נלחם ברעים בצורה מובנית

(של מרקו רוטיני)
16 / 12 / 21

עולם הטכנולוגיה, במיוחד זה של אבטחת הסייבר, מלא כעת בראשי תיבות וראשי תיבות שגורמים לדיאלוג בין מתרגלים במגזר להיראות כמעט שפה זרה.

מטרת מאמר זה היא להבהיר כמה מהם, המתייחסים לכמה יוזמות חשובות של החברה ללא רווח MITER האמריקאי.

הוקם בשנת 1958 כדי לתמוך בממשל הפדרלי במונחים של טכנולוגיות מתקדמות ביחס לנושאי ביטחון לאומי, במהלך למעלה משישה עשורים של קיום, MITER העניק חיים לפרויקטים רבים, ולאחרונה ממלא תפקיד ראשוני בתמיכה בחברות בתחום. אבטחת סייבר עם חמש יוזמות חשובות מאוד.

לפני שמנתחים את ראשי התיבות, מנסים לנתח את תוכנם, חיוני להכיר מושג המייצג חוט משותף מאחורי היוזמות הללו: שרשרת הפשרה או שרשרת ההריגה.

כשמדובר בהתקפות סייבר, נוכחותה של אסטרטגיית תקיפה מבוססת כעת היטב, שמתפתחת עם הזמן בשלבים מאוד ספציפיים.

כפי שכבר איירו אלסנדרו רוגולו ולינו פורסדו במאמר נהדר בחודש מרץ האחרון, זיהוי פעילותו של התוקף מוקדם ככל האפשר בשרשרת הפשרה מאפשר ארגון של אמצעים יעילים ביותר להתמודדות עם המתקפה ולמתן נזקים.

לשם כך, חיוני לזהות את סוג היריב על סמך הטקטיקה, הטכניקות והנהלים בהם נעשה שימוש. והנה התוכן של ראשי תיבות בשימוש תדיר: TTP.

Le טקטיקות הם עוסקים בהבנת המטרה של היריב.

Le טכנישה הם נוגעים לאופן שבו היריב משיג את המטרה.

Le נוהל הם עוסקים באופן שבו הטקטיקה מופעלת.

נושא ה-TTP והחשיבות של היכולת לזהות אותם עסק על ידי אורציו דנילו רוסו. כתבה מעניינת במאי האחרון.

הבנת שרשרת הפשרה וה-TTPs מאפשרת לך להעריך את הערך העצום של חמש יוזמות אבטחת הסייבר העיקריות של MITER.

הראשון - ידוע ופופולרי - מהווה נקודת התייחסות כבר עשרים ושתיים שנה, מגדלור סייבר לנווט בשלל נקודות התורפה הפוגעות בתשתיות ותוכנות מכל הסוגים. אני מדבר על CVE, ראשי תיבות של פגיעויות וחשיפות נפוצות: אוסף מרוכז מבוסס אינטרנט של חורי אבטחה, המאורגן כך שניתן יהיה לחפש במהירות ולחיפוש בהתבסס על קריטריונים שונים.
כדי לתת מושג על העבודה המופלאה שמאחורי יוזמה זו, פשוט תסתכל על הגרף שלהלן שמראה את מגמת הפגיעות שנרשמה לאורך זמן עד לשנה שעברה:

ראשי התיבות השניים המהווים מקור מידע מצוין עבור מגיני סייבר הוא המפורסם מאוד ATT & CK, מה זה אומר טקטיקות, טכניקות וידע נפוץ.

קומנדיום מקוון המייצג בסכמה בנויה היטב ושמישה את הטקטיקה האופיינית של התוקפים, תוך פירוט הטכניקות הנפוצות ביותר עבור כל אחד מהם. כל אחת משתי הקבוצות הללו מספקת הקשר המאפשר מיפוי של הנצפה בשטח.

לדוגמה, נניח שאנו חופרים עמוק יותר בטקטיקה גישה ראשונית, המתאר כיצד תוקף משיג נתיב גישה ראשון לתשתית של הקורבן.

אחת הטכניקות המתוארות בסט זה היא דיוג, של צורותיהם השונות כתבתי במאמר לאחרונה, המנצל הנדסה חברתית באמצעות יישומי תקשורת והודעות. בהקשר זה, נבדלות מספר תתי-טכניקות, כגון Spearphishing Attachment - אשר פוגע בקורבן באמצעות קבצים מצורפים (למשל, הודעות דואר אלקטרוני) חמושים להתנהגות זדונית בעת פתיחתו.

כדי להעמיק את היוזמה המעניינת הזו אני מציין מאמר אחר מאת Orazio Danilo Russo מיוני האחרון המוקדש ליוזמת ATT & CK.

ראשי התיבות השלישיים, בוודאי פחות מוכרים מהשניים הראשונים אך חשוב באותה מידה עבור חימוש הגנת הסייבר, הוא CAR - מורחב ב מאגר סייבר אנליטיקס.

זוהי ספריית ניתוח שימושית מאוד, כלומר מודלים לניתוח נתונים הזמינים הן כפסאודו-קוד והן בהטמעות מעשיות המוכנות לשימוש בפלטפורמות הנפוצות ביותר עבור מתאם נתונים - כגון מערכות SIEM (Security Information & Event Manager).

מאגר זה, שעוצב על פי מטריצת ATT & CK לזיהוי של TTP מנוגדים, מורכב מאלמנטים המכילים את המאפיינים הייחודיים של האירועים המורכבים שאנו רוצים לזהות. דוגמה אחת היא כתיבת קבצי אצווה לספריית Windows System32: למרות שקבצי אצווה אינם זדוניים בפני עצמם, נדירים במיוחד שהם נוצרים בספריית המערכת לאחר התקנת מערכת ההפעלה.

כדי לעקוב אחר התרחשותו, פשוט עיין בדף CAR המוקדש לאירוע זה בקישור CAR-2021-05-002 לקבל את כל המודולים עבור פלטפורמות שונות.

יוזמה רביעית שאנו שוקלים היא ENGAGE: זה לא ראשי תיבות אלא מינוח מושגי. הרעיון הוא לספק מתודולוגיה לניתוח ותכנון פעולות נגד, להונות ולהסיט את היריב.

על ידי עיבוד התנהגויות התוקפים שנצפו בשטח, ENGAGE מאפשר לך לפעול בשלוש רמות:

להבין כיצד הסטייה, ההטעיה והניגוד של התוקף יכולים להיכנס לאסטרטגיית הסייבר של ארגון

איך להתמודד עם התוקף

להבין כיצד כלי הטעיית סייבר הנמצאים בשימוש על ידי ארגון מתאימים לאסטרטגיות של MITER ENGAGE.

יוזמת AEP, ראשי תיבות שפירושו תוכנית הדמיית יריב.

רשמית משאב ATT & CK, הוא מייצג קבוצה של מסמכים למודל של פעילויות בדיקת חוסן התקפה המבוססות על אסטרטגיות המשמשות קבוצות מוכרות.

בדרך זו, חברות יוכלו לבחון את מערכות ההגנה שלהן ממש כאילו הן ממוקדות בפועל על ידי שחקנים בנוף איומי הסייבר.

התרשים (תמונה) ממחיש כיצד יתבצעו השלבים השונים של הבדיקה הזו, מתוך רצון לדמות את הפעילות של השחקן המכונה APT3 - קבוצת תקיפה סינית המוכרת מאז 2015.

חימוש הגנות ארגון על מנת להגביר הן את בשלותו בסביבת הסייבר בכל הנוגע למניעה ולתיקון, והן את חוסנו ביחס למהירות הגילוי והתגובה לחריגות יכולה להיות פעילות מורכבת מאוד.

הבנת הערך העצום של יוזמות MITER אלה וכיצד לשלב אותן עם התהליכים והמשאבים שכבר קיימים היא חשובה ביותר כדי להפחית את המורכבות הזו בצורה יעילה מאוד.