ما هي TTPs وكيف يمكن أن يساعد فهمها في منع الحادثة التالية؟

ما هي التكتيكات، التقنيات، والإجراءات (TTPs)؟

يمكن أن يساعد تحليل TTP فرق الأمن في الكشف عن الهجمات والتخفيف منها من خلال فهم طريقة عمل المهاجمين. أدناه نحدد العناصر الثلاثة لـ TTPs: التكتيكات، التقنيات، والإجراءات.

تكتيكات

بشكل عام، التكتيكات هي أنواع من الأنشطة التي يستخدمها المجرمون الإلكترونيون لتنفيذ هجوم. على سبيل المثال، الحصول على وصول غير مصرح به إلى بيانات حساسة، أو القيام بتحرك جانبي داخل شبكة، أو اختراق موقع ويب.

تقنيات

المهارات هي طرق عامة يستخدمها المهاجمون لتحقيق أهدافهم. على سبيل المثال، إذا كان الهدف هو اختراق موقع ويب، فقد تكون التقنية هي حقن SQL. يمكن أن يتضمن كل تكتيك عدة تقنيات.

إجراءات

الإجراء هو سلسلة محددة من الخطوات التي يمكن أن يستخدمها المجرمون الإلكترونيون لتنفيذ هجوم. على سبيل المثال، قد يتضمن إجراء حقن SQL مسح الموقع المستهدف بحثًا عن الثغرات، وكتابة استعلام SQL يتضمن كودًا خبيثًا، وتقديمه إلى نموذج غير مؤمن على الموقع للسيطرة على الخادم.

كيف يمكنك استخدام تحليل TTPs للدفاع ضد الجرائم الإلكترونية؟

فهم التركيبات المختلفة من أساليب التهديد والتكتيكات (TTPs) هو وسيلة رائعة للتعامل مع الجرائم الإلكترونية. فقط اتبع التعليمات المفصلة المتاحة من عدة هيئات بحثية، والتي يمكن أن تساعدك في وضع استجابة تعتمد على الإجراءات الآلية والتحقق البشري.

على سبيل المثال، تساعد مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ® فرق الأمن السيبراني على تحديد ومعالجة التكتيكات والأساليب والتقنيات التي يواجهونها. تُحدد هذه المصفوفة كيفية مراقبة موظفي الأمن لنشاط أنظمة تكنولوجيا المعلومات باستمرار، واكتشاف السلوك غير الطبيعي المرتبط بتكتيكات وأساليب وتقنيات معروفة، وإيقافه قبل أن يتحول إلى هجوم شامل. يمكن أن تكون مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مفيدة في الكشف عن عمليات الاختراق الفعلية، وتحديد الجهات الفاعلة في مراحل التخطيط أو الاستطلاع للهجوم.

هناك مبادرات أخرى يمكن أن تساعد في التعامل مع تقنيات وأساليب جديدة.

• مشروع أمان تطبيقات الويب المفتوح (OWASP)– يوفر أبحاثًا مفتوحة حول الثغرات الشائعة التي تؤثر على تطبيقات الويب، وأفضل الممارسات لمعالجتها.
• تحالف التهديدات السيبرانية (CTA)– اتفاق بين عدد كبير من الشركات التي تشارك معرفتها في مجال الأمن السيبراني لخلق بيئة أكثر أمانًا للجميع.

في الوقت نفسه، يمكن أن تكمل تقنيات مثل تحليل سلوك المستخدم والكيانات (UEBA) واستخبارات التهديدات البيانات من هذه الهيئات البحثية. يمكنك الاستفادة من التحليل السلوكي لتحديد السلوكيات الشاذة، وتوفر معلومات التهديدات عددًا كبيرًا من أنماط الهجوم المعروفة وفاعلي التهديد، والتي يمكن استخدامها لتحديد الأساليب والتقنيات في حركة مرور الشبكة.

تعتبر TTPs في الأساس "أنشطة قرصنة"، وبالتالي فإن UEBA، الذي ينظر إلى الأنشطة من خلال عدسة السلوك الطبيعي، هو تكملة طبيعية.

بينما يواصل المجرمون الإلكترونيون تحديث أساليبهم وتقنياتهم وابتكار أساليب جديدة، يجب على حلول الأمان اكتشاف هذه التقنيات الجديدة والتكيف معها بسرعة. تعتبر البيانات المتعلقة بالأساليب والتقنيات ضرورية للنشاط اليومي في مركز العمليات الأمنية (SOC)، مما يساعد محللي الأمان على البقاء خطوة واحدة أمام المهاجمين.

كشف تقنيات وأساليب التهديد باستخدام التحليلات السلوكية

يساعد تحليل TTP المحللين على فهم كيفية حدوث الهجوم. ومع ذلك، قد يكون من الصعب تحديد ما إذا كانت الأدلة الرقمية التي تتطابق مع TTP ناتجة حقًا عن نشاط خبيث، أو أنها مجرد عملية طبيعية يقوم بها المستخدمون على الشبكة.

على سبيل المثال، يدرك المحللون جيدًا كيف يمكن للمهاجمين استخدام إنشاء الحسابات، ونشاط مشاركة الشاشة، والوصول عن بُعد بشكل ضار. ومع ذلك، فإن هذه مهام روتينية تقوم بها أقسام تكنولوجيا المعلومات في الشركات كل يوم، بنية مشروعة.

يجب أن تكون الأدوات المتاحة لمحللي مركز العمليات الأمنية (SOC) جيدة بما يكفي لتمييز بين إنشاء حسابات عادية وإنشاء حسابات خبيثة - ورفع تنبيه فقط إذا بدا أن النشاط خبيث. خلاف ذلك، سيؤدي الحل إلى إنشاء عدد كبير من الإيجابيات الكاذبة ويثقل كاهل فرق الأمن.

تستخدم التحليلات السلوكية التعلم الآلي لمراقبة وفهم سلوك جميع المستخدمين والأصول. إنها تؤسس خطًا أساسيًا سلوكيًا، وتحدد الانحرافات عن النشاط المعتاد، للكشف بدقة عن الأنماط الضارة.

مثال على التحليل السلوكي المستخدم لتحديد الأنماط والتكتيكات والإجراءات (TTPs)

تقدم Exabeam منصةً متطورةً لإدارة معلومات وأحداث الأمن (SIEM)، تتضمن قدرات تحليل سلوك المستخدم والكيان (UEBA). يستخدم تحليل سلوك المستخدم والكيان (UEBA) من Exabeam إجراءات وتقنيات وأساليب الحماية المحددة في إطار عمل MITRE ATT&CK لتحديد الأنشطة التي قد تشير إلى هجوم، كما أنه قادر على التمييز بين السلوكيات الطبيعية والشاذة، مما يُسهّل على محللي الأمن اكتشاف التهديدات.

اعتبر مهاجمًا يقوم بتسجيل الدخول إلى خدمة مصممة للسماح بالاتصالات عن بُعد، مثل Telnet وSSH وVNC. عادةً ما يستخدم المهاجمون هذه الوسيلة لاختراق الشبكة، ثم ينتقلون بشكل جانبي لمهاجمة الأصول ذات القيمة العالية.

هذه الطريقة هي بروتوكول TTP مُعرّف في إطار عمل MITRE ATT&CK باسم "الخدمات عن بُعد". تستخدم أدوات SOC الحالية قواعد ارتباط ثابتة للكشف عن بروتوكول TTP. لا تستطيع قاعدة الارتباط الثابتة تحديد ظروف التشغيل العادية التي قد ترتبط باتصال عن بُعد، وبالتالي، لا يمكن لأي اتصالات عن بُعد يتم تشغيلها بواسطة القاعدة.

نتيجةً لذلك، قد تُولّد هذه القاعدة عددًا كبيرًا من النتائج الإيجابية الخاطئة، مما يدفع المحللين إلى تجاهل التنبيهات الصادرة عنها. مع ذلك، فإن دمج معلومات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مع تحليل سلوك المستخدم يُمكّن المحللين من التركيز على السلوكيات الشاذة التي تظهر في بيئتهم، والتي يُرجّح أن تُمثّل تهديدات حقيقية.

حل متكامل لنظام إدارة معلومات الأمان وتحليل سلوك المستخدم

يتطلب تحديد والدفاع ضد تقنيات التهديد (TTPs) الموجودة على شبكتك جمع البيانات من جميع أنحاء المؤسسة، وإخضاعها لتحليل سلوكي، مما يمكن من اكتشاف الشذوذ مقارنة بالسلوك الطبيعي للأنظمة وحسابات المستخدمين.

يمكن تحقيق ذلك من خلال حل متكامل لنظام إدارة معلومات الأمان (SIEM) وتحليل سلوك المستخدم (UEBA). تم نشر عدة أنظمة في الميدان تجمع بين اتساع البيانات في نظام SIEM والتحليلات العميقة التي تتيحها محركات UEBA المتطورة.

مثال واحد على نظام متكامل هو منصة Exabeam SOC. Exabeam هو حل SIEM كامل يعتمد على تقنية بحيرة البيانات الحديثة. بالإضافة إلى ذلك، فإنه يوفر القدرات التالية لـ UEBA:

• الكشف عن الحوادث بناءً على تحليلات السلوك– تستخدم Exabeam تحليلات متقدمة لتحديد الأنشطة غير الطبيعية والمخاطرة دون الحاجة إلى قواعد ارتباط محددة مسبقًا أو أنماط تهديد. يوفر تنبيهات ذات مغزى دون الحاجة إلى إعداد معقد وضبط دقيق، ومع تقليل الإيجابيات الكاذبة.
• إنشاء جدول زمني تلقائي لحوادث الأمان– تقوم Exabeam بتجميع الأحداث الأمنية ذات الصلة في جدول زمني يظهر حادثة أمان، تمتد عبر عدة مستخدمين وعناوين IP وأنظمة تكنولوجيا المعلومات.
• تجميع الأقران الديناميكي– لا يقوم Exabeam فقط بإجراء تحليل سلوكي للكيانات الفردية، بل يقوم أيضًا بتجميع الكيانات المتشابهة ديناميكيًا (مثل المستخدمين من نفس القسم، أو أجهزة إنترنت الأشياء من نفس الفئة)، لتحليل السلوك الجماعي العادي عبر المجموعة بأكملها واكتشاف الأفراد الذين يظهرون سلوكًا محفوفًا بالمخاطر.
• كشف الحركة الجانبية– يكشف Exabeam عن المهاجمين أثناء تحركهم عبر الشبكة باستخدام عناوين IP مختلفة وبيانات اعتماد وآلات، بحثًا عن بيانات حساسة أو أصول رئيسية. يربط البيانات من مصادر متعددة لربط النقاط ورؤية رحلة المهاجم عبر الشبكة.