بناء الحماية المثقفة للتهديد: تعرف على عدوك وميدان المعركة ونفسك

نشرت: 2021-12-28

في مشهد التهديدات السيبرانية الحديثة ، يعد فهم المكان الذي قد تأتي منه الهجمات المحتملة وكيف يمكن أن تصيب مؤسستك أمرًا مهمًا أكثر من أي وقت مضى.

نمت الجرائم الإلكترونية على مستوى العالم لتولد ما يقرب من تريليون دولار أمريكي من السحب على الحالة المالية لكوكب الأرض - وهو رقم أكبر من الناتج المحلي الإجمالي لبلجيكا.

مع حصول الشركات على الغالبية العظمى من معلوماتها وإجراءاتها رقميًا ، فإن كل هذه الممتلكات الإلكترونية حاليًا فرصة مركزة لها مساحة سطح هجوم أكبر مما كانت عليه في أي وقت سابق.

كانت الإنتاجية والراحة والأداء هي العوامل الدافعة للثورة الإلكترونية ، حيث شكلت عالمًا نترابط فيه جميعًا ويمتزج على الويب بسلاسة مع وضع عدم الاتصال. كان هجوم الفدية على خط الأنابيب الاستعماري في وقت سابق من هذا العام بمثابة تذكير صارخ بكيفية تأثير الهجوم الإلكتروني على الكوكب المادي من خلال الاستغناء عن مصدر البنزين على الساحل الشرقي للولايات المتحدة.

حذر خبراء السلامة حاليًا من أن المتسللين يمكن أن يركزوا على أجهزة تنظيم ضربات القلب أو مضخات الأنسولين أو السيارات المرتبطة. تصبح نقاط النهاية أكثر تنوعًا وتشتتًا في أي وقت. لم يعد هناك وقت سوى أجهزة الكمبيوتر والخوادم ، ولكن أيضًا الهواتف والكاميرات وبدائل التدفئة والتهوية وتكييف الهواء والطابعات والساعات ومكبرات الصوت الذكية وغير ذلك الكثير. أصبحت مخاطر برامج الفدية الآن وبائية. وقد قدمت الزيادة في العملات المشفرة مؤشرات لمجرمي الإنترنت على إجراء معاملات مجهولة وخالية من المخاطر.

كل هذا إذا تم أخذه بشكل جماعي جعل النظام البيئي من خطر كارثي محتملاً. أصبحت الهجمات الإلكترونية عبر الإنترنت أكثر صعوبة للتعافي منها ولها تداعيات أكبر. ستحتاج الشركات إلى أن تصبح أكثر ذكاءً وأن تتصرف بشكل أسرع للتعامل بشكل استباقي مع التهديدات التي تكافح معها.

الاستثمار في تقنيات الأمن ليس كافيا. لقد لاحظنا حاليًا إيقاظ "خرق مفترض" بين الشركات - وهو تحول في اتجاه تكثيف الاستجابة وقدرات الاسترداد بالإضافة إلى خطط الحماية الإلكترونية العادية. إن إدراك أن الهجوم ليس موضوعًا لـ "إذا" ، ولكن "متى" ، يجب أن يكون لدى المنظمات رد فعل موثوق به للحوادث وإدارة الأزمات وخطط التعافي من الكوارث.

من الضروري الحصول على موقع يتيح لك تحديد وحماية واكتشاف بنفس فعالية رد الفعل والتحسن من التهديدات: هذه القدرات هي اللبنات الأساسية لنظام شامل للقدرة على الصمود السيبراني. لكن المرونة الإلكترونية تتعلق أيضًا بتقليل التهديد - فهم أنشطة الأمن السيبراني التي سيكون لها التأثير الأكثر أهمية على عملك وتحديد أولويات تدابير الحماية الخاصة بك بشكل مناسب. يجب أن تكون لديك معرفة جيدة بالمهاجمين المحتملين وتقنياتهم لإنشاء خطة أمان على دراية بالتهديدات وتعتمد على التهديد.

كن على استعداد تام لساحة المعركة الإلكترونية

الصدفة هي احتمالية وتأثيرات ضارة. الوظيفة التي من المحتمل جدًا أن تتحقق ، ولكن لها تأثيرات قليلة ، توفر احتمالًا إجماليًا أقل بكثير من وظيفة غير محتملة ، ولكنها قد تؤدي إلى إصابة رئيسية.

وبالتالي ، تريد الشركات أولاً تقييم أي من ممتلكاتها لديه أعلى احتمالية للهجوم وثانيًا ، ما مدى أهمية هذه الأصول بالنسبة لها. لا يمكنك التعرف تمامًا على المنطقة القابلة للاستغلال إلا إذا فهمت احتمالية التعرض للهجوم باستخدام ناقل هجوم فردي. تعتبر دراسة خصمك وكيفية إدارته جزءًا مهمًا من هذا النهج القائم على التهديد في المقام الأول.

سوف تحتاج إلى معرفة عدوك وميدان القتال الخاص بك وحدك. تحتاج الشركات إلى تحليل مخزونها الفردي بحذر - المعلومات والأساليب والأشخاص في ساحة المعركة - المجتمع بشكل جيد مثل مهاجمي الفرصة.

أصعب جزء هو إدراك العدو. من هم الممثلون الخطر الذين ينجذبون إلى مؤسستك ولماذا يرونك هدفًا لافتًا للنظر؟ ما هي دوافعهم وأهدافهم؟ كيف يقومون بالعمل - ما هي الأساليب والأساليب والعلاجات (TTPs) التي يستخدمونها وكيف يمكن تطبيقها على بيئتك الطبيعية الفردية؟ بالضبط أين يمكن أن يتعرضوا للاعتداء وكيف يمكن أن يعرضوا عملك أو المستهلكين للخطر؟

بعد أن تكتسب المنظمة هذا التعود المتعمق على دراية ، يمكنها أن تتخذ قرارك بشأن الأولويات المعدلة بالتهديد من أجل ضوابط واستثمارات السلامة الصحيحة. سيساعد توقع ما يمكن أن يفعله المهاجم في تحديد الثغرات في دفاعاتك ويساعد في تحديد المكان المناسب لزيادة مستوى الأمان. على العكس من ذلك ، من الصعب للغاية إنشاء برنامج مرونة عبر الإنترنت إذا لم تفهم أبدًا الأساليب التي سيستخدمها المهاجمون ضدك.

يبدأ اتخاذ الموقف الهجومي بفهم عدوك

إذن ، كيف ستشرع في تحديد مهاجمك المحتمل والتعرف عليه؟ تضمن أدوات استخبارات التهديدات بشكل عام تقديم الحلول ، ولكن عندما تتمكن من لعب دور حاسم في أي نظام أمان ، فإنها في النهاية إجابات تفاعلية تعتمد بشكل أساسي على مؤشرات التسوية. لديهم ميل لاحتواء الكثير من المعلومات غير المفلترة ، مع تغير مؤشرات التهديد باستمرار. من ناحية أخرى ، يجب أن تكون دراسة TTPs الخاصة بالخصم مسارًا استباقيًا وموجهًا للعمل. لحسن الحظ ، هناك عدد من الموارد مفتوحة المصدر يمكن الوصول إليها لمساعدة الشركات على فهم كيفية عمل الجهات الفاعلة في مجال التهديد.

قواعد بيانات MITER ATT & CK هي موقع بداية جيد ، كمكتبة يمكن الوصول إليها تمامًا لطرق واستراتيجيات الخصم المعترف بها. ويتضمن تفاصيل عن سلوك الأعداء السيبرانيين ، ويعكس المراحل المختلفة لدورة حياة الهجوم والمنصات المعترف باستهدافهم ، ويقدم إطارًا يتم استخدامه بشكل شائع من قبل صائدي المخاطر والفرق الحمراء والمدافعين لتصنيف الهجمات وتقييمها.

تقدم ThaiCERT موسوعة مفيدة مختلفة عن الجهات الخطرة. ومع ذلك ، لا يوجد مخزون شامل واحد لجميع المهاجمين - ويمكن للأعداء في كثير من الأحيان العمل تحت أشكال مميزة.

بالنسبة لبعض أحدث الرؤى ، يقوم موردو الحماية بمراقبة الجهات الفاعلة ونشر هذه المعلومات. على سبيل المثال ، يتم تقديم ملفات تعريف التهديدات بدون تكلفة على لوحة المناقشة الإلكترونية لإدارة المخاطر في Datto ، حيث يشارك فريق إدارة المخاطر ملفات تعريف الخطر والتوقيعات والتفاصيل حول التهديدات التي تركز على مجتمع MSP المحلي وعملائهم من الشركات الصغيرة والمتوسطة. منذ وقت ليس ببعيد ، تضمنت الملفات الشخصية الإضافية فريق القراصنة APT29 الروسي الذي ترعاه الدولة ، والذي يُعتبر أيضًا من عائلة Cozy Bear و Darkish Halo the LockBit المحبوبين من برامج الفدية ومجموعة جرائم الإنترنت الشائنة Wizard Spider.

يشتمل كل ملف تعريف على نظرة عامة على الجهات الفاعلة ، ودوافعها ، و TTPs ، والتخفيفات أو الدفاعات الممكنة ، وخيارات الكشف والأصول المضافة. قام العلماء أيضًا بتعيين الجهات الفاعلة مرة أخرى إلى إطار MITER ATT & CK وضمانات الحماية الحيوية CIS لجعل المعلومات قابلة للتنفيذ بسهولة.

ضع خصوم الإنترنت في منطقتهم: الفهم ، وتحديد الأولويات ، والحراسة ، والاختبار

في الوقت الذي اكتسبت فيه الأفكار المطلوبة حول الجهات الفاعلة في المخاطر التي يمكن أن تكون كامنة ، فإن محاكاة أساليبهم ستساعدك على اكتشاف المكان الذي لديك فيه فرصة كبيرة للدعاية في مؤسستك - وما يمكنك القيام به للتخفيف من هذا الخطر. من خلال الهندسة العكسية لانتهاكاتهم السابقة ، يمكنك بثقة تحديد الأولويات وتنفيذ أكثر ضوابط السلامة كفاءة في مواجهة الجهات الفاعلة المتميزة.

للمساعدة في فحص التكوينات الخاصة بك ، هناك مجموعة من الأدوات المجانية مفتوحة المصدر التي تحاكي خصوم معينين ، مثل Caldera (التي تعزز منتج ATT & CK) أو مجموعة Pink Canary's Atomic Pink.

تختلف مضاهاة الخصوم عن اختبار القلم والفريق القرمزي من حيث أنها تستخدم سيناريو لاختبار TTPs الخاصة بالخصم الفريد. هل يمكن منع تقنيات الأشخاص أو اكتشافها في محيطك؟ من الأهمية بمكان استكشاف المعرفة والعمليات التكنولوجية بفعالية مثل الأشخاص للتعرف تمامًا على كيفية عمل دفاعاتك معًا. كرر هذا النظام حتى تستعد أخيرًا لكسب المعركة ضد هذا الخصم.

يجب على الشركات الصغيرة والمتوسطة القيام بذلك على الأقل عندما يكون هناك عام تقويمي أو في كل مرة يوجد فيها تهديد رئيسي جديد ، والشركات الكبيرة والمشروعات الصغيرة والمتوسطة كل ثلاثة أشهر ، على الرغم من أن برنامج الدفاع الواعي بالتهديد بالنسبة للمؤسسات هو جهد مستمر وعمل شاق.

بالإضافة إلى ذلك ، تحتاج أي شركة إلى الالتزام بضوابط أمان CIS الحيوية - كحد أدنى ، ودفع وقت كافٍ على ضوابط مجموعة التنفيذ 1 (IG1) للنظافة الإلكترونية الحاسمة.

العامل الأساسي هو مجرد البدء. ليست هناك حاجة للشعور بالارتباك من هذا التعهد. ابدأ بتقييم الثقب خطوة بخطوة نحو CIS IG1: حتى استثمار ساعة واحدة في 7 أيام في حل قائم على المخاطر والتهديدات سيساعد على زيادة ثباتك الشامل.

يعد التعرف الجيد على الجهات الفاعلة الفقيرة في ملف تعريف مخاطر الشركة أمرًا حيويًا لإنشاء برنامج أمان منتج للتهديدات الأمنية يضمن المرونة الإلكترونية. عندما تبدأ الشركات في الشعور وكأنها متسللون ، ستكون على استعداد لاتخاذ قرارات أكثر دراية بالمخاطر وسيتم تحسينها لتكون مجهزة للحماية بأنفسهم.

رايان ويكس ، CISO ، داتو