ما هو MITRE Engage (المعروف سابقًا باسم MITRE Shield)؟

ما هو إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

MITRE Engage هي قاعدة معرفية تم تطويرها بواسطة شركة MITRE، وكانت تعرف في البداية باسم MITRE Shield. توفر معلومات حول الدفاع النشط استنادًا إلى خبرة تمتد لعشر سنوات في التعامل مع الخصوم. تقدم Engage معلومات لمجموعة من المستويات، بما في ذلك:

• مناقشات موجهة للممارسين حول استراتيجيات الدفاع، والتقنيات، والإجراءات (TTP).
• اعتبارات جاهزة لرئيس أمن المعلومات حول الأهداف والفرص.

تُقدَّم المعلومات بصيغتين: منظمة وغير منظمة، مع أن الإصدار الأول يُركِّز فقط على العناصر المنظمة. وللمساعدة في التعامل مع البيانات، تُوفِّر MITRE ربطات تُنظِّم العروض. وتتضمن ربطًا بين Engage وإطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ^®. وتُضاف عروض إضافية إلى قاعدة المعرفة مع استمرار توسُّعها.

وفقًا لـ MITRE، فإن Engage هو عمل قيد التقدم. تم إصداره من أجل تحفيز المحادثات حول التفاعل مع الخصوم والدفاع النشط، بالإضافة إلى الطرق التي يمكن أن يستخدمها المدافعون في تطبيق الدفاع النشط.

القراءة الموصى بها:UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.

ما هو الدفاع النشط؟

وفقًا لوزارة الدفاع الأمريكية، يتضمن الدفاع النشط استخدام هجمات مضادة هجومية محدودة وإجراءات بهدف منع الأعداء من التسلل إلى منطقة أو موقع متنازع عليه.

يجمع نظام MITRE Engage بين عدة أنواع من الدفاعات النشطة، بما في ذلك الإجراءات الدفاعية الأساسية ضد الهجمات الإلكترونية، إلى جانب التفاعل مع الخصوم وعمليات الخداع الإلكتروني. معًا، تمكّن هذه الدفاعات المنظمات من مواجهة الهجمات بينما تحصل أيضًا على معلومات إضافية عن الخصم. يمكن أن تساعد هذه المعلومات المنظمات على الاستعداد بشكل أفضل للهجمات المستقبلية.

كيف يمكن أن تساعد MITRE Engage منظمتك؟

الدفاع السيبراني العام

تحدد MITRE Engage تقنيات دفاعية أساسية يمكن تطبيقها على أي خطة دفاعية. يمكن للمنظمات استخدام تقنيات MITRE Engage داخل الشبكة المؤسسية لردع وكشف الخصوم. من المثالي أن تقوم المنظمات بإجراء تقييم لفهم المخاطر والتهديدات المحددة التي تواجهها، ثم تطبيق التقنيات المناسبة.

الخداع السيبراني

أمان الخداع، المعروف أيضًا باسم نهج الحبل المشدود، يبحث بشكل استباقي عن التهديدات. تم تصميم أنظمة الخداع لتكون غير قابلة للتمييز عن أنظمة الإنتاج العادية وقادرة على العمل كنظم عالية الدقة. يمكن للمنظمات تطبيق الخداع بغرض الكشف أو الردع أو أي تأثير آخر.

التفاعل مع الخصوم

تم تصميم غالبية تقنيات MITRE Engage لمساعدة المدافعين على جمع المعلومات ومراقبة وفهم الأنشطة التي يقوم بها الخصوم ضد النظام المستهدف. يمكن للمنظمات نشر تقنيات MITRE Engage في بيئات صناعية وكذلك في الإنتاج، لتعزيز التفاعلات الفعالة والمنتجة.

بالإضافة إلى ذلك، يمكن أن تساعد قاعدة بيانات MITRE Engage في تحليل المعلومات المعروفة عن خصم معين (باستخدام رؤى ATT&CK)، وتخطيط الدفاعات المناسبة، وجمع المعلومات اللازمة لإبلاغ الاعتبارات المستقبلية.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل من كل من إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) وMITRE Engage في استراتيجية الدفاع النشط الخاصة بك:

راقب سلوك الخصم باستخدام ATT&CK، واستجب باستخدام Engage
قم بمراقبة سلوك الخصم بشكل مستمر من خلال أنظمة الكشف المرسومة بواسطة ATT&CK وقم بتطبيق تقنيات MITRE Engage للاستجابة بشكل نشط، مما يؤدي إلى إنشاء حلقة دفاعية مرنة تتكيف مع التهديدات المتطورة.

خريطة تقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) لإشراك تقنيات الدفاع
ابدأ بربط أساليب ATT&CK المحددة (السلوكيات العدائية) بأساليب دفاعية فعالة. يمنحك هذا فهمًا واضحًا لكيفية مواجهة تكتيكات عدوانية محددة باستخدام أساليب دفاعية فعالة.

استخدم Engage لإنشاء استراتيجيات خداع ديناميكية
استفد من MITRE Engage لتصميم حملات خداع استباقية، مثل نشر أنظمة وهمية وبيانات اعتماد، تخدع الخصوم للكشف عن أساليبهم. تجمع هذه المشاركات المعلومات دون المخاطرة بالأصول الحيوية.

دمج Engage في تمارين الفريق الأحمر
اجمع تقنيات Engage الدفاعية مع أنشطة الفريق الأحمر لمحاكاة التفاعلات مع الخصوم في العالم الحقيقي. يساعد ذلك في اختبار قدرات الدفاع النشطة لمنظمتك وجمع رؤى قابلة للتنفيذ حول سلوك الخصوم.

تطوير خطط دفاعية نشطة بناءً على تكتيكات Engage
بناء خطط استجابة حول ثمانية تكتيكات دفاعية من MITRE Engage (مثل الكشف، الاحتواء، والتعطيل). يمكن أن توضح هذه الخطط كيفية التعامل مع الخصوم أثناء جمع المعلومات لتحسين الدفاعات المستقبلية.

نموذج MITRE Engage (درع MITRE) ، التكتيكات ، التقنيات ، والإجراءات

نموذج MITRE Engage يتضمن عدة مكونات، بما في ذلك:

• التقنيات– تشكل أساس نموذج Engage وتشمل العمليات الدفاعية النشطة للمدافعين.
• التكتيكات– تشمل أوصافًا مجردة وعالية المستوى للأهداف التي يرغب المدافعون في تحقيقها من خلال تطبيق العمليات. تصنف التكتيكات مجموعات من التقنيات التي يمكن الإشارة إليها حسب الحاجة ويمكن أن تعمل كاختصار للتخطيط على مستوى أعلى.

يمكن أن يساعد هذا النموذج المدافعين في استخدام التكتيكات لتحديد التقنية الأكثر ملاءمة لكل هدف تكتيكي بسرعة. يمكن للمدافعين استخدام النموذج لبناء الحل الدفاعي الأكثر ملاءمة من بين مجموعة متنوعة من الدفاعات النشطة.

المحتوى ذي الصلة: اقرأ توضيحنا ما هي TTPs

مصفوفة MITRE Engage

مصفوفة MITRE Engage (المعروفة سابقًا بمصفوفة Shield) توضح العلاقة بين التقنيات والتكتيكات. وهي تتكون من:

• التكتيكات– الهدف من المدافعين (موضح في الأعمدة أدناه).
• التقنيات– كيف يمكن لكل دفاع أن يساعد في تحقيق واحدة أو أكثر من التكتيكات (موضحة في الخلايا الفردية).

تقنيات وإجراءات

تقنيات MITRE Engage تحدد إجراءات الدفاع النشط. يمكن للمدافع تحقيق هدف تكتيكي محدد مسبقًا من خلال تنفيذ إجراء واحد أو أكثر. على سبيل المثال، يمكن للمدافع إضافة بيانات مزيفة إلى نظام تفاعل الخصم. يمكن أن تساعد هذه الخطوة في معرفة ما إذا كان الخصم يقوم بتفريغ هذه البيانات ثم يستخدمها لمحاولة الوصول إلى أي نظام آخر موجود ضمن شبكة التفاعل.

تشمل تقنيات MITRE Engage مجموعة واسعة من الإجراءات، بما في ذلك:

• تقنيات أساسية تأسيسية– قابلة للتطبيق عبر نطاق واسع من المنظمات ويمكن أن تُضاف فوق التقنيات المتقدمة. قد تشمل التقنيات التأسيسية مراقبة الشبكة، مراقبة نشاط النظام، والنسخ الاحتياطي والاسترداد.
• تقنيات متقدمة– تُستخدم لغرض التلاعب بالبرمجيات والشبكات. تُستخدم التقنيات المتقدمة عادةً من قبل بائعي الخداع أو المنظمات التي تحاول التفاعل أو دراسة الخصوم على مستوى أعمق.
• إجراءات MITRE Engage تصف بالتفصيل كيفية تنفيذ تقنية.

ربط التكتيكات والتقنيات

يرتبط MITRE Engage بين تكتيكات الدفاع النشط والتقنيات ذات الصلة. هذه نقطة مهمة في أي عملية دفاع نشط لأن التقنيات تساعد في بناء الأنظمة والضوابط في بيئة تشغيلية.

عند ربط التكتيكات والتقنيات، يمكن لتقنية واحدة أن تدعم عدة تكتيكات. وبالمثل، يمكن لتكتيك واحد أن يستخدم عدة تقنيات. على سبيل المثال، يمكنك تشديد ضوابط الأمان لتعطيل نشاط الخصم أو تخفيف بعض الضوابط للسماح بمزيد من التفاعل.

إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مقابل MITRE Engage

توفر إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) قاعدة معارف مُحدَّثة باستمرار، تشمل الجوانب التقنية والتكتيكية وشبه التقنية والإجرائية المتعلقة بالسلوك العدائي. أُنشئت لأول مرة عام ٢٠١٣، وخضعت لعدة تحديثات وتحسينات رئيسية. تُقدِّم أحدث قاعدة معارف مصفوفات للمؤسسات وأنظمة التحكم الصناعية والأجهزة المحمولة.

يركز إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) على منظور الخصوم، بينما يركز برنامج MITRE Engage على منظور المدافعين. يستخدم كلا البرنامجين مصفوفات، إلا أن Engage يركز على تقنيات وتكتيكات الدفاع بدلاً من السلوكيات العدائية. يقدم Engage ثمانية تكتيكات دفاعية تساعد المدافعين على تحقيق أهدافهم.

تشمل المظلات الثمانية لتكتيك "Engage" القنوات، الاحتواء، الجمع، الكشف، التسهيل، الاختبار، التعطيل، والتشريع. تحتوي كل مظلة تكتيكية على 34 تقنية دفاعية تقوم بمزيد من التحديد والتعريف بجميع الأساليب المعنية. تتكون المصفوفة الكاملة لـ "Engage" من جميع التقنيات الأساسية المطلوبة لتحقيق الدفاع النشط، بما في ذلك الدفاع العام، والتفاعل مع الخصوم، والخداع.

رسم خريطة MITRE Engage مع ATT&CK

تقنيات الدفاع من MITRE Engage وتقنيات الهجوم من ATT&CK مرتبطة ارتباطًا وثيقًا. لهذا السبب، قامت MITRE بتطوير صفحة مخصصة تمامًا لتقنيات وتكتيكات ATT&CK. تتضمن كل تقنية من تقنيات ATT&CK تقنيات الهجوم المرتبطة بها بالإضافة إلى جميع معلومات الدفاع النشط القابلة للتطبيق.

تقدم Engage طرقًا ملموسة يمكن من خلالها استخدام قاعدة المعرفة ATT&CK. يساعد ربط ATT&CK مع Engage في إنشاء كتيبات دفاع نشطة تعالج خصومًا معينين. يمكن أن يساعد استخدام القاعدتين المعرفيتين معًا المدافعين في تحقيق هدفين رئيسيين:

• احصل على فهم أفضل لسلوكيات الخصوم وتفاعلاتهم (ATT&CK)
• اكتشف طرقًا لتحقيق دفاعات أكثر نشاطًا (انخراط)

كيف يستفيد منصة دمج أمني وXDR من إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)

يشارك باحثو الأمن في Exabeam في مناقشات وفعاليات MITRE. كما ساهموا بعدة تقنيات جديدة قيد النشر، وقد أجرى الباحثون أبحاثًا واسعة حول كيفية تنفيذ الكشف عن الشذوذ المعتمد على التعلم الآلي لتطبيق محتوى MITRE بشكل فعال في ترسانة الكشف الخاصة بمحللي الأمن.

يتضمن نظام إدارة معلومات وأحداث الأمان (SIEM) وXDR مجموعة من حالات الاستخدام المُعدّة مسبقًا. تتضمن هذه الحالات محتوى خاصًا بالتهديدات، وقوائم تحقق مُعدّة مسبقًا للتحقيقات، ودليل استجابة مُصمّم خصيصًا لكل سيناريو مُحدّد. قام خبراء الأمن الداخليون في Exabeam بربط كل سيناريو باستخدام إطار عمل MITRE ATT&CK، بما في ذلك أساليب وتقنيات MITRE المُحدّدة المُرتبطة بكل حالة استخدام، مما يُتيح لمُحلّل الأمن الذي يُحقّق في التهديدات المُحتملة في Exabeam فهمًا أعمق للتهديدات. على سبيل المثال، تُربط حالة استخدام بيانات الاعتماد المُخترَقة بتسع تقنيات MITRE مُختلفة.

إطار العمل وكيف يمكن لمركز العمليات الأمنية (SOC) الاستفادة منه &

منصة دمج أمني تشمل هذين المنتجين:

• الرصد والكشف والاستجابة الموسعة: التحليلات السلوكية الرائدة في السوق، وفرز التنبيهات، وصيد التهديدات، وكتب التحقيق المعدة مسبقًا، وأتمتة سير عمل TDIR، والتكامل مع مئات من أدوات الأمان والإنتاجية التابعة لجهات خارجية تمكن المؤسسات من العثور على التهديدات المعقدة التي غالبًا ما تمر دون أن يلاحظها أحد عبر بيئتها المتنوعة.
• نظام إدارة معلومات وأحداث الأمان (SIEM): جميع ميزات وقدرات منصة دمج أمني XDR بالإضافة إلى التخزين المركزي للسجلات، والبحث القوي، والتقارير لتلبية حالات الاستخدام الشائعة المتعلقة بالتنظيم والامتثال.

لا يُقدّم أي مُزوّد آخر لخدمات SIEM أو XDR محتوىً مُبتكرًا لدعم هذا الإطار. للاطلاع على خريطة مُفصّلة لدعم Exabeam لإطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)، يُرجى زيارة هذا الرابط - يظهر دعم Exaberam لإطار عمل MITRE بدرجات اللون الأخضر -ATT&CK ^® Navigator.