• الهدف الرئيسي من الـ CTI هو فهم العلاقة بين بيئة العمل الخاصة بك وخصمك وكيفية الدفاع عن بيئتك ضد أي هجمات.

• لتحقيق هذا الهدف يكون من خلال تطوير سياق التهديد السيبراني الخاص بك من خلال محاولة الإجابة على الأسئلة التالية وهي :

  من يهاجمك؟ وما هي دوافعهم؟ وما هي قدراتهم؟

  وما هي الـ Artifacts والـ Indicators Of Compromise (IOCs) التي يجب أن تبحث عنها؟

  ( الـ Artifacts بالعادة تُشير إلى معلومات تخص المشتبه به أو دليل أو معلومات يتركها داخل النظام أو نشاط تم على النظام ، فيما يخص الـ IoCs هي تعني بالمؤشر التي توضّح بأنه حدث إختراق لبيئة العمل الخاصة بك.. مثل أن تكون حركة مرور الشبكة غير طبيعية ، أو مثلاً في حالات شاذة تم تسجيل الدخول على حسابات الموظفيين ، أو التغييرات المشبوهة في الـ Registry  أو الـ System File مثلاً ، فمن خلال هذه الأسئلة، سيتم جمع معلومات التهديد من مصادر مختلفة ضمن الفئات التالية:

  داخلي أو Internal :

  الأحداث الأمنية للشركة مثل تقييمات الضعف وتقارير الاستجابة للحوادث وتقارير التدريب على التوعية السيبرانية ، وسجلات النظام والأحداث أو مايُسمى بالـ System logs and events.

  مجتمعي أو Community :

  مثل مجتمعات الـ Dark web التي تضم الـ Blackhat.

  خارجي أو External :

  الموجزات التي تخص معلومات التهديد (مفتوحة المصدر) تشمل المصادر العامة والبيانات الحكومية والمنشورات ووسائل التواصل الاجتماعي .

  
  

الهدف من معرفتها وتصنيفها هو فهم العلاقة بين البيئة التشغيلية الخاصة بك وخصمك أو الذي يستهدف جهتك.

يمكننا تقسيم معلومات التهديد إلى التصنيفات التالية :

الذكاء الإستراتيجي أو الـ Strategic Intelligence :

هي تعتبر معلومات عالية المستوى تبحث في مشهد التهديد في المنظمة وتحدد مناطق المخاطر بناءً على هذه التهديدات الناشئة التي قد تؤثر على قرارات العمل.

الإستخبارات التقنية أو الـ Technical Intelligence :

تبحث في الأدلة اليدوية للهجوم الذي يستخدمه الخصم. يمكن لفرق الاستجابة للحوادث استخدام هذه المعلومات لإنشاء الـ Attack Surface لتحليل وتطوير آليات الدفاع ، المقصود بالـ Attack Surface هو يشير إلى جميع النقاط المحتملة التي من خلالها يستطيع أو يتمّكن المستخدم من الدخول الغير المصرح له أو المهاجم يحاول الدخول أو استخراج البيانات من بيئة العمل.

الذكاء التكتيكي أو الـ Tactical Intelligence :

هنا يتم عمل تكتيكات الخصم وتقنياته وإجراءاته أو مايُسمى بالـTactics, Techniques, and Procedures  (TTPs). التي من خلالها يمكن لهذه المعلومات تعزيز الضوابط الأمنية ومعالجة نقاط الضعف من خلال التحقيقات في الوقت الحقيقي.

العمليات الإستخبراتية أو الـ Operational Intelligence :

يتم البحث عن دافع الخصم المحددة ونيته لتنفيذ هجوم.

يتم الحصول على معلومات التهديدات من خلال عملية دمج البيانات أو مايُسمى بالـ Data-Churning Process التي تحول البيانات الأولية إلى رؤية واضحة للعمل موجهة نحو فرز الحادثة التي تمت. تتبع العملية التحويلية دورة من ست مراحل:

• في المرحلة الأولى نعتمد على الـ Planning & Direction التخطيط وإلى أين نتجه أو يتطلب كل برنامج معلومات عن التهديدات وتحديد الأهداف والغايات، بما في ذلك تحديد الـ Parameters مثل المعلومات والعمليات التي تتطلب الدفاع عنها والتأثير المحتمل الذي قد يحدث عند فقدان هذه المعلومات أو من خلال إنقطاع العملية ، أيضاً مصادر البيانات والمعلومات التي سيتم إستخدامها في حماية الأدوات والموارد المطلوبة للدفاع عنها ، هذه المرحلة تسمح للمحلل بطرح الأسئلة المتعلقة بالتحقيق في الحادثة.

• في المرحلة الثانية سنقوم بعملية الجمع أو الـ Collection فبمجرد تحديد الأهداف سيقوم المحلل هينا بجمع البيانات المطلوبة لمعالجتها بإستخدام الموارد الخاصة أو مفتوحة المصدر. ( نظرًا لحجم البيانات التي يواجهها المحللون في هذه المرحلة يوصى بأن تكون العملية بشكل آتوماتكلياً لتوفير الوقت لفرز الأحداث. )

• في المرحلة الثالثة التحليل أو الـ Analysis بمجرد إكتمال جمع المعلومات، هنا يتم إستخلاص الأفكار، بمعنى قد تتضمن هذه المرحلة قرارات يتم إتخاذ واحدة منها مما يلي التحقيق في التهديد المحتمل من خلال الكشف عن المؤشرات وأنماط الهجوم ، أيضاً تحديد خطة عمل لتفادي الهجوم والدفاع عن البنية التحتية. وأخيراً تعزيز الضوابط الأمنية في جهة العمل الخاصة بك.

• في المرحلة الرابعة النشر أو مايُسمى بالـ Dissemination هنا يتم عرض المعلومات بلغات وأشكال مختلفة لأصحاب الرأي في الشركة أو مايُسمة بأعضاء C-suite يتم عرض المعلومات لهم على شكل تقرير موجز يغطي الإتجاهات في أنشطة الهجوم الذي تم، والآثار المالية والتوصيات الإستراتيجية.

• في المرحلة الخامسة الأخير هي الـ Feedback هذه المرحلة النهائية تغطي الجزء الأكثر أهمية، هنا حيث يعتمد المحلل على الإستجابات المقدمة لتحسين عملية استخبارات التهديدات أو مايُسمى بالـ Intelligence Process  وتنفيذ الضوابط الأمنية التي هي بدورها تعنى بالـ Implementation of Security Controls.

يقصد بالـ CTI Standards & Frameworks هنا المعايير التي تُرشدنا بكيفية توزيع وإستخدام معلومات التهديد..من أشهر الـ Frameworks هو الـ MITRE ATT&CK يعتبر بمثابة قاعدة معرفية لسلوك خصمك ، مع التركيز على المؤشرات والتكتيكات أو مايُسمى بالـ  Indicators والـ Tactics.

كيف نمكَن من تحسين قدرات الموظفين على إكتشاف التهديدات السيبرانية والإستجابة لها ومنعها؟

لدينا مفهومين مهمين في الـ CTI وهو كالتالي :

TAXII

الـ Trusted Automated eXchange of Indicator Information وهو مايُعنى بالـ الذي يحدد التبادل الآتوماتيك الموثوق لمعلومات المؤشر أو الـ Indicator وهي عبارة بروتوكولات لتبادل معلومات التهديد بشكل آمن من أجل الكشف عن التهديدات في الوقت الحالي ومنعها والتخفيف من آثارها. هذا البرتوكول له نموذجين للمشاركة:

الـ Collection أو مايُسمى بالجمع يتم هنا جمع معلومات التهديد وإستضافتها بواسطة المنتج بناءً على طلب المستخدم بإستخدام نموذج الاستجابة للطلب أو الـ  request-response model .

الـ Channel هنا يتم إرسال معلومات التهديد إلى المستخدم من خادم مركزي (central server) من خلال نموذج النشر والإشتراك.

STIX

الـ Structured Threat Information Expression أو مايُسمى بـ تعبير معلومات التهديد المنظم وهي لغة تم تطويرها من أجل "مواصفات معلومات التهديد السيبراني الموحدة والتقاطها وتوصيفها ونقلها". فهو يوفر علاقات محددة بين مجموعات من معلومات التهديد مثل العناصر التي يمكن ملاحظتها، والمؤشرات، وTTPs الخاصة بالخصم..