شروع به کار با ATT&CK: اطلاعات تهدید

از زمان راه‌اندازی بلاگ Medium خود در سال گذشته، چندین پست با شما به اشتراک گذاشته‌ایم درباره موضوعاتی مثل ATT&CKcon 2018، برنامه‌های ما برای سال 2019، و یک تصویری جذاب برای نقشه‌های راه ما — امیدواریم این مطالب برای شما مفید بوده باشد. با این حال، وقتی با شما صحبت کردیم، متوجه شدیم که لازم است کمی عقب برویم و روی یک سوال مهم تمرکز کنیم که بسیاری از شما پرسیده‌اید: چطور می‌توانم با ATT&CK شروع کنم؟

با توجه به این موضوع، ما یک مینی‌سری جدید از پست‌های بلاگ را شروع می‌کنیم که هدف آن پاسخ دادن به همین سوال برای چهار مورد استفاده کلیدی است: اطلاعات تهدید، شناسایی و تحلیل، شبیه‌سازی حمله و تست نفوذ، و ارزیابی و مهندسی. اگر هنوز ندیده‌اید، وب‌سایت خود را بازسازی کرده‌ایم تا محتوا را بر اساس این موارد استفاده به اشتراک بگذاریم، و امید ما این است که این پست‌های بلاگ به این منابع اضافه شوند.

ATT&CK می‌تواند برای هر سازمانی مفید باشد که می‌خواهد به سمت دفاع مبتنی بر تهدید حرکت کند، بنابراین می‌خواهیم ایده‌هایی برای شروع به اشتراک بگذاریم، صرف‌نظر از اینکه تیم شما چقدر پیشرفته است. هر یک از این پست‌ها را در سطوح مختلف ارائه خواهیم کرد:

• سطح 1: برای کسانی که تازه شروع کرده‌اند و منابع زیادی ندارند،

• سطح 2: برای تیم‌های میانی که در حال رشد و بلوغ هستند، و

• سطح 3: برای تیم‌های پیشرفته‌تر امنیت سایبری که منابع بیشتری دارند.

امروز این سری را با بحث درباره اطلاعات تهدید شروع می‌کنیم، زیرا بهترین مورد استفاده است (شوخی کردم، بقیه تیمم! 😉). تابستان گذشته، یک مرور کلی ارائه دادم درباره اینکه چگونه می‌توانید از ATT&CK برای پیشبرد اطلاعات تهدید سایبری استفاده کنید، و در این پست، بر آن پایه ساخته و مشاوره عملی برای شروع ارائه خواهم داد.

سطح 1

اطلاعات تهدید سایبری در مورد دانستن فعالیت‌های دشمنان شما و استفاده از آن اطلاعات برای بهبود تصمیم‌گیری است. برای سازمانی که تنها چند تحلیلگر دارد و می‌خواهد از ATT&CK برای اطلاعات تهدید استفاده کند، یکی از راه‌های شروع این است که یک گروه مشخص که برای شما مهم است را انتخاب کرده و رفتارهای آن‌ها را طبق ساختار ATT&CK بررسی کنید.

می‌توانید گروهی را انتخاب کنید که در وب‌سایت ما نقشه‌گذاری شده است، بر اساس اینکه قبلاً چه کسانی را هدف قرار داده‌اند. همچنین، بسیاری از ارائه‌دهندگان اشتراک اطلاعات تهدید نیز به ATT&CK ارجاع می‌دهند، بنابراین می‌توانید از اطلاعات آن‌ها به عنوان مرجع استفاده کنید.

مثال: اگر شما یک شرکت دارویی هستید، می‌توانید در نوار جستجوی ما یا در صفحه گروه‌ها بررسی کنید که APT19 یکی از گروه‌هایی است که قبلاً بخش شما را هدف قرار داده است.

از آنجا، می‌توانید صفحه آن گروه را باز کنید تا تکنیک‌هایی که استفاده کرده‌اند را مشاهده کنید (براساس گزارش‌های متن‌باز که ما آن‌ها را نقشه‌گذاری کرده‌ایم) و اطلاعات بیشتری درباره آن‌ها کسب کنید. اگر درباره تکنیکی اطلاعات بیشتری نیاز دارید چون با آن آشنا نیستید، مشکلی نیست — همه اطلاعات در وب‌سایت ATT&CK موجود است. می‌توانید همین روند را برای هر یک از نمونه‌های نرم‌افزاری که گروه استفاده کرده و ما آن‌ها را در وب‌سایت ATT&CK جداگانه پیگیری می‌کنیم، تکرار کنید.

مثال: یکی از تکنیک‌های استفاده شده توسط APT19، Registry Run Keys/Startup Folder است.

حالا چگونه می‌توانیم این اطلاعات را عملیاتی کنیم، که هدف اصلی اطلاعات تهدید همین است؟ آن را با مدافعان خود به اشتراک بگذارید، چون این گروه بخش شما را هدف قرار داده و می‌خواهید از خود دفاع کنید. در این روند، می‌توانید برای ایده‌هایی درباره شناسایی و کاهش تکنیک‌ها به وب‌سایت ATT&CK مراجعه کنید.

مثال: به مدافعان خود اطلاع دهید که APT19 از کلید اجرای خاصی در رجیستری استفاده کرده است. البته ممکن است آن‌ها کلید دیگری را استفاده کنند. اگر توصیه‌های شناسایی این تکنیک را بررسی کنید، مشاهده می‌کنید که پیشنهاد می‌شود رجیستری را برای کلیدهای جدیدی که انتظار ندارید در محیط خود ببینید، مانیتور کنید. این می‌تواند موضوع گفتگوی بسیار خوبی با مدافعان شما باشد.

به طور خلاصه، یک روش ساده برای شروع استفاده از ATT&CK برای اطلاعات تهدید این است که به یک گروه دشمن مشخص که برای شما مهم است نگاه کنید. شناسایی برخی رفتارهایی که آن‌ها استفاده کرده‌اند، به شما کمک می‌کند مدافعان خود را درباره نحوه شناسایی این گروه مطلع کنید.

سطح 2

اگر تیمی از تحلیلگران تهدید دارید که به طور منظم اطلاعات درباره دشمنان را بررسی می‌کنند، گام بعدی می‌تواند این باشد که خودتان اطلاعات را به ATT&CK نقشه‌گذاری کنید، به جای استفاده از نقشه‌هایی که دیگران قبلاً ایجاد کرده‌اند. اگر گزارشی درباره یک حادثه که سازمان شما تجربه کرده است دارید، این می‌تواند یک منبع داخلی عالی برای نقشه‌گذاری به ATT&CK باشد، یا می‌توانید از یک گزارش خارجی مانند یک پست وبلاگ استفاده کنید. برای شروع، می‌توانید تنها با یک گزارش شروع کنید.

مثال: این یک بخش از گزارش FireEye است که به ATT&CK نقشه‌گذاری شده است. (https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html)

ممکن است نقشه‌گذاری به ATT&CK در ابتدا ترسناک به نظر برسد، زیرا همه صدها تکنیک را نمی‌شناسید. در اینجا یک فرآیند پیشنهادی برای کمک به شما آمده است:

1. درک ATT&CK — با ساختار کلی ATT&CK آشنا شوید: تاکتیک‌ها (اهداف فنی دشمن)، تکنیک‌ها (چگونگی رسیدن به اهداف)، و روش‌ها (پیاده‌سازی‌های خاص تکنیک‌ها). به صفحه Getting Started و مقاله فلسفه ما نگاه کنید.

2. شناسایی رفتار — درباره اقدام دشمن به شکل کلی‌تر از فقط شاخص اتمی (مانند یک آدرس IP) فکر کنید. برای مثال، بدافزار در گزارش فوق «یک اتصال SOCKS5 برقرار می‌کند». عمل برقراری اتصال یک رفتار است که دشمن انجام داده است.

3. تحقیق درباره رفتار — اگر با رفتار آشنا نیستید، ممکن است نیاز به تحقیقات بیشتری داشته باشید. در مثال ما، کمی تحقیق نشان می‌دهد که SOCKS5 یک پروتکل لایه 5 (لایه نشست) است.

4. ترجمه رفتار به تاکتیک — هدف فنی دشمن برای آن رفتار را در نظر بگیرید و تاکتیکی مناسب انتخاب کنید. خوشبختانه در ATT&CK Enterprise تنها 12 تاکتیک وجود دارد. برای مثال اتصال SOCKS5، برقراری اتصال برای ارتباط بعدی، تحت تاکتیک Command and Control قرار می‌گیرد.

5. تعیین تکنیک مرتبط با رفتار — این کمی پیچیده است، اما با مهارت تحلیل و مثال‌های وب‌سایت ATT&CK قابل انجام است. اگر در سایت برای SOCKS جستجو کنید، تکنیک Standard Non-Application Layer Protocol (T1095) نمایش داده می‌شود و با مطالعه توضیحات، می‌بینید که این همان جایی است که رفتار شما می‌تواند قرار گیرد.

6. مقایسه نتایج با دیگر تحلیلگران — ممکن است تفسیر شما از یک رفتار با تحلیلگر دیگر متفاوت باشد. این طبیعی است و در تیم ATT&CK هم اتفاق می‌افتد! توصیه می‌کنم نقشه‌گذاری خود را با تحلیلگر دیگر مقایسه کرده و تفاوت‌ها را بررسی کنید.

برای تیم‌های CTI که چند تحلیلگر دارند، نقشه‌گذاری اطلاعات به ATT&CK توسط خودشان می‌تواند راهی عالی برای اطمینان از به دست آوردن مرتبط‌ترین اطلاعات باشد. سپس می‌توانید اطلاعات دشمن نقشه‌گذاری‌شده به ATT&CK را به مدافعان خود منتقل کنید تا دفاع آن‌ها را بهبود ببخشید، همان‌طور که در بالا توضیح داده شد.

سطح 3

اگر تیم CTI شما پیشرفته است، می‌توانید اطلاعات بیشتری را به ATT&CK نگاشت کنید و سپس از آن اطلاعات برای اولویت‌بندی دفاع‌های خود استفاده کنید. با استفاده از فرآیند بالا، می‌توانید هم اطلاعات داخلی و هم خارجی را به ATT&CK نگاشت کنید، از جمله:

• داده‌های پاسخ به رخداد (Incident Response)

• گزارش‌های OSINT یا اشتراک‌های اطلاعات تهدید

• هشدارهای لحظه‌ای (Real-time Alerts)

• اطلاعات تاریخی سازمان شما

وقتی این داده‌ها را نگاشت کردید، می‌توانید کارهای جالبی برای مقایسه گروه‌ها و اولویت‌بندی تکنیک‌های رایج انجام دهید. برای مثال، به این نمای ماتریسی از ATT&CK Navigator نگاه کنید که قبلاً به اشتراک گذاشته بودم و شامل تکنیک‌هایی است که در وب‌سایت ATT&CK نگاشت کرده‌ایم.

• تکنیک‌هایی که فقط توسط APT3 استفاده شده‌اند با رنگ آبی مشخص شده‌اند.

• تکنیک‌هایی که فقط توسط APT29 استفاده شده‌اند با رنگ زرد مشخص شده‌اند.

• تکنیک‌هایی که توسط هر دو گروه استفاده شده‌اند با رنگ سبز مشخص شده‌اند.

(تمام این اطلاعات فقط بر اساس داده‌های عمومی موجود است که ما نگاشت کرده‌ایم، و تنها بخشی از فعالیت‌های واقعی این گروه‌ها را شامل می‌شود.)

شما باید گروه‌ها و تکنیک‌هایی را که برای سازمان شما و تهدیدات اصلی آن اهمیت دارند جایگزین کنید. برای کمک به ساخت لایه‌های Navigator مشابه مثال بالا، یک راهنمای گام‌به‌گام ارائه شده که توضیح می‌دهد چگونه می‌توانید این ماتریس را ایجاد کنید، به همراه یک ویدیوی آموزشی که قابلیت‌های Navigator را نیز معرفی می‌کند.

منبع

https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f