MITER ATT&CK ва тақлид ба рақиб калиди амнияти киберфаъол мебошанд
Дар мақола тақлид кардани душман муҳокима карда мешавад. Манфиатҳо, харитаи роҳи эмулятсия ва методологияи зина ба зина барои иҷрои чунин эмуляция бо истифода аз чаҳорчӯбаи MITER ATT&CK тавсиф шудаанд. Барои мутахассисони амнияти иттилоотӣ, ки мехоҳанд аз таҳдидҳои воқеӣ пеш бошанд, бояд мутолиа шавад.
Ташкилотҳо бояд ҳамеша як қадам пеш аз ҳамлагарон бошанд, то бо ҳамлаҳои мураккабе, ки доимо инкишоф меёбанд, самаранок мубориза баранд. Ин аст, ки тақлид кардани рақиб, як усули пешрафтаи арзёбии амният, ки ба созмонҳо имкон медиҳад, ки муҳофизати худро аз тактикаи ҳакерӣ дар ҳаёти воқеӣ санҷанд.
Имуляцияи душман чист?
Имулятсияи рақиб як усули арзёбии амнияти кибернӣ мебошад, ки барои санҷиши муҳофизати созмон бар зидди тактика, усулҳо ва расмиёти (TTPs) аз ҷониби ҳамлагарони хатарноктарини соҳа истифодашаванда пешбинӣ шудааст. Ин равиш таҳлили ҳамлаҳои ахир ва маъракаҳои зарароварро дар бар мегирад ва сипас тақлид кардани онҳо дар муҳити назоратшаванда барои арзёбии мавқеи амнияти созмонро дар бар мегирад.
Манфиатҳои тақлид кардани таҳдид дар киберамният
Имулятсияи таҳдид, ки аксар вақт синоним бо эмуляцияи рақиб истифода мешавад, як унсури калидӣ барои беҳтар кардани амнияти киберии созмон мебошад. Бо тақлид кардани TTP-ҳои ҳамлагарони воқеӣ, эмуляцияи таҳдид ба шумо имкон медиҳад, ки осебпазирии эҳтимолиро фаъолона муайян кунед ва ҳифзи муассирро таъмин кунед.
Ин равиш стратегияҳои вокуниш ба ҳодисаҳоро тавассути тақлид кардани ҳамлаҳои киберӣ дар асоси TTP-ҳои воқеӣ, ки ба минтақа ё соҳаи шумо нигаронида шудааст, месанҷад. Ин фаҳмиши қобили амалро дар бораи фаъолияти гурӯҳҳои амниятӣ дар баробари чунин ҳамлаҳо, муайян кардани самтҳои беҳбуд ва такмили нақшаи вокуниш ба ҳодисаҳо фароҳам меорад.
Истифодаи чаҳорчӯбаи MITER ATT&CK ба ҳамкории дастаҳои ҳуҷумкунанда ва мудофиавии киберамният тавассути беҳтар кардани муошират ва фаҳмиши стратегияҳо ва тактика мусоидат мекунад. Имуляцияи таҳдидҳо дар бораи ҳолати кунунии амниятии шумо фаҳмиш медиҳад ва ба шумо дар муайян кардани заифҳо, пайгирии пешрафт ва ташаккули стратегияҳои оянда кӯмак мекунад. Он инчунин иктишофии таҳдидҳоро тавассути илова кардани контексти ҷаҳонии воқеӣ ба донишҳои назариявӣ такмил медиҳад.
Ниҳоят, тақлид кардани таҳдидҳо ба тақсими самараноки захираҳо кӯмак мекунад ва ба созмонҳо имкон медиҳад, ки кӯшишҳоро дар асоси осебпазирии муайяншуда ва таҳдидҳои эҳтимолӣ авлавият диҳанд ва ба ин васила мавқеи амнияти киберҷиноятиро тақвият бахшанд.
Нақшаи эмуляцияи душман чист?
Нақшаҳои эмулятсияи душманон ҳуҷҷатҳои прототипӣ мебошанд, ки гузоришҳои ба омма дастраси таҳдидҳо ва чаҳорчӯбаи ATT&CK-ро барои моделсозии рафтори киберҷинояткорӣ барои мутахассисони амниятии таҳқиромез ва дифоъӣ истифода мебаранд. Ин нақшаҳо аз ҷониби MITER сохта шудаанд, санҷиши шабака ва амниятро тавассути тақлид кардани TTP-ҳои ҳакерҳои мушаххас ё гурӯҳҳои APT беҳтар мекунанд.
Баръакси равишҳои анъанавӣ, ки ба муайян кардани нишондиҳандаҳои мушаххаси созиш тамаркуз мекунанд, нақшаҳо ба эҷоди таҳлил барои рафтори ATT&CK тамаркуз мекунанд. Гарчанде ки онҳо аксар вақт дар тафсилоти занҷирҳои техникаи ҳамлакунанда бо маҳдудиятҳо рӯ ба рӯ мешаванд, онҳо харитаи роҳро барои операторҳо пешниҳод мекунанд ва имкон медиҳанд, ки чӣ гуна ҳамлаҳоро иҷро кунанд. Ин равиш санҷиши ҳамаҷонибаи маҳсулот ва муҳити зистро дастгирӣ намуда, мудофиаи кибериро ба мавқеи пешгирикунанда интиқол медиҳад.
Бо истифода аз нақшаи MITER ATT&CK ба рақиб чӣ гуна тақлид кардан мумкин аст.
Барои самаранок иҷро кардани машқҳои эмуляцияи душман, шумо бояд як раванди систематикиро риоя кунед, ки якчанд қадамҳои калидиро дар бар мегирад:
- Ҷамъоварии иктишофии ҳамаҷонибаи таҳдид: Таваҷҷӯҳ ба муайян кардани омили мушаххаси таҳдид, ки ба ташкилоти шумо таҳдид мекунад. Биёед бигӯем, ки ташкилоти шумо як қисми инфрасохтори муҳим дар Таиланд аст. Шумо фаҳмидед, ки гурӯҳи Earth Longzhi APT чанде пеш созмонҳоро дар Таиланд, Тайван, Филиппин ва Фиҷи ҳадаф қарор додааст. Ҷамъоварии ҳарчи бештар дар бораи Earth Longzhi, аз ҷумла маълумот дар бораи фаъолиятҳои қаблӣ, рафтор, тактика, ҳадафҳо ва намунаҳои ҳамла бо истифода аз манбаъҳои дохилӣ ва ҷамъиятӣ муҳим аст.
- Истихроҷи усулҳои ATT&CK: Маълумоти ҷамъовардашударо бо усулҳои мушаххас дар чаҳорчӯбаи MITER ATT&CK бо истифода аз конфигуратори ҳамла харита кунед. Маълумоти ҷамъшударо ба ҷараёни амалиётӣ тақсим кунед ва онро ба марҳилаҳо ба монанди дастрасии аввалия, нигоҳдорӣ ва афзоиш додани имтиёзҳо, саркашӣ аз амният ва эксфилтратсия тақсим кунед. Ин барои таҳияи нақшаҳои мушаххас барои тақлид кардани рафтори душман кӯмак хоҳад кард.
- Пас аз ҷамъоварии маълумоти иктишофӣ, ин маълумотро бо усулҳои мушаххас дар чаҳорчӯбаи MITER ATT&CK мувофиқ кунед. Масалан, агар шумо дарёфтед, ки гурӯҳи Earth Longzhi нармафзори зараровари Behinder-ро истифода мебарад, ки қобилияти таъсис додани прокси SOCKS5 барои фармон ва назорати пинҳониро дар бар мегирад, шумо бояд ин рафторро бо техникаи “Протоколи қабати ғайримуқаррарӣ” (T1095) мувофиқат кунед. Чаҳорчӯбаи ATT&CK.
- Таҳлил ва ташкил: Маълумоти ҷамъшударо ба ҷараёни амалиётӣ тақсим кунед ва онро ба марҳилаҳо ба монанди дастрасии аввалия, нигоҳдорӣ ва афзоиш додани имтиёзҳо, саркашӣ аз амният ва эксфилтратсия тақсим кунед. Ин барои таҳияи нақшаҳои мушаххас барои тақлид кардани рафтори душман кӯмак хоҳад кард.
- Асбобҳо ва расмиёти таҳия: Асбобҳоро барои такрори TTP-и ҳамлагар интихоб кунед ё таҳия кунед. Масалан, барои тақлид кардани амалҳои гурӯҳи Earth Longzhi, ба шумо асбобҳо барои такрор кардани усулҳои муҳандисии иҷтимоӣ, эҷоди DLL-ҳои зараровар, тазриқи равандҳо, ҷадвали вазифаҳои Windows, гузариши UAC, иртиботи RPC ва муҳаррирони сабти ном лозиманд.
- Тақлиди душман: Дастаи Сурх тавассути ҳамкории зич бо дастаи кабуд барои муайян кардани камбудиҳои дифоъ тақлид мекунад. Гурӯҳҳои сурх ва кабуд пас аз он метавонанд бо гурӯҳи иктишофии таҳдидҳои киберӣ (CTI) барои муайян кардани таҳдиди навбатии тақлид ва эҷоди як раванди муттасили беҳбуди дифоъ аз ҳамлаҳои ҷаҳонии воқеӣ кор кунанд.
Emulation душман против моделиронӣ душман
Имуляцияи рақиб ба дубора тавлид кардани TTP-ҳои дақиқе, ки ҳамлагари мушаххаси маълум барои арзёбӣ ва таҳкими дифоъи созмон аз ин таҳдид истифода мебарад, тамаркуз мекунад.
Баръакс, моделсозии рақиб тақлид кардани рафтори эҳтимолии рақибро ҳангоми ҳамла ба системаҳои созмон дар бар мегирад. Баръакси эмуляцияи рақиб, моделиронӣ ба TTP-ҳои як киберҷинояткори мушаххас мувофиқат намекунад. Дар ин ҳолат, доираи васеи осебпазирии эҳтимолӣ муайян карда мешавад.
Ҳарду равиш фаҳмишҳои беназир фароҳам меоранд ва дар якҷоягӣ як равиши ҳамаҷониба барои беҳтар кардани киберамниятро ташкил медиҳанд.
Тақлиди рақиб ба созмонҳо дар муайян кардани осебпазирии эҳтимолӣ ва санҷиши самаранокии муҳофизат аз таҳдидҳои охирин кӯмак мекунад. Ин равиши воқеӣ баҳодиҳии дақиқи қобилиятҳои вокуниш ба ҳодисаҳоро осон мекунад ва ҳамоҳангиро дар байни гурӯҳҳои амниятӣ беҳтар мекунад. Он инчунин маълумоти миқдорӣ медиҳад, то стратегияҳо ва сармоягузориҳои ояндаи киберамниятро нигоҳ дошта, мавқеи мустаҳками амниятро нигоҳ доранд.
MITER ATT&CK як чаҳорчӯбаи тақлиди таҳдидҳои маъмул аст, ки равиши муфассал ва сохториро барои тақлид кардани рафтори таҳдидҳои гуногун пешниҳод мекунад. Он ба беҳтар шудани муошират ва ҳамкорӣ дар дохили дастаҳои киберамният мусоидат мекунад ва ба созмонҳо дар фаҳмидан, омодагӣ ва муҳофизат аз таҳдидҳои киберӣ кӯмак мекунад.
Имуляцияи душман аз санҷиши воридшавӣ чӣ фарқ дорад?
Имуляция ва пентестинг усулҳои арзишманд барои арзёбии мавқеи киберамнияти созмон мебошанд, аммо онҳо ба ҳадафҳои гуногун хидмат мекунанд ва ба арзёбии амният аз зовияҳои гуногун муносибат мекунанд ва ҳамдигарро пурра мекунанд.
Ҳадафи санҷиши воридшавӣ муайян кардани осебпазирии системаҳо мебошад. Аксар вақт пентест бештар мақсаднок аст ва на ба он ки чӣ тавр истифода бурдани он ба худи осебпазирӣ тамаркуз мекунад. Дар навбати худ, эмуляцияи рақиб ба рафтори ҳамлагарони воқеӣ барои санҷиши чораҳои дифоъ тақлид мекунад.
Воситаҳои эмуляцияи душман
Воситаҳои гуногуни эмуляцияи рақиб вуҷуд доранд, ки ба созмонҳо ёрӣ мерасонанд, ки муҳофизати худро санҷидан ва такмил медиҳанд:
- MITER Caldera як системаи эмулятории автоматии ҳакерҳои кушодаасос мебошад, ки платформаи MITER ATT&CK-ро барои тақлид кардани таҳдидҳо ва такрори рафтори онҳо истифода мебарад.
- Atomic Red Team як китобхонаи скриптҳоест, ки барои тақлид кардани рафтори душман ва қобилияти муайянкунии санҷиш пешбинӣ шудааст. Он ба таври нобаёнӣ автоматизатсияро пешниҳод намекунад, аммо бисёрҷониба ва васеъ истифода мешавад.
- Infection Monkey як воситаи кушодаасос барои тақлид кардани ҳакерҳо ва ҳамлаҳо мебошад, ки бартарият ворид шудан ба ҳадаф ва сироят кардани тамоми шабака тавассути гузаштан аз ҳост ба ҳост мебошад.
- Stratus Red Team як воситаи эмуляцияи киберҷинояткорӣ мебошад, ки махсус барои муҳити абрӣ тарҳрезӣ шудааст ва ба усулҳои ҳамлагарон аз MITER ATT&CK барои Cloud Matrix тақлид мекунад.
- DumpsterFire як абзорест, ки рӯйдодҳои амниятиро барои санҷиш ва тасдиқи муҳофизат такрор мекунад ва ҳадафаш тақлид кардани доираи васеи ҳамлагарон, аз ҷумла таҳдидҳои инсайдерӣ, фаъолони таҳдиди ғайритехникӣ ва ҳакерҳои мураккаб аст.
- Metta як воситаи моделиронии рақиб аз Uber мебошад, ки амалҳои ҳамлагаронро, ки дар формати YAML тавсиф шудаанд, барои санҷиш ва тасдиқи қобилиятҳои муайянкунии ҳостҳо ва шабакаҳо иҷро мекунад.
- Red Team Automation (RTA) як чаҳорчӯбаи скрипти кушодаасос барои арзёбии қобилиятҳои ошкоркунӣ бо истифода аз ҳолатҳои санҷишӣ, ки пас аз чаҳорчӯбаи MITER ATT&CK модел шудааст, мебошад.
Воситаҳои номбаршуда маълумоти арзишмандро дар бораи он ки созмон то чӣ андоза тавони мубориза бо таҳдидҳои киберҷиноятиро дар ҷаҳон фароҳам меорад.
Автоматикунонии эмуляция бо истифода аз BAS (Simulation Breach and Attack)
Бо дарназардошти саъю кӯшиши зиёд барои таҳияи нақшаи эмуляцияи фармоишии душман, бисёре аз созмонҳо метавонанд захираҳое надошта бошанд, ки тамоми дастаҳоро ба чунин вазифа бахшида шаванд. Дар ин ҷо асбобҳои моделсозии вайронкунӣ ва ҳамла (BAS) ба кор меоянд.
Платформаҳои BAS тавассути истифодаи китобхонаҳои доимо навшавандаи таҳдидҳо, ки бо таҳқиқоти амиқи мутахассисони дастаи сурх ғанӣ гардонида шудаанд, тақлидкунии автоматии ҳамлагаронро пешниҳод мекунанд.
Ғайр аз он, асбобҳои BAS дорои қолибҳои омодаи истифодашавандаи таҳдид мебошанд, ки ба TTP-ҳои ҳамлагарони мушаххас, ки ба минтақа ё бахши мушаххас нигаронида шудаанд, тақлид мекунанд. Намунаҳои ҳалли BAS инҳоянд: AttackIQ, Fortinet FortiTester, Платформаи тасдиқи бехатарии Picus ва платформаҳои Cymulate Breach ва Attack Simulation ва ғайра.
Чанд маротиба ман бояд машқҳои эмуляцияи душманро гузаронам?
Машқҳои тақлид ба рақиб бояд бо дарназардошти таҳдидҳои мушаххасе, ки созмон бо онҳо рӯбарӯ мешаванд, мунтазам гузаронида шаванд. Ин ба созмон имкон медиҳад, ки аз тамоюлҳои охирини ҳамлаҳо бимонад ва стратегияҳои дифоии худро тавассути тақлид кардани рақиб ба як қисми динамикии идоракунии хавфҳо ва кӯшишҳои амният табдил диҳад.
Хулоса
Имулятсияи рақиб як абзори пурқувват дар арсенали гурӯҳи киберамният буда, ба созмонҳо имкон медиҳад, ки аз таҳдидҳои шадидтарин фаъолона дифоъ кунанд. Симуляцияҳои воқеии рафтори ҳамлагарон дар бораи осебпазирии система ва самаранокии муҳофизати мавҷуда фаҳмиши пурарзиш медиҳанд ва барои беҳтар кардани амнияти умумӣ кӯмак мекунанд.
Бо истифода аз чаҳорчӯбаҳо ба монанди MITER ATT&CK ва абзорҳои муосири автоматикунонӣ, ширкатҳо метавонанд стратегияҳои худро пайваста такмил диҳанд ва ба тағирот дар манзараи таҳдид зуд вокуниш нишон диҳанд.
Share this content: