تعرف علي MITRE ATT&CK Framework
دور MITRE ATT&CK مش بس وقاية (preventive) من الهجمات، لكنه كمان بيساعد في اكتشاف التهديدات (detective) وهيكون مفيد جداً ليك لو انت Penetration testers ومعالجتها (corrective). طب ازاي؟
باختصار، MITRE ATT&CK بيوفر أدوات وطرق عملية لفهم الهجمات السيبرانية، والاستعداد لها، والرد عليها بشكل فعال.
بيتكون من اية؟ 🤔
ببساطة يتكون من جداول تحتوي على تكتيكات (مراحل الهجوم)، وكل تكتيك يضم تقنيات (طرق الاختراق). كل تقنية تشمل وسائل الحماية، وطرق الاكتشاف، وأمثلة من الواقع.
1- Matrices
|
الوصف |
Matrix |
|
الهجمات التي تستهدف أنظمة الشركات مثل Windows, Linux, و Cloud |
Enterprise |
|
الهجمات التي تستهدف الأجهزة المحمولة (Android و iOS) |
Mobile |
|
الهجمات التي تستهدف أنظمة التحكم الصناعية (مثل المصانع أو محطات الطاقة) |
ICS (Industrial Control Systems) |
2- التكتيكات (Tactics)
في المقال، هنعرفك على الـ14 تكتيكات الأساسية (الخطوات اللي بيتبعها المهاجم) اللي موجودة في Enterprise Matrix
1️⃣ الاستطلاع (Reconnaissance) – المراقبة من الظلال
هذا التكتيك بيضم 10 تقنيات (Techniques) هدفها جمع معلومات عن الهدف، زي أسماء الموظفين، عناوين البريد الإلكتروني، أو حتى التكنولوجيا اللي بتستخدمها الشركة.
مثال: الهاكر ممكن يدخل على LinkedIn علشان يعرف مهندسي الشركة، وبعد كده يدور على ثغرات في البرمجيات اللي بيستخدموها.
2️⃣ تطوير الأدوات (Resource Development) – تجهيز الأسلحة قبل المعركة
في هذه المرحلة، المهاجم بيجهز الأدوات اللي هتساعده في الهجوم. التكتيك ده بيشمل 8 تقنيات، زي إنشاء مواقع مزيفة، تطوير برمجيات خبيثة، أو حتى اختراق حسابات قديمة علشان يستخدمها لاحقًا.
مثال: الهاكر يعمل بريد إلكتروني مزيف يشبه بريد مدير الموارد البشرية، ويبعته لموظفين مع ملف خبيث مرفق علشان يخدعهم.
3️⃣ الوصول الأولي (Initial Access) – اقتحام البوابة الأولى
هنا المهاجم بيحاول يدخل النظام لأول مرة. التكتيك ده بيشمل 10 تقنيات، زي التصيد الاحتيالي (Phishing)، استغلال الثغرات الأمنية، أو استخدام بيانات دخول مسروقة.
مثال: موظف بيضغط على رابط تصيد احتيالي، واللي بيسمح للهاكر بتثبيت برنامج خبيث على جهازه.
4️⃣ تنفيذ الأوامر (Execution) – تشغيل أوامر/برامج خبيثة داخل النظام
بعد ما يدخل النظام، المهاجم بيبدأ ينفذ أوامر خبيثة. التكتيك ده بيشمل 14 تقنية، زي تشغيل سكريبتات، استخدام تطبيقات في النظام بطرق غير شرعية، أو تنفيذ أكواد ضارة.
مثال: المهاجم يستغل ملف ماكرو داخل مستند Word مزيف علشان يشغل برمجية خبيثة تمنحه تحكم كامل في الجهاز.
5️⃣ البقاء داخل النظام (Persistence) – زرع الجذور العميقة
المهاجم هنا بيحاول يضمن إنه يقدر يرجع للنظام تاني حتى لو اتخذت إجراءات أمان. التكتيك ده بيشمل 20 تقنية، زي إنشاء حسابات مخفية أو زرع برمجيات بتشتغل تلقائيًا عند تشغيل الجهاز (backdoor).
مثال: الهاكر يعمل مستخدم جديد بصلاحيات مخفية داخل النظام علشان يضمن إنه يقدر يدخل في أي وقت.
6️⃣ تصعيد الصلاحيات (Privilege Escalation) – السيطرة الكاملة
هنا المهاجم بيحاول يزيد صلاحياته داخل النظام علشان يتحكم أكتر. التكتيك ده بيشمل 14 تقنية، زي استغلال ثغرات النظام أو سرقة بيانات دخول المسؤولين.
مثال: المهاجم يكتشف ثغرة تمنحه صلاحيات المسؤول (Admin)، وبكده يتحكم في الشبكة بالكامل.
7️⃣تجنب الاكتشاف (Defense Evasion) – التخفي خلف الأقنعة
هذا التكتيك بيضم 42 تقنية هدفها التخفي وتفادي أنظمة الحماية. المهاجم هنا بيحاول يخفي وجوده داخل النظام علشان مايتكتشفش.
مثال: المهاجم بيستخدم تقنية علشان يعطل برنامج الحماية على الجهاز، وبكده يقدر ينفذ أوامر خبيثة من غير ما يتنبه له أحد.
8️⃣ الوصول إلى بيانات الدخول (Credential Access) – سرقة المفاتيح
هذا التكتيك بيضم 17 تقنية هدفها سرقة بيانات الدخول زي كلمات المرور أو التوكنات. المهاجم هنا بيحاول يوصل لبيانات تمكنه من الدخول لأجزاء مهمة في النظام.
مثال: المهاجم بيستخدم برنامج Keylogger علشان يسجل كلمات المرور اللي بيدخلها الموظفين، وبكده يقدر يدخل على أنظمة الشركة بصلاحيات عالية.
9️⃣ اكتشاف البيئة (Discovery) – رسم الخريطة
هذا التكتيك بيضم 32 تقنية هدفها استكشاف النظام وفهم هيكله. المهاجم هنا بيحاول يعرف إيه الأجهزة والخدمات اللي موجودة في الشبكة علشان يحدد الأهداف المهمة.
مثال: المهاجم بيستخدم أدوات مسح الشبكة علشان يعرف إيه الخوادم اللي موجودة، وبعدين يدور على الملفات المهمة اللي ممكن يستهدفها.
1️⃣0️⃣ التنقل داخل الشبكة (Lateral Movement) – توسيع نطاق السيطرة
بعد ما يدخل النظام، المهاجم بيحاول يتحرك بين الأجهزة الأخرى في الشبكة. التكتيك ده بيشمل 9 تقنية، زي استخدام بيانات اعتماد مسروقة أو التحكم عن بُعد في أنظمة تانية.
مثال: الهاكر يستخدم بيانات دخول أحد المسؤولين علشان يدخل على خوادم الشركة ويوصل لبيانات حساسة.
1️⃣1️⃣ جمع البيانات (Collection) – البحث عن الكنز المخفي
هنا المهاجم بيبدأ يدور على البيانات المهمة داخل النظام. التكتيك ده بيشمل 17 تقنية، زي البحث عن مستندات حساسة، تسجيل ضغطات لوحة المفاتيح، أو التقاط صور من الشاشة.
مثال: الهاكر بنسخ ملفات فيها معلومات البطاقات الائتمانية للعملاء علشان يحللها لاحقًا.
1️⃣2️⃣ التحكم عن بعد (Command and Control) – السيطرة من بعيد
هذا التكتيك بيضم 18 تقنية
هدفها إنشاء قناة اتصال بين المهاجم والنظام المخترق. المهاجم هنا بيحاول
يسيطر على النظام من بعيد ويوجه الأوامر للبرمجيات الخبيثة.
مثال: المهاجم بيستخدم خادم سحابي علشان يتواصل مع البرمجية الخبيثة المثبتة على
جهاز الضحية، وبكده يقدر ينفذ أوامر من غير ما يتنبه له أحد.
1️⃣3️⃣ تهريب البيانات (Exfiltration) – خروج الغنائم من القلعة
بعد ما يجمع البيانات، المهاجم بيحاول ينقلها بره النظام. التكتيك ده بيشمل 9 تقنيات، زي رفع الملفات لخدمات سحابية أو إرسالها عبر قنوات مخفية.
مثال: المهاجم بيستخدم Google Drive علشان يرفع الملفات الحساسة لخادم خارجي ويقدر يوصل ليها في أي وقت.
1️⃣4️⃣ التأثير (Impact) – الضربة القاضية
في المرحلة الأخيرة، المهاجم بيحاول يسبب ضرر كبير للنظام. التكتيك ده بيشمل 14 تقنية، زي تشفير الملفات وطلب فدية، مسح البيانات، أو تعطيل الأنظمة بالكامل.
مثال: المهاجم بيشغل فيروس فدية (Ransomware) بيشفر كل الملفات، وبعدين يطلب من الشركة دفع فدية علشان تسترجعها.
3- التقنيات (Techniques)
االتقنيات (Techniques) عبارة عن الأدوات أو الطرق اللي بيستخدمها المهاجم بالتفاصيل عشان ينفذ كل تكتيك (Tactic) في خطته. بمعني اخر كل تكتيك من ال 14 الموجودين في التكتيكات بيحتوي علي مجموعة من التقنيات اللي بيستخدمها المهاجم في تنفيذ الهجوم.
كل تقنية من دي ليها تفاصيل كتير، وMITRE ATT&CK بيشرحها بشكل منظم. يعني مثلاً:
تعريف التقنية: بيكون واضح ويدل على الهدف منها من خلال الاسم والـ Unique ID والنظام الي بتستهدفه التقنية (مثلاً ويندوز - كلاويد) ورقم النسخة وغيرها (الصندوق الاحمر)
تفاصيل التقنية: وصف للتقنية اللي بيستخدمها المهاجم attack flow (الصندوق البنفسجي)
Procedure Examples: أمثلة حقيقية على كيفية استخدام المهاجمين للتقنيات في الهجمات الفعلية.
Mitigations: الخطوات اللي تقدر تعملها عشان تمنع الهجوم أو تقلل من تأثيره.
- Detection: طرق اكتشاف الهجمات عند استخدام المهاجمين للتقنيات المختلفة.
مميزات آخري بتقدمها MITRE
1- MITRE D3FEND
MITRE ATT&CK مش الإطار الوحيد اللي بتقدمه شركة MITRE. المميز في إطار ATT&CK إنه بيدور حوالين الهجوم وأساليب المهاجمين، وبيوصل في الآخر للحلول (Mitigations) اللي تقدر تحمي نفسك بيها. لكن في إطار MITRE D3FEND، الموضوع مختلف شوية!
D3FEND بيبدأ من نقطة الحلول، يعني بيديك أهم الوسائل الدفاعية (Mitigations) اللي تقدر تستخدمها عشان تحمي نفسك من الهجمات المختلفة. الفكرة هنا إنه بيساعدك تفهم إزاي تقدر تمنع الهجوم من الأساس، بدل ما تنتظر لحد ما يحصل وتعالجه.
2- MITRE Caldera
MITRE Caldera هي أداة مفتوحة المصدر بتساعدك تعمل محاكاة للهجمات السيبرانية، عشان تقدر تختبر دفاعاتك وتقويها. الفكرة هنا إنك بتكون في دور المهاجم (هاكر) لفترة قصيرة، عشان تفهم إزاي الهجمات بتشتغل وبالتالي تكتشف نقاط الضعف في النظام قبل ما يكتشفها هاكر حقيقي. Caldera تعتبر واحدة من الأدوات الأساسية اللي بتستخدمها (Red Teams) داخل المؤسسات عشان تعمل اختبارات مستمرة وأوتوماتيكية على أنظمة المؤسسة.
الخلاصة 🎯
MITRE ATT&CK هو إطار عمل (framework) بيوضح أساليب وتقنيات الهجمات السيبرانية اللي بيستخدمها الهاكرز ومجموعات الـAPT. الإطار ده بيقسم الهجمات لـ تكتيكات (Tactics) وتقنيات (Techniques)، علشان يساعد فرق الأمان على فهم خطوات المهاجمين والاستعداد لها. كل تكتيك بيكون له تقنيات معينة، زي التصيد الاحتيالي أو استغلال الثغرات، وده بيسمح للشركات بتطوير استراتيجيات دفاعية فعالة. باختصار، MITRE ATT&CK هو دليل شامل لفهم الهجمات السيبرانية والرد عليها بذكاء.
