Geekly articles weekly

الاستخبارات التهديد - نهج حديث لأمن المعلومات

تخيل أنك أتيت إلى العمل ، وشغّل الكمبيوتر وشاهد أن موقع شركتك على الويب لا يعمل ، وأن البضائع عالقة في الجمارك ولا يمكنها الوصول إلى المستودع. وحتى على شاشة الكمبيوتر ، قام شخص غير مألوف بتقديم صورة مضحكة. يأتيك محاسب ويبلغك أنه تم سحب جميع الأموال من الحسابات ، وأن بياناتك الشخصية تسعد الإنترنت بالكامل بوجودها. تأخذ فنجانًا من القهوة وتذهب إلى النافذة ، وعبر الطريق تطلق شركة مجاورة بالفعل منتجاتك الفريدة من نوعها. لذا طارت زوجتك الجميلة بعيدًا مع منافس أكثر نجاحًا. عند هذه النقطة ، يأتي الفهم - لقد تم اختراقك.


ولكن تم تحذيرك - كان من الضروري وضع TI. لكن أولاً ، دعنا نرى كيف يعمل ويحمي.


الاستخبارات التهديد - المخابرات السيبرانية مهمتها الحصول على البيانات وتحليلها حول التهديدات الحالية من أجل التنبؤ بالهجمات المحتملة ومنعها.


تتكون ذكاء التهديدات من المراحل التالية: جمع وتراكم البيانات حول التهديدات من مصادر مختلفة في نظام واحد ، إثراءها وتحليلها وتطبيق المعرفة المكتسبة.


جمع البيانات وتراكمها


يتم جمع بيانات التهديد باستخدام الأنظمة التالية:


البحث عن الروبوتات - أنظمة لجمع المعلومات حول المواقع الموجودة على الإنترنت ؛


Sandbox - بيئة معزولة للتنفيذ الآمن للشفرة المشبوهة من أجل الكشف عن البرامج الضارة وتحليلها ؛


مراقبة شبكات الروبوتات - شبكات الكمبيوتر تحت سيطرة خادم إدارة المهاجم ؛


Honeypot - جزء من الشبكة مخصص للمهاجم كطعم ، منفصل عن الشبكة الآمنة الرئيسية للمنظمة ؛


أجهزة الاستشعار هي برامج وكيل تجمع معلومات مفيدة من أجهزة مختلفة.


أيضا ، يتم تحديث قاعدة البيانات بقواعد بيانات للتسريبات - معلومات حساسة دخلت مصادر مفتوحة بشكل غير قانوني. يمكن أن يكون هذا بيانات اعتماد من الأنظمة والخدمات وعناوين البريد الإلكتروني ومعلومات بطاقة الائتمان وكلمات المرور.


من مصادر OSINT المفتوحة ، تأتي الخلاصات (البيانات المحللة المنظمة) - بيانات حول عناوين IP والمجالات التي يتم من خلالها توزيع الملفات الضارة ، وعيناتها وتجزئتها ؛ قوائم مواقع التصيد والعناوين البريدية لمرسلي رسائل البريد الإلكتروني للتصيد ؛ نشاط خوادم C&C (القيادة والتحكم) ؛ العناوين التي يتم من خلالها فحص الشبكات لغرض الجرد والكشف عن إصدارات النظام ولافتات الخدمة ونقاط الضعف ؛ عناوين IP التي تتم منها هجمات الوحشية ؛ يارا توقيعات للكشف عن البرامج الضارة.


يمكن العثور على معلومات مفيدة على مواقع المراكز التحليلية و CERT ومدونات الباحثين المستقلين: نقاط الضعف المكتشفة وقواعد الكشف عنها ووصف التحقيقات.


يتلقى المحللون في عملية التحقيق في الهجمات المستهدفة عينات من الملفات الضارة ، وتجزئة ، وقوائم عناوين IP ، والمجالات ، وعناوين URL التي تحتوي على محتوى غير شرعي.


يتلقى النظام أيضًا بيانات حول نقاط الضعف المكتشفة في البرامج والهجمات من الشركاء والموردين والعملاء.


يتم جمع المعلومات من SZI: مضادات الفيروسات ، IDS / IPS ، جدار الحماية ، جدار حماية تطبيق الويب ، أدوات تحليل حركة المرور ، أدوات تسجيل الأحداث ، أنظمة حماية الوصول غير المصرح بها ، إلخ.


يتم تجميع جميع البيانات التي تم جمعها داخل منصة واحدة ، مما يسمح بإثراء وتحليل ونشر المعلومات حول التهديدات.


إثراء البيانات


يتم استكمال المعلومات التي تم جمعها حول تهديدات محددة بمعلومات سياقية - اسم التهديد ووقت الكشف والموقع الجغرافي ومصدر التهديد والظروف والأهداف والدوافع للمهاجم.


أيضًا في هذه المرحلة ، يتم التخصيب - إثراء البيانات - الحصول على سمات إضافية ذات طبيعة تقنية للهجمات المعروفة بالفعل:


  • URL
  • عناوين IP
  • المجالات
  • بيانات Whois
  • نظام أسماء النطاقات السلبي
  • GeoIP - معلومات جغرافية حول عنوان IP
  • عينات من الملفات الخبيثة وتجزئتها
  • المعلومات الإحصائية والسلوكية - الأساليب والتكتيكات وإجراءات الهجوم

التحليل


في مرحلة التحليل ، يتم الجمع بين الأحداث والسمات المتعلقة بهجوم واحد وفقًا للمعايير التالية: الموقع الإقليمي ، والفترة الزمنية ، والقطاع الاقتصادي ، والجماعة الإجرامية ، وما إلى ذلك.


يتم تحديد العلاقة بين الأحداث المختلفة - الارتباط.


عند العمل مع الخلاصات ، يتم اختيار مصدر الخلاصات اعتمادًا على تفاصيل الصناعة ؛ أنواع الهجمات ذات الصلة بشركة معينة ؛ وجود سمات و IOCs التي تغطي المخاطر التي لا تغطيها قواعد أنظمة الأمن. ثم يتم تحديد قيمة الخلاصة ويتم تحديد أولوياتها بناءً على المعلمات التالية:


  • مصادر بيانات الخلاصة - من الممكن أن يكون هذا المصدر عبارة عن تجميع للبيانات من مصادر OSINT ولا يقدم أي تحليلات خاصة.
  • الملاءمة - حداثة و "نضارة" البيانات المقدمة. يجب أن تؤخذ معلمتان في الاعتبار: يجب أن يكون الوقت من لحظة اكتشاف الهجوم إلى توزيع الخلاصة مع بيانات التهديد في حده الأدنى ؛ يجب على المصدر تسليم الخلاصات على تردد يضمن تحديث معلومات التهديد.
  • التفرد - كمية البيانات غير الموجودة في الخلاصات الأخرى. مقدار التحليلات التي توفرها الخلاصة.
  • التواجد في مصادر أخرى. للوهلة الأولى ، قد يبدو أنه إذا تم العثور على سمة أو IOC (مؤشر التسوية) في الخلاصات من عدة مصادر ، يمكنك زيادة مستوى الثقة. في الواقع ، يمكن لبعض مصادر الخلاصات استخلاص البيانات من نفس المصدر ، حيث يمكن التحقق من المعلومات.
  • اكتمال السياق المقدم. مدى جودة فرز المعلومات ، سواء كانت أهداف الهجوم ، أو قطاع الاقتصاد ، أو المجموعة الإجرامية ، أو الأدوات المستخدمة ، ومدة الهجوم ، وما إلى ذلك.
  • جودة (حصة الإيجابيات الكاذبة) لقواعد SIS استنادًا إلى البيانات من الخلاصة.
  • أداة البيانات - قابلية تطبيق بيانات الخلاصة في تحقيقات الحوادث.
  • نسق توفير البيانات. يتم أخذ راحة معالجة وأتمتة تحميلها في النظام الأساسي في الاعتبار. هل يدعم النظام الأساسي المحدد لـ Threat Intelligence التنسيقات المطلوبة؟ هل يُفقد جزء من البيانات.

تُستخدم الأدوات التالية لتصنيف البيانات من الخلاصات:


  • العلامات
  • التصنيفات - مجموعة من المكتبات المصنفة حسب عمليات الهجوم ، وانتشار التهديدات ، وتبادل البيانات ، إلخ. على سبيل المثال ، ENISA ، CSSA ، VERIS ، Diamond Model ، Kill Chain ، CIRCL ، MISP لها تصنيفات خاصة بها.
  • التجمع عبارة عن مجموعة من المكتبات المصنفة بعلامات ثابتة من التهديدات والهجمات. على سبيل المثال ، قطاعات الاقتصاد ؛ الأدوات والمآثر المستخدمة ؛ TTP (التكتيكات والأساليب والإجراءات) ، مراحل وطرق الاختراق والتشغيل والتوحيد في النظام ، بناءً على مصفوفة ATT و CK.

يحدد المحللون تكتيكات وتقنيات وإجراءات المهاجمين ، ويفرضون البيانات والأحداث على نموذج التسلل إلى النظام ويبنون سلسلة الهجوم. من المهم صياغة نظرة عامة للهجوم ، مع مراعاة البنية المعقدة للنظام المحمي والعلاقات بين المكونات. تؤخذ في الاعتبار إمكانية وقوع هجوم متعدد المراحل ، مما سيؤثر على العديد من المضيفين ونقاط الضعف.


التطبيق


استنادًا إلى العمل الذي تم تنفيذه ، يتم تنفيذ التنبؤ - يتم تحديد اتجاهات الهجوم المحتملة ، ومنهجية مع مراعاة تفاصيل الصناعة ، وتحديد الموقع الجغرافي ، والأطر الزمنية ، والأدوات المحتملة ودرجة العواقب المدمرة. يتم تحديد التهديدات المحددة وفقًا للأضرار المحتملة أثناء تنفيذها.


تسمح لك معلومات Threat Intelligence باكتشاف تسريبات بيانات المؤسسة الحساسة التي سقطت على الإنترنت والتحكم في مخاطر العلامة التجارية - مناقشة خطط الهجوم على منتديات Darknet ، والاستخدام غير المشروع للعلامة التجارية في شركات التصيد ، والكشف عن الأسرار التجارية واستخدامها من قبل المنافسين.


يتم استخدام قاعدة المعرفة المجمعة لكتابة قواعد الكشف عن الهجوم لنظام SIS ، للرد بسرعة على التهديدات داخل SOC والتحقيق في الحوادث.


يقوم المتخصصون بتحديث نموذج التهديد وإعادة تقييم المخاطر فيما يتعلق بالظروف المتغيرة.


الخلاصة


يسمح لك هذا النهج المتكامل بمنع الهجمات في مرحلة محاولات اختراق نظام المعلومات.


يتم تضمين منصة لجمع وتحليل المعلومات حول التهديدات الأمنية في متطلبات FSTEC (الفقرة 24) عند تقديم خدمات SOC. علاوة على ذلك ، يمكن أن تساعد "الاستخبارات التهديد" في تبادل المعلومات التهديد داخل الدولة SOPCA.


يتيح استخدام خبرة محترفي الاستخبارات الإلكترونية في جمع بيانات التهديد وتحليلها وتطبيقها لوحدات تنظيم الدولة جلب حماية معلومات الشركة إلى المستوى الحديث المناسب.

Source: https://habr.com/ru/post/ar427129/

More articles:


All Articles