تخطي إلى المحتوى

Exabeam توسع ذكاء السلوك لتأمين المؤسسة الوكيلة —اقرأ الأخبار

ما هي TTPs وكيف يمكن أن يساعد فهمها في منع الحادثة التالية؟

  • 7 minutes to read

فهرس المحتويات

    ما هي التكتيكات، التقنيات، والإجراءات (TTPs)؟

    يمكن أن يساعد تحليل TTP فرق الأمن في الكشف عن الهجمات والتخفيف منها من خلال فهم طريقة عمل المهاجمين. أدناه نحدد العناصر الثلاثة لـ TTPs: التكتيكات، التقنيات، والإجراءات.

    تكتيكات

    بشكل عام، التكتيكات هي أنواع من الأنشطة التي يستخدمها المجرمون الإلكترونيون لتنفيذ هجوم. على سبيل المثال، الحصول على وصول غير مصرح به إلى بيانات حساسة، أو القيام بتحرك جانبي داخل شبكة، أو اختراق موقع ويب.

    تقنيات

    المهارات هي طرق عامة يستخدمها المهاجمون لتحقيق أهدافهم. على سبيل المثال، إذا كان الهدف هو اختراق موقع ويب، فقد تكون التقنية هي حقن SQL. يمكن أن يتضمن كل تكتيك عدة تقنيات.

    إجراءات

    الإجراء هو سلسلة محددة من الخطوات التي يمكن أن يستخدمها المجرمون الإلكترونيون لتنفيذ هجوم. على سبيل المثال، قد يتضمن إجراء حقن SQL مسح الموقع المستهدف بحثًا عن الثغرات، وكتابة استعلام SQL يتضمن كودًا خبيثًا، وتقديمه إلى نموذج غير مؤمن على الموقع للسيطرة على الخادم.

    حول هذا Explainer:

    هذا المحتوى هو جزء من سلسلة حول الأمن السيبراني.


    كيف يمكنك استخدام تحليل TTPs للدفاع ضد الجرائم الإلكترونية؟

    فهم التركيبات المختلفة من أساليب التهديد والتكتيكات (TTPs) هو وسيلة رائعة للتعامل مع الجرائم الإلكترونية. فقط اتبع التعليمات المفصلة المتاحة من عدة هيئات بحثية، والتي يمكن أن تساعدك في وضع استجابة تعتمد على الإجراءات الآلية والتحقق البشري.

    على سبيل المثال، تساعد مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ® فرق الأمن السيبراني على تحديد ومعالجة التكتيكات والأساليب والتقنيات التي يواجهونها. تُحدد هذه المصفوفة كيفية مراقبة موظفي الأمن لنشاط أنظمة تكنولوجيا المعلومات باستمرار، واكتشاف السلوك غير الطبيعي المرتبط بتكتيكات وأساليب وتقنيات معروفة، وإيقافه قبل أن يتحول إلى هجوم شامل. يمكن أن تكون مصفوفة إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مفيدة في الكشف عن عمليات الاختراق الفعلية، وتحديد الجهات الفاعلة في مراحل التخطيط أو الاستطلاع للهجوم.

    هناك مبادرات أخرى يمكن أن تساعد في التعامل مع تقنيات وأساليب جديدة.

    • مشروع أمان تطبيقات الويب المفتوح (OWASP)– يوفر أبحاثًا مفتوحة حول الثغرات الشائعة التي تؤثر على تطبيقات الويب، وأفضل الممارسات لمعالجتها.
    • تحالف التهديدات السيبرانية (CTA)– اتفاق بين عدد كبير من الشركات التي تشارك معرفتها في مجال الأمن السيبراني لخلق بيئة أكثر أمانًا للجميع.

    في الوقت نفسه، يمكن أن تكمل تقنيات مثل تحليل سلوك المستخدم والكيانات (UEBA) واستخبارات التهديدات البيانات من هذه الهيئات البحثية. يمكنك الاستفادة من التحليل السلوكي لتحديد السلوكيات الشاذة، وتوفر معلومات التهديدات عددًا كبيرًا من أنماط الهجوم المعروفة وفاعلي التهديد، والتي يمكن استخدامها لتحديد الأساليب والتقنيات في حركة مرور الشبكة.

    تعتبر TTPs في الأساس "أنشطة قرصنة"، وبالتالي فإن UEBA، الذي ينظر إلى الأنشطة من خلال عدسة السلوك الطبيعي، هو تكملة طبيعية.

    بينما يواصل المجرمون الإلكترونيون تحديث أساليبهم وتقنياتهم وابتكار أساليب جديدة، يجب على حلول الأمان اكتشاف هذه التقنيات الجديدة والتكيف معها بسرعة. تعتبر البيانات المتعلقة بالأساليب والتقنيات ضرورية للنشاط اليومي في مركز العمليات الأمنية (SOC)، مما يساعد محللي الأمان على البقاء خطوة واحدة أمام المهاجمين.


    من يستخدم TTPs؟

    تُستخدم تقنيات TTPs من قبل كل من المهاجمين والمدافعين في مجال الأمن السيبراني.

    المهاجمون (الذين يتراوحون بين القراصنة المنفردين إلى مجموعات التهديد المنظمة) يقومون بتطوير وإعادة استخدام تقنيات وأساليب (TTPs) لتنفيذ هجمات ناجحة بشكل موثوق. غالبًا ما تتطور هذه الأساليب مع مرور الوقت، ولكن الأنماط الأساسية تُستخدم عبر الحملات. على سبيل المثال، قد تعتمد مجموعات التهديد المتقدمة (APT) على تركيبات محددة من الصيد بالرمح (تقنية)، وتفريغ بيانات الاعتماد (تقنية)، وآليات الاستمرارية (إجراءات) مصممة خصيصًا لأهدافها.

    يستخدم المدافعون تحليل أساليب وتقنيات وإجراءات التهديدات للتعرف على التهديدات ونسبتها ومواجهتها. ويعتمد محللو الأمن، وخبراء البحث عن التهديدات، وفرق الاستجابة للحوادث على أطر عمل مثل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) لتصنيف أساليب وتقنيات وإجراءات التهديدات التي يتم رصدها في الواقع العملي ومطابقتها مع الجهات الفاعلة المعروفة في مجال التهديدات. كما تقوم وكالات إنفاذ القانون والاستخبارات بتتبع أساليب وتقنيات وإجراءات التهديدات لفهم سلوك منظمات الجرائم الإلكترونية وتحديد مصدرها.

    تعتبر TTPs ذات قيمة خاصة في استخبارات التهديدات وهندسة الكشف. فهي تساعد الفرق الزرقاء في تحديد أولويات الدفاعات بناءً على أنماط السلوك الملاحظة بدلاً من المؤشرات الثابتة، مما يسهل اكتشاف المتغيرات غير المعروفة للتهديدات المعروفة.

    يرجى مراجعة تحديث المحتوى لمقالتين حول TTPs وIOCs بحلول التاريخ المحدد.

    تُستخدم TTPs ومؤشرات الاختراق (IOCs) لكشف وتحليل التهديدات السيبرانية، لكنهما يركزان على جوانب مختلفة من الهجوم.

    مؤشرات الاختراق هي قطع أثرية محددة تشير إلى احتمال حدوث خرق. تشمل هذه عناوين IP، وهاشات الملفات، وأسماء النطاقات، أو مفاتيح التسجيل المرتبطة بأنشطة ضارة معروفة. من السهل استخدامها في أنظمة الكشف الآلي، لكنها أيضًا سهلة التغيير من قبل المهاجمين. بمجرد تحديد IOC وحظره، يمكن للمهاجمين غالبًا استبداله بآخر جديد.

    TTPs تصف كيفية تنفيذ الهجوم بدلاً من ما تتركه من آثار. إنها تلتقط أنماط السلوك، مثل طرق تصعيد الامتيازات أو تقنيات الحركة الجانبية. لأن السلوكيات أصعب في التغيير من المؤشرات الفردية، فإن TTPs توفر رؤى أكثر ديمومة حول نشاط المهاجم.

    مؤشرات الاختراق (IOCs) مفيدة للكشف السريع والاستجابة، بينما تعتبر تقنيات التكتيك والتقنية والإجراءات (TTPs) أفضل للدفاع على المدى الطويل وصيد التهديدات. غالبًا ما تستخدم الفرق الأمنية كلاهما معًا: مؤشرات الاختراق لتحديد التهديدات المعروفة، وتقنيات TTPs لاكتشاف الهجمات الجديدة أو المتطورة التي تعيد استخدام طرق مألوفة.

    كشف تقنيات وأساليب التهديد باستخدام التحليلات السلوكية

    يساعد تحليل TTP المحللين على فهم كيفية حدوث الهجوم. ومع ذلك، قد يكون من الصعب تحديد ما إذا كانت الأدلة الرقمية التي تتطابق مع TTP ناتجة حقًا عن نشاط خبيث، أو أنها مجرد عملية طبيعية يقوم بها المستخدمون على الشبكة.

    على سبيل المثال، يدرك المحللون جيدًا كيف يمكن للمهاجمين استخدام إنشاء الحسابات، ونشاط مشاركة الشاشة، والوصول عن بُعد بشكل ضار. ومع ذلك، فإن هذه مهام روتينية تقوم بها أقسام تكنولوجيا المعلومات في الشركات كل يوم، بنية مشروعة.

    يجب أن تكون الأدوات المتاحة لمحللي مركز العمليات الأمنية (SOC) جيدة بما يكفي لتمييز بين إنشاء حسابات عادية وإنشاء حسابات خبيثة - ورفع تنبيه فقط إذا بدا أن النشاط خبيث. خلاف ذلك، سيؤدي الحل إلى إنشاء عدد كبير من الإيجابيات الكاذبة ويثقل كاهل فرق الأمن.

    تستخدم التحليلات السلوكية التعلم الآلي لمراقبة وفهم سلوك جميع المستخدمين والأصول. إنها تؤسس خطًا أساسيًا سلوكيًا، وتحدد الانحرافات عن النشاط المعتاد، للكشف بدقة عن الأنماط الضارة.

    مثال على التحليل السلوكي المستخدم لتحديد الأنماط والتكتيكات والإجراءات (TTPs)

    تقدم Exabeam منصةً متطورةً لإدارة معلومات وأحداث الأمن (SIEM)، تتضمن قدرات تحليل سلوك المستخدم والكيان (UEBA). يستخدم تحليل سلوك المستخدم والكيان (UEBA) من Exabeam إجراءات وتقنيات وأساليب الحماية المحددة في إطار عمل MITRE ATT&CK لتحديد الأنشطة التي قد تشير إلى هجوم، كما أنه قادر على التمييز بين السلوكيات الطبيعية والشاذة، مما يُسهّل على محللي الأمن اكتشاف التهديدات.

    اعتبر مهاجمًا يقوم بتسجيل الدخول إلى خدمة مصممة للسماح بالاتصالات عن بُعد، مثل Telnet وSSH وVNC. عادةً ما يستخدم المهاجمون هذه الوسيلة لاختراق الشبكة، ثم ينتقلون بشكل جانبي لمهاجمة الأصول ذات القيمة العالية.

    هذه الطريقة هي بروتوكول TTP مُعرّف في إطار عمل MITRE ATT&CK باسم "الخدمات عن بُعد". تستخدم أدوات SOC الحالية قواعد ارتباط ثابتة للكشف عن بروتوكول TTP. لا تستطيع قاعدة الارتباط الثابتة تحديد ظروف التشغيل العادية التي قد ترتبط باتصال عن بُعد، وبالتالي، لا يمكن لأي اتصالات عن بُعد يتم تشغيلها بواسطة القاعدة.

    نتيجةً لذلك، قد تُولّد هذه القاعدة عددًا كبيرًا من النتائج الإيجابية الخاطئة، مما يدفع المحللين إلى تجاهل التنبيهات الصادرة عنها. مع ذلك، فإن دمج معلومات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) مع تحليل سلوك المستخدم يُمكّن المحللين من التركيز على السلوكيات الشاذة التي تظهر في بيئتهم، والتي يُرجّح أن تُمثّل تهديدات حقيقية.


    تحديات استخدام تقنيات TTPs

    سلوك المهاجمين المتطور باستمرار

    يعدل المهاجمون تقنياتهم وإجراءاتهم بشكل متكرر لتجاوز الكشف. حتى لو بقي التكتيك كما هو، يمكن أن يتغير التنفيذ الأساسي، مما يجعل من الصعب الاعتماد على قواعد الكشف الثابتة. على سبيل المثال، قد تغير حملة التصيد طرق التسليم أو تنسيقات الحمولة مع الاستمرار في استهداف سرقة بيانات الاعتماد.

    هذا يجبر فرق الأمان على الابتعاد عن الكشف القائم على التوقيع والاستثمار في المراقبة القائمة على السلوك. ومع ذلك، فإن بناء وصيانة هذه الأنظمة يتطلب جهدًا مستمرًا، وتحديثات لمعلومات التهديدات، والتحقق المنتظم من الأنماط الجديدة للهجمات. بدون ضبط مستمر، تصبح أنظمة الكشف قديمة بسرعة.

    صعوبة النسبة

    ليس من السهل دائمًا ربط أساليب وتقنيات الهجوم المرصودة بجهة تهديد محددة. فقد تستخدم مجموعات مختلفة أساليب متشابهة، بل إن بعضها يقلد عمدًا جهات معروفة لتضليل المحققين. وتُعدّ أساليب وتقنيات الهجوم الموثقة علنًا، كتلك الموجودة في إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)، متاحة لكل من المدافعين والمهاجمين، مما يزيد من هذا التداخل.

    غالبًا ما يتطلب النسب دمج تحليل TTP مع مصادر بيانات أخرى، مثل أنماط البنية التحتية، وتوقيعات البرمجيات الخبيثة، والسياق الجيوسياسي. حتى في هذه الحالة، قد تظل الاستنتاجات احتمالية بدلاً من أن تكون حاسمة. يمكن أن تعقد هذه الحالة قرارات الاستجابة والتخطيط الدفاعي على المدى الطويل.

    إيجابيات خاطئة

    يعتمد الكشف القائم على TTP غالبًا على تحديد أنماط السلوك، والتي يمكن أن تتداخل مع الأنشطة المشروعة. على سبيل المثال، تُستخدم أدوات الإدارة مثل PowerShell أو بروتوكولات سطح المكتب البعيد بشكل شائع في كل من العمليات العادية والهجمات. وهذا يجعل من الصعب التمييز بين النية الخبيثة والمهام الروتينية.

    يتطلب تقليل الإيجابيات الكاذبة سياقًا قويًا، مثل أدوار المستخدمين، وحساسية الأصول، والسلوك الأساسي. كما يعتمد على قواعد كشف مضبوطة بشكل جيد وارتباط عبر إشارات متعددة. بدون ذلك، قد يواجه المحللون تعب التنبيهات، حيث يجعل حجم التنبيهات غير الضارة من الصعب تحديد التهديدات الحقيقية في الوقت المناسب.

    حل متكامل لنظام إدارة معلومات الأمان وتحليل سلوك المستخدم

    يتطلب تحديد والدفاع ضد تقنيات التهديد (TTPs) الموجودة على شبكتك جمع البيانات من جميع أنحاء المؤسسة، وإخضاعها لتحليل سلوكي، مما يمكن من اكتشاف الشذوذ مقارنة بالسلوك الطبيعي للأنظمة وحسابات المستخدمين.

    يمكن تحقيق ذلك من خلال حل متكامل لنظام إدارة معلومات الأمان (SIEM) وتحليل سلوك المستخدم (UEBA). تم نشر عدة أنظمة في الميدان تجمع بين اتساع البيانات في نظام SIEM والتحليلات العميقة التي تتيحها محركات UEBA المتطورة.

    مثال واحد على نظام متكامل هو منصة Exabeam SOC. Exabeam هو حل SIEM كامل يعتمد على تقنية بحيرة البيانات الحديثة. بالإضافة إلى ذلك، فإنه يوفر القدرات التالية لـ UEBA:

    • الكشف عن الحوادث بناءً على تحليلات السلوك– تستخدم Exabeam تحليلات متقدمة لتحديد الأنشطة غير الطبيعية والمخاطرة دون الحاجة إلى قواعد ارتباط محددة مسبقًا أو أنماط تهديد. يوفر تنبيهات ذات مغزى دون الحاجة إلى إعداد معقد وضبط دقيق، ومع تقليل الإيجابيات الكاذبة.
    • إنشاء جدول زمني تلقائي لحوادث الأمان– تقوم Exabeam بتجميع الأحداث الأمنية ذات الصلة في جدول زمني يظهر حادثة أمان، تمتد عبر عدة مستخدمين وعناوين IP وأنظمة تكنولوجيا المعلومات.
    • تجميع الأقران الديناميكي– لا يقوم Exabeam فقط بإجراء تحليل سلوكي للكيانات الفردية، بل يقوم أيضًا بتجميع الكيانات المتشابهة ديناميكيًا (مثل المستخدمين من نفس القسم، أو أجهزة إنترنت الأشياء من نفس الفئة)، لتحليل السلوك الجماعي العادي عبر المجموعة بأكملها واكتشاف الأفراد الذين يظهرون سلوكًا محفوفًا بالمخاطر.
    • كشف الحركة الجانبية– يكشف Exabeam عن المهاجمين أثناء تحركهم عبر الشبكة باستخدام عناوين IP مختلفة وبيانات اعتماد وآلات، بحثًا عن بيانات حساسة أو أصول رئيسية. يربط البيانات من مصادر متعددة لربط النقاط ورؤية رحلة المهاجم عبر الشبكة.

    اطلع على أدلة إضافية حول مواضيع الأمن السيبراني الرئيسية.

    بالاشتراك مع شركائنا في المحتوى، قمنا بتأليف أدلة شاملة حول عدة مواضيع يمكن أن تكون مفيدة أيضًا أثناء استكشافك لعالم.الأمن السيبراني.

    تحليل سلوك المستخدمين والكيانات

    من تأليف Exabeam

    ما هو التصيد الاحتيالي؟

    من تأليف Exabeam

    نسخ احتياطي S3

    كتب بواسطة N2WS

    تعلم المزيد عن إكزابييم

    تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.