من بين مئات تقنيات MITRE ATT&CK الموثقة، تهيمن اثنتان على هذا المجال: مترجمو الأوامر والنصوص البرمجية (T1059) والتصيد الاحتيالي (T1566).
في باقة تم نشر التقرير في 10 أبريلقامت D3 Security بتحليل أكثر من 75,000 حادثة تتعلق بالأمن السيبراني مؤخرًا. كان هدفها تحديد طرق الهجوم الأكثر شيوعًا.
ترسم النتائج صورة صارخة: فقد تفوقت هاتان التقنيتان على جميع التقنيات الأخرى من حيث الحجم، حيث تفوقت التقنية الأولى على الوصيفة بمعامل ثلاثة.
بالنسبة للمدافعين الذين يتطلعون إلى تخصيص قدر محدود من الاهتمام والموارد، فيما يلي بعض تقنيات ATT&CK الأكثر شيوعًا وكيفية الدفاع ضدها.
التنفيذ: مترجم الأوامر والنصوص البرمجية (يستخدم في 52.22% من الهجمات)
ما هو : يقوم المهاجمون بكتابة النصوص البرمجية اللغات الشائعة مثل PowerShell و بايثون لغرضين أساسيين. في أغلب الأحيان، يتم استخدامها لأتمتة المهام الضارة مثل جمع البيانات أو تنزيل واستخراج حمولة. كما أنها مفيدة لتجنب الكشف — لتجاوز حلول مكافحة الفيروسات، والكشف والاستجابة الموسعة (XDR)، وما شابه.
إن كون هذه النصوص هي رقم 1 في هذه القائمة هو أمر مفاجئ جدًا لأدريانا تشين، نائب رئيس المنتجات والخدمات في D3. وتقول: "نظرًا لأن مترجم الأوامر والنصوص البرمجية (T1059) يقع ضمن تكتيك التنفيذ، فهو في المرحلة المتوسطة من سلسلة القتل MITRE ATT&CK". "لذا، فمن العدل أن نفترض أن التقنيات الأخرى من التكتيكات السابقة لم يتم اكتشافها بالفعل بحلول الوقت الذي تم اكتشافها بواسطة أداة EDR. وبالنظر إلى أن هذه التقنية كانت بارزة جدًا في مجموعة البيانات لدينا، فإنها تؤكد أهمية وجود عمليات لتتبع أصل الحادث.
كيفية الدفاع عنها: ونظرًا لتنوع البرامج النصية الضارة ومتعددة الأوجه، فإن التعامل معها يتطلب خطة شاملة للاستجابة للحوادث تجمع بين الكشف عن السلوكيات الضارة المحتملة والمراقبة الصارمة للامتيازات وسياسات تنفيذ البرامج النصية.
الوصول الأولي: التصيد الاحتيالي (15.44%)
ما هو : يعد التصيد الاحتيالي وفئته الفرعية، التصيد الاحتيالي (T1566.001-004)، الطريقتين الأولى والثالثة الأكثر شيوعًا للوصول إلى الأنظمة والشبكات المستهدفة. باستخدام الأولى بشكل عام والثانية عند استهداف أفراد أو منظمات محددة، فإن الهدف هو إجبار الضحايا على الكشف عن معلومات مهمة من شأنها أن تسمح بموطئ قدم في الحسابات والأجهزة الحساسة.
كيفية الدفاع عنها: حتى الأذكى والأكثر تعليما من بيننا يقع في حب الهندسة الاجتماعية المتطورة. يمكن لحملات التثقيف والتوعية المتكررة أن تساعد في حماية الموظفين من أنفسهم ومن الشركات التي يوفرون نافذة لها.
الوصول الأولي: الحسابات الصالحة (3.47%)
ما هو : في كثير من الأحيان، يسمح التصيد الاحتيالي الناجح للمهاجمين بالوصول إلى الحسابات الشرعية. توفر هذه الحسابات مفاتيح للأبواب المغلقة، وتغطي آثامهم المختلفة.
كيفية الدفاع عنها: عندما ينقر الموظفون حتمًا على ملف PDF أو عنوان URL الضار، مصادقة قوية متعددة العوامل (MFA) يمكن، إن لم يكن هناك شيء آخر، أن تكون بمثابة المزيد من الأطواق التي يمكن للمهاجمين القفز من خلالها. يمكن أن تساعد أدوات الكشف عن الحالات الشاذة أيضًا، على سبيل المثال، إذا اتصل مستخدم غريب من عنوان IP بعيد، أو ببساطة قام بشيء ليس من المتوقع منه القيام به.
الوصول إلى بيانات الاعتماد: القوة الغاشمة (2.05%)
ما هو : كان هذا خيارًا أكثر شيوعًا في الأيام الخوالي، حيث ظلت هجمات القوة الغاشمة موجودة في كل مكان بفضل انتشار كلمات المرور الضعيفة والمعاد استخدامها وغير المتغيرة. هنا، يستخدم المهاجمون البرامج النصية التي يتم تشغيلها تلقائيًا من خلال مجموعات اسم المستخدم وكلمة المرور - كما هو الحال في هجوم القاموس - للوصول إلى الحسابات المطلوبة.
كيفية الدفاع عنها: لا يوجد عنصر في هذه القائمة يمكن الوقاية منه بسهولة وبشكل كامل مثل هجمات القوة الغاشمة. يؤدي استخدام كلمات مرور قوية بدرجة كافية إلى حل المشكلة من تلقاء نفسها. الآليات الصغيرة الأخرى، مثل قفل المستخدم بعد محاولات تسجيل الدخول المتكررة، تقوم بالمهمة أيضًا.
الثبات: التلاعب بالحساب (1.34%)
ما هو : بمجرد أن يستخدم المهاجم التصيد الاحتيالي أو القوة الغاشمة أو بعض الوسائل الأخرى للوصول إلى حساب مميز، فيمكنه بعد ذلك الاستفادة من هذا الحساب لتعزيز موقعه في النظام المستهدف. على سبيل المثال، يمكنهم تغيير بيانات اعتماد الحساب لتأمين مالكه الأصلي، أو ربما ضبط الأذونات من أجل الوصول إلى موارد أكثر امتيازًا مما لديهم بالفعل.
كيفية الدفاع عنها: للتخفيف من الأضرار الناجمة عن اختراق الحساب، توصي D3 المؤسسات بتنفيذ قيود صارمة للوصول إلى الموارد الحساسة، واتباع التعليمات مبدأ الوصول الأقل امتيازا: منح ما لا يزيد عن الحد الأدنى من مستوى الوصول اللازم لأي مستخدم لأداء وظيفته.
بالإضافة إلى ذلك، فإنه يقدم عددًا من التوصيات التي يمكن تطبيقها على هذه التقنية وغيرها من تقنيات MITRE، بما في ذلك:
-
الحفاظ على اليقظة من خلال المراقبة المستمرة للسجلات للكشف عن أي أنشطة مشبوهة في الحساب والرد عليها
-
العمل على افتراض أن الشبكة قد تم اختراقها بالفعل واعتماد تدابير استباقية للتخفيف من الأضرار المحتملة
-
تبسيط جهود الاستجابة من خلال أتمتة الإجراءات المضادة عند اكتشاف الخروقات الأمنية المؤكدة، مما يضمن التخفيف السريع والفعال
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
