📍بالحديث عن مؤشرات الاختراق IOCs للهجمات السيبرانية يجدر بالمهتمين والمختصين في #الامن_السيبراني معرفة #STIX وهي لغة تصف معلومات التهديدات السيبراني لمشاركتها أو تخزينها أو تحليلها والتي طورتها شركة @MITREattack مما يمكن مشاركة المعلومات الحساسة وفق معاير متعارف عليها مسبقا
يتبع
يتبع
مع تسارع تقنيات وتكتيكات المهاجمبن يتوجب على المنظمات سرعة في التصدي ومشاركة المعلومات كنوع من الاستخبارات الإلكترونية حيت أن رصد الهجوم ومشاركته مع الأطراف المهتمة سيحمي أو يخفف من الأضرار بحد كبير.
وهنا تم تطوير #STIX في 2014 وسأتحدث عن عناصرها الثمانية والتي تترابط فيما بينها.
وهنا تم تطوير #STIX في 2014 وسأتحدث عن عناصرها الثمانية والتي تترابط فيما بينها.
1- المراقبة والرصد (Observables)
لكل مايتعلق بعمليات الأنظمة والشبكات ومعلومات الملفات (name, hash, size, etc.) وقيم الريجستري والخدمات التي تم تشغيلها وطلبات HTTP وغيرها مما ينبغي أن يكون تحت المراقبة.
2- المؤشرات (Indicators)
وهو النمط الذي يمكن ملاحظته مقترن ببعض المعلومات...
لكل مايتعلق بعمليات الأنظمة والشبكات ومعلومات الملفات (name, hash, size, etc.) وقيم الريجستري والخدمات التي تم تشغيلها وطلبات HTTP وغيرها مما ينبغي أن يكون تحت المراقبة.
2- المؤشرات (Indicators)
وهو النمط الذي يمكن ملاحظته مقترن ببعض المعلومات...
التي يمكن تميز هذا النوع من السلوك الخبيث وقد تقترن ب TTP (التكتيكات،التقنيات،الاجراءات للخصم).
3- الحادثة(Incidents)
عندما يؤثر المؤشر المرصود على المنظمة ويتم التأكيد على ذلك من خلال التحقيق الجنائي الرقمي تعتبر حادثة سيبرانية يتوجب التعامل معها وفق الخطط الخاصة بذلك.
3- الحادثة(Incidents)
عندما يؤثر المؤشر المرصود على المنظمة ويتم التأكيد على ذلك من خلال التحقيق الجنائي الرقمي تعتبر حادثة سيبرانية يتوجب التعامل معها وفق الخطط الخاصة بذلك.
4-تكتيكات،تقنيات،اجراءات الخصم (Tactics, Techniques, and Procedures (TTP))
معرفة سلوك الخصم وأدواته والنقاط التي استغلها و Kill Chain المتبعة وفهم من أين بدأ الهجوم وكيف انتهى. وهذا من أهم المراحل التي ينبغى استخلاص معلوماتها بشكل دقيق لتساهم في منع تكرار وانتشار الحادثة.
معرفة سلوك الخصم وأدواته والنقاط التي استغلها و Kill Chain المتبعة وفهم من أين بدأ الهجوم وكيف انتهى. وهذا من أهم المراحل التي ينبغى استخلاص معلوماتها بشكل دقيق لتساهم في منع تكرار وانتشار الحادثة.
5- الحملات (Campaigns)
معرفة ما إذا كان الهجوم جزء من حملة منظمة تستهدف نطاق أو منظمات معينة وغالبا يقف خلفها مجموعات الاختراق المتقدمة APT
6- الخصوم (Threat Actors)
وصف الخصم أو من يقف خلف الهجوم مهم سواء لمعرفة آلية التعامل معه أو لتحديث سجل سلوك الخصوم
معرفة ما إذا كان الهجوم جزء من حملة منظمة تستهدف نطاق أو منظمات معينة وغالبا يقف خلفها مجموعات الاختراق المتقدمة APT
6- الخصوم (Threat Actors)
وصف الخصم أو من يقف خلف الهجوم مهم سواء لمعرفة آلية التعامل معه أو لتحديث سجل سلوك الخصوم
7- استغلال الهدف(Exploit Targets)
معرفة ماذا تم استغلاله من نقاط الضعف بواسطة TTP أو Threat Actors وكيف تمكن المهاجم من تنفيذ الهجوم لمعرفة ماذا يترتب على ذلك من المعالجة المطلوبة.
8- مسار العمل/الاجراء المتخذ (Courses of Action (COA))
التدابير الوقائية وطرق المعالجة لهذه الحادثة
معرفة ماذا تم استغلاله من نقاط الضعف بواسطة TTP أو Threat Actors وكيف تمكن المهاجم من تنفيذ الهجوم لمعرفة ماذا يترتب على ذلك من المعالجة المطلوبة.
8- مسار العمل/الاجراء المتخذ (Courses of Action (COA))
التدابير الوقائية وطرق المعالجة لهذه الحادثة
وبهذا يتم استخلاص تقرير شامل عن الحوادث السيبرانية ويتم مشاركتها مع الأطراف المهتمة ليتم تقليل الضرر
للاستزادة
ورقة بحثية عن STIX
#what-is-stix" target="_blank" rel="noopener" onclick="event.stopPropagation()">stixproject.github.io
للاستزادة
ورقة بحثية عن STIX
#what-is-stix" target="_blank" rel="noopener" onclick="event.stopPropagation()">stixproject.github.io
جاري تحميل الاقتراحات...