اخبار بخش هک و نفوذ

اخبار بخش امنیت

آمار سایت

  • افراد آنلاین :
    1
  • بازدید روز :
    0
  • تعداد بازدید ها :
    0
  • تعداد پست ها :
    91
  • IP شما :
    3.230.76.196
  • net1
  • net3
1 2 3
image carousel by WOWSlider.com v6.7
گزارش FireEye از عملیاتی کردن CTI: استفاده از MITER ATT & CK برای بررسی و دفاع در برابر تهدیدات سایب
دوشنبه ۱۲ اسفند ۱۳۹۸
۱۲:۲۹:۳۵
نظر
(
0
)

افزایش تنش های geopolitical (وابسته به محدوده های سیاسی) بین ایالات متحده و رقبای منطقه ای موجب افزایش تهدیدات سایبری شده است و این کشور ثابت کرده که در سال های اخیر از افزایش توانایی سایبری زیادی برخوردار بوده است. FireEye گروههای سایبری زیادی را مشاهده کرده که علاقه خود را به طیف وسیعی از صنایع از جمله دفاع، دولت، انرژی، ارتباط از راه دور و خدمات مالی در ایالات متحده و خاورمیانه نشان داده اند. با توجه به وسعت اطلاعات موجود از طریق منابع آزاد و نتایج تحلیل های فعالان امنیت سایبری می توان نتیجه گرفت یکی از چالش های بزرگی که تیمهای امنیتی با آن روبرو هستند تهدیدات واقعی و موثر مهاجمان سایبری و اقداماتی است که می توانند در جهت تهدیدهای نوظهور انجام دهند.

هدف از نگارش این مقاله استفاده از چارچوب MITER ATT & CK در سازمان ها برای جلوگیری از تهدیدات سایبری (cyber threat intelligence (CTI و شناخت روش های گروههای APT و عملیات های آن ها می باشد. روش های سیستماتیک ارائه شده صرفا برای تحلیل رویه های این گروه ها (TTPs) و به کار گیری تکنیک های موثر می باشد که می تواند به سازمان ها کمک کند تا تهدیدات را کاهش داده و به شکار آن ها بپردازند.

ارزیابی  CTI

درک و منطق تهدیدات سایبری (CTI) موجب تاثیر گذاری بالقوه و کارآمدی موثر در مدیریت ریسک سایبری می شود. درک و منطق مورد بحث این امکان را به سازمان ها می دهد تا نسبت به تهدیدات سایبری آمادگی بیشتری داشته و با قدرت و انگیزه بیشتری امکان پاسخگویی سریع تر به حملات هدفمند را داشته باشند. سازمان ها با درک این فرآیند می توانند برنامه ریزی های خود را بهبود بخشیده و سرمایه گذاری های استراتژیک خود را ارتقاء دهند.

CTI  با ارائه اطلاعاتی در مورد تهدیدات سایبری که عمدتا بر سازمان ها تأثیر می گذارد، کارایی تیم های امنیتی را بهبود می بخشد و در طیف وسیعی از ظرفیتهای استراتژیک، عملیاتی و تاکتیکی زیر گسترش چشمگیری داشته است:

  • آماده سازی فعالانه برای تهدیدهای واقعی و نوظهور
  • اولویت بندی وصله آسیب پذیریهای شناخته شده و گزارش نشده
  • فراهم آوردن اطلاعات و تحلیل در مورد تصمیم گیرندگان و ذینفعان
  • تهدیدات معتبر و شکار مهاجمان در یک محیط سازمانی

منطق عملیاتی: عملیات شکار تهدیدات

اصطلاح شکار تهدید را می توان برای طیف وسیعی از روشهای تحلیلی-امنیتی تفسیر کرد:

  • تجزیه و تحلیل مبتنی بر تناوب: شامل در نظر گرفتن تعداد و نوع رویداد در یک محیط سازمانی و شیوع جهانی آن می باشد
  • تجزیه و تحلیل مبتنی بر آنومالی(ناهنجاری): شامل شناسایی آنومالی ها پس از پایه گذاری و وایت لیست کردن محیط مشتری
  • تجزیه و تحلیل مبتنی بر TTP: روش و جنبه های رفتاری (TTP) فعالیت های مهاجم را در نظر می گیرد
  •  تجزیه و تحلیل مبتنی بر منطق اطلاعاتی: از داده های IOC مهاجم و موارد بدافزاری استفاده می کند

MITRE ATT&CK

 در سالهای اخیر یکی از ابزاریی که به طور فزاینده در جامعه امنیتی رایج شد، فریم ورک ATT و CK MITRE است. MITER یک سازمان غیر انتفاعی مستقل و دانش بنیادی در سطح جهانی است که با تاکتیک ها و تکنیک های مختلف و چارچوبی که ایجاد کرده، به عنوان پایه و اساس توسعه مدل ها و روش های خاص تهدید برای سازمان های بخش خصوصی و دولتی شناخته می شود.

تهدیدات سایبری ایران:

موارد استفاده زیر شامل جزئیات گام هایی است که تحلیلگران امنیتی می توانند جهت عملیاتی کردن CTI و همچنین برای تکمیل شکار تهدیدات با استفاده از فریم ورک ATT و CK انجام دهند.

1. یک پروفایل تهدید سازمانی و نقشه Risk Heat ایجاد کنید.

در گام اول، تحلیلگران امنیتی می توانند با بررسی علائم و تحرکات فعلی تهدیدات سایبری، درک انگیزه ها و روش های شناخته شده مهاجمان را شناسایی و اولویت بندی کنند. تحلیلگران باید فرایندهای داخلی سازمان خود “crown jewels” مانند داده های بسیار حساس و سوابق موارد قبلی را عمیقا درک کرده و مهاجمان را در یک Risk Heat قرار دهند تا مشخص شود که بزرگترین و محتملترین تهدیدات چیست.

شکل 1 : Risk Heat Map

2. از فریم ورک MITER ATT & CK برای Map کردن TTP های مهاجمان استفاده کنید.

هنگامی که تحلیلگران امنیتی تهدیدها را شناسایی و اولویت بندی کردند، می توانند TTP heat map را تهیه کنند. این فرایند را می توان با استفاده از فریم ورک MITER ATT & CK  انجام داد. نقشه برداری از گروه های تهدید چندگانه و هکرهای شناخته شده  موجب می شود تا با استفاده از این فریم ورک، تحلیلگران امنیتی قادر به تجسم و تشخیص  TTP های مهاجمان شوند و به متمرکز کردن تلاش آنها کمک زیادی میکند.

نکته مهم در این گام، اولویت بندی مهاجمان برای شکار تهدیدات است.

در مثال (شکل 2) heat map تهدید

گروه هکرهای ایرانی ردیابی شده توسط FireEye مانند APT33 ، APT34 ، APT35 ، APT39 ، TEMP.Zagros و Temp.Omega در یک heat map قرار گرفته است. TTP ها در مقیاس 1 تا 6 کدگذاری شده اند به این ترتیب که “1” TTP (قرمز روشن) توسط یک گروه هکر و “6” (قرمز) استفاده می شود. TTP های مشترک باید در هنگام شکار اولویت بیشتری داشته باشند.

شکل 2: گروه APT & TEMP ، MITER ATT & CK Navigator

3. از فریم ورک MITER ATT & CK برای شناسایی نقشه ها و کنترل های امنیتی استفاده کنید

تحلیلگران امنیتی می توانند تشخیص و کاهش مخاطرات را با ابزارهای امنیتی شناسایی و فهرست بندی کرده و آنها را در یک فریم ورک MITER مپ (mapp) کنند. این فرآیند به شناسایی شکافها در تشخیص و کاهش کمک می کند. گرچه این روند می تواند تکراری هم باشد با این حال تحلیلگران امنیتی می توانند از این فرآیند برای کشف موانع شکار  تهدیدات استفاده کرده و ورودی اسناد کاربران، مدیران سیستم و سایر ذینفعان اصلی را رکورد کنند.

با ارجاع متقابل TTPs های شناخته شده مهاجمان سایبری به شکاف های شناخته شده در کنترل های امنیتی می توان دید که یک شبکه چقدر در معرض حملات احتمالی آسیب پذیر است و تحلیلگران این امکان را بدست می آورند که تلاش های شکار تهدیدات سایبری را در اولویت قرار دهند.

در مثال شکل 3 ، شش گروه هکر در برابر اقدامات کاهش دهنده شناسایی شده اند تا heat map سازمانی را تشکیل دهند. موارد موجود در محدوده RED حاکی از TTPs شناخته شده هکر است که در آن سازمان فاقد اقدامات کاهش دهنده یا شناسایی است. رنگ سبز نشانگر TTPs است که در آن هر دو اقدام کاهش دهنده و شناسایی وجود دارد.

شکل 3: نقشه  سازمانی MITER ATT & CK Navigator

4. TTPs ها را در اولویت قرار دهید

روش های مختلفی برای اولویت بندی شکار تهدیدات سایبری بر اساس heat maps اجماع شده وجود دارد. شکارچیان تهدیدات می توانند بر اساس سطوح تهدید درک شده گروه های مختلف تهدید را به شناسایی کنند. آنها می توانند به جستجوی تنگناها در TTPs بپردازند (به عنوان مثال: lateral movement یک تاکتیک کلیدی است که تقریباً در همه تلاشهای سوءاستفاده هکرها متداول است). هدف از موارد ذکر شده، اجرای شكار تهدیدات در محدوده هایی است كه میزان دید آنها بسیار زیاد، كارآمد و مؤثر است و احتمال ابتلا به سوء استفاده در آنها بسیار بالا می باشد. شکارچیان تهدید باید نقشه راه شکار را با برنامه ریزی ایجاد کنند تا از رویکردی منظم در مناطق کلیدی غافل نشوند. 

شکل 4: TTP های APT33 ، MITER ATT & CK

5. بهبودهای کنترل امنیتی را در اولویت قرار دهید

همزمان با فرآیندهای دیگر، مدیران سیستم می توانند شکاف های کنترل امنیتی شناسایی شده را آغاز کنند. مشارکت ذینفعان کلیدی در سازمان برای برنامه ریزی و اطمینان از اجرای این پیشرفت ها (شناسایی و کاهش) ضروری است. این نه تنها نتیجه شکارهای فردی بلکه وضعیت امنیتی کلی سازمان را بهبود می بخشد.

6. استفاده از مخزن (Cyber Analytics (CAR (در صورت لزوم)

تحلیلگران امنیتی می توانند شکارتهدیدات را طبق نقشه راه تعیین شده اجرا كنند.  آنها به ناچار با پروسه ها، پرونده ها و سایر رویدادهای غیر منتظره و ناشناخته شبکه روبرو می شوند.

مخزن تجزیه و تحلیل سایبری یک پایگاه داده گسترده است که توسط MITER نگهداری می شود و روش های تشخیص مبتنی بر تحلیلی را تشریح می کند. ما توصیه می کنیم تلاش های شکار و playbook ها را با این ابزار مفید تکمیل کنید.

شکل 5: مخزن تحلیلی سایبری، MITER

7. پس از هرگونه اقدام، گزارشات را ارائه داده و کلیه Heat Maps را به روز کنید

پس از نتیجه گیری و اقدامات متقابل بر روی  شکار تهدیدات، تحلیلگران امنیتی می توانند گزارشات خود را در مورد نتایج، یافته ها، roadblocks (اعم از ابزار یا مبتنی بر فرآیند) و سؤالات مربوطه ارائه دهند. این گزارشات می تواند منجر به شکار تهدیدات اضافی یا تغییراتی در چشم انداز سایبری در سطح تاکتیکی، عملیاتی یا استراتژیک شود. هر نوع شکار تازه شناسایی شده در این فرآیند می تواند براساس سطح اولویت در نقشه راه موجود باشد. همچنین می توان بر اساس یافته های مربوطه ، کتاب های Playbook را به روز کرد.

تحلیلگران امنیتی می توانند براساس نتایج شکار، هوش جدید، گزارش آسیب پذیری و تغییرات معماری شبکه، تمام Heat Map ها را به طور مداوم به روز کنند. این نقشه ها می توانند در ابتدای هر چرخه شکار تهدیدات جدید مورد بررسی قرار گیرند تا مشخص شود آیا باید اولویت های شکار تغییر کند یا خیر.

 

منبع
irancyber

دیدگاه ها

.هیچ دیدگاهی یافت نشد
شما هم می توانید درمورد این پست نظر دهید.

Security & privacy

Security Monitoring

Application Security

Database Security

Top