مؤشرات الهجوم على المنظمات IOA

تم تصميم مؤشرات الهجوم (IOAs) لتحديد نية المهاجم ، بغض النظر عن البرامج الضارة أو الاستغلال المستخدم في الهجوم. لا يمكن لتقنية الكشف القائمة على IOC مثل توقيعات AV أن تحدد المخاطر المتزايدة للتوغلات الخالية من البرامج الضارة وثغرات يوم الصفر.

ما هو مؤشر الاشتباه (IOC)؟

في مجال الطب الشرعي ، يُعرّف مؤشر الاشتباه (IOC) بشكل عام على أنه دليل على جهاز كمبيوتر يشير إلى تعرض أمان الشبكة للخطر. غالبًا ما يجمع المحققون هذه البيانات بعد إخطارهم بانتظام بنشاط مشبوه أو عند اكتشاف عمليات استدعاء غير متوقعة للشبكة. من الناحية المثالية ، يتم جمع هذه البيانات من أجل تطوير أنظمة "أكثر ذكاءً" يمكنها التعرف على الملفات الخطرة وحجرها في المستقبل.

مؤشر الهجوم - العالم المادي

تتمثل إحدى طرق تركيز مناقشتنا حول مؤشرات الهجوم (IOAs) في تقديم مثال على كيفية تخطيط المجرم لسرقة بنك مادي وتنفيذها.

يبدأ السارق المحنك "بتغطية" البنك ، والقيام بالاستطلاع ، والتعرف على أي عيوب دفاعية. يدخل البنك بعد تحديد اللحظة المثالية وطرق الإضراب. يقوم اللص بتعطيل نظام الأمان قبل الاقتراب من القبو ومحاولة كسر المجموعة. إذا نجح ، يأخذ الغنيمة ويهرب بسلام ويكمل المهمة. IOAs هي مجموعة من السلوكيات التي يجب على سارق البنك عرضها من أجل النجاح. قبل الوصول إلى الخزنة ، يجب عليه القيادة حول البنك (تحديد الهدف) ، والوقوف ، والدخول إلى المبنى. سيصدر صوت تنبيه إذا لم ينزع سلاح نظام الأمن قبل دخوله القبو وأخذ النقود.
بالطبع ، لا تشير السلوكيات مثل القيادة حول البنك ، ووقوف السيارات ، ودخول البنك إلى اعتداء وشيك. علاوة على ذلك ، لا يعد الوصول إلى الخزينة المصرفية وإزالة النقود أمرًا ضروريًا على الدوام IOA ... إذا كان لدى الفرد حق الوصول إلى الخزنة. يتم تشغيل IOAs من خلال مجموعات محددة من الأنشطة.

مؤشر الهجوم - عالم الإنترنت

ضع في اعتبارك مثالاً من عالم الإنترنت. IOA هي مجموعة من الأفعال التي يجب على الخصم القيام بها من أجل تحقيق النجاح. يمكننا إثبات هذه الفكرة من خلال تشريح الطريقة الأكثر انتشارًا ونجاحًا لتحديد الخصوم ، وهي تصيد الرمح.
لكي تكون فعالة ، يجب أن تقنع رسالة البريد الإلكتروني المخادعة المستلم بالنقر فوق ارتباط أو فتح مستند مرفق من شأنه أن يصيب النظام. بمجرد اختراق النظام ، سيبدأ المهاجم بصمت عملية أخرى ويحتفظ بالمثابرة بين عمليات إعادة تمهيد النظام. الخطوة التالية هي الاتصال بمحطة القيادة والتحكم وتنبيه معالجه أنه ينتظر المزيد من الأوامر.

"IOAs معنية بتنفيذ هذه المراحل ، والغرض من الخصم ، والعواقب التي يسعى إليها. IOAs ليست معنية بالوسائل الدقيقة التي يستخدمها شخص ما لتحقيق أهدافه."

يمكننا اكتشاف كيف نجح أحد الممثلين في اكتساب الوصول إلى الشبكة واستنتاج الغرض من خلال مراقبة مواقع التنفيذ هذه ، وتجميع المؤشرات ، واستهلاكها باستخدام محرك فحص التنفيذ ذي الحالة. ليست هناك حاجة إلى معرفة مسبقة بالأدوات أو الفيروسات (المعروفة أيضًا باسم مؤشرات التسوية).

استخدام مؤشر الهجوم للمقارنة مع IOC

ضع في اعتبارك حالة لص البنك مرة أخرى. ماذا لو كنا نبحث فقط عن بطاقات IOC؟ سمحت لنا لقطات CCTV من سرقة سابقة بالتعرف على سارق البنك وهو يقود شاحنة أرجوانية ، يرتدي قبعة بالتيمور رافينز ويقتحم القبو باستخدام مثقاب والنيتروجين السائل. على الرغم من أننا نسعى جاهدين لمتابعة ودراسة هذه الصفات المميزة ، طريقة عمله (MO) ، ماذا يحدث عندما يقود نفس الرجل بدلاً من ذلك سيارة حمراء ، ويرتدي قبعة رعاة البقر ، ويفتح القبو بمعتل؟ النتيجة النهائية؟ لأننا ، فريق المراقبة ، اعتمدنا على القرائن التي أظهرت ملف تعريف قديم ، نجح اللص مرة أخرى (IOCs).

"تذكر أن IOA يمثل مجموعة من الخطوات التي يجب على الممثل / السارق أو المخترق أن يتخذها حتى يكون ناجحًا: الدخول إلى البنك ، وإلغاء تنشيط أنظمة الإنذار ، والدخول إلى الخزنة ، وما إلى ذلك."

مؤشر الهجوم عبارة عن مسجلات في الوقت الفعلي.

تعد القدرة على جمع وتقييم ما يحدث على الشبكة بدقة في الوقت الفعلي نتيجة ثانوية لاستراتيجية IOA. تشبه مراقبة الإجراءات فور حدوثها مشاهدة كاميرا فيديو والوصول إلى مسجل بيانات الرحلة في محيطك.

في العالم الحقيقي ، عندما يصل المحقق إلى مسرح الجريمة بمسدس وجسد وبعض الدم ، يسألون عادةً ما إذا كان لدى أي شخص لقطات لما حدث. الدم والجثة والمسدس هي قطع أثرية في الوقت المناسب يجب إعادة بنائها بشق الأنفس. باختصار ، توفر IOAs محتوى لسجلات الفيديو.

تكمن قوة IOA في عالم الإنترنت في إظهار كيفية تسلل خصم إلى بيئتك ، والوصول إلى الملفات ، وتسريب كلمات المرور ، والتحرك بشكل جانبي ، وأخيراً تسلل بياناتك.

الممثل الصيني كمثال حقيقي لـ IOA

تم توثيق الإجراء النموذجي التالي ، المنسوب إلى ممثل صيني ، من قبل فريق الاستخبارات. يوضح المثال التالي كيف أفلتت أنشطة الخصم حتى من دفاعات نقطة النهاية.

 يستخدم هذا العدو الاستراتيجيات التالية:
 البرامج الضارة في الذاكرة لا تكتب أبدًا على القرص.
 يعد Windows PowerShell المزود برمز سطر الأوامر أداة معروفة ومحترمة لتكنولوجيا المعلومات.
 ينظف خلفه ، ولا يترك أي أثر.
 دعونا نلقي نظرة على الصعوبات التي تواجهها حلول نقطة النهاية الأخرى مع هذه الصناعة التقليدية:

مؤشر الهجوم
مكافحة الفيروسات - نظرًا لأن الفيروس لا يتم نسخه إلى القرص مطلقًا ، فلن يتم إخطار معظم أنظمة AV التي تم تكوينها للمسح عند الطلب. يتم تنشيط الفحص عند الطلب فقط عند كتابة ملف أو الوصول إليه. علاوة على ذلك ، نظرًا لتأثير الأداء على المستخدم النهائي ، فإن معظم الشركات الاستباقية تقوم فقط بإجراء فحص شامل مرة واحدة في الأسبوع. إذا كان المدافعون يقومون بإجراء هذا الفحص الكامل ويمكن لمورّد AV فحص الذاكرة بتوقيع محدث ، فقد يتم إنشاء تنبيه بهذا السلوك.

تستخدم حلول AV 2.0 التعلم الآلي وطرقًا أخرى لتقييم ما إذا كان الملف مناسبًا أم خطيرًا. PowerShell هي أداة أصلية لإدارة نظام Windows لم يتم اكتشافها على أنها ضارة (ولا ينبغي أن تكون كذلك). نتيجة لذلك ، لن تحذر هذه الحلول العملاء من هذا السلوك.

القائمة البيضاء - نظرًا لأن Powershell.exe هو تطبيق معروف جيدًا لتكنولوجيا المعلومات ، فسيُسمح بتشغيله في معظم المواقف ، مع تجنب أي حلول قائمة بيضاء قد تكون موجودة.

حلول مسح IOC - نظرًا لأن هذا المهاجم لا يكتب أبدًا على القرص ويقوم دائمًا بالتنظيف بعد نفسه ، فما الذي نبحث عنه؟ تُعرف بطاقات IOC بالقطع الأثرية المعروفة ، ولا توجد أي قطع أثرية أخرى للكشف عنها في هذه الحالة. علاوة على ذلك ، تحتاج معظم الحلول التي يقودها الطب الشرعي إلى "عمليات مسح" دورية للأنظمة المستهدفة ، وإذا تمكن الخصم من العمل بين عمليات المسح ، فلن يلاحظه أحد.

يمكن لتقنيات SIEM اكتشاف من هو الخصم ، وما الذي يحاول الوصول إليه ، ولماذا من خلال التركيز على استراتيجيات وتقنيات وعمليات المهاجمين المستهدفين. بحلول الوقت الذي تلاحظ فيه "مؤشرات التسوية" ، من المحتمل أن يكون عملك قد تعرض للخطر بالفعل ، مما يستلزم جهودًا مكلفة للاستجابة للحوادث لإصلاح الضرر.

من خلال التقاط مؤشرات الهجوم وتجميعها واستهلاكها من خلال محرك فحص التنفيذ الحكومي ، فإنك تُمكّن فريقك من الرؤية والاستجابة في الوقت الفعلي. يؤدي الوصول إلى مسجل رحلات الشبكة الخاص بك إلى تجنب الأعمال المنزلية التي تستغرق وقتًا طويلاً والمتصلة بـ "تركيب القطع معًا" بعد الحدث. إن تزويد المستجيبين الأوائل بالأدوات التي يحتاجونها لإعادة إنشاء مسرح الجريمة هو طريقة فعالة من حيث التكلفة واستباقية للتعامل مع التهديدات المعقدة والمستمرة.