ما هي مصفوفة MITRE؟

ما هو إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)؟

إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)^® هو إطار عمل أمني يوفر معلومات استخباراتية شاملة ومحدثة حول التهديدات السيبرانية والتي يمكن أن تساعد المؤسسات على حماية نفسها من المخاطر السيبرانية.

طورت منظمة MITRE مصفوفة تحدد التكتيكات والتقنيات والإجراءات، والتي يمكن أن تساعد في مراقبة وتحليل الأحداث الأمنية التي تكتشفها فرق الأمن.

هناك ثلاث مصفوفات رئيسية من MITRE: مصفوفة ATT&CK الخاصة بالمؤسسات، والتي تتضمن 14 تكتيكًا يمكن للمهاجمين استخدامها لاختراق المنظمات، ومصفوفة ATT&CK الخاصة بالهواتف المحمولة، التي تحتوي على 14 تكتيكًا يمكن للمهاجمين استخدامها لاختراق التطبيقات المحمولة، ومصفوفة ATT&CK الخاصة بأنظمة التحكم الصناعية، التي تحتوي على 12 تكتيكًا تُستخدم لمهاجمة أنظمة التحكم الصناعية.

القراءة الموصى بها:UEBA (تحليل سلوك المستخدم والكيانات): الدليل الكامل.

أنواع مصفوفة MITRE

مصفوفة ATT&CK الخاصة بالمؤسسات

يوفر نموذج ATT&CK للمؤسسات نموذجًا يوضح ما يمكن أن يفعله المهاجمون السيبرانيون لاختراق الشبكات المؤسسية وتحقيق أهدافهم بمجرد دخولهم. يساعد هذا النموذج المنظمات في تحديد أولويات دفاعاتها السيبرانية والتركيز على الدفاعات التي تشكل أكبر خطر على الأعمال المحددة.

تحتوي المصفوفة على تكتيكات وتقنيات محددة يستخدمها المهاجمون لاختراق بيئات مختلفة، بما في ذلك الشبكات وأنظمة التشغيل مثل ويندوز، ماك أو إس، ولينكس، وتطبيقات SaaS مثل أوفيس 365 أو جوجل وورك سبيس، وأنظمة السحابة العامة، أو خدمات الهوية مثل أزور AD.

يوجد حاليًا 14 استراتيجية في هذه المصفوفة، كما هو موضح أدناه.

مصفوفة ATT&CK للهاتف المحمول

تصف مصفوفة ATT&CK للهواتف المحمولة الأساليب والتقنيات المستخدمة لاختراق أجهزة iOS وAndroid. ولهذا الغرض، تعتمد ATT&CK للهواتف المحمولة على كتالوج التهديدات المحمولة من NIST، الذي تم تصميمه حول خصائص الأجهزة المحمولة الحالية ونقاط ضعفها.

تشمل مجموعة ATT&CK المحمولة 12 تكتيكًا وأكثر من 100 مهارة يستخدمها المهاجمون ضد الأجهزة المحمولة. كما تسرد المصفوفة التأثيرات القائمة على الشبكة، والتكتيكات، والتقنيات التي يمكن استخدامها دون الحاجة للوصول إلى جهاز مادي.

يوجد حاليًا 14 استراتيجية في هذه المصفوفة، كما هو موضح أدناه.

مصفوفة ATT&CK لأنظمة التحكم الصناعية

هذه المصفوفة مشابهة لمصفوفة ATT&CK الخاصة بالشركات، باستثناء أنها تستهدف أنظمة التحكم الصناعية (ICS) مثل شبكات الطاقة والمصانع ومرافق التصنيع وغيرها من المنظمات. تعتمد هذه الأنظمة على الآلات والأجهزة وأجهزة الاستشعار والشبكات المتصلة.

تصف المصفوفة دورة حياة الهجوم ضد أنظمة التحكم الصناعية، وتقدم وصفًا تقنيًا مفصلًا لكل تقنية وتكتيك مستخدم في هجوم محتمل، وأهدافه، وطرق الكشف عنه، وكيفية التخفيف منه والاستجابة له.

يوجد حالياً 12 تكتيكاً في هذه المصفوفة، كما هو موضح أدناه.

مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK): التكتيكات والتقنيات

تنمو قاعدة معارف إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) بسرعة لتصبح واحدة من أكثر موارد الأمن رسوخًا واستشهادًا بها لمحترفي الأمن السيبراني. تُستخدم عادةً في مراكز العمليات الأمنية (SOC)، ومراكز الاستجابة لطوارئ الحاسب الآلي (CERT)، ومراكز تحليل المخاطر (CTI)، واختبارات الاختراق، وتُستشهد بها في العديد من منشورات التهديدات السيبرانية.

إحدى الفوائد الرئيسية لهذا الإطار هي أن المهنيين في مجال الشبكات من خلفيات مختلفة يمكنهم التواصل باستخدام لغة مشتركة مبنية على مستودع يتم تحديثه بانتظام ويتطور ليحتوي على تقنيات وتكتيكات وإجراءات (TTPs).

التكتيكات هي المكون الأكثر أهمية في إطار ATT&CK. إنها توفر الأسباب أو الأهداف الفنية وراء تقنية التهديد. هذه هي الأهداف التكتيكية لفاعل التهديد - حيث تفسر لماذا يبدأ المهاجم إجراء هجومي معين. يمكن أن تشمل التكتيكات المستخدمة من قبل المهاجمين إجراءات مثل "الاكتشاف"، "التحرك جانبياً"، "تنفيذ الملفات"، أو "الاستمرار في الشبكة."

تعتبر تقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)، المصنفة حسب التكتيكات، مجموعة محددة من العمليات التقنية التي يمكن للمهاجمين استخدامها لتحقيق أهدافهم وتحقيق الهدف الموصوف في التكتيك.

حالات استخدام مصفوفة MITRE

"مصفوفات MITRE هي قاعدة معرفية لسلوك المهاجمين، وجميع استخدامات المصفوفة تدور حول استغلال تلك المعرفة. يمكن استخدام المصفوفات للأغراض التالية:"

• اختبار الاختراق– يمكن للباحثين في الأمن السيبراني استخدام المعلومات في المصفوفة لتكرار وتفسير تقنيات الهجوم. يمكن لمختبري الاختراق بعد ذلك استخدام الأدوات المتاحة لتنفيذ تقنيات محددة وتحديد ما إذا كانت المنظمة معرضة لها.
• فريق الأمن الأحمر– يمكن لفرق الأمن استخدام المصفوفة للعثور على طرق لمهاجمة المنظمة في تمرين تدريبي. يمكن استخدام ذلك لمحاكاة الهجمات من قبل مجموعات إجرامية، واختبار الدفاعات التي تنفذها المنظمات، أو تدريب فرق أخرى على تقنيات الدفاع. كما توفر المصفوفة لغة مشتركة تضمن الفهم بين المنظمة وفريق الأمن الأحمر عند التخطيط للإجراءات التي قد تؤثر على أنظمة الإنتاج.
• الكشف عن الشذوذ وصيد التهديدات– من خلال فهم وتدوين سلوك الهجمات السابقة، أو الفاعلين، أو مجموعات المجرمين الإلكترونيين، يمكن لأدوات الأمان والخبراء الذين يستخدمونها ربط مؤشرات معينة للاختراق (IoCs) باستغلالات معروفة أو سلوك نموذجي لمهاجم معين.
• بناء تدابير دفاعية مضادة– المعرفة المكتسبة من الهجمات تتيح للفرق الأمنية نشر حلول دفاعية أكثر تطورًا لردع سلوك الهجوم المحتمل. يمكن أن تستهلك أدوات الأمان مثل جدران الحماية أو أنظمة كشف التسلل (IDS) البيانات مباشرة من مصفوفة MITRE وتستخدمها لحظر أنشطة ضارة محددة.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

بناءً على تجربتي، إليك بعض النصائح التي يمكن أن تساعدك على الاستفادة بشكل أفضل إطار عمل MITRE ATT&CK لتحسين وضعك الأمني:

تطبيق ATT&CK على تمارين محاكاة الخصم
استخدم ATT&CK لتنظيم محاكاة الخصم أو تمارين الفريق الأحمر. من خلال نمذجة سلوك الخصم، يمكنك اختبار دفاعاتك ضد أساليب الهجوم الواقعية، مما يضمن وضعًا أمنيًا استباقيًا.

ربط تقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) بأدوات الأمان الموجودة
تأكد من أن أدواتك الأمنية، مثل جدران الحماية، وأنظمة كشف التسلل، وأنظمة إدارة معلومات الأمن والأحداث (SIEMs)، متوافقة مع تقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) المحددة. يتيح لك هذا اكتشاف سلوكيات الخصم وتسجيلها والاستجابة لها طوال دورة حياة الهجوم.

استخدم ATT&CK للتواصل بين مختلف الوظائف
يوفر إطار عمل ATT&CK لغةً مشتركةً لفرق الأمن. استفد منه لمواءمة جهود الفرق الحمراء والزرقاء والمديرين التنفيذيين، مما يضمن الوضوح عند التواصل بشأن التهديدات والمخاطر أو نتائج الاختبارات.

تطوير الكشف عن التهديدات حسب حالة الاستخدام
خصص استراتيجيات الكشف عن التهديدات الخاصة بك من خلال التركيز على التقنيات والتكتيكات الأكثر صلة بناءً على مشهد التهديدات في منظمتك. على سبيل المثال، إذا كانت منظمتك مستهدفة بشكل متكرر من قبل التصيد، فقم بإعطاء الأولوية للتقنيات المتعلقة بالوصول إلى بيانات الاعتماد والوصول الأولي.

أتمتة قواعد الكشف استنادًا إلى تقنيات ATT&CK
استخدم إطار عمل ATT&CK لبناء قواعد آلية في نظام SIEM أو XDR للكشف عن أساليب هجومية محددة. على سبيل المثال، يمكنك إعداد تنبيهات لأساليب التحرك الجانبي مثل "الخدمات عن بُعد (T1021)" للكشف عن الوصول الداخلي غير المصرح به.

علاقة Exabeam مع إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)

يشارك باحثو الأمن في شركة إكسابيم في مناقشات وفعاليات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK). كما ساهموا بالعديد من التقنيات الجديدة قيد النشر، وأجرى الباحثون أبحاثًا مكثفة حول كيفية الكشف عن الشذوذ القائم على التعلم الآلي لتطبيق إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) بفعالية في ترسانة الكشف الخاصة بمحللي الأمن. ستعتمد إكسابيم إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) في منصة إدارة الأمن من إكسابيم وخدمات الأمن السحابية من إكسابيم بدءًا من عام ٢٠١٩.