MITRE ATT&CK چیست و چه کاربردهایی در امنیت سایبری دارد؟

MITRE ATT&CK چیست و چگونه می‌توان از آن برای افزایش امنیت سایبری سازمان‌ها استفاده کرد؟ برای آشنایی با پایگاه دانش MITRE ATT&CK و کاربردهایش، این مقاله را بخوانید.

MITRE ATT&CK پایگاه دانشی رایگان است که اطلاعات جامع و بروزی را در رابطه با تهدیدات سایبری برای سازمان‌ها فراهم می‌آورد تا بتوانند استراتژي‌های امنیت سایبری خود را بر آن اساس، تقویت کنند. سازمان ناسودآور آمریکایی MITRE  پایگاه دانش MITRE ATT&CK را توسعه داده است. کلمه ATT&CK خلاصه شده عبارت Adversarial Tactics, Techniques and Common knowledge به معنی تاکتیک‌ها، تکنیک‌ها و دانش عمومی بدخواهانه است که این پایگاه دانش را می‌سازند. 

سازمان‌ها می‌توانند از این پایگاه دانش برای ارزیابی امنیت سایبری خود استفاده کنند. همچنین، شرکت‌های ارائه‌دهنده محصولات و خدمات امنیت سایبری نیز با کمک MITRE ATT&CK محصولات و خدمات خودشان را تست می‌کنند. ضوابط ارزیابی این پایگاه دانش، خاص هر سازمان هستند و روی یک رویکرد خاص امنیت سایبری تمرکز دارند. بنابراین، نمی‌توان نتایج ارزیابی‌های MITRE ATT&CK برای یک سازمان را با نتایج سازمان دیگر، مقایسه و تعیین کرد که کدام سازمان از امنیت سایبری بالاتری برخوردار است. پایگاه دانش MITRE ATT&CK پروژه‌ای در حال پیشرفت است که بر اساس رویدادهای سایبری در سرتاسر دنیا بروزرسانی می‌شود. در واقع، سازمان‌ها در سرتاسر دنیا می‌توانند اطلاعات خود را در رابطه با جدیدترین تهدیدات سایبری در این پایگاه دانش به اشتراک بگذارند. در این مقاله به طور کامل برای شما توضیح می‌دهیم که MITRE ATT&CK چیست و چگونه می‌توان از آن استفاده کرد. با سایبرنو همراه باشید.

آنچه در این مقاله می‌خوانید:

۱- MITRE ATT&CK چیست؟

۲- ماتریس MITRE ATT&CK چیست؟

۳- چطور می‌توان از ماتریس MITRE ATT&CK استفاده کرد؟

MITRE ATT&CK چیست؟

MITRE ATT&CK پایگاه دانشی از تاکتیک‌ها، تکنیک‌ها و دانش عمومی مورد استفاده برای حملات سایبری بر اساس مشاهدات واقعی است که به صورت رایگان در اختیار همه سازمان‌ها در سرتاسر دنیا قرار دارد و هر سازمانی می‌تواند دانش خود را در رابطه با تهدیدات سایبری در آن به اشتراک بگذارد.  از پایگاه دانش ATT&CK به عنوان پایه‌ای برای توسعه مدل‌ها و روش‌شناختی‌های خاص مبارزه با تهدیدات سایبری در سازمان‌های دولتی و خصوصی و نیز در توسعه محصولات و خدمات امنیت سایبری استفاده می‌شود. 

پایگاه دانش MITRE ATT&CK نوعی مدل برای رفتار بدخواهانه سایبری است که مراحل مختلف چرخه حیات یک حمله سایبری را نشان می‌دهد و نوعی دسته‌بندی برای انواع تهدیدات سایبری و روش‌های مقابله با آن‌ها فراهم می‌آورد. این مدل رفتاری شامل موارد زیر است:

• تاکتیک‌ها: اهداف بدخواهانه تاکتیکی در طول حمله (ستون‌های پایگاه دانش MITRE ATT&CK)
• تکنیک‌ها: روش‌های حصول اهداف متخاصمانه تاکتیکی (هر خانه در پایگاه دانش MITRE ATT&CK)
• دانش عمومی: اسناد مرتبط با استفاده از تکنیک‌ها و دیگر متادیتای مرتبط با تکنیک‌ها

MITRE ATT&CK در سال ۲۰۱۳ و در نتیجه آزمایش سازمان MITRE در شهرک نظامی Fort Meade واقع در مریلند ایالات متحده (آزمایش FMX) راه‌اندازی شد. در آن آزمایش، پژوهشگران، هر دو نوع رفتار بدخواهانه‌ و تدافعی را در تلاش برای بهبود شناسایی تهدیدات پیش از رخداد آن‌ها با استفاده از سنجش از راه دور و تحلیل رفتاری، شبیه‌سازی کردند. 

در حال حاضر سه نسخه از MITRE ATT&CK موجود است که عبارتند از:

• ATT&CK برای سازمان‌ها: روی رفتار بدخواهانه در محیط‌های ویندوز، مک، لینوکس و سامانه‌های ابری تمرکز دارد.
• ATT&CK برای موبایل: روی رفتار بدخواهانه در سیستم عامل‌های اندروید و iOS متمرکز است.
• ATT&CK برای شبکه‌های سیستم‌های کنترل صنعتی (ICS Networks): روی توصیف رفتار بدخواهانه در شبکه‌های ICS تمرکز دارد.

ماتریس MITRE ATT&CK چیست؟

ماتریس MITRE ATT&CK ماتریسی حاوی مجموعه تکنیک‌های مورد استفاده مهاجمان برای رسیدن به یک هدف خاص است. اهداف مهاجمان در ماتریس ATT&CK در ستون تاکتیک‌ها قرار دارند و به صورت خطی، از نقطه «شناسایی» (Reconnaissance) تا هدف نهایی «دسترسی غیر مجاز به اطلاعات» (exfiltration) یا «ضربه زدن» (impact) نمایش داده می‌شوند. در گسترده‌ترین نسخه ATT&CK که برای سازمان‌ها توسعه یافته است و شامل سیستم عامل‌ها و پلتفرم‌های ویندوز، مک، لینوکس، آفیس ۳۶۵، آژور، گوگل ورک اسپیس، SaaS، IaaS و ... است، تاتیک‌های بدخواهانه به انواع زیر تقسیم‌بندی می‌شوند:

۱- شناسایی (Reconnaissance): گردآوری اطلاعاتی مثل اطلاعات مرتبط با سازمان هدف برای طرح‌ریزی اقدامات تخاصمی در آینده
۲- توسعه منبع (Resource Development): ایجاد منابع مثل استقرار زیرساخت‌های فرمان و کنترل برای پشتیبانی از عملیات
۳- دسترسی اولیه (Initial Access): تلاش برای نفوذ به درون شبکه سازمان با روش‌هایی مثل فیشینگ (spear phishing)
۴- اجرا (Execution): تلاش برای اجرای بدافزارهایی همانند یک ابزار دسترسی از راه دور
۵- تداوم (Persistence): تلاش برای حفظ رد پا (foothold) با روش‌هایی مثل تغییر تنظیمات سامانه هدف
۶- ارتقاء دسترسی (Privilege Escalation): تلاش برای رسیدن به مجوزهای سطح بالاتر با روش‌هایی مثل کمک گرفتن از یک آسیب‌پذیری برای ارتقاء دسترسی
۷- گریز از دفاع (Defense Evasion): تلاش برای شناسایی نشدن با روش‌هایی مثل استفاده از پردازش‌های مورد اعتماد برای مخفی کردن بدافزار
۸- دسترسی به اعتبارنامه‌ها (Credential Access): سرقت نام حساب‌های کاربری و گذرواژه‌ها با روش‌هایی مثل کی‌لاگینگ (keylogging)
۹- کشف (Discovery): تلاش برای درک محیط مثل چیزهایی که مهاجم می‌تواند به کنترل خودش درآورد
۱۰- حرکت جانبی (Lateral Movement): حرکت در عرض محیط مثل استفاده از اعتبارنامه‌ها برای نفوذ به سیستم‌های موازی
۱۱- گردآوری (Collection): گردآوری اطلاعاتی در راستای هدف تخاصم مثل دسترسی به داده‌ها در فضای ابری
۱۲- فرمان و کنترل (Command and Control): ارتباط گرفتن با سیستم‌های تحت نفوذ برای کنترل کردن آن‌ها با روش‌هایی مثل شبیه‌سازی ترافیک طبیعی برای ارتباط با یک شبکه قربانی
۱۳- دسترسی غیر مجاز به اطلاعات (Exfiltration): سرقت داده‌ها با روش‌هایی مثل انتقال داده‌ها به یک حساب ابری
۱۴- ضربه زدن (Impact): دستکاری یا تداخل در داده‌ها و سیستم‌ها یا آسیب زدن به آن‌ها با روش هایی مثل رمزنگاری باج‌افزاری

هر تاکتیک ماتریس MITRE ATT&CK شامل چندین تکنیک بدخواهانه است که نحوه فعالیت را شرح می‌دهند. بعضی از تکنیک‌ها شامل تکنیک‌های فرعی هستند که نحوه اجرای یک تکنیک خاص را با جزئیات بیشتری شرح مي‌دهند. در شکل زیر می‌توانید ماتریس MITRE ATT&CK برای سازمان‌ها را ببینید:

چطور می‌توان از ماتریس MITRE ATT&CK استفاده کرد؟

تا اینجا برای شما توضیح دادیم که MITRE ATT&CK چیست و نیز توضیحاتی در رابطه با ماتریس MITRE ATT&CK ارائه دادیم. در این بخش می‌خواهیم نحوه استفاده از این ماتریس را توضیح دهیم. همچنان با سایبرنو همراه باشید.

۱- شبیه‌سازی حملات: ارزیابی امنیت سایبری سازمان با شبیه‌سازی سناریوهای بدخواهانه برای تست کردن سیستم‌های دفاعی
۲- ایجاد تیم قرمز: تیم قرمز به صورت مهاجم عمل می‌کند تا میزان تأثیر نفوذ در سامانه‌های سازمان مشخص شود. از ATT&CK می‌توان برای ایجاد طرح‌های تیم قرمز و سازماندهی عملیات استفاده کرد.
۳- توسعه تحلیل‌های رفتاری: می‌توان از ATT&CK برای ساده‌سازی و سازماندهی الگوهای فعالیت مشکوک استفاده کرد. در تحلیل‌های رفتاری، فعالیت‌های مشکوک به همدیگر مرتبط می‌شوند تا فعالیت بدخواهانه تحت رصد قرار گیرد.
۴- سنجش شکاف دفاعی: می‌توان از ATT&CK برای ارزیابی ابزارهای موجود یا تست کردن ابزارهای جدید پیش از خرید برای تعیین پوشش امنیتی و اولویت‌بندی سرمایه‌گذاری استفاده کرد. همچنین، ATT&CK تعیین می‌کند که کدام بخش‌های سازمان دارای نقطه ضعف دفاعی هستند.
۵- سنجش بلوغ مرکز عملیات امنیت (SOC): می‌توان از ATT&CK برای بررسی میزان مؤثر بودن مرکز عملیات امنیت (SOC) در شناسایی، تحلیل و پاسخ به نفوذ استفاده کرد.
۶- غنی‌سازی هوش تهدید سایبری: ATT&CK امکان ارزیابی توانایی دفاع در مقابل تهدیدات پایدار پیشرفته خاص (APT) و رفتارهای رایج در بین مهاجمان سایبری را فراهم می‌آورد.

به کارگیری MITRE ATT&CK معمولا شامل نگاشت دستی یا یکپارچه با ابزارهای امنیتی است که از رایج‌ترین آن‌ها می‌توان به سامانه‌های مدیریت رویداد و اطلاعات امنیتی (SIEM)، ابزارهای پاسخ و شناسایی نقطه پایانی (EDR) و کارگزار امنیت دسترسی ابری (CASB) اشاره کرد.
استفاده از MITRE ATT&CK با سامانه‌های SIEM شامل جمع‌آوری لاگ‌ها از نقاط پایانی، شبکه‌ها و سرویس‌های ابری، شناسایی تهدیدات و نقشه‌برداری آن‌ها بر اساس MITRE ATT&CK است. سپس، تغییرات در وضعیت دفاعی در ابزارهای تولید لاگ‌ها (مثل EDR و CASB) ایجاد می‌شود. 
استفاده از MITRE ATT&CK با ابزارهای EDR شامل نگاشت رویدادهای مشاهده‌شده توسط عامل نقطه پایانی، فراهم آوردن امکان تعیین فازهای تهدید، ارزیابی ریسک و پاسخ اولویت‌بندی‌شده است.