TTP چیست؟ تاکتیکها، تکنیکها و رویهها در امنیت سایبری

TTP مخفف Tactics, Techniques, and Procedures به معنی تاکتیکها، تکنیکها و رویهها است. این اصطلاح در حوزه امنیت سایبری برای توصیف روشها و ابزارهایی که توسط هکرها برای نفوذ به سیستم ها و شبکه ها استفاده می شود، به کار می رود.
تاکتیکها (Tactics)
تاکتیک ها اهداف کلی هکرها را مشخص می کنند. به عنوان مثال، یک هکر ممکن است قصد سرقت اطلاعات، اخاذی از قربانی، یا مختل کردن عملکرد یک سیستم را داشته باشد.
تکنیکها (Techniques)
تکنیک ها روش های خاصی هستند که هکرها برای رسیدن به اهداف خود استفاده می کنند. این روش ها می توانند شامل حملات فیشینگ، مهندسی اجتماعی، بدافزار، یا حملات سایبری zero-day باشند.
رویهها (Procedures)
رویهها گام های دقیقی هستند که هکرها برای اجرای تکنیک های خود انجام می دهند. این گام ها می توانند شامل شناسایی و جمع آوری اطلاعات، نفوذ به سیستم، و ارتقای سطح دسترسی خود در سیستم باشند.
به صورت خلاصه با TTP آشنا شدیم در ادامه مقاله میخوایم به صورت تخصصی و کامل این موارد رو با هم بررسی کنیم:
TTP ها در امنیت سایبری: تعریف تاکتیک ها، تکنیک ها و رویه ها
خب، حالا بیایید با جزئیات بیشتری به مبحث TTP ها در امنیت سایبری بپردازیم.
اصطلاح TTP به صورت کلی به نشانه هایی از فعالیت یا ویژگیهای رفتاری یک سیستم اشاره دارد که توسط انسانها، به ویژه متخصصان امنیت سایبری، قابل مشاهده است. TTP ها زمانی که یک نهاد غیرمجاز سعی در انجام فعالیت مسدود یا غیرمجاز داشته باشد، این تلاش را نشان می دهند. به عنوان مثال:
دسترسی غیرمجاز: تلاش برای ورود به یک سیستم با استفاده از اعتبارنامه های سرقت شده یا کرک شده.
حرکت جانبی (Lateral Movement): تلاش برای دسترسی به منابع اضافی در یک شبکه داخلی پس از نفوذ اولیه به سیستم.
فرار از شناسایی: تلاش برای پنهان کردن فعالیت های مخرب در یک سیستم.
ایجاد نفوذ: تلاش برای حفظ دسترسی مداوم به یک سیستم یا شبکه.
تاثیرگذاری: تلاش برای آسیب رساندن به داده ها، سیستم ها یا فرآیندهای تجاری.
این نشانه ها معمولا یک چارچوب منظم را دنبال می کنند. این نشانههای رفتاری نشان دهنده یک خطر قریب الوقوع امنیت سایبری هستند. TTP ها در صورت استفاده موثر، می توانند از اطلاعات تهدیدات سایبری و سایر موارد استفاده امنیتی مانند “شکار تهدید پیشگیرانه” پشتیبانی کنند.
یکی از چارچوبهای امنیتی، MITRE ATT&CK، مجموعه کاملی از TTP هایی است که مهاجمان در دنیای واقعی از آنها استفاده می کنند.
حالا بیایید هر بخش از مثلث TTP را تعریف کنیم:
تاکتیکها (Tactics): این بخش توصیف سطح بالایی از رفتار و استراتژی یک بازیگر تهدید است. تاکتیک شامل مجموعه ای از رفتارها و اقداماتی است که هکر برای رسیدن به یک هدف خاص به کار می برد.
تکنیکها (Techniques): اینها دستورالعمل های غیر اختصاصی و روش های میانی هستند که نحوه اجرای یک اقدام تاکتیکی را توصیف می کنند.
رویهها (Procedures): این موارد به توالی اقداماتی اشاره دارد که با استفاده از یک تکنیک برای اجرای تاکتیک حمله انجام می شود. رویه شامل شرح دقیق فعالیت هایی است که به بازیگر تهدید امکان می دهد با موفقیت به اهداف خود دست یابد.
تاکتیک ها (Tactics)
تاکتیکهای یک بازیگر تهدید، نحوه رفتار او را در مراحل مختلف زنجیره حمله سایبری توصیف می کند. این مراحل عبارتند از:
- شناسایی (Reconnaissance)
- نفوذ و سوء استفاده (Delivery and Exploitation)
- دستیابی به اهداف (Acting on the objectives)
سختی نسبت دادن تهدید بالقوه به یک کمپین به تازگی و پیچیدگی حمله بستگی دارد. اگر شاخص های تهدید الگوهای حمله رایج – مانند حملات DDoS – را نشان دهند، مراحل بعدی تاکتیک های کمپین را می توان با جمع آوری داده هایی در مورد موارد زیر پیش بینی کرد:
- نقطه (یا نقاط) ورود اولیه (The initial entry point(s))
- سیستمها یا اعتبارنامههای به خطر افتاده (Compromised nodes or credentials)
یک تاکتیک حمله پیچیده بر پنهان ماندن از شناسایی و ایجاد تغییرات جزئی در شبکه به خطر افتاده تا زمانی که یک محموله مخرب تحویل داده شود یا داراییهای دادهای به یک سرور فرمان و کنترل خارجی منتقل شوند، تمرکز دارد.
چگونه تاکتیکها را کشف کنیم؟
یکی از راههای کشف چنین حملاتی، تجزیه و تحلیل دقیق دادهها، ابزارها و تغییرات زیرساخت است که منجر به هرگونه حادثه غیرعادی شبکهای میشود:
یک حمله سایبری پیچیده که از آسیب پذیریهای روز صفر سوء استفاده می کند، ممکن است به ابزارهای سفارشی متکی باشد که به شدت تغییر یافته یا لایه ای شده اند.
در مقابل، یک هکر معمولی ممکن است فقط از ابزارهای متن باز یا قابل دسترسی عمومی استفاده کند.
میتوانید از اثر انگشت رفتار تاکتیکی بازیگر مانند: نقاط ورود، ابزار حمله، تغییرات زیرساخت و رفتار ترافیک شبکه، برای ایجاد پروفایل برای هکر و اتخاذ اقدامات پیشگیرانه برای دفاع استفاده کنید.
تکنیک ها (Techniques)
تکنیکها کارهایی هستند که بازیگران تهدید برای ایجاد انواع مشکلات انجام می دهند:
- نفوذ به شبکه
- برقراری مراکز فرماندهی و کنترل (C&C)
- حرکت جانبی در شبکه بدون ردیابی
- گسترش آلودگی بدافزار در مکان های توزیع شده شبکه
- برقراری کنترل برای اصلاحات زیرساختی و انتقال داده های غیرقابل ردیابی
این تکنیکها تمایل دارند عمومی باشند و در هر کمپین حمله سایبری قابل اجرا باشند. به همین دلیل است که درک روشها و ابزارهایی که بازیگران تهدید برای به خطر انداختن سیستمهای شما می توانند به کار گیرند، بسیار مهم است.
تفاوت مهم: تکنیک ها ممکن است فناوری را مشخص نکنند، بلکه فقط بر روش شناسی و راهنمایی در مورد توالی اقدامات درگیر تمرکز کنند.
به عنوان مثال، ممکن است از تاکتیک فیشینگ یا مهندسی اجتماعی برای فریب دادن یک کاربر ناآگاه برای کلیک کردن روی لینکی استفاده شود که یک بدافزار را روی دستگاه محلی دانلود کرده و اطلاعات ورود را سرقت می کند. این تکنیک ممکن است به طور خاص برای هدف قرار دادن مجموعه محدودی از کاربران طراحی شده باشد تا حمله مهندسی اجتماعی را قانع کننده تر کند.
شناسایی تکنیکها
در مراحل بعدی حمله، به ویژه مواردی که شامل تحویل ابزار مخرب، حرکت در شبکه، تغییرات پیکربندی و کشف آسیب پذیری باشد، انتخاب ابزار نقش مهمی ایفا می کند.
در این مرحله، مهاجم ممکن است قبلاً کد سفارشی را در یک جزء آسیب پذیر سیستم نصب کرده باشد. اگر نصب ردیابی نشود، تیم های InfoSec ممکن است نیاز به تجزیه و تحلیل سیستم برای موارد زیر داشته باشند:
- سوء استفاده از پیکربندی
- تغییرات زیرساختی
- افزایش سطح دسترسی (Privilege Escalation)
- سایر تغییرات غیرمجاز در سیستم
آخرین مرحله از تکنیک حمله سایبری ممکن است ترکیبی از روش شناسی و ابزار باشد: به عنوان مثال، خارج کردن دادههای به خطر افتاده با ابتدا مخفی کردن آنها با استفاده از پروتکل های شبکه و الگوهای رمزگذاری انتخابی بازیگر.
رویهها (Procedures)
رویه ها شرح دقیقی از نحوه اجرای تاکتیکها با استفاده از انتخاب تکنیکها و مجموعه ای از اقدامات قابل اجرا، با دقت و ظرافت طراحی شده (یعنی رویهها) هستند.
این اقدامات کاملاً سفارشی سازی شده اند و فرآیند برای بازیگران تهدید به گونه ای مستند شده است که دقیقاً طبق مشخصات دنبال شود. این اقدامات تمایل دارند گسترده باشند اما به طور مکرر تکرار شوند.
ممکن است یک کد مخرب برای جمع آوری خودکار دادهها بر روی نرم افزار آسیب پذیر تحویل و وصله شود. چنین کدی به طور خودکار دادهها را رمزگشایی می کند و با سرویس ها و ابزارهای مرتبط تعامل دارد.
یادگیری رویه ها
تحلیل امنیتی می تواند با تجزیه و تحلیل لاگهای شبکه و رویداد، این رویهها را بازسازی کند. یک تیم متخصص در تشخیص جرایم سایبری که این اطلاعات را تجزیه و تحلیل می کند، همچنین بر فرآیند گسترده زنجیره حمله، تکنیک ها و تاکتیک های به کار گرفته شده توسط بازیگر تهدید تمرکز خواهد کرد.
نقش TTP در اطلاعات تهدیدات سایبری
اطلاعات TTP به عنوان یک دستورالعمل مهم برای به دست آوردن دانش زمینه ای در مورد شاخص ها و ردپای تهدید که در طول مانیتورینگ امنیتی کشف می شود، عمل می کند. TTP همچنین بخشی از برنامه های امنیت سایبری مبتنی بر جامعه و باز است که توسط موسسه ملی استانداردها و فناوری (NIST) توصیه می شود، که دستورالعمل هایی را برای به اشتراک گذاری پایگاه دانش TTP برای کمک به کسب و کارها برای بهبود وضعیت امنیتی آنها ارائه می دهد.
مطالب زیر را حتما بخوانید
-
دوره SOC-200 شرکت OffSec: مقدمهای بر عملیات مرکز امنیت (SOC)
19 بازدید
-
بررسی تیم قرمز (Red Team) و تیم آبی (Blue Team) در امنیت سایبری
3.51k بازدید
-
مقایسه جامع Zeek و Splunk Stream: یک راهنمای کامل برای انتخاب ابزار مناسب
179 بازدید
-
Splunk Stream چیست و چه کاربردی دارد؟
192 بازدید
-
راهنمای جامع Event IDهای ویندوز برای متخصصان SOC: شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی
366 بازدید
-
آشنایی جامع با لاگهای ویندوز: راهنمای کامل برای تحلیل و مدیریت رخدادهای امنیتی
362 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.