Open Security Collaborative Development هي مبادرة دولية مفتوحة لأخصائيي أمان الكمبيوتر تهدف إلى حل المشكلات الشائعة ونشر المعرفة وتحسين أمان الكمبيوتر بشكل عام.
تم إنشاؤه في خريف عام 2019 بواسطة مشاريع مجانية ودية من مجال أمن المعلومات. يتم تنظيم التنمية المشتركة في شكل سباق لمدة أسبوعين. تم تخصيص أول سباق للكشف عن التهديدات بشكل عام وتحسين قواعد مشروع Sigma بشكل خاص.
لماذا سيجما
مشروع Sigma هو تنسيق توقيع مشترك لأنظمة SIEM. يحتوي على محول يقوم بإنشاء استعلامات بحث لأنظمة SIEM المختلفة ومجموعة من قواعد الاكتشاف التي تنشأ منها هذه الاستعلامات.
بمرور الوقت ، أصبحت مجموعة قواعد مشروع Sigma أكبر مجموعة من قواعد اكتشاف التهديدات التي يحركها المجتمع وأكثرها نضجًا. في ذلك ، يمكنك العثور على قواعد الكشف عن التهديدات ("قواعد الارتباط") للتهديدات الجديدة (على سبيل المثال ، يستغل BlueKeep ) ، وأدوات اختبار الاختراق ( Empire ، Cobalt Strike ) ، والسلوك الضار ( Token سرقة ) ، وأكثر من ذلك بكثير. معظم القواعد مرتبطة بـ MITER ATT & CK .
حتى إذا كنت لا تستخدم Sigma Converter ، يمكنك الاستفادة من مجموعة قواعد الكشف عن التهديدات المحدثة. اشتركت معظم فرق الأمان المتقدمة للحصول على تحديثات لمشروع Sigma على GitHub . هذا وقت رائع للتسجيل إذا لم تقم بذلك بالفعل.
توجد ثغرات ومشاكل في هذا المشروع ، بينما توجد في الوقت نفسه العديد من الدراسات الجديرة بالمجال العام (مثل Hunting for Windows Privilege Escalation / Lateral Movement / Dreditings Dumping ) ، لم تتم إضافة المواد الخاصة بها إلى مستودع المشروع. هذا هو ما قررنا التركيز عليه خلال السباق الأول.
كيف كان ذلك
وأكد حوالي 50 شخص مشاركتهم في العدو. كانت الخطة بسيطة جدا:
- يبدأ سباق العدو لمدة أسبوعين في 21 أكتوبر 2019
- يختار المشاركون المهام من الأعمال المتراكمة أو يقدمون / يطورون تحليلات أخرى
- يعتمد المشاركون على دليل يصف سير العمل
- سيتم فحص النتائج وإضافتها إلى مستودع مشروع Sigma على GitHub
بعد أيام قليلة ، في 24 أكتوبر 2019 ، عقدنا ورشة عمل في مؤتمر hack.lu ، قدمنا مبادرة OSCD ، أوضحنا ما الذي كنا نفعله ولماذا. على الرغم من أن معظم المشاركين المتصلين بالعمل عن بُعد ، فقد قمنا بفحص الوقت في ورشة العمل بشكل مثمر ، حيث كان من الممكن مناقشة القواعد المطورة في وضع المناقشة المباشرة.
في اليوم التالي ، أبلغنا عن النتائج الأولى في ورشة عمل EU MITER ATT & CK في لوكسمبورغ:
وقد حققنا النتيجة المتوقعة (x2) ، على الرغم من حقيقة أنه في نهاية سباق العدو انخفض العدد الفعلي للمشاركين إلى 30 شخصًا.
يؤدي
خلال سباق لمدة أسبوعين ، المشاركون:
- وأضاف 144 سيغما القواعد الجديدة
- تحسين 19 القائمة
- حذف قاعدتين قائمتين (متحللة ووضعتا المنطق في قواعد أخرى أكثر سياقًا)
وبالتالي ، قمنا بزيادة قواعد مجموعة مشروع Sigma بأكثر من 40٪ .
تتوفر قائمة القواعد المضافة في وصف طلب السحب في الفرع الرئيسي لمستودع Sigma على GitHub.
تراكم
على الرغم من أننا حققنا الكثير في العدو الأول ، فقد بقي الكثير من المهام التي لا يمكن حلها بواسطة قواتنا في غضون أسبوعين. قررنا تفصيل الأعمال المتراكمة ونقلها إلى مشكلات مستودع Sigma لمزيد من المعالجة من قبل المجتمع:
نحن مقتنعون بأن الحل المشترك لهذه المشاكل (وغيرها من نفس النوع) هو الحل الأكثر واقعية وسريعة لمشكلة نشر "أدوات الأمان الهجومية" ، والتي تمت مناقشتها بحرارة في الأسابيع الأخيرة.
نحن نسعى جاهدين لضمان أن تغطي قواعد الكشف لدينا مستوى TTP الخاص بهرم الألم ، حتى نتمكن من اكتشاف السلوك الضار ، أيا كانت الأداة المستخدمة. "أدوات الأمان الهجومية" هي أفضل أصدقائنا في البحث وتطوير هذا النوع من القواعد.
شكر
أول OSCD Sprint ما كانت لتحدث بدون ألكساندر دولونوا وفريق مؤتمر hack.lu. لقد قدموا دعمًا للمعلومات ، وهو عبارة عن فتحة في المؤتمر لورشة عمل OSCD ، ساعدت في الحصول على التأشيرة والإقامة. نحن ممتنون جدا لهم على هذا.
أخيرًا وليس آخرًا ، المشاركون في سباق السرعة الذين قاموا بكل العمل:
شكرا لكم جميعا نراكم في سباق المقبل !
عيد ميلاد سعيد وسنة جديدة سعيدة!