مدل MITRE ATT&CK معرفی و موارد کاربرد

مدل یا به‌ عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقهبندی هدفمند تاکتیکها و تکنیکهای مورد استفاده توسط مهاجمین است که روی شبکههای سازمانی مشاهده و کشف شده است. بهبیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گامهای مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گامهای محتمل بعدی (نظیر Lateral Movement و ) و روشهای مورد استفاده برای تحقق این گامها، مستند شده است. مدل مذکور، یک مدل جزییتر از مدلهای سطح بالاتری نظیر Kill Chain است.

 

مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.

 

به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد

  1. شبیهسازی رفتار مهاجمان

میتوان از مدل مذکور جهت ارزیابی امنیت داراییها و فناوریها بهره برد. این فرآیند (ارزیابی امنیتی) با بهکارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.

  1. ارزیابی گپ (Gap Assessment)

فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.

  1. ارزیابی سطح بلوغ مرکز عملیات امنیت

مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK میتواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.

  1. غنیسازی اطلاعات تهدید

قالب ساخت یافتهی ATT&CK میتواند دادههای بیشتری را به اطلاعات تهدید بیافزاید. بهبیان دقیقتر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، میتواند با استفاده از مدل مذکور دستهبندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.

کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.

 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *