مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية: حالات الاستخدام والتكتيكات والمصفوفات الفرعية
- 8 minutes to read
فهرس المحتويات
ما هي مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية؟
مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية هي قاعدة معرفية تُستخدم لتخطيط ومناقشة وتحسين أمن السحابة. توفر فهمًا شاملاً لتكتيكات وتقنيات وإجراءات الخصوم في بيئات السحابة. يهدف هذا الإطار إلى مساعدة المؤسسات على تحديد المخاطر الأمنية الخاصة ببنية السحابة الخاصة بها والتخفيف منها، بما في ذلك الإعدادات العامة والخاصة والهجينة.
صُممت مصفوفة السحابة في الأصل كامتداد إطار عمل MITRE ATT&CK العام، الذي يركز على شبكات المؤسسات. تُحدد مصفوفة السحابة تكتيكات وتقنيات تتوافق مع منصات سحابية متنوعة، مثل AWS وAzure وGoogle Cloud. يوفر هذا لفرق الأمن رؤىً مُحددة تُناسب بيئاتهم التشغيلية، مما يُعزز نشر موارد السحابة بشكل أكثر أمانًا.
تُظهر الصورة أدناه التكتيكات والتقنيات المعادية المضمنة في مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية.
هذا المحتوى هو جزء من سلسلة حول إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK).
القراءة الموصى بها:UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.
حالات استخدام وفوائد مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية
الوعي بالتهديدات
يُعزز إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) للسحابة الوعي بالتهديدات من خلال تصنيف منهجي لعوامل الهجوم المحتملة على الخدمات السحابية. يُمكّن هذا النهج المنظم موظفي الأمن من توقع التهديدات المحتملة واكتشاف الهجمات الجارية بفعالية أكبر. ومن خلال فهم السلوكيات النمطية للمهاجمين، يُمكن للفرق تحسين أنظمة المراقبة الخاصة بهم لرصد مؤشرات الاختراق الحرجة.
إدارة المخاطر
من خلال الاستفادة من أبحاث MITRE ATT&CK المتعلقة بالسحابة، يمكن للمنظمات تحسين استراتيجيات إدارة المخاطر لديها. يوفر هذا البحث طريقة منظمة لتقييم الوضع الأمني للبيئات السحابية مقابل سيناريوهات الهجوم المعروفة. يساعد هذا التقييم في تحديد الثغرات والتدابير اللازمة للتخفيف منها، مما يقلل من التأثير المحتمل للاختراقات الأمنية.
اختيار الأدوات
مع إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)، أصبح اختيار أدوات أمن السحابة المُصممة خصيصًا لتلبية احتياجات المؤسسة أسهل. يتيح التحليل المُفصّل لأساليب الهجوم، الذي يوفره الإطار، لأصحاب المصلحة مُقارنة قدرات حلول الأمن المُختلفة مع تلك الأساليب. يضمن هذا النهج المُستهدف فعالية الأدوات المُختارة في بيئات السحابة المُحددة وحالات الاستخدام الخاصة بالمؤسسة.
البحث والتعاون
بحث MITRE ATT&CK في مجال السحابة والتعاون داخل مجتمع الأمن السيبراني. يستخدم الباحثون الأمنيون هذا الإطار كقاعدة للتحقيق في التهديدات الجديدة المتعلقة بالسحابة، ويقومون بإعادة تقديم نتائجهم لإثراء قاعدة المعرفة. تساعد هذه الدورة المستمرة من البحث والتغذية الراجعة في الحفاظ على ديناميكية الإطار وزيادة فعاليته.
اقرأ شرحنا عن مصفوفة MITRE.
المكونات الرئيسية لشبكة السحابة
تكتيكات
في مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية، تُمثل التكتيكات "سبب" الهجوم، أي الأهداف الاستراتيجية التي يسعى الخصم إلى تحقيقها. تُصنف هذه الأهداف إلى مراحل مثل الوصول الأولي، والتنفيذ، والاستمرارية، وما إلى ذلك، مما يوفر جدولًا زمنيًا منظمًا لدورة حياة الهجوم. يساعد فهم هذه التكتيكات المدافعين على توقع الأهداف الاستراتيجية للمهاجمين، مما يُسهم في اتخاذ تدابير أمنية أكثر استباقية.
توضح كل تكتيك ضمن الإطار تقنيات مختلفة تفصل كيفية تحقيق هذه الأهداف. من خلال تحليل الهجمات إلى أجزاء مفهومة، يمكن للمنظمات تخصيص استراتيجياتها الدفاعية بشكل فعال لصد أو تخفيف جوانب معينة من تسلسل الهجوم.
تقنيات
تُقدم تقنيات مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية رؤيةً مُفصّلةً للأساليب الفعلية التي يستخدمها الخصوم لتحقيق أهدافهم التكتيكية. تُقدّم كل تقنية معلوماتٍ مُفصّلة، بما في ذلك مؤشرات الاختراق، وخطوات التخفيف، ونصائح الكشف. يُتيح هذا العمق فهمًا تقنيًا واستجابةً لكيفية عمل التهديدات في مجال السحابة.
تتيح خصوصية التقنيات في الإطار الدفاعات المستهدفة المصممة لتناسب التكوينات والتحديات الفريدة لبيئات السحابة. هذه الرؤى حيوية لتشكيل آليات الحماية الفعالة واستراتيجيات الكشف، مما يقلل بشكل كبير من فعالية محاولات الهجوم.
نصائح من الخبير
ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.
بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل من مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية:
دمج كشف الشذوذ لسلوكيات محددة بالسحابة
تظهر بيئات السحابة أنماط استخدام محددة. نفذ أدوات كشف الشذوذ لمراقبة الأنشطة غير العادية مثل تسجيلات الدخول غير المصرح بها، والتحويلات غير الطبيعية للبيانات، أو التغييرات في تكوينات السحابة التي قد تشير إلى خرق.
تخصيص الدفاعات للمنصات السحابية المحددة
استخدم المصفوفات الفرعية السحابية (AWS، Azure AD، Google Workspace، Office 365) لتخصيص استراتيجية الأمان الخاصة بك بناءً على خدمات السحابة التي تستخدمها مؤسستك. كل منصة لها أساليب هجوم فريدة، لذا يجب تخصيص تقنيات الدفاع لمعالجة هذه التهديدات الخاصة بالمنصة.
أعطِ الأولوية لوسائل التحكم في الأمان للوصول الأولي
ركز دفاعاتك على استراتيجيات مثل الوصول الأولي والوصول إلى بيانات الاعتماد. غالبًا ما تكون البيئات السحابية عرضة لهجمات قائمة على الهوية مثل التصيد الاحتيالي أو إعدادات الوصول غير الصحيحة. نفذ المصادقة متعددة العوامل (MFA) وممارسات إدارة الهوية القوية لحماية هذه المجالات الحيوية.
رسم خريطة للثغرات الأمنية باستخدام Cloud Matrix
قم بإجراء تحليل للفجوات من خلال ربط إجراءات أمن السحابة الحالية لديك بتقنيات مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية. سيساعدك هذا على تحديد مواطن الضعف لديك، وإرشادك إلى كيفية تركيز الموارد لتحسين دفاعاتك.
استخدم مصفوفة السحابة لفريق الهجوم الأحمر
استفد من مصفوفة السحابة لمحاكاة الهجمات باستخدام تقنيات الخصوم في العالم الحقيقي في تمارين فريق الهجوم الأحمر. هذا يضمن أن تتماشى اختباراتك مع أحدث الأساليب المعروفة التي تستهدف بيئات السحابة، مما يمنحك تقييمًا أكثر دقة لدفاعاتك.
المصفوفات الفرعية المضمنة في إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) Cloud
تقدم MITRE عدة مصفوفات فرعية توفر معلومات محددة لمنصات سحابية مختلفة. تشترك هذه المصفوفات الفرعية في بعض التقنيات مع المصفوفة السحابية الرئيسية، ولديها بعض التقنيات المحددة التي تتعلق بسحابة معينة فقط.
أوفيس 365
تُفصّل مصفوفة Office 365 الفرعية ضمن إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) Cloud تقنياتٍ وتكتيكاتٍ مُصمّمة خصيصًا لمجموعة تطبيقات Microsoft Office 365. تُركّز هذه المصفوفة على تحديات الأمان الفريدة ومُتّجهات الهجمات المُرتبطة بـ Office 365، والذي يشمل أدواتٍ شائعة الاستخدام مثل Outlook وWord وExcel وTeams.
تتميز هذه المجموعة الفرعية بتقنيات تستغل الطبيعة المتكاملة لتطبيقات Office 365. على سبيل المثال، قد يستغل المهاجمون الأذونات الممنوحة لتطبيق واحد للحصول على وصول غير مصرح به إلى تطبيق آخر، أو يستخدمون الترابط بين رسائل البريد الإلكتروني ودعوات التقويم لتنفيذ هجمات تصيد.
دليل نشط أزور
تتركز المصفوفة الفرعية لـ Azure AD على الدليل النشط من Azure، وهو مكون حيوي لإدارة الهوية في بيئات السحابة التي تستخدم خدمات مايكروسوفت.
تركز هذه المجموعة الفرعية على أساليب الهجوم المعتمدة على الهوية، مثل سرقة الرموز، ورفع الحقوق من خلال الأدوار غير المهيأة بشكل صحيح، واستغلال ميزات التزامن بين البيئات المحلية وAzure AD. وغالبًا ما تتضمن هذه التقنيات هجمات على إعدادات المصادقة متعددة العوامل أو إساءة استخدام الامتيازات الإدارية.
جوجل وورك سبيس
في مصفوفة Google Workspace الفرعية، يتم التركيز على المخاوف الأمنية المحددة لمجموعة تطبيقات جوجل السحابية، بما في ذلك جيميل وDrive وDocs وCalendar. تتناول هذه المصفوفة المخاطر المرتبطة بالبيئات التي تديرها جوجل، مع تسليط الضوء على هجمات مثل اختطاف رموز OAuth، وتزوير البريد الإلكتروني، وسوء استخدام أذونات محركات الأقراص المشتركة.
البرمجيات كخدمة
تمتد المصفوفة الفرعية للبرمجيات كخدمة (SaaS) عبر منصات SaaS المختلفة، موضحة التهديدات الشائعة والناشئة الخاصة بمنتجات SaaS. تركز على الهجمات التي تستغل نموذج المسؤولية المشتركة للبرمجيات كخدمة، حيث يعتمد الأمان على تصرفات كل من المزود والعميل. قد تشمل التقنيات استغلال التكوينات الخاطئة، واختطاف الجلسات، أو حملات التصيد المستهدفة الموجهة لمستخدمي البرمجيات كخدمة.
البنية التحتية كخدمة
تتعامل مصفوفة "البنية التحتية كخدمة" (IaaS) مع التهديدات الفريدة لطبقات البنية التحتية في خدمات السحابة، والتي تُعتبر أساسية في بيئات السحابة. يشمل ذلك الآلات الافتراضية، وخدمات التخزين، ومكونات الشبكات في منصات مثل AWS وAzure وGoogle Cloud. تركز على المستويات الأدنى من بنية السحابة، مثل استغلال ثغرات المحاكيات أو تكوينات واجهات برمجة التطبيقات غير الآمنة.
التكتيكات في مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية
إليك التكتيكات المدرجة في مصفوفة السحابة. كل واحدة منها تتضمن عدة تقنيات هجوم محددة، كما هو موضح في الصورة في أعلى المقال. يمكنك عرض جميع التكتيكات والتقنيات على موقع MITRE.
الوصول الأولي
الحصول على الوصول الأولي في البيئات السحابية غالبًا ما يتضمن استغلال التطبيقات العامة أو استخدام بيانات اعتماد مسروقة. تركز هذه الاستراتيجية من MITRE على الأساليب التي يستخدمها الخصوم للدخول إلى النظام، مما يوجه الدفاعات لحماية نقاط الدخول هذه بشكل فعال. فهم هذه التقنيات يسمح للمنظمات بتعزيز أمان المحيط الخارجي وتطبيق تدابير مصادقة قوية.
منع الوصول غير المصرح به في هذه المرحلة أمر حاسم لتجنب المزيد من استغلال موارد السحابة. يمكن أن تقلل المراقبة الاستباقية والرقابة الصارمة على الوصول بشكل كبير من خطر التعرض للاختراق الأولي، مما يضع أساسًا دفاعيًا قويًا.
تنفيذ
تُحدد أساليب التنفيذ كيفية تشغيل المُهاجمين للبرمجيات الخبيثة داخل بيئة سحابية لتحقيق أهدافهم. قد يشمل ذلك التنفيذ عن بُعد من خلال ثغرات برمجية موجودة، أو تشغيل نصوص برمجية تُصعّد الصلاحيات. من خلال تفصيل أساليب التنفيذ، تُساعد مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) السحابية المؤسسات على فهم الأنشطة غير المُصرّح بها واعتراضها.
تضمن الدفاعات المخصصة ضد هذه التكتيكات أنه حتى إذا تمكن المهاجمون من الوصول، يمكن إحباط قدرتهم على تنفيذ خطط الهجوم. ويشمل ذلك تأمين بيئات التشغيل والحفاظ على السيطرة الصارمة على سياسات تنفيذ السكربتات.
المثابرة
تسمح آليات الاستمرارية في بيئات السحابة للمهاجمين بالحفاظ على الوصول لفترات طويلة. تشمل هذه التكتيكات طرقًا مثل إنشاء مثيلات غير شرعية أو تعديل عمليات المصادقة. إن فهم هذه التقنيات أمر حاسم للكشف عن الحضور غير المصرح به وإزالته ضمن البنى التحتية السحابية.
تشمل التدابير المضادة مراجعة وتدقيق إعدادات السحابة وسجلات الوصول بانتظام للكشف عن الشذوذ. يمكن أن تمنع الاستجابة السريعة لمؤشرات محاولات التسلل حدوث خروقات أمنية طويلة الأمد وفقدان البيانات المحتمل.
تصعيد الامتيازات
تصعيد الامتيازات ينطوي على حصول المهاجمين على حقوق وصول أعلى بشكل غير شرعي لتنفيذ إجراءات محجوزة للمسؤولين أو المستخدمين ذوي الامتيازات. في بيئات السحابة، غالبًا ما يتضمن ذلك استغلال التهيئات الخاطئة أو استخدام أساليب التصيد. توضح مصفوفة MITRE Cloud هذه الأساليب، وتقدم استراتيجيات للتخفيف من مثل هذه السيناريوهات بشكل فعال.
تقييد صلاحيات المستخدمين بناءً على الأدوار والتحقق المستمر من التكوينات يلعبان دورًا حيويًا في مكافحة تصعيد الامتيازات. إن ضمان حصول المستخدمين على الحد الأدنى من الوصول اللازم لأداء مهامهم يمكن أن يقلل بشكل كبير من ملف المخاطر العام.
تجنب الدفاع
تتركز تقنيات التهرب من الدفاع على تجنب الكشف من قبل أنظمة الأمان أثناء تنفيذ أنشطة ضارة في السحابة. قد يتضمن ذلك تعطيل أدوات الأمان، تعديل السجلات، أو استخدام التشفير لإخفاء الأفعال. من خلال فهم هذه التكتيكات، يمكن للمنظمات تعزيز قدراتها على الكشف وضمان التعرف على محاولات التهرب ومواجهتها بسرعة.
يمكن أن يساعد تنفيذ تسجيل ومراقبة شاملة، بالإضافة إلى استخدام أنظمة الكشف المعتمدة على السلوك، في التعرف على علامات أساليب التهرب المستخدمة في البيئات السحابية.
الوصول إلى بيانات الاعتماد
تستهدف تكتيكات الوصول إلى بيانات الاعتماد الحصول على أسماء المستخدمين وكلمات المرور والرموز لتسهيل الوصول غير المصرح به إلى الأنظمة والبيانات. تشمل الطرق هجمات القوة الغاشمة، وتفريغ بيانات الاعتماد، والتصيد. يوفر إطار عمل MITRE إرشادات حول حماية آليات المصادقة وإدارة بيانات الاعتماد بشكل آمن.
استخدام المصادقة متعددة العوامل وتدقيق كلمات المرور بانتظام هما تدابير فعالة في منع سرقة بيانات الاعتماد. بالإضافة إلى ذلك، فإن توعية المستخدمين حول التصيد وتقنيات الخداع الأخرى يساعد في الحفاظ على سلامة بيانات الاعتماد.
اكتشاف
تنطوي تكتيكات الاكتشاف على محاولة الخصوم فهم البيئة التي تم اختراقها للتنقل بفعالية وتحديد الأصول القيمة. وغالبًا ما يتم استخدام تقنيات مثل مسح الشبكات أو الوصول إلى ملفات التكوين الحساسة. يسمح التعرف على هذه التكتيكات للمنظمات بتقليل تعرض المعلومات ومراقبة أنماط الوصول غير العادية.
يمكن أن يؤدي تقييد صلاحيات المستخدمين غير الضرورية وتقسيم الشبكات إلى تقليل كمية المعلومات المتاحة خلال خرق أمني. كما يمكن أن تساعد أنظمة التنبيه المحسنة لطلبات الوصول غير العادية في الاستجابة السريعة والاحتواء.
الحركة الجانبية
تصف تقنيات الحركة الجانبية كيفية تحرك المهاجمين عبر الشبكة بعد الحصول على وصول أولي، ساعين لتوسيع نطاقهم داخل بيئة السحابة. قد يتضمن ذلك استخدام بيانات اعتماد مسروقة للوصول إلى أنظمة أخرى أو تثبيت أبواب خلفية على الشبكة. إن إحباط هذه الحركات أمر حاسم للحد من انتشار الهجوم.
تساعد تنفيذات مثل ضوابط الوصول الصارمة إلى الشبكة والتدقيق المتكرر في سلوك المستخدمين والآلات على منع التحركات غير المصرح بها. كما أن ضمان تكوين الأنظمة لتتطلب المصادقة وتسجيل الدخول للاتصالات الداخلية يساعد أيضًا في تتبع واعتراض التحركات الجانبية.
مجموعة
تتركز استراتيجيات جمع البيانات على تجميع البيانات من البيئات المستهدفة للتحضير للاستخراج. قد تشمل هذه التقنيات مثل تصفية البيانات لتمحيص مجموعات البيانات الكبيرة وتحديد المعلومات القيمة. يمكن أن يساعد فهم الطرق المستخدمة لجمع البيانات في توجيه الجهود لحماية البيانات من التجميع والوصول غير المصرح به.
تعتبر تقنيات منع فقدان البيانات وتشفير البيانات الحساسة أثناء النقل وفي حالة السكون استراتيجيات فعالة. بالإضافة إلى ذلك، يمكن أن تساعد مراقبة أنماط الوصول في الكشف المبكر عن أنشطة جمع البيانات غير المصرح بها.
إخراج
تصف تكتيكات استخراج البيانات كيفية قيام المهاجمين بإزالة البيانات من بيئة سحابية مخترقة، بهدف تحليل هذه المعلومات أو بيعها أو استغلالها بشكل ضار. وغالبًا ما تتضمن التقنيات تشفير البيانات قبل الإرسال لتفادي الكشف أو استغلال الوظائف الشرعية للخدمات السحابية لإزالة البيانات بشكل سري.
لمواجهة هذه التكتيكات، يجب على المنظمات فرض ضوابط صارمة على الخروج وفحص الاتصالات الصادرة بحثًا عن تسرب البيانات الحساسة. يمكن أن يساعد تشفير البيانات أيضًا في منع استخدامها حتى في حالة حدوث إزالة غير مصرح بها.
أثر
تتركز تكتيكات التأثير على تعطيل العمليات، وإلحاق الضرر بالبيئة السحابية، أو التلاعب بالبيانات لتحقيق مزايا تجارية أو جيوسياسية. قد تشمل الأفعال حذف بيانات رئيسية، أو انقطاع الخدمة، أو المساس بسلامة البيانات. يساعد فهم هذه الأشكال من الهجمات المنظمات على إعداد عمليات استعادة كوارث قوية وخطط استجابة للحوادث.
يمكن أن تساعد تنفيذ سياسات نسخ احتياطي قوية، وضمان تكرار النظام، وإجراء فحوصات منتظمة للنزاهة في التخفيف من آثار مثل هذه الهجمات. إن قدرات الكشف والاستجابة السريعة ضرورية لتقليل التأثير التشغيلي من مثل هذه الأنشطة الخبيثة.
شركة Exabeam تتبنى أطر عمل MITRE.
تُطابق مجموعة منتجات Exabeam -منصة دمج أمني، وExabeam التحقيق الأمني، وExabeam Security Analytics، و إكسيبيم SIEM، وExabeam إدارة سجلات الأمان- الهجمات والتنبيهات وحالات الاستخدام الأساسية مع إطار عمل MITRE ATT&CK. بالإضافة إلى ذلك، يُمكن للعملاء كتابة قواعد الارتباط الخاصة بهم لمقارنة أحداث السجلات الواردة.
يمكن للمؤسسات كتابة قواعد الارتباط المخصصة واختبارها ونشرها ومراقبتها للتركيز على الكيانات والأصول التجارية الأكثر أهمية، بما في ذلك تحديد درجة الأهمية الأعلى أو إدراج شروط محددة مستمدة من خدمة استخبارات التهديدات، وتعيين TTPs محددة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ®.
احصل على الورقة البيضاء
استخدام قاعدة المعرفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ® لتحسين البحث عن التهديدات والاستجابة للحوادث
تعلم كيفية استخدام قاعدة المعرفة ATT&CK لتحسين عمليات البحث عن التهديدات والاستجابة للحوادث.
المزيد من شرح إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
-
ندوة عبر الإنترنت
من الإنسان إلى الهجين: كيف أن الذكاء الاصطناعي والفجوة في التحليلات تغذيان المخاطر الداخلية.
- عرض المزيد