چارچوب Mitre’s ATT&CK چیست؟ و چگونه به تیم امنیت کمک می کند.
چارچوب Mitre’s ATT&CK به محققان امنیتی و تیم های قرمز (Red Teams) اجازه می دهد تا تهدیدات هکرها را بهتر بشناسند.
چارچوب ATT&CK که توسط Mitre Corp تهیه شده است، حدود ۵ سال است که کار می کند و یک سند زنده و در حال رشد از تاکتیک ها و تکنیک های تهدید است که از میلیون ها حمله به شبکه های سازمانی مشاهده شده است. ATT&CK مخفف Adversarial Tactics, Techniques, and Common Knowledge است. این کار به عنوان یک پروژه داخلی آغاز شد و تبدیل شد به پایگاه اطلاعات عمومی که بسیاری از فروشندگان و مشاوران امنیتی آن را انتخاب کرده اند.
هدف محققان Mitre تجزیه و طبقه بندی حملات به شیوه ای مداوم و واضح است که می تواند مقایسه و تضاد آنها را آسان تر کند تا متوجه شوند که چگونه مهاجم از شبکه ها و نقاط پایانی شما سوءاستفاده کرده و به شبکه شما نفوذ کرده است.
ایجاد یک تیم قرمز (Red Team) موثر
ایجاد یک تیم عالی قرمز در کارکنان عملیات IT شما می تواند در چندین سطح مفید باشد. این تیم می تواند به شما کمک کند تشخیص دهد که مجموعه فعلی ابزارهای دفاعی شما به اندازه کافی جامع است تا بتواند حملات احتمالی را شناسایی و متوقف کند. یک تیم قرمز می تواند یکی از راه های یافتن و رفع شکاف های موجود در دیواره آتش و محصولات تشخیص نهایی باشد. یک تیم عالی قرمز می تواند یک سیستم اخطار زودهنگام برای یافتن منشاء مشترک حملات و پیگیری تکنیک های هکرها باشد.
نیمه اول ساخت چنین تیمی استخدام افراد مناسب است. بخش دوم بسیار سخت تر است: گرفتن مجموعه ای مناسب از ابزار برای استفاده و پیدا کردن نقاط دارای ضعف سازمان. شما چندین انتخاب دارید:
- ابزارهای مورد نیاز تیم قرمز خود را بسازید
- برای نظارت بر شبکه و دفاع خود، یک ارائه دهنده خدمات امنیتی مدیریت شده Managed Security Service Provider (MSSP) یا مشاور امنیت استخدام کنید.
- مجموعه ای از تکنیک های متنوع و منبع باز را برای استفاده داخلی جمع آوری کنید.
هر کدام از انتخاب های فوق مزایا و معایبی دارد. ساختن ابزارهای شخصی خود راهی عالی برای به دست آوردن آنچه مورد نیاز شماست می باشد اما می تواند بسیار وقت گیر و گران باشد. استخدام مشاور مدت زمان کمتری دارد اما هنوز هم می تواند در دراز مدت برای شما هزینه زیادی را در پی داشته باشد. مشاوران امنیتی ابزار و خدمات تست نفوذ و نظارت بر امنیت تیم قرمز را ارائه می دهند . بسیاری از بنگاههای مشاوره چارچوب های خاص خود را دارند یا ابزارهای خود را نیز به عنوان بخشی از حوزه های عملی خود توسعه داده اند.
اگر هیچ یک از این گزینه های برای شما جذاب نیست، احتمالاً شما روش سوم را انتخاب خواهید کرد: استفاده از انواع ابزارهای منبع باز: در اینجا تقریباً گزینه های زیادی خواهید یافت. برخی از ابزارها در سناریوهای حمله خاص ، مانند PowerShell exploits یا ابزار BloodHound که برای آزمایش سوء استفاده های مبتنی بر Active Directory استفاده می شود، کاربرد دارند. این ابزارها نسبت به امکاناتی که به شما ارائه می دهند بسیار عالی هستند، اما کاملاً جامع نیستند. این جا، جایی است که چارچوب ATT&CK به کمک شما می آید.
چرا از ATT&CK استفاده کنیم؟
هرچه هکرها ماهر تر می شوند، تیم امنیت نیز باید مهارت های خود را توسعه دهند. با طبقه بندی حملات به واحدهای مختلف و بررسی آنها محققان راحت تر می توانند الگوهای متداول را ببینند و بفهمند چطوری حملات پیچیده طراحی و اجرا می شوند.
در حالی که سایر ابزارها می توانند هش ها و رفتارهای بدافزارها را شناسایی کنند، ATT&CK یکی از روشهای جامعی است که می تواند به اجزای بدافزار واقعی نگاه کند و آنها را با جزئیات بیان کند. بیشتر بدافزارهای مدرن از ترکیبی از تکنیک ها برای پنهان کردن عملکرد خود، اجرای سوئ استفاده و جلوگیری از شناسایی و ضعف های شبکه استفاده می کنند. پیدا کردن این قسمتهای مختلف کمک بزرگی است در راستای شناخت و دفاع در مقابل آنها.
پنج ماتریس تهدید ATT&CK
ماتریس اول یک مجموعه “پیش از حمله” است که از ۱۷ دسته مختلف استفاده می کند و به شما کمک می کند تا از حمله جلوگیری کنید قبل از اینکه طرف مقابل فرصت داشته باشد به شبکه شما نفوذ کند. برای مثال وقتی یک مهاجم در حال جمع آوری اطلاعات در مورد دامنه شما است. سه ماتریس، هر یک مجموعه ای از نقاط پایانی ویندوز ، مک یا لینوکس که در کل شامل ۱۶۹ تکنیک مختلف است را در بر می گیرند. و در نهایت مجموعه پنجم شامل موارد اضافی درمورد حملات مبتنی بر موبایل است.
هر سلول از این ماتریس ها حاوی یک تاکتیک واحد است، مانند تأیید هویت اجباری با استفاده از پروتکل های (SMB) و اینکه چگونه یک نویسنده بدافزار می تواند از این طریق برای ورود به شبکه شما استفاده کند. این چارچوب همچنین حاوی اطلاعاتی در مورد بدافزارهای اخیر است که از این تکنیک استفاده می کند (به عنوان مثال Dragonfly) ، روشی که می توانید آن را تشخیص دهید (نظارت بر ترافیک SMB در پورت های مناسب) ، و اینکه چگونه می توانید سوءاستفاده از آن را کاهش دهید (با استفاده از فیلترهای خروجی برای مسدود کردن SMB ترافیک).
توضیحات مختصر بالا واقعاً این چارچوب را به صورت کامل توضیح نمی دهد: اگر به اندازه کافی در ATT&CK عمیق شوید، آن را به طرز باورنکردنی ثروتمند و مفصل مشاهده خواهید کرد. همچنین می توانید از آن برای پر کردن شکاف دانش خود در مورد بهره برداری ها و تکنیک های بدافزارها استفاده کنید.
- چارچوب ATT&CK همواره در حال بهبود مداوم است
- ترکیب ماتریس های تهدید مختلف در یک سند جامع
- میزبانی ATT & CK بر روی یک پلت فرم ویکی جدید
- ایجاد یک API جدید که بتواند تعامل ATT&CK را با استفاده از برنامه های تقسیم تهدید STIX/TAXII آسانتر کند
- افزودن قابلیتهای جستجو بهتر
- ایجاد یک کمیته حاکمیت برای تصمیم گیری در مورد پیشرفت های آینده ، به ویژه هنگامی که بیشتر فروشندگان امنیت خصوصی شروع به ارائه پیشرفت ها و ابزارهای مبتنی بر ATT و CK می کنند
سرانجام، میتر هفته گذشته اعلام كرد كه با استفاده از مدل تهدید ATT&CK، كسب و كار جدیدی را برای آزمایش انواع مختلفی از محصولات تشخیص و پیشگیری از آن انجام خواهد داد. این نتایج حاصل از این ارزیابی ها را منتشر می کند، که دور اول آن شبیه سازی مخالف APT3 / Gothic Panda خواهد بود.
پروژه های ATT&CK
نبوغ واقعی در ATT&CK این است که دیگران بتوانند ویژگی های آن را پذیرفته و گسترش دهند. در اینجا چند پروژه های در دست اقدام شخص ثالث وجود دارد:
- میتر ابزار آزمایش مخصوص به خود را مبتنی بر ATT&CK با نام Caldera دارد.
- محققان Unit42 Networks Palo Alto ، یک برنامه پخش مخالف را بر اساس طرح های تهدید Miter ATT&CK و STIX تهیه کرده اند.
- Endgame ابزاری برای اتوماسیون Red Team ایجاد کرده است که می تواند اسکریپت هایی را برای چند ده تکنیک ATT&CK برای آزمایش ابزارهای تشخیص نقطه انتهایی ایجاد کند.
- Red Canary پروژه اتمی قرمز خود را دارد که شامل یک سری اسکریپت های خودکار برای تست بسیاری از تکنیک های ATT&CK است.
- پروژه متا Uber با Vagrant و Virtual Box کار می کند تا مجموعه ای از اسکریپت های آزمایشی مبتنی بر ATT&CK را ایجاد کند.
کلیه ابزارهای فوق پروژه های رایگان و منبع باز است. ابزار دیگری که به نام AttackIQ FireDrill که البته رایگان نیست می تواند تعامل های پیچیده تر را برای ارزیابی ریسک و آسیب پذیری شبکه شما ترسیم کند.
هر ابزار رویکردی متفاوت در تعامل با ATT&CK دارد. به عنوان مثال، لیست پخش Palo Alto فقط به کاوش در بدافزار OilRig مربوط می باشد ولی به بیش از ۱۰۰ شاخص مختلف اشاره دارد که ۱۹ تکنیک ATT&CK مختلف را در بر می گیرند، و نشان می دهد که دقیقا چقدر یک بدافزار پیچیده است. اگر به ایجاد توانایی های تیم قرمز خود علاقه مند هستید چارچوب ATT&CK را بررسی کنید.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
28 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
106 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.58k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.02k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.23k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.52k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.