إطار MITRE ATT&CK framework

يرمز ATT&CK في MITRE ATT&CK إلى الأساليب والتقنيات والمعرفة العامة العدائية.

يُصنّف MITRE ATT&CK أساليب وتكتيكات وإجراءات المخترقين (TTPs) عبر كل مرحلة من مراحل دورة حياة الهجوم الإلكتروني — بدءًا من سلوكيات جمع المعلومات والتخطيط الأولية، وصولًا إلى التنفيذ الفعلي للهجوم. يمكن أن تساعد المعلومات الواردة في MITRE ATT&CK فرق الأمن الإلكتروني في ما يلي:

• محاكاة الهجمات الإلكترونية بدقة لاختبار دفاعات الأمن الإلكتروني؛

• تصميم سياسات وضوابط أمنية وخطط استجابة للحوادث تكون أكثر فاعلية؛

• اختيار تقنيات الأمن الإلكتروني وتهيئتها بشكل أفضل لاكتشاف التهديدات ومنعها والتخفيف من آثارها.

إضافة إلى ذلك، توفّر التصنيفات التي يقدّمها MITRE ATT&CK لتكتيكات وتقنيات وتحت تقنيات المخترقين (كما سيُذكر أدناه) لغة موحدة يستخدمها المتخصصون في الأمن الإلكتروني لتبادل المعلومات حول التهديدات والتعاون في منعها.

لا يُعتبر MITRE ATT&CK برنامجًا في حد ذاته. لكن العديد من حلول الأمن الإلكتروني المؤسسية — مثل: تحليلات سلوك المستخدم والكيانات (UEBA) والكشف والاستجابة الموسع (XDR) وتنسيق الأمن والأتمتة والاستجابة (SOAR) وإدارة المعلومات والأحداث الأمنية (SIEM)- يمكنها دمج معلومات التهديدات من MITRE ATT&CK لتحديث وتعزيز قدراتها في اكتشاف التهديدات والاستجابة لها.

تولى تطوير MITRE ATT&CK مؤسسة MITRE غير الربحية، ويجري صيانته عليه وتحديثه بالتعاون مع مجتمع عالمي من المتخصصين في الأمن الإلكتروني.

تنظم مصفوفات MITRE ATT&CK الأساليب وتقنيات الخصم (والتقنيات الفرعية) في مصفوفات. وتشمل كل مصفوفة تكتيكات وتقنيات تتعلّق بهجمات في مجالات معينة:

يمثل كل أسلوب في MITRE ATT&CK هدفًا معينًا يسعى المخترق إلى تحقيقه في لحظة معينة من الهجوم. تتوافق أساليب ATT&CK بشكل وثيق مع مراحل الهجوم الإلكتروني أو مراحله الفرعية. فعلى سبيل المثال، تشمل أساليب ATT&CK الواردة في مصفوفة المؤسسات (Enterprise Matrix) ما يلي:

• الاستطلاع (Reconnaissance): جمع المعلومات لأغراض التخطيط للهجوم.

• تطوير الموارد (Resource development): بناء الموارد لدعم عمليات الهجوم.

• الوصول الأولي (Initial access): اختراق النظام أو الشبكة المستهدفة.

• التنفيذ (Execution): تشغيل برمجيات ضارة أو تنفيذ تعليمات برمجية ضارّة على النظام المخترق.

• الاستمرارية (Persistence): الحفاظ على الوصول إلى النظام المُخترق، حتى في حال إعادة التشغيل أو إعادة التهيئة.

• تصعيد الامتيازات (Privilege Escalation): الحصول على صلاحيات أعلى (مثل الترقية من مستخدم عادي إلى مسؤول نظام).

• التخفي من الدفاعات (Defense Evasion): تجنب الاكتشاف بمجرد الدخول إلى النظام.

• الوصول إلى بيانات الاعتماد (Credential Access): سرقة أسماء المستخدمين وكلمات المرور وبيانات تسجيل الدخول الأخرى.

• الاكتشاف (Discovery): دراسة بيئة الهدف لفهم الموارد التي يمكن الوصول إليها أو التحكم بها لدعم الهجوم المخطّط له.

• التحرك الجانبي (Lateral Movement): الوصول إلى موارد إضافية داخل النظام.

• جمع البيانات (Collection): تجميع البيانات المرتبطة بهدف الهجوم (مثل البيانات المراد تشفيرها أو نقلها كجزء من هجوم برمجيات الفدية).

• التحكم والقيادة (Command and Control): إنشاء قنوات اتصال سرية تتيح للمخترق التحكم في النظام.

• النقل غير المصرح للبيانات (Exfiltration): سرقة البيانات من النظام.

• التأثير (Impact): تعطيل أو إتلاف أو تخريب البيانات أو العمليات التجارية.

تجدر الإشارة إلى أن الأساليب والتقنيات تختلف من مصفوفة إلى أخرى (وكذلك من مصفوفة فرعية لأخرى). فعلى سبيل المثال، مصفوفة الأجهزة المحمولة (Mobile Matrix) لا تتضمن أساليب "الاستطلاع" و"تطوير الموارد"، لكنها تشمل أساليب أخرى مثل تأثيرات الشبكة (Network Effects) وتأثيرات الخدمات عن بُعد (Remote Service Effects)، والتي لا توجد في مصفوفة المؤسسات.

إذا كانت أساليب MITRE ATT&CK تمثل ما يسعى المخترق إلى تحقيقه، فإن تقنيات MITRE ATT&CK تمثل كيفية تنفيذ ذلك الهدف. فعلى سبيل المثال، الاختراق عبر التصفح (Drive-by Compromise) والتصيّد الموجّه (Spear Phishing) هما مثالان على تقنيات الوصول الأولي، بينما يُعد استخدام التخزين غير القائم على الملفات (Fileless Storage) مثالًا على تقنيات التخفي من الدفاعات.

توفر قاعدة المعرفة المعلومات التالية لكل تقنية:

• وصف ونظرة عامة على هذه التقنية.

• أي تقنيات فرعية معروفة مرتبطة بهذه التقنية. على سبيل المثال، تتضمن التقنيات الفرعية للتصيد الاحتيالي التصيد الموجّه عبر المرفقات، والتصيد الموجّه عبر الروابط، والتصيد الموجّه عبر الخدمات. حتى تاريخ كتابة هذا النص، توثق MITRE ATT&CK 196 تقنية فردية و411 تقنية فرعية.

• أمثلة على الإجراءات ذات الصلة. يمكن أن يشمل ذلك الطرق التي تستخدم بها مجموعات الهجوم هذه التقنية ، أو أنواع البرامج الضارة المستخدمة لتنفيذ التقنية.

• استراتيجيات التخفيف (Mitigations) - ممارسات أمنية (مثل تدريب المستخدمين)، أو أدوات برمجية (مثل برامج مكافحة الفيروسات، أو أنظمة منع التسلل) قادرة على منع التقنية أو التعامل معها.

• طرق الاكتشاف (Detection Methods): وتشمل عادة بيانات السجلات أو مصادر بيانات النظام التي يمكن لفرق الأمن أو برامج الحماية مراقبتها بحثًا عن أدلة على استخدام التقنية.

يُقدّم MITRE ATT&CK عدة طرق أخرى للاطلاع على قاعدة المعرفة والتفاعل معها. بدلًا من البحث في الأساليب والتقنيات عبر المصفوفات، يمكن للمستخدمين البحث استنادًا إلى ما يلي:

• مصادر البيانات— فهرس يحتوي على جميع سجلات البيانات أو مصادر بيانات النظام ومكوناتها، والتي يمكن لفرق الأمن أو برامج الحماية مراقبتها لاكتشاف أدلة على تقنيات هجوم محتملة.

• استراتيجيات التخفيف—فهرس يضم جميع استراتيجيات التخفيف المشار إليها في قاعدة المعرفة. ويمكن للمستخدمين التعمّق لمعرفة أي التقنيات تستهدفها كل استراتيجية تخفيف.

• المجموعات—فهرس يضم مجموعات المخترقين والأساليب والتقنيات التي يستخدمونها في الهجمات. حتى لحظة كتابة هذا النص، وثّق MITRE ATT&CK 138 مجموعة.

• البرمجيات—فهرس يضم البرمجيات أو الخدمات الضارة (بلغ عددها 740 في وقت كتابة هذا النص) التي قد يستخدمها المخترقون لتنفيذ تقنيات محددة.

• الحملات—قاعدة بيانات تُوثّق الحملات الإلكترونية أو حملات التجسس الإلكتروني، وتتضمن معلومات عن المجموعات التي أطلقتها، والتقنيات والبرمجيات التي استخدمتها.

يُعد MITRE ATT&CK Navigator أداة مفتوحة المصدر تتيح البحث والتصفية والتعليق وتقديم البيانات المستخرجة من قاعدة المعرفة. يمكن لفرق الأمن استخدام ATT&CK Navigator لتحديد ومقارنة الأساليب والتقنيات التي تستخدمها مجموعات تهديد محددة، أو تحديد البرمجيات المستخدمة لتنفيذ تقنية معيّنة، أو ربط استراتيجيات التخفيف بالتقنيات ذات الصلة، وغير ذلك.

يمكن تصدير نتائج ATT&CK Navigator بصيغ JSON، أو Excel، أو SVG (لعرضها في العروض التقديمية). كما يمكن استخدام الأداة عبر الإنترنت (مستضافة على GitHub)، أو تنزيلها محليًا على جهاز كمبيوتر.

يدعم MITRE ATT&CK عددًا من الأنشطة والتقنيات التي تعتمد عليها المؤسسات لتعزيز عملياتها الأمنية وتحسين وضعها الأمني بشكل عام.

فرز التنبيهات، واكتشاف التهديدات، والاستجابة لها. تُعد المعلومات المتوفرة في MITRE ATT&CK ذات قيمة عالية في فرز وترتيب أولويات التنبيهات الأمنية الناتجة عن البرامج والأجهزة داخل الشبكات المؤسسية. في الواقع، تستطيع العديد من حلول الأمن المؤسسية — بما في ذلك إدارة المعلومات والأحداث الأمنية (SIEM)، وتحليلات سلوك المستخدم والكيانات (UEBA)، وكشف نقطة النهاية والاستجابة لها (EDR)، والكشف الموسّع والاستجابة (XDR) — استيعاب معلومات التهديدات من MITRE ATT&CK واستخدامها لفرز التنبيهات، وتعزيز معلومات استخبارات التهديدات من مصادر أخرى، وتشغيل خطط الاستجابة للحوادث أو تنفيذ استجابات تلقائية للتهديدات.

صيد التهديدات. يعد صيد التهديدات تمرينًا أمنيًا استباقيًا يبحث فيه المحللون عن التهديدات التي تجاوزت ضوابط الأمن الإلكتروني الحالية. توفّر معلومات MITRE ATT&CK حول أساليب وتقنيات وإجراءات المخترقين مئات النقاط التي يمكن استخدامها كنقطة انطلاق أو استكمال لعمليات صيد التهديدات.

اختبارات الفرق الحمراء / محاكاة الخصوم (Red Teaming/Adversary Emulation).يمكن لفرق الأمن استخدام المعلومات الواردة في MITRE ATT&CK لمحاكاة هجمات إلكترونية واقعية. وتساعد هذه المحاكاة على اختبار فاعلية السياسات الأمنية والممارسات والحلول المستخدمة، وتحديد الثغرات التي تحتاج إلى معالجة.

تحليل فجوات الأمان وتقييم نضج مركز عمليات الأمن (SOC) يُقارن تحليل فجوات الأمان بين ممارسات وتقنيات الأمن الإلكتروني الحالية للمؤسسة والمعايير السائدة في القطاع. أما تقييم نضج مركز عمليات الأمن (SOC)، فيقيس مستوى نضج المركز بناءً على قدرته على التصدي أو التخفيف من التهديدات أو الهجمات الإلكترونية باستمرار، وبأقل تدخل يدوي ممكن أو دون تدخل على الإطلاق. وفي كلا الحالتين، يُمكن أن تساعد بيانات MITRE ATT&CK المؤسسات على تنفيذ هذه التقييمات باستخدام أحدث المعلومات حول أساليب وتقنيات التهديدات الإلكترونية واستراتيجيات التخفيف منها.

مثل MITRE ATT&CK، يقوم Cyber Kill Chain من شركة Lockheed Martin بنمذجة الهجمات الإلكترونية كسلسلة من أساليب الخصوم. حتى أن بعض هذه الأساليب تحمل الأسماء نفسها. لكن أوجه التشابه تنتهي عند هذا الحد.

يُعد Cyber Kill Chain إطارًا وصفيًا أكثر من كونه قاعدة معرفة. وهو أقل تفصيلًا بكثير من MITRE ATT&CK. يغطي فقط سبع (7) أساليب — الاستطلاع، والتسليح، والتوصيل، والاستغلال، والتثبيت، والتحكم والقيادة، وتنفيذ الأهداف — مقارنةً في حين يغطي MITRE ATT&CK 18 أسلوبًا (بما في ذلك الأساليب الخاصة بمنصات الأجهزة المحمولة ومنصات ICS فقط). ولا يوفّر نماذج منفصلة للهجمات على منصات الأجهزة المحمولة أو منصات ICS. كما أنه لا يُصنّف أي معلومات تقارب مستوى التفاصيل الخاصة بالأساليب والتقنيات والإجراءات في MITRE ATT&CK.

ويكمن الفارق الأهم في أن Cyber Kill Chain يستند إلى افتراض مفاده أن أي هجوم إلكتروني يجب أن يُنجز أساليب الخصوم بالتسلسل كي ينجح، وأنّ تعطيل أي من هذه الأساليب كفيل بـ "كسر سلسلة القتل" ومنع الخصم من بلوغ هدفه النهائي. أما MITRE ATT&CK فلا يتبع هذا النهج؛ بل يركّز على مساعدة المتخصصين في الأمن الإلكتروني على تحديد ومنع أو التخفيف من آثار كل أسلوب وتقنية خصومية على حدة، أيًا كان السياق الذي ظهرت فيه.