مفهوم Pyramid of Pain الخاص باستخبارات التهديدات السيبرانية CTI

ما هو مفهوم Pyramid of Pain ؟
تم صياغة هذا المفهوم من أجل مساعدة وتسهيل الفهم بالنسبة لعمليات استخبارات التهديدات . بواسطة pyramid of pain يمكننا تقييم فعالية برنامج استخبارات التهديدات بشكل موضوعي وتحديد طرق التحسين . أنشأ David Bianco خبير الأمن السيبراني وصيد التهديدات السيبرانية مفهوم Pyramid of Pain في عام 2013.

وصف مفهوم Pyramid of Pain.
يوضح هذا الرسم التخطيطي البسيط العلاقة بين أنواع المؤشرات التي قد تستخدمها لاكتشاف أنشطة الخصم ومقدار الألم الذي ستسببه لهم عندما تكون قادرًا على كشف المؤشرات التي يتم استخدامها من طرفهم وهذا يساعد على كشفهم وإحباط هجماتهم بشكل مسبق. فيما يلي سنقوم بشرح جميع الخطوات التي يحتويها الهرم من أجل الفهم بشكل معمق أكثر ودمجها بعملياتنا الاستخباراتية من أجل كشف التهديدات السيبرانية لمجموعات الاختراق المتقدمةAPT .

Hash Values : أو كما نطلق عليها بالعربي قيم التجزئة SHA1 أو MD5 أو أي تجزئات أخرى مماثلة تتوافق مع ملفات معينة مشبوهة أو ضارة. غالبًا ما تُستخدم قيم التجزئة لتوفير مراجع فريدة لعينات محددة من البرامج الضارة أو الملفات المتضمنة في عملية اختراق. دعونا نبسط الأمر لربما تستخدم مجموعات الاختراق بشن هجومها ملف ضار يسمي APT.php وكما نعرف لكل ملف يتم إنشاءه قيمة ولنفترض قيمة هذا الملف aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d وبالتالي يتم دمج هذه القيم داخل برامج المؤسسة بأنها تابعة لمجموعة معينة تقوم بنشاط مشبوه وعلى هذا يتم كشفه فيما بعد بصورة تلقائية.

IP Addresses: كما نعرفه بالعربي عناوين برتوكولات الأنترنت وهنا نكشف عن جميع عنوان البرتوكولات التي استخدمها القراصنة في الهجوم . يتضمن هذا أي عنوان سواء الخوادم المستخدمة من طرفهم أو أي اتصال تم رصده.

Domain Names: وهو أسماء المجالات أو النطاقات. هذه أصعب في التغيير من عناوين IP لأنه يتم حجزه وتسجيله في بعض الخدمات ويعطي معلومات إضافية حول الشخص الذي قام بحجز عنوان النطاق.

Network Host Artifact: وهي الدلائل والأثار التي تتم على مضيف الشبكة وعادة ما تكون عبارة عن أدوات وبرامج استخدمها المهاجمين في تنفيذ الهجوم على الشبكة .على سبيل المثال إذا كانت أداة استطلاع Recon HTTP الخاصة بالمهاجم تستخدم سلسلة وكيل User-Agent تحوي على مؤشرات مميزة وهنا عند البحث في محتوى الويب الخاص بك (على سبيل المثال ، من خلال مسافة واحدة أو فاصلة منقوطة ، أو ربما وضعوا اسمهم فقط أو اسم يدل على مجموعتهم، هنا يمكن اكتشاف عناصر المضيف عند التركيز على سلسلة وكيل المستخدم في سجلات خادم الويب. مثال أخر يمكن تكون هذه في شكل معلومات القيادة والتحكم للخوادم التي يتم استخدامها من طرف المهاجمين(C2) ، أنماط URL ، الأدلة ، الملفات ، وكائنات التسجيل ، أسماء DLL أو أسماء EXE وما إلى ذلك. يمكن لفرق الأمان والتحقيق في مراكز العمليات الامنية الاستفادة من معلومات التهديد لكشف عناصر الشبكة / المضيف للمهاجم.

Tactics, Techniques & Procedures (TTPs) : وهي بالترتيب التكتيكات ، التقنيات والإجراءات. TTPs تحدد تقنيات وسلوك المهاجم بناءً على تكتيكاته وتوضح الإجراءات والأساليب المتبعة من طرف مجموعات الاختراق المتقدمة. يساعد سلوك الهجوم فرق الأمن في مراكز العمليات الأمنية على التحقيق في الهجوم والرد عليه. يكافح المهاجمون لتحقيق أهدافهم عندما يتم التعامل مع الهجمات باستخدام TTPs.

إطار MITER ATT & CK لتكتيكات وتقنيات وإجراءات الخصم يساعد بشكل كبير على لفهم تقنيات وتكتيكات مجموعات الاختراق المتقدمة حيث تعمل معلومات التهديدات ATT & CK البديهية على تحسين عملية البحث عن التهديدات من خلال فهم كيفية عمل المتسللين وهذا الإطار متوفر بشكل مفتوح المصدر لأي باحث أمني وكنا قد تحدثنا عنه سابقاً في سلسلة مقالات مراكز العمليات الأمنية على المدونة.