تأسست MITRE Corporation في عام 1958 كمنظمة غير ربحية مقرها في الولايات المتجدة الأميركية. ليس لهذه المنظمة مالكون بالمعنى التقليدي، حيث يحكمها مجلس أمناء وتعمل لصالح المصلحة العامة “بإشراف فيدرالي”. تمتلك المنظمة وتدير إطار عمل ATT&CK لمساعدة المؤسسات على فهم التهديدات السيبرانية والتخفيف من حدتها. إطار عمل ATT&CK هو قاعدة معرفية متاحة للجميع -تشرح- تكتيكات وتقنيات الخصم. تُستخدم ATT&CK كأساس لتطوير نماذج ومنهجيات تهديد محددة في القطاع الخاص والحكومة ومجتمع منتجات وخدمات الأمن السيبراني. من خلال إنشاء ATT&CK، تهدف MITRE للوصول لمستوى أمن سيبراني أكثر فعالية. يتضمن الإصدار ATT&CK v16 الذي تم إطلاقه في 31- تشرين الأول- 2024، العديد من التحديثات والتغييرات الرئيسة لإطار عمل MITRE ATT&CK.
أهم التحديثات في الإصدار ATT&CK v16
- منصات السحابة: التغيير الأأهم هو إعادة هيكلة منصات السحابة لتعكس بشكل أفضل نشاط الخصم في العالم الحقيقي. يتضمن ذلك دمج Office 365 وGoogle Workspace في منصة واحدة وإضافة منصات جديدة مثل Identity Provider.
- تقنيات ومجموعات جديدة: تمت إضافة تقنيات ومجموعات وحملات وبرامج جديدة عبر مجالات مختلفة (Enterprise وMobile وICS). . تشمل الأمثلة “التلاعب بالحساب: مجموعات محلية” و”الخصم في الوسط: التوأم الشرير (AitM)”.
- تحديثات عامة: للمساعدة في التعرف الدقيق على التهديدات والتخفيف منها، تتضمن ATT&CK v16 تحسينات على المنصة. يقدم التحديث رؤى أكثر وضوحاً حول كيفية عمل الخصوم. مما يسهل على المدافعين تطوير استراتيجيات فعالة لمواجهة هذه التكتيكات.
- معلومات التهديد: تعزيز معلومات التهديد. بما في ذلك كائنات التهديد الجديدة. والإضافات للكائنات الموجودة، لمساعدة المستخدمين على فهم التهديدات والاستجابة لها بشكل أفضل.
حماية قابلة للتطبيق للـ Enterprise
تحسين الدفاعات السحابية
يسعى الإصدار ATT&CK v16 لتغطية بيئات وتهديدات السحابة المختلفة. كما يضع دفاعات قابلة للتنفيذ عبر الإعدادات المتنوعة. إضافة لتوضيح الأوصاف التقنية، وضمان إمكانية التنقل بينها بشكل سلس. تتوسع مصفوفة الحماية لتشمل كل الخيارات السحابية (IaaS وSaaS وIdentity Provider وOffice Suite) – تتضمن التغييرات الرئيسية ما يلي:
- تم توسيع مفهوم الهوية لتغطية العديد من المنتجات والخدمات بشكل يحاكي كيفية عمل وظائف الهوية عبر إعدادات السحابة. يتضمن ذلك دمج Azure AD في Identity Provider لتمييز وظائف السحابة بشكل أوضح.
- توضيح تداخل Google Workspace وMicrosoft 365 مع منصة Office Suite ، حيث لديهم نظام متطابق تقريباً على مستوى التقنية.
فهم سلوكيات المهاجمين
حافظ الإصدار ATT&CK v16 على صيغة (المألوف + الجديد = الواقع) ، حيث تم توسيع التقنيات الحالية باستخدام سلوكيات لم تكن موجودة في المصفوفة من قبل — على سبيل المثال، T1557.004: التوأم الشرير، وT1213.004: برنامج إدارة علاقات العملاء وT1213: تطبيقات المراسلة. كما يتميز هذا الإصدار أيضًا ببعض السلوكيات الجديدة كاختطاف الخدمة السحابية (Cloud Service Hijacking). حيث يمكن للمهاجمين اختطاف تطبيقات SaaS المخترقة (مثل خدمات البريد الإلكتروني والمراسلة) لإرسال البريد العشوائي، واستنزاف الموارد والتأثير على توفر الخدمة.
كما لوحظ في هذا الإصدار إضافة تكتيكات ونماذج سلوك إلى معطيات Linux وmacOS كــ T1546.017: Event التي يمكن من خلالها تشغيل التعليمات البرمجية الضارة، واستغلال الأذونات. كما يعرّف التكتيك الجديد T1558.005 كيف يمكن سرقة تذاكر Kerberos من ملفات ذاكرة التخزين المؤقت لبيانات الاعتماد للوصول إلى خدمات متعددة كمستخدم حالي – وتصعيد الامتيازات. إلى تحسين عدد من المجالات المختلفة – بما في ذلك إعادة هيكلة التقنيات التي يستخدمها الخصوم لتجنب الكشف أثناء اختراقهم. وتشمل تلك التقنيات المسماة “التهرب الدفاعي” إلغاء تثبيت/تعطيل برامج الأمان أو إخفاء/تشفير البيانات والبرامج النصية. كما يستغل الخصوم العمليات الموثوقة ويستغلونها لإخفاء وإخفاء برامجهم الضارة. تم تنظيم التقنيات بناءاً على السلوكيات المحددة التي تمثلها: تلك التي تركز على التهرب من الاكتشاف وتلك التي تهدف إلى التحايل على طرق معالجة المخاطر .
فعالية أمنية عالية ATT&CK v16
هندسة الكشف
في هذا الإصدار توسع نطاق عمليات الكشف وتخفيف المخاطر ، للمساعدة على اتخاذ إجراءات أكثر فعالية من خلال هندسة الكشف. يأتي الإصدار الأحدث مع مجموعة كاملة من المخططات التحليلية الجديدة حيث أضيف 85 تحليلاً جديداً للمساعدة في تحديد التقنيات التي تنفذ التعليمات البرمجية الضارة، و120 تحليلاً جديداً ضمن Credential Access بهدف التقاط السلوكيات المستخدمة لسرقة بيانات الاعتماد، و26 تحليلاً آخر للسحابة مصممين لتسليط الضوء على التقنيات التي تستغل Microsoft 365 وAzure AD.
تخفيف المخاطر
على صعيد تخفيف المخاطر، يتضمن الإصدار الجديد ما يساعد على الحفاظ على سلامة الاتصالات الحرجة وتشغيلها أثناء الحوادث وتجاوز أي أنظمة شبكة معرضة للخطر. كما تحسن تكوين Active Directory ليضيف أمثلة أوضح وتفسيرات مفصلة لإعدادات سياسة المجموعة.
الاستخبارات السيبرانية CTI
تجسد تحديثات CTI صيغة تتضمن متغير ات الجرائم السيبرانية مع الاستمرار في تحديث المجموعات المرتبطة بالدول. تتضمن بعض الإضافات الخاصة بالمجرمين السيبرانيين في الإصدار 16 مجموعة G1032 (Inc Ransom)، وهي مجموعة سيئة السمعة بسبب تكتيكات الابتزاز المزدوج، بالإضافة إلى مجموعة برامج الفدية G1040 (Play)، التي تستخدم التشفير المتقدم واستهداف الضحايا المهمين. تستغل كلتا المجموعتين نقاط الضعف المعروفة للحصول على وصول أولي وسرقة البيانات قبل نشر (deploying) برامج الفدية الخاصة بهما. بالإضافة إلى ذلك، تعمل G1037 كوسيط وصول أولي، باستخدام تقنيات التصيد الاحتيالي للتسلل إلى الشبكات. وبالنسبة للهجمات المرتبطة بالدول: تم تحديث معلومات بعض المجموعات التي لديها سلوكيات مشتركة، مثل استخدام مرفقات Microsoft Office الضارة في رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي.
تطوير البرمجيات في الإصدار ATT&CK v16
بالنسبة للبرمجيات، تجسنت قابلية الاستخدام وتم تبسيط العمليات لأدوات وبنية ATT&CK الأساسية. كما أضيف مخدم MITRE ATT&CK Workbench TAXII 2.1 مع توفير كود TAXII 2.1 مفتوح المصدر يسمح بإنشاء مخدمات خاصة داخل المؤسسة والمساهمة في تحسينها.
كلمة أخيرة
يعد إصدار ATT&CK v16 أكثر من مجرد تحديث؛ فهو انعكاس لمشهد الأمن السيبراني المتطور باستمرار. من خلال دمج تقنيات جديدة وإعادة تنظيم منصات السحابة وتعزيز استخبارات التهديدات، يوفر هذا الإصدار لمحترفي الأمن السيبراني الأدوات التي يحتاجون إليها للبقاء في صدارة الخصوم. يعمل هذا التحديث على ضبط كيفية حماية بيئات السحابة بشكل عملي،
