فریم ورک MITRE ATT&CK چیست؟ آشنایی با پایگاه دانش MITRE ATT&CK و کاربرد آن

0 105

فهرست

MITRE ATT&CK چیست؟

MITRE ATT&CK محصول شرکت MITRE می‌باشد. ATT&CK در نام این محصول، مخفف کلیمات زیر می‌باشد:

Adversarial Tactics, Techniques, & Common Knowledge

پس تا اینجا متوجه میشیم که MITRE ATT&CK نام یک نوع حمله سایبری نیست! بلکه یک پایگاه دانش است که به ما می‌گوید حملات سایبری چگونه انجام می‌شود و رفتار مهاجم در آن‌ها به چه صورت است.

MITRE ATT&CK یک پایگاه دانش است که درون آن انواع تکنیک‌هایی که مهاجمان برای رسیدن به اهدافشان استفاده می‌کنند، قرار دارد. این پایگاه همچنین یک مدل برای رفتار مهاجمان می‌باشد که فازهای مختلف یک حمله سایبری را بررسی می‌کند. این پایگاه یک منبع ارزشمند برای محققان امنیتی است تا بتوانند عملیات ارزیابی ریسک را به خوبی انجام دهند و حملات مختلف را دسته‌بندی کنند. در این پایگاه دو مفهوم تاکتیک ها (Tactics) و تکنیک ها (Techniques) وجود دارد که یک طبقه‌بندی از کارهایی که یک مهاجم انجام می‌دهد، به ما نشان می‌دهد. این طبقه‌بندی هم برای مهاجمان و هم برای مدافعان سایبری قابل فهم است. این پایگاه دانش در موقعیت‌های بسیاری مثل تشخیص رخنه، شکار تهدید، مهندسی امنیت، هوش تهدید، تیم های قرمز (Red Teams) و مدیریت ریسک مورد استفاده قرار می‌گیرد.

تاریخچه MITRE ATT&CK

MITRE ATT&CK اولین بار در سال ۲۰۱۳ معرفی شد. این پروژه نتیجه پروژه FMX از شرکت MITRE بود که در آن محققین امنیتی، با هدف بهتر شدن قدرت تشخیص تهدیدات سایبری، رفتار مهاجمان و مدافعان در یک حمله سایبری را شبیه سازی کردند. یک سوال اصلی در این پروژه مطرح بود: “تا چه اندازه می‌توانیم رفتار مستند شده مهاجمان را تشخیص دهیم؟”. پس هدف اصلی محققان این بود که رفتار مهاجمان در حملات واقعی را مستند کنند و درون یک پایگاه دانش قرار دهند. MITRE ATT&CK اکنون شامل سه بخش است:

ATT&CK برای محیط تجاری

این بخش برروی رفتار مهاجمان در مقابل سیستم‌های مبتنی بر ویندوز، لینوکس، مک و محیط‌های ابری تمرکز دارد. به این بخش ATT&CK for Enterprise گفته می‌شود.

ATT&CK برای محیط موبایل

این بخش برروی رفتار مهاجمان در مقابل تلفن های هوشمند مبتنی بر iOS و اندروید تمرکز دارد. به این بخش ATT&CK for Mobile گفته می‌شود.

PRE-ATT&CK

این بخش برروی رفتار مهاجمان تا مرحله “پیش از اکسپلویت یا همان Pre-Exploit” تمرکز دارد. این بخش به عنوان قسمتی از ATT&CK for Enterprise نیز در نظر گرفته می‌شود.

ماتریس MITRE ATT&CK چیست و شامل چه اطلاعاتی است؟

پایگاه دانش MITRE ATT&CK شامل چند ماتریس می‌باشد. از این ماتریس‌ها برای نمایش و طبقه بندی اطلاعات استفاده می‌شود. این ماتریس‌ها شامل تکنیک هایی (Techniques) هستند که توسط مهاجمان بکار گرفته می‌شوند تا به هدفشان برسند. اهدافی که مهاجمان دنبال می‌کنند به عنوان تاکتیک ها (Tactics) درون این ماتریس ها قرار دارند. تاکتیک ها بصورت پشت سر هم از مرحله شناسایی (Reconnaissance) تا استخراج غیرمجاز اطلاعات درون ماتریس طبقه بندی شده‌اند. (به بیان ساده، اهدافی که مهاجم از اول تا اخر یک حمله دنبال میکنه رو توی این ماتریس ها آوردن و بهشون میگن تاکتیک ها! همچنین روش‌هایی که مهاجم استفاده میکنه تا به این اهداف برسه رو هم اسمش رو گذاشتن تکنیک ها! خیلی ساده!).

تاکتیک ها (Tactics) در MITRE ATT&CK

حال که متوجه مفاهیم اولیه این پایگاه دانش شدیم، می‌خواهیم تاکتیک‌هایی که درون این پایگاه طبقه بندی شدند را بطور مختصر بررسی کنیم. در اصل موارد زیر اهدافی هستند که یک مهاجم در یک حمله به دنبال آن‌ها هست. از این لینک می‌توانید وب سایت اصلی را مشاهده کنید.

  • شناسایی (Reconnaissance): جمع آوری اطلاعات به منظور برنامه ریزی برای عملیات آینده. برای مثال، جمع آوری اطلاعات در مورد سازمان هدف و کارمندان آن
  • توسعه منابع (Resource Development): استقرار منابع برای پشتیبانی از عملیاتی که قرار است انجام شود. مثلا، راه اندازی زیرساخت Command & Control.
  • دسترسی اولیه (Initial Access): تلاش برای ورود به شبکه و گرفتن دسترسی اولیه. مثلا، اقدام برای اسپیر فیشینگ و به دام انداختن یکی از کارمندان.
  • اجرا (Execution): تلاش برای اجرای یک کد مخرب. مثلا، یک بدافزار که امکان دسترسی از راه دور را به مهاجم می‌دهد.
  • ماندگاری (Persistence): تلاش برای تثبیت جایگاه در شبکه هدف. مثلا، عوض کردن تنظیمات سیستم‌ها برای اینکه بدافزار براحتی در شبکه و سیستم‌های هدف تثبیت شود.
  • ارتقا سطح دسترسی (Privilege Escalation): تلاش برای گرفتن دسترسی‌های بیشتر. برای مثال عموما دسترسی مهاجم درون یک سیستم یا شبکه در حد یک کاربر معمولی است، بخاطر همین سعی می‌شود با سواستفاده از یک آسیب‌پذیری اقدام به ارتقا سطح دسترسی می‌شود. یک نمونه از این عملیات در ویدیو آموزش Powershell Empire توضیح داده شد.
  • دور زدن مکانیزم‌های دفاعی (Defense Evasion): تلاش برای جلوگیری از شناسایی شدن توسط سیستم‌های تدافعی. برای مثال، استفاده از پراسس‌های معتبر برای مخفی کردن بدافزار. یا مثلا، دور زدن آنتی ویروس که در ویدیو آموزش Veil Evasion در مورد آن صحبت کردیم.
  • Credential Access: در این بخش مهاجم تلاش می‌کند نام کاربری و رمز عبور اعضای شبکه را برباید. همانند کاری که یک جاسوس افزار انجام می‌دهد.
  • تحرکات جانبی (Lateral Movement): حرکت مهاجم در محیط هدف. مثلا، استفاده از Credential ربوده شده در مراحل قبل برای دسترسی به دیگر سیستم‌ها. در اصل در این فاز، مهاجم بواسطه دسترسی و اطلاعاتی که بدست آورده است، درون شبکه حرکت می‌کند و به نقاط جدیدی از شبکه دسترسی پیدا می‌کند.
  • جمع آوری (Collection): جمع آوری اطلاعات مورد علاقه مهاجم. مثلا، دسترسی به اطلاعات حساسی که درون فضای ابری ذخیره شده است.
  • دستور و کنترل (Command & Control): برقراری ارتباط با سیستم‌هایی که مورد نفوذ قرار گرفته‌اند و کنترل کردن آن‌ها. مثلا، ارسال ترافیک به سمت یک شبکه دیگر، به منظور انجام حمله DDoS.
  • Exfiltrate: دزدیدن و بیرون کشیدن اطلاعات. مثلا، انتقال داده‌های حساس به بیرون از شبکه هدف.
  • تاثیرگذاری (Impact): دستکاری کردن، مداخله کردن یا از بین بردن سیستم‌ها و داده‌های آن. مثلا، رمز کردن تمام اطلاعات بوسیله یک باج افزار.

برای هر یک از این تاکیتک‌ها که درون MITRE ATT&CK قرار دارد، یک سری تکنیک هم وجود دارد که مهاجم برای رسیدن به آن‌ها از آن تکنیک استفاده می‌کند. بعضی از این تکنیک‌ها دارای زیر-تکنیک (Sub-technique) هم دارند، که با جزییات بیشتری آن تکنیک را شرح می‌دهند. در تصویر زیر ماتریس مربوط به این موارد را مشاهده می‌کنید:

MITRE ATT&CK

همانطور که مشاهده می‌شود، هر ستون بیانگر یک تاکتیک (هدف) است و در زیر آن تکنیک‌های مورد استفاده برای رسیدن به هر هدف نوشته شده است.

چگونه از MITRE ATT&CK استفاده کنیم؟

این فریم ورک به روش‌های مختلفی می‌تواند به سازمان‌ها کمک کند. بطور عمومی، موارد زیر بیشترین استفاده از این فریم ورک به حساب می‌آیند:

  • شبیه سازی مهاجم (Adversary Emulation): ارزیابی کردن امنیت بوسیله اعمال کردن اطلاعاتی در خصوص مهاجم و کارهایی که انجام می‌دهد تا بتوان تهدیدات را شبیه سازی کرد. ATT&ژK می‌تواند برای شبیه سازی مهاجم و سناریوهای او مورد استفاده قرار گیرد و بدین ترتیب مکانیزم‌های دفاعی تست و تایید شوند.
  • تیم های قرمز (Red Teaming): تیم‌های قرمز همانند یک مهاجم عمل می‌کنند تا تاثیرات مخرب و احتمالی رخنه‌ها مشخص شود. ATT&CK می‌تواند در برنامه ریزی برای انجام عملیات مختلف مورد استفاده قرار گیرد.
  • توسعه تحلیل‌های رفتاری (Behavioral Analytics Development): ATT&CK می‌تواند برای ساده‌سازی و طبقه‌بندی الگوهای فعالیت‌های مشکوک که بنظر مخرب هستند، مورد استفاده قرار گیرد.
  • ارزیابی بلوغ و پختگی SOCها (SOC Maturity Assessment): ATT&CK برای بررسی اینکه یک SOC تا چه اندازه موثر است مورد استفاده قرار می‌گیرد.
  • غنی سازی هوش تهدید سایبری (Cyber Threat Intelligence Enrichment): فریم ورک ATT&CK می‌تواند اطلاعات در مورد تهدیدات را گسترش دهد. همچنین این فریم ورک، به متخصصین امنیتی این امکان را می‌دهد که متوجه بشوند آیا توان مقابله با تهدیدات پیشرفته (Advanced Persistent Attack-APT) را دارند یا خیر.

چگونه MITRE ATT&CK را درون یک سازمان بکار بگیریم؟

برای استفاده از MITRE ATT&CK در سازمان‌ها عموما از آن‌ها در سیستم‌های مدیریت اطلاعات و وقایع یا همان SIEM استفاده می‌شود. البته SIEM تنها یکی از مواردی است که می‌توان درون آن از این پایگاه دانش استفاده کرد.

استفاده از MITRE ATT&CK در کنار SIEM

استفاده از MITRE ATT&CK در کنار SIEM شامل جمع کردن داده‌ها از شبکه‌ها، سیستم‌ها و سرویس‌های ابری می‌شود. بدین صورت تشخیص تهدیدات و نگاشت آن‌ها با ATT&CK صورت می‌گیرد. سپس اطلاعات جدید به ابزارهای امنیتی مثل EDR می‌رسد.

استفاده از MITRE ATT&CK در کنار EDR

استفاده از MITRE ATT&CK در کنار EDR شامل نگاشت رویدادهای مشاهده شده توسط Endpoint Agent است. اطلاعات بدست آمده از این Agentها به متخصصین امنیتی این اجازه را می‌دهد که فازهای تهدید را تعیین کنند. سپس متخصصین ریسک‌ها را ارزیابی می‌کنند. در نهایت برای دادن Response به این وقایع، الویت بندی انجام می‌دهند.

استفاده از MITRE ATT&CK در کنار CASB

استفاده از MITRE ATT&CK در کنار CASB شامل غربال کردن میلیون‌ها واقعه در سرویس‌های ابری به منظور پیدا کردن دفتارهای مشکوک و تهدیدات می‌باشد. این کار بوسیله User & Entity Behavior یا همان UEBA انجام می‌شود. سپس رویدادهای غربال شده در قسمت اول این فاز با رویدادهای مربوط به DLP، آسیب‌پذیری و پیکربندی‌های اشتباه ترکیب می‌شوند و با داده‌های MITRE ATT&CK نگاشت می‌شوند.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.