوهات الاقتحام التقليدية. ومع ذلك، فإنها لا تأخذ في الاعتبار المهاجمين الذين يتخطون الخطوات، أو يكررون المراحل، أو يعملون بالتوازي عبر أنظمة متعددة.

    يستخدم إطار عمل ATT&CK بنية مصفوفية مُنظمة وفقًا لتكتيكات مثل الوصول الأولي، والتنفيذ، والاستمرارية، والتنقل الجانبي. لا يوجد مسار ثابت عبر المصفوفة، إذ يمكن للمهاجمين الدخول من نقاط مختلفة، وإعادة استخدام التقنيات، أو التبديل بين التكتيكات حسب الحاجة. يعكس هذا النموذج المرن العمليات الواقعية، حيث يتكيف المهاجمون بناءً على الدفاعات، وإمكانية الوصول المتاحة، والأهداف المتغيرة. كما يدعم التحليل التكراري، حيث يقوم المدافعون برسم خريطة مستمرة للنشاط بدلاً من فرضه في تسلسل مُحدد مسبقًا.

    3. التغطية والواقعية

    سلسلة القتل الإلكترونية تؤكد على الهجمات التي تركز على المحيط ونشاط التسلل في المراحل المبكرة. إنها الأقوى عند وصف كيفية حصول المهاجم على الوصول وإقامة موطئ قدم. ومع ذلك، فإنها توفر رؤية محدودة لما يحدث بعد الاختراق، مثل إساءة استخدام بيانات الاعتماد، أو الاستطلاع الداخلي، أو الاستمرارية على المدى الطويل. كما أنها لا تقوم بنمذجة التهديدات الداخلية أو سيناريوهات سلسلة التوريد بشكل صريح.

    يُوفر إطار عمل ATT&CK تغطيةً أشمل لدورة حياة الهجوم بأكملها. فهو يتضمن تكتيكاتٍ مُفصّلة لسلوكيات ما بعد الاختراق، مثل تصعيد الامتيازات، والتهرب من الدفاعات، والوصول إلى بيانات الاعتماد، والاكتشاف، والتنقل الجانبي. كما يُراعي بيئاتٍ مُختلفة، بما في ذلك أنظمة المؤسسات، والحوسبة السحابية، والأجهزة المحمولة، وأنظمة التحكم الصناعية. هذا الشمول يجعله أكثر واقعيةً للبيئات الحديثة، حيث غالبًا ما تتضمن الهجمات مراحل وأدوات وأساليب وصول مُتعددة على مدى فتراتٍ طويلة.

    4. الغرض في برامج الأمن

    سلسلة القتل السيبرانية تُستخدم عادةً للتخطيط الاستراتيجي وتصميم الدفاعات على مستوى عالٍ. تستخدمها فرق الأمان لتحديد أماكن وجود الضوابط، مثل حجب آليات التسليم أو اكتشاف حركة مرور القيادة والتحكم. كما أنها مفيدة أيضًا في التدريب وزيادة الوعي، حيث تساعد الفرق على فهم التدفق العام للهجمات وأين يمكن التدخل.

    يُستخدم إطار عمل ATT&CK في عمليات الأمن الميدانية. يقوم مهندسو الكشف بربط القواعد والتنبيهات بتقنيات ATT&CK لضمان التغطية الشاملة. ويستخدمه باحثو التهديدات لتوجيه التحقيقات والبحث عن سلوكيات محددة عبر الأنظمة. كما تستخدمه فرق الهجوم لمحاكاة أنشطة المهاجمين الواقعية، بينما تستخدمه فرق الدفاع لقياس ثغرات الكشف وتحسين الاستجابة. ونظرًا لتحديثه المستمر بمعلومات استخباراتية من الواقع، يُعدّ ATT&CK بمثابة لغة مشتركة بين الأدوات والفرق والمؤسسات لوصف التهديدات ومقارنتها.

    5. التبني وشعبية الصناعة

    سلسلة القتل السيبراني تظل نموذجًا معروفًا ومُدرسًا على نطاق واسع، خاصة لشرح مراحل الهجوم وبناء استراتيجيات الأمان الأساسية. ومع ذلك، فإن اعتماده أقل هيمنة في الأمن التشغيلي الحديث، جزئيًا بسبب قيوده في التعامل مع الهجمات المعقدة وغير الخطية.

    أصبح إطار عمل ATT&CK المعيار الصناعي الفعلي لنمذجة سلوك الخصوم. ويُستخدم على نطاق واسع في مجالات استخبارات التهديدات، وهندسة الكشف، وبرامج الاستجابة للحوادث.

    بحث حديث يبرز اعتماده القوي:

    • وجدت مراجعة لـ 417 دراسة أكاديمية وصناعية أن إطار ATT&CK متكامل بشكل واسع عبر مجالات وأساليب الأمن السيبراني.
    • يُعتبر الإطار الأكثر شعبية بين الممارسين، حتى مع بقاء نماذج أخرى شائعة في الأوساط الأكاديمية.
    • الإطار مدعوم من مجتمع عالمي، مع مساهمين ومستخدمين من أكثر من 200 دولة، مما يعزز دوره كمعيار مشترك.

    في الممارسة العملية، تستخدم العديد من المنظمات الآن كلا الإطارين معًا: سلسلة القتل لرواية القصص على مستوى عالٍ وATT&CK للتحليل التشغيلي التفصيلي.

    نصائح من الخبير

    ستيف مور

    ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

    بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل من إطار عمل Cyber سلسلة القتل و إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK):

    تعزيز تمارين الفرق الحمراء والزرقاء
    استخدم سلسلة القتل السيبراني لهيكلة سيناريوهات الفريق الأحمر، ووجه فريقك الأزرق لاكتشاف والاستجابة للتقنيات المدرجة في ATT&CK. هذه المقاربة ذات الإطارين تحاكي الهجمات الواقعية وتحسن قدرات الكشف.

    دمج سلسلة القتل وATT&CK لرؤية الهجوم الكامل
    استخدم سلسلة القتل السيبراني لفهم المراحل المتقدمة للهجوم، ثم طبّق إطار عمل ATT&CK للتعمق في التقنيات والتكتيكات المحددة المستخدمة في كل مرحلة. يوفر هذا المزيج رؤية مفصلة لكيفية عمل الخصوم.

    استخدم ATT&CK لتحليل ما بعد الاختراق
    في حين أن سلسلة القتل تؤكد على مراحل ما قبل الهجوم والتسلل الأولي، استخدم ATT&CK لتتبع سلوك الخصم بعد الوصول الأولي، مثل الحركة الجانبية، والاستمرار، وتسرب البيانات.

    أتمتة الكشف عبر كلا الإطارين
    أتمتة الكشف عن التهديدات من خلال مواءمة أنظمة SIEM أو XDR مع كل من سلسلة القتل و ATT&CK. على سبيل المثال، الكشف عن التهديدات في مراحلها المبكرة مثل الاستطلاع من خلال سلسلة القتل، بينما يمكن رسم المراحل الأعمق مثل القيادة والتحكم على تقنيات ATT&CK.

    أولويات استثمارات الدفاع بناءً على تقنيات ATT&CK
    قم بتحليل التقنيات التي تُستخدم عادةً ضد قطاع منظمتك، وحدد أولويات التدابير الدفاعية حول تلك التقنيات. هذا يضمن استراتيجيات دفاعية مركزة وفعالة ضد التهديدات الحقيقية.


    التآزر بين سلسلة القتل (Kill Chain) وإطار ATT&CK

    تُعدّ سلسلة القتل السيبراني وإطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) أساسيتين في فهم التهديدات السيبرانية والتعامل معها، كما أنهما يُقدّمان منظورين فريدين. يُوفّر الجمع بين هذين الإطارين صورةً شاملةً لمشهد التهديدات. تُمكّن سلسلة القتل السيبراني من تحديد موقع التهديد في عملية الهجوم، بينما يُسلّط إطار عمل ATT&CK الضوء على التكتيكات والتقنيات المُحدّدة المُستخدمة في كل مرحلة.

    إليك بعض الطرق التي يمكن أن تستفيد بها المنظمات من التآزر بين سلسلة القتل و ATT&CK.

    حدد حالات الاستخدام الرئيسية.

    لدمج الإطارين بشكل فعال، تحتاج إلى فهم كيفية استخدامهما في سياق عملك الفريد. ستحتاج إلى فهم قوي لعمليات عملك، بما في ذلك البنية التحتية التكنولوجية، وأصول البيانات، والعمليات التجارية الحيوية، ونقاط الضعف المحتملة. بناءً على هذا الفهم، يمكنك تحديد المجالات الرئيسية التي يمكن أن توفر فيها هذه الإطارات قيمة.

    على سبيل المثال، إذا كانت أعمالك تعتمد بشكل كبير على تخزين البيانات السحابية، فقد يتضمن استخدام هذه الأطر تحديد نقاط الهجوم المحتملة القائمة على السحابة وتطوير دفاعات مناسبة. وبالمثل، إذا كانت أعمالك تتعامل مع بيانات العملاء الحساسة، فقد يتضمن الاستخدام فهم وتخفيف سيناريوهات خرق البيانات المحتملة.

    لكل حالة استخدام، يمكن أن تساعد سلسلة القتل في نمذجة نمط هجوم "تقليدي"، بينما يمكن أن يساعد ATT&CK في التحضير لمتجهات التهديد المحددة والملائمة.

    قم بربط مصادر السجلات بمخاطر الأعمال.

    بمجرد تحديد حالات الاستخدام الرئيسية، تكون الخطوة التالية هي ربط مصادر السجلات بمخاطر الأعمال. يتضمن ذلك تحديد مصادر البيانات التي يمكن أن توفر رؤى حول التهديدات المحتملة ومواءمتها مع المجالات ذات أعلى مخاطر الأعمال.

    يمكن أن تشمل مصادر السجلات سجلات الشبكة، سجلات النظام، سجلات التطبيقات، وسجلات الأمان. يمكن أن توفر هذه السجلات رؤى قيمة حول الأنشطة المشبوهة، والثغرات المحتملة، والهجمات الجارية.

    مراجعة التغطية في المجالات الرئيسية

    بعد رسم مصادر السجلات مقابل المخاطر التجارية، حان الوقت لمراجعة التغطية التي توفرها سلسلة القتل وإطارات ATT&CK لأعلى المخاطر التجارية ذات الأولوية. يتضمن ذلك تقييم مدى فعالية هذه الإطارات في التعرف على التهديدات المحتملة ومنعها والتخفيف من آثارها.

    يجب أن تأخذ عملية المراجعة في الاعتبار شمولية التغطية، وعمق الرؤى المقدمة، وملاءمة كل إطار عمل للسياق التجاري المحدد. من المهم أيضًا مراعاة سهولة التنفيذ والتأثير المحتمل على العمليات التجارية. بناءً على هذا التحليل، يمكنك تحديد الإطار الذي يجب استخدامه لكل نوع من المخاطر التجارية، وتحديد الفجوات حيث لا يوفر أي من الإطارين نموذج تهديد مناسب.

    قدّم تقريرًا عن نتائجك إلى الإدارة العليا.

    أخيرًا، بمجرد أن تقوم بتنفيذ سلسلة القتل وإطارات عمل ATT&CK وتقييم تغطيتهما، من المهم الإبلاغ عن نتائجك إلى الإدارة العليا وأصحاب المصلحة.

    يجب أن يبرز التقرير النتائج الرئيسية، والإجراءات المتخذة، وتأثيرها على مخاطر الأعمال. كما يجب أن يقدم توصيات للإجراءات المستقبلية، استنادًا إلى الرؤى المكتسبة.

    هدف هذا التقرير ليس فقط إبلاغ الإدارة عن حالة الدفاع السيبراني، بل أيضًا تأمين دعمهم للمبادرات المستقبلية. يمكن أن يساعد ذلك في ضمان تخصيص موارد كافية لتنفيذ واستخدام أطر التهديد بشكل مناسب.


    تتبنى Exabeam إطار عمل ATT&CK.

    منصة عمليات الأمن من Exabeam—منصة دمج أمني وExabeam التحقيق الأمني وExabeam Security Analytics و إكسيبيم SIEM وExabeam إدارة سجلات الأمان— بربط الهجمات والتنبيهات وحالات الاستخدام الأساسية بإطار عمل ATT&CK.

    يمكن للمنظمات كتابة واختبار ونشر ومراقبة قواعد الترابط المخصصة الخاصة بها للتركيز على الكيانات والأصول التجارية الأكثر أهمية، بما في ذلك تعريف الأهمية العالية أو الإدراج المحدد للشروط المستندة إلى خدمة استخبارات التهديدات، وتعيين تكتيكات وتقنيات وإجراءات محددة من ATT&CK.

    تتضمن كل منتج، حيث تستخدم منصة عمليات الأمن من Exabeam إطار عمل ATT&CK كعدسة حاسمة للمساعدة في تحسين رؤية وضعك الأمني.

    تعلم المزيد:

    اقرأ كيفية استخدام قاعدة المعرفة ATT&CK لتحسين عملية البحث عن التهديدات والاستجابة للحوادث.

    تعلم المزيد عن إكزابييم

    تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.