Cyber Threat Intelligence

  • الـ Cyber Threat Intelligence أو مايُعرف بالتهديدات السيبرانية بأنها الأدلة أو الـ Evidence القائمة على الـمعرفة حول الـ Adversaries ، تشمل عدة أمور مهمة منها المؤشرات الخاصة بهم وتكتيكاتهم ودوافعهم والنصائح القابلة للتنفيذ ضد الضحية.


    في الـ Cyber Threat Intelligence في الغالب نستعمل المصطلحات التالية وهي الـ Data والـ Information والـ Intelligence ولفهم كيفية تأثير الـ CTI بشكل أفضل:

    • الـ Data هي المؤشرات أو مايُسمى بالـ Indicators منفصلة لكنها جميعها مرتبطة بالخصم أو الـ Adversary، مثل : IP addresses والـ URLs وأيضاً الـ Hashes.

    • الـ Information هي عبارة عن مجموعة من نقاط البيانات المتعددة التي تُجيب على أسئلة مثل "كم عدد المرات التي قام فيها الموظفون بالوصول إلى موقع carmellaapp خلال الشهر مثلاً؟"

    • الـ Intelligence هي ربط البيانات والمعلومات لإستخراج أنماط التصرفات بناءً على التحليل السياقي للخصم.

ما الهدف الأساسي لـ CTI ؟

  • الهدف الرئيسي من الـ CTI هو فهم العلاقة بين بيئة العمل الخاصة بك وخصمك وكيفية الدفاع عن بيئتك ضد أي هجمات.

  • لتحقيق هذا الهدف يكون من خلال تطوير سياق التهديد السيبراني الخاص بك من خلال محاولة الإجابة على الأسئلة التالية وهي :

    من يهاجمك؟ وما هي دوافعهم؟ وما هي قدراتهم؟

    وما هي الـ Artifacts والـ Indicators Of Compromise (IOCs) التي يجب أن تبحث عنها؟

    ( الـ Artifacts بالعادة تُشير إلى معلومات تخص المشتبه به أو دليل أو معلومات يتركها داخل النظام أو نشاط تم على النظام ، فيما يخص الـ IoCs هي تعني بالمؤشر التي توضّح بأنه حدث إختراق لبيئة العمل الخاصة بك.. مثل أن تكون حركة مرور الشبكة غير طبيعية ، أو مثلاً في حالات شاذة تم تسجيل الدخول على حسابات الموظفيين ، أو التغييرات المشبوهة في الـ Registry  أو الـ System File مثلاً ، فمن خلال هذه الأسئلة، سيتم جمع معلومات التهديد من مصادر مختلفة ضمن الفئات التالية:

    داخلي أو Internal :

    الأحداث الأمنية للشركة مثل تقييمات الضعف وتقارير الاستجابة للحوادث وتقارير التدريب على التوعية السيبرانية ، وسجلات النظام والأحداث أو مايُسمى بالـ System logs and events.

    مجتمعي أو Community :

    مثل مجتمعات الـ Dark web التي تضم الـ Blackhat.

    خارجي أو External :

    الموجزات التي تخص معلومات التهديد (مفتوحة المصدر) تشمل المصادر العامة والبيانات الحكومية والمنشورات ووسائل التواصل الاجتماعي .


التصنيفات أو الـ Classifications  الخاصة في الـ CTI

الهدف من معرفتها وتصنيفها هو فهم العلاقة بين البيئة التشغيلية الخاصة بك وخصمك أو الذي يستهدف جهتك.

يمكننا تقسيم معلومات التهديد إلى التصنيفات التالية :

الذكاء الإستراتيجي أو الـ Strategic Intelligence :

هي تعتبر معلومات عالية المستوى تبحث في مشهد التهديد في المنظمة وتحدد مناطق المخاطر بناءً على هذه التهديدات الناشئة التي قد تؤثر على قرارات العمل.

الإستخبارات التقنية أو الـ Technical Intelligence :

تبحث في الأدلة اليدوية للهجوم الذي يستخدمه الخصم. يمكن لفرق الاستجابة للحوادث استخدام هذه المعلومات لإنشاء الـ Attack Surface لتحليل وتطوير آليات الدفاع ، المقصود بالـ Attack Surface هو يشير إلى جميع النقاط المحتملة التي من خلالها يستطيع أو يتمّكن المستخدم من الدخول الغير المصرح له أو المهاجم يحاول الدخول أو استخراج البيانات من بيئة العمل.

الذكاء التكتيكي أو الـ Tactical Intelligence :

هنا يتم عمل تكتيكات الخصم وتقنياته وإجراءاته أو مايُسمى بالـTactics, Techniques, and Procedures  (TTPs). التي من خلالها يمكن لهذه المعلومات تعزيز الضوابط الأمنية ومعالجة نقاط الضعف من خلال التحقيقات في الوقت الحقيقي.

العمليات الإستخبراتية أو الـ Operational Intelligence :

يتم البحث عن دافع الخصم المحددة ونيته لتنفيذ هجوم.

CTI Lifecycle

يتم الحصول على معلومات التهديدات من خلال عملية دمج البيانات أو مايُسمى بالـ Data-Churning Process التي تحول البيانات الأولية إلى رؤية واضحة للعمل موجهة نحو فرز الحادثة التي تمت. تتبع العملية التحويلية دورة من ست مراحل:

  • في المرحلة الأولى نعتمد على الـ Planning & Direction التخطيط وإلى أين نتجه أو يتطلب كل برنامج معلومات عن التهديدات وتحديد الأهداف والغايات، بما في ذلك تحديد الـ Parameters مثل المعلومات والعمليات التي تتطلب الدفاع عنها والتأثير المحتمل الذي قد يحدث عند فقدان هذه المعلومات أو من خلال إنقطاع العملية ، أيضاً مصادر البيانات والمعلومات التي سيتم إستخدامها في حماية الأدوات والموارد المطلوبة للدفاع عنها ، هذه المرحلة تسمح للمحلل بطرح الأسئلة المتعلقة بالتحقيق في الحادثة.

  • في المرحلة الثانية سنقوم بعملية الجمع أو الـ Collection فبمجرد تحديد الأهداف سيقوم المحلل هينا بجمع البيانات المطلوبة لمعالجتها بإستخدام الموارد الخاصة أو مفتوحة المصدر. ( نظرًا لحجم البيانات التي يواجهها المحللون في هذه المرحلة يوصى بأن تكون العملية بشكل آتوماتكلياً لتوفير الوقت لفرز الأحداث. )

  • في المرحلة الثالثة التحليل أو الـ Analysis بمجرد إكتمال جمع المعلومات، هنا يتم إستخلاص الأفكار، بمعنى قد تتضمن هذه المرحلة قرارات يتم إتخاذ واحدة منها مما يلي التحقيق في التهديد المحتمل من خلال الكشف عن المؤشرات وأنماط الهجوم ، أيضاً تحديد خطة عمل لتفادي الهجوم والدفاع عن البنية التحتية. وأخيراً تعزيز الضوابط الأمنية في جهة العمل الخاصة بك.

  • في المرحلة الرابعة النشر أو مايُسمى بالـ Dissemination هنا يتم عرض المعلومات بلغات وأشكال مختلفة لأصحاب الرأي في الشركة أو مايُسمة بأعضاء C-suite يتم عرض المعلومات لهم على شكل تقرير موجز يغطي الإتجاهات في أنشطة الهجوم الذي تم، والآثار المالية والتوصيات الإستراتيجية.

  • في المرحلة الخامسة الأخير هي الـ Feedback هذه المرحلة النهائية تغطي الجزء الأكثر أهمية، هنا حيث يعتمد المحلل على الإستجابات المقدمة لتحسين عملية استخبارات التهديدات أو مايُسمى بالـ Intelligence Process  وتنفيذ الضوابط الأمنية التي هي بدورها تعنى بالـ Implementation of Security Controls.

CTI Standards & Frameworks

يقصد بالـ CTI Standards & Frameworks هنا المعايير التي تُرشدنا بكيفية توزيع وإستخدام معلومات التهديد..من أشهر الـ Frameworks هو الـ MITRE ATT&CK يعتبر بمثابة قاعدة معرفية لسلوك خصمك ، مع التركيز على المؤشرات والتكتيكات أو مايُسمى بالـ  Indicators والـ Tactics.

كيف نمكَن من تحسين قدرات الموظفين على إكتشاف التهديدات السيبرانية والإستجابة لها ومنعها؟


لدينا مفهومين مهمين في الـ CTI وهو كالتالي :

TAXII

الـ Trusted Automated eXchange of Indicator Information وهو مايُعنى بالـ الذي يحدد التبادل الآتوماتيك الموثوق لمعلومات المؤشر أو الـ Indicator وهي عبارة بروتوكولات لتبادل معلومات التهديد بشكل آمن من أجل الكشف عن التهديدات في الوقت الحالي ومنعها والتخفيف من آثارها. هذا البرتوكول له نموذجين للمشاركة:

الـ Collection أو مايُسمى بالجمع يتم هنا جمع معلومات التهديد وإستضافتها بواسطة المنتج بناءً على طلب المستخدم بإستخدام نموذج الاستجابة للطلب أو الـ  request-response model .

الـ Channel هنا يتم إرسال معلومات التهديد إلى المستخدم من خادم مركزي (central server) من خلال نموذج النشر والإشتراك.

STIX

الـ Structured Threat Information Expression أو مايُسمى بـ تعبير معلومات التهديد المنظم وهي لغة تم تطويرها من أجل "مواصفات معلومات التهديد السيبراني الموحدة والتقاطها وتوصيفها ونقلها". فهو يوفر علاقات محددة بين مجموعات من معلومات التهديد مثل العناصر التي يمكن ملاحظتها، والمؤشرات، وTTPs الخاصة بالخصم..

Cyber Kill Chain

هنا يتم تقسيم مايقوم به الذي يهاجمك إلى خطوات لمساعدة المحلل على تحديد الأنشطة الخاصة بكل مرحلة حدثت عند التحقيق في الهجوم ، وتظهر المراحل المحددة في الصورة أدناه.

  • التكنيك الأول يتضمن الـ Reconnaissance وهي تعني الإستطلاع بمعنى الحصول على معلومات حول الضحية والتكتيكات المستخدمة في الهجوم. مثل : OSINT وعمل الـ Network Scans.

  • التكنيك الثاني يتضمن الـ Weaponisation هنا يتم التسليح بمعنى يتم تصميم البرامج الضارة بناءً على إحتياجات الهجوم ونواياه. مثل : Exploit with a backdoor, malicious office document.

  • التكنيك الثالث يتضمن الـ Delivery بمعنى هذه المرحلة تُركّز على كيفية تسليم البرامج الضارة إلى نظام الضحية. مثل : Email, weblinks, USB.

  • التكنيك الرابع يتضمن الـ Exploitation الإستغلال وهي تعني إختراق نقاط الضعف في نظام الضحية لتنفيذ التعليمات البرمجية وإنشاء مهام مجدولة لتحقيق الثبات أو مايُسمى بالـ persistence. مثل : EternalBlue, Zero-Logon.

  • التكنيك الخامس يتضمن الـ Installation وهي تعني هنا تثبيت البرامج الضارة والأدوات الأخرى للوصول إلى نظام الضحية. مثل : Password dumping, backdoors, remote access trojans.

  • التكنيك السادس يتضمن الـ Command & Control وهي تعني كيفية التحكم عن بعد في النظام المخترق وتقديم برامج ضارة إضافية ورفع الإمتيازات ايضاً. مثل : Empire, Cobalt Strike, etc.

  • التكنيك السابع يتضمن الـ Actions on Objectives وهنا تعني تحقيق الأهداف المقصودة من الهجوم: المكاسب المالية، والتجسس على الشركات، وتسريب البيانات. مثل : Data encryption, ransomware, public defacement.

The Diamond Model

هنا سنستعرض رسم توضيحي نموذج لتحليل التسلل أو الهجوم الذي يركز على أربعة مجالات رئيسية، يمثل كل منها نقطة مختلفة وهم كالتالي :

  • في البداية الخصم أو الـ Adversary ينصب التركيز هنا على الجهة التهديدية أو مايُسمى بالـ Threat Actor التي تقف وراء الهجوم وتسمح للمحلل بتحديد الدافع وراء الهجوم الذي حدث.

  • الأن لدينا الضحية أو الـ Victim وهو الطرف المقابل للخصم ينظر إلى الجميع سواءاً كان فرد أو مجموعة أو منظمة تتأثر بالهجوم. 

  • تأثير الهجوم من المحتمل أن يؤثر على البنية التحتية أو الـ Infrastructure أدوات وأنظمة وبرامج الخصم اللازمة لتنفيذ هجومهم وهي محور التركيز الرئيسي.

  • القدرات أو الـ Capabilities  يتم التركيز هنا على أسلوب الخصم في الوصول إلى هدفه. يبحث هذا في وسائل الاستغلال وTTPs التي تم تنفيذها عبر الجدول الزمني محدد للهجوم.

أحد الأمثلة على هذا النموذج يتضمن خصمًا يستهدف الضحية بإستخدام هجمات التصيد للحصول على معلومات حساسة وتهديد نظامه.

 Practical Analysis

  • كجزء من مرحلة النشر أو الـ Dissemination Phase يتم أيضًا توزيع الـ CTI على المؤسسات التي تستخدم تقارير التهديدات المنشورة. تأتي هذه التقارير من شركات التكنولوجيا والأمن التي تبحث في الـ Threat Vectors المستخدمة بشكل فعّال فهي ذات قيمة لتوحيد المعلومات المقدمة لجميع أصحاب الشركات.

    تأتي بعض تقارير التهديدات البارزة من Mandiant والـ Recorded Future والـ AT&TCybersecurity.

  • كل الأشياء التي ناقشناها تجتمع معًا عند رسم خريطة للخصم بناءً على معلومات التهديد. وللفهم ذلك بشكل أفضل، سنقوم بتحليل مثال مبسط.


سنجيب على الأسئلة التالية :

  • What was the source email address?

  • What was the name of the file downloaded?

  • After building the threat profile, what message do you receive?

  • فيما يخص أول سؤال فهو يسأل عن مصدر الإيميل ، وبالعودة إلى الصورة السابقة سنجد الجواب أن الإيميل الذي وصل لـ John Doe كان من vipivillain@badbank.com

  • فيما يخص السؤال الثاني فهو يسأل عن إسم الملف الذي تم تحميله ، فبالعودة إلى الصورة السابقة سنجد إسم الملف هو  flbpfuh.exe

في البداية حتى نفهم السيناريو لدينا الـ Threat Actor ولدينا الـ Tools المستخدمة وايضاً الـ Targets المستهدف.

  • سنستخرج الـ IP Address الخاص بممثل التهديد نفسه وهو الـ Threat Actor المرقّم بالرقم 1 ، فبالعودة إلى الصورة الأعلى سنجد معلومات مهمة ، فعند التاريخ Sept 10th 2020 ظهرت أو بدأت تدفق الشبكة من الـ IP Address التالي : 91.185.23.222

  • بالذهاب إلى الرقم 2 سنبحث عن الـ Email Address الخاص بالـ Threat Actor فبالعودة إلى الصورة الأعلى سنجد أن الـ Event حدث بتاريخ Sept 10th 2020 عندما وصل إيميل لـ John Doe من vipivillain@badbank.com

  • بالذهاب إلى الرقم 3 سنبحث عن الأداء التي تم زراعة الـ Malware فيها وهي كانت بتاريخ Sept 10th 2020 وإسمها flbpfuh.exe

  • بالذهاب إلى الرقم 4 سنبحث عن حساب المستخدم الذي تم تسجيل الدخول إليه بواسطة الـ Threat Actor وهو حدث بتاريخ Sept 11th 2020 وهو حساب الـ Administrator

  • بالذهاب اخيراً إلى الرقم 5 سنبحث عن من كانت الضحية المستهدفة وهو كان كما مذكور هو John Doe