Connect with us

نصائح أفضل الممارسات لاستخبارات التهديدات

الأمن السيبراني

نصائح أفضل الممارسات لاستخبارات التهديدات

mm
Published
Updated

يقول الكثير من الناس أن استخبارات التهديدات (TI) لها طعم جيد، ولكن قليلون يفهمون كيفية طهيها. وهناك عدد أقل من الأشخاص الذين يعرفون أي العمليات التي يجب أن تشاركها حتى تعمل استخبارات التهديدات وتجني الأرباح. بالإضافة إلى ذلك، هناك عدد زهيد من الأشخاص الذين يعرفون كيفية اختيار مزود تغذية، وأين تحقق من مؤشر الإيجابيات الكاذبة، وما إذا كان من المفيد حظر النطاق الذي أرسله لك زميلك عبر WhatsApp.

كنا لدينا اشتراكين تجاريين لبرامج Advanced Persistent Threats (APT)، وعشرة تبادلات للمعلومات، وحوالي عشرين تغذية مجانية، وقائمة شاملة من عقدة خروج TOR. كما استخدمنا زوجًا من العاكس القوي، وبرامج Powershell الرئيسية، وماسح Loki، واشتراك مدفوع في VirusTotal. ليس لأن مركز الاستجابة لحوادث الأمن لن يعمل بدون كل هذه الأشياء، ولكن إذا كنت ترغب في اصطياد هجمات معقدة، عليك أن تذهب إلى كل الحصان.

ما كان يقلقني بشكل خاص هو إمكانية تutomation للتحقق من مؤشرات التعرض (IOCs). لا يوجد شيء غير أخلاقي مثل استبدال الذكاء الاصطناعي للإنسان في نشاط يتطلب التفكير. ومع ذلك، أدركت أن شركتي ستواجه ذلك التحدي في وقت ما مع نمو عدد عملائنا.

لمدة عدة سنوات من نشاط استخبارات التهديدات الدائم، خطوت على مجموعة من الأخطاء، وأود أن أقدم بعض النصائح التي ستساعد المبتدئين على تجنب الأخطاء الشائعة.

نصيحة 1. لا تضع آمالا كبيرة على اصطياد الأشياء بالهاشات: معظم البرامج الضارة متعددة الشكل هذه الأيام

تأتي بيانات استخبارات التهديدات في تنسيقات ومظاهر مختلفة. قد تتضمن عناوين IP لمراكز التحكم والسيطرة على البوتنات، وعناوين البريد الإلكتروني المشاركة في حملات الفишينغ، ومقالات حول تقنيات التهرب التي ستستخدمها مجموعات APT قريبا. القصة القصيرة هي أن هذه يمكن أن تكون أشياء مختلفة.

من أجل فرز هذا الفوضى، اقترح ديفيد بيانكو استخدام ما يسمى الهرم من الألم. يصف هذا الهرم العلاقة بين المؤشرات المختلفة التي تستخدمها لاكتشاف مهاجم والكمية من “الألم” التي ستسببها للمهاجم إذا قمت بتحديد مؤشر معين من IOCs.

على سبيل المثال، إذا كنت تعرف الهاش MD5 للملف الضار، يمكنك اكتشافه بسهولة ودقة. ومع ذلك، لن تسبب الكثير من الألم للمهاجم لأن إضافة apenas 1 بت من المعلومات إلى ذلك الملف سيغير هاشه بشكل كامل.

نصيحة 2. حاول استخدام المؤشرات التي يجد المهاجم صعوبة فنية أو مكلفة للتغيير

متوقعًا السؤال عن كيفية معرفة ما إذا كان الملف مع الهاش المحدد موجودًا في شبكة شركتنا، سأقول ما يلي: هناك طرق مختلفة. واحدة من الأساليب الأسهل هي استخدام حل ي維ن قاعدة بيانات لهاشات MD5 لجميع الملفات التنفيذية داخل الشركة.

لنعد إلى الهرم من الألم. على عكس الكشف بالهاش، من الأفضل تحديد تكتيكات وطرق وإجراءات المهاجم (TTP). هذا أكثر صعوبة، ويتطلب مجهودات أكبر، ولكنك ستسبب المزيد من الألم للمهاجم.

على سبيل المثال، إذا كنت تعرف أن مجموعة APT التي تستهدف قطاعك من الاقتصاد ترسل رسائل بريد إلكتروني مع ملفات *.HTA على متنها، فإن إنشاء قاعدة اكتشاف تبحث عن مرفقات البريد الإلكتروني هذه سوف تؤثر على المهاجم بشكل كبير. سيتعين عليهم تعديل تكتيكات البريد العشوائي وربما إنفاق بعض الأموال لشراء استغلالات 0-يوم أو 1-يوم التي ليست رخيصة.

نصيحة 3. لا تضع آمالا كبيرة على قواعد الكشف التي أنشأها شخص آخر، لأنك يجب أن تحقق من هذه القواعد للإيجابيات الكاذبة وتعديلها

عندما تبدأ في إنشاء قواعد الكشف، هناك دائمًا إغراء لاستخدام القواعد الجاهزة. Sigma هو مثال على مستودع مجاني. إنه تنسيق مستقل لطرق الكشف التي تسمح لك بترجمة القواعد من لغة Sigma إلى ElasticSearch أو Splunk أو ArcSight. يتضمن المستودع مئات من القواعد. يبدو الأمر رائعًا، ولكن الشيطان، كما هو الحال دائمًا، في التفاصيل.

لننظر إلى قاعدة واحدة من قواعد الكشف عن mimikatz. هذه القاعدة تكتشف العمليات التي حاولت قراءة الذاكرة الخاصة بملف lsass.exe. يفعل ذلك mimikatz عند محاولة الحصول على هاشات NTLM، وستحدد القاعدة البرامج الضارة.

然而، من الحاسم لنا – الخبراء الذين لا يكتشفون فقط ولكن يستجيبون أيضًا إلى الحوادث – أن نتأكد من أن هذا هو فعلًا ممثل خبيث. للأسف، هناك العديد من العمليات الشرعية التي تقرأ الذاكرة الخاصة بملف lsass.exe (على سبيل المثال، بعض أدوات مكافحة الفيروسات). لذلك، في سيناريو حقيقي، سوف تسبب قاعدة مثل هذه المزيد من الإيجابيات الكاذبة أكثر من الفوائد.

لا أريد أن أتهم أي شخص في هذا الصدد – جميع الحلول تنتج إيجابيات كاذبة؛ هذا أمر طبيعي. ومع ذلك، يجب على خبراء استخبارات التهديدات أن يفهموا أن التحقق المزدوج وتعديل القواعد التي تم الحصول عليها من مصادر مفتوحة ومغلقة لا يزال ضروريًا.

نصيحة 4. تحقق من أسماء النطاقات وعناوين IP لمسلك السلوك الخبيث ليس فقط على خادم الوكيل وطرف الحماية الناروية ولكن أيضًا في سجلات خادم DNS – واهتم بالتركيز على محاولات الحل الناجحة والفاشلة على حد سواء

أسماء النطاقات وعناوين IP الخبيثة هي المؤشرات المثالية من منظور بساطة الكشف وكمية الألم التي تسببها للمهاجم. ومع ذلك، يبدو أنها سهلة التعامل فقط على أول نظر. على الأقل، يجب أن تسأل نفسك سؤالًا عن أين يمكنك الحصول على سجل النطاق.

إذا قمت بتحديد عملك إلى التحقق من سجلات خادم الوكيل فقط، يمكنك أن تفوت الشفرة الضارة التي تحاول الاستفسار عن الشبكة مباشرة أو طلب اسم نطاق غير موجود تم إنشاؤه بواسطة DGA، ناهيكم عن نفق DNS – لا شيء من هذه الأشياء سوف يتم سرد في سجلات خادم الوكيل الشركاتي. يمكن للمجرمين أيضًا استخدام خدمات VPN هناك مع ميزات متقدمة أو إنشاء نفق مخصص.

نصيحة 5. رصد أو حظر – اختر واحدًا فقط بعد معرفة ما نوع المؤشر الذي اكتشفته وتعرف على العواقب المحتملة لحظره

كل خبير أمن المعلومات واجه مشكلة غير تقليدية: حظر التهديد أو مراقبته وسلوكه وبدء التحقيق بمجرد أن يؤدي إلى تنبيهات. بعض الإرشادات تشجع بشكل قاطع على اختيار الحظر، ولكن في بعض الأحيان يكون القيام بذلك خطأً.

إذا كان مؤشر التعرض هو اسم نطاق يستخدمه مجموعة APT، لا تحظره – ابدأ بمراقبته بدلاً من ذلك. تتضمن تكتيكات تنفيذ الهجمات المستهدفة الحديثة وجود قناة اتصال سرية إضافية مثل تطبيقات تتبع الهاتف الخلوي التي يمكن اكتشافها فقط من خلال التحليل العميق. سوف يمنع الحظر التلقائي من اكتشاف هذه القناة في هذا السيناريو؛ بالإضافة إلى ذلك، سوف يدرك الأعداء بسرعة أنك لاحظت مخططاتهم.

من ناحية أخرى، إذا كان IOC هو نطاق يستخدمه ransomware، يجب حظره على الفور. ولكن لا تنسى مراقبة جميع المحاولات الفاشلة للوصول إلى النطاقات المحظورة – قد تتضمن تكوين الشفرة الضارة عدة عناوين URL لخادم التحكم والسيطرة. قد لا تكون بعضها في التغذيات وبالتالي لن يتم حظرها. في وقت ما، سوف تصل العدوى إلى هذه النقاط للحصول على مفتاح التشفير الذي سوف يتم استخدامه على الفور لتشفير المضيف. الطريقة الوحيدة الموثوقة لضمان حظر جميع خادم التحكم والسيطرة هي عكس العينة.

نصيحة 6. تحقق من جميع المؤشرات الجديدة للتأكد من صحتها قبل مراقبتها أو حظرها

تذكر أن بيانات التهديدات تتم إنشاؤها بواسطة البشر الذين يعتمدون على الخطأ، أو بواسطة خوارزميات التعلم الآلي التي ليست خالية من الأخطاء. لقد شهدت مختلف مزودي التغذيات المدفوعة عن نشاط مجموعات APT يضيفون بشكل غير مقصود عينات شرعية إلى قوائم هاشات MD5 الضارة. بالنظر إلى أن تقارير التهديدات المدفوعة تحتوي على مؤشرات تعرض منخفضة الجودة، فإن تلك التي تم الحصول عليها من خلال استخبارات المصادر المفتوحة يجب بالتأكيد أن تتم فحصها للتأكد من صحتها. خبراء استخبارات التهديدات لا يتحققون دائمًا من مؤشراتهم للإيجابيات الكاذبة، مما يعني أن العميل يجب أن يقوم بفحصهم.

على سبيل المثال، إذا كنت حصلت على عنوان IP يستخدمه إصدار جديد من TrickBot, قبل استخدامها في أنظمة الكشف الخاصة بك، يجب أن تؤكد من أنها ليست جزءًا من خدمة استضافة أو واحدة تنبع من عنوان IP الخاص بك. وإلا، سوف تواجه صعوبة في التعامل مع عدد كبير من الإيجابيات الكاذبة كلما زار المستخدمون صفحة ويب صالحة تمامًا على منصة الاستضافة هذه.

نصيحة 7. أوتوماتيك جميع تدفقات بيانات التهديدات إلى أقصى حد. ابدأ بتعيين قائمة تحذيرية بالكامل لتحقق من الإيجابيات الكاذبة وتعليم SIEM لمراقبة IOCs التي لا تؤدي إلى إيجابيات كاذبة

من أجل تجنب عدد كبير من الإيجابيات الكاذبة المتعلقة بالاستخبارات والمحصل عليها من المصادر المفتوحة، يمكنك تشغيل بحث أولي عن هذه المؤشرات في قوائم التحذير. لإنشاء هذه القوائم، يمكنك استخدام أفضل 1000 موقعًا حسب حركة المرور، وعناوين الشبكات الفرعية الداخلية، بالإضافة إلى المجالات المستخدمة من قبل مزودي الخدمات الرئيسيين مثل Google و Amazon AWS و MS Azure وغيرهم. من الجيد أيضًا تنفيذ حل يغير قوائم التحذير بشكل ديناميكي تتكون من أفضل المجالات / عناوين IP التي قام بها موظفو الشركة خلال الأسبوع أو الشهر الماضي.

يمكن أن يكون إنشاء هذه القوائم التحذيرية مشكلة لشركة أمن سيبراني متوسطة الحجم، لذلك من المنطقي النظر في اعتماد منصات استخبارات التهديدات.

نصيحة 8. فحص كامل المؤسسة لمؤشرات المضيف، وليس فقط المضيفين المرتبطين ب SIEM

كقاعدة عامة، لا يتم ربط جميع المضيفين في المؤسسة ب SIEM. لذلك، من المستحيل التحقق منهم لملف ضار مع اسم أو مسار معين باستخدام وظيفة SIEM القياسية فقط. يمكنك التعامل مع هذه القضية بالطرق التالية:

  1. استخدم ماسحات IOC مثل Loki. يمكنك استخدام SCCM لتشغيله على جميع مضيفي المؤسسة ثم إعادة توجيه النتائج إلى مجلد شبكة مشترك.
  2. استخدم ماسحات الأمان. بعضها يحتوي على أوضاع توافق تسمح لك بالتحقق من الشبكة لملف معين في مسار معين.
  3. اكتب سكريبت Powershell واشغله عبر WinRM.

كما ذكرنا أعلاه، هذه المقالة لا تهدف إلى أن تكون قاعدة معرفة شاملة حول كيفية القيام باستخبارات التهديدات بشكل صحيح. ومع ذلك، بناءً على خبرتنا، فإن اتباع هذه القواعد البسيطة سوف يسمح للمبتدئين بتجنب الأخطاء الحرجة عند التعامل مع مؤشرات التعرض المختلفة.

Related Topics:
mm

Alex is a cybersecurity researcher with over 20 years of experience in malware analysis. He has strong malware removal skills, and he writes for numerous security-related publications to share his security experience.