انتقل إلى المحتوى الرئيسي

التعاون بين H-ISAC ونموذج MITRE ATT&CK


استخدام التحليلات للدفاع السيبراني الاستباقي في الرعاية الصحية والقطاعات الأخرى

 

مع استمرار مراكز ISAC المختلفة في حشد دفاعاتها ضد العدد المتزايد من التهديدات الإلكترونية، أحدثت MITRE ثورة في تتبع استخبارات التهديدات الإلكترونية. أصبح نموذج MITRE ATT&CK قاعدة المعرفة المعترف بها عالميًا للتكتيكات العدائية التي يستخدمها مجرمو الإنترنت المتطورون اليوم.

ورغم أن هذا الإطار يشكل بداية ممتازة لجمع معلومات استخباراتية عن التهديدات السيبرانية، فإنه ليس كاملاً بأي حال من الأحوال لأن مجرمي الإنترنت يطورون باستمرار تكتيكات جديدة. ويعتمد مستقبل هذا الإطار وقيمته لمراكز تبادل المعلومات وتحليلها (ISAC) بشكل كامل على نهج تعاوني للتحسين المستمر. وكما ذكر ويليام بارنز، المدير الأول لحلول الأمن في شركة فايزر مؤخراً، "نحن جميعاً في هذا الأمر معاً".

 

كيف يعمل نموذج ATT&CK؟

يوفر إطار عمل ATT&CK معلومات حول التكتيكات والأساليب والمعارف المشتركة، ومن هنا جاء الاختصار. هذه المصفوفة هي من بنات أفكار شركة MITRE Corporation، وهي منظمة غير ربحية تفتخر بحل المشكلات من أجل عالم أكثر أمانًا. يمكن الوصول إلى مراكز البيانات الممولة من الحكومة الفيدرالية على مستوى العالم وتؤدي مجموعة متنوعة من جهود البحث القائمة على البيانات، بما في ذلك الأمن السيبراني.

بدأت قاعدة بيانات ATT&CK المعرفية في عام 2013، وهي توثق التكتيكات والأساليب الشائعة التي يستخدمها خصوم الإنترنت المعاصرون. وكان الدافع وراء إنشاء هذا النموذج هو الحاجة إلى فهم سلوك الخصوم بدلاً من فهم التكتيكات الفردية في وقت محدد. هناك طريقة لعمل مجرمي الإنترنت والمفتاح لإيقافهم هو التنبؤ بدقة بخطوتهم التالية.

يمكن تقسيم مكونات نموذج ATT&CK إلى تكتيكات وتقنيات. تمثل التكتيكات "السبب" الذي يدفع الخصم إلى اختيار القيام بعمل معين. وتمثل التقنيات "الكيفية" التي يحاول بها الخصم تحقيق هدفه التكتيكي. ويساعد الجمع بين الاثنين في تسليط الضوء على السلوكيات المحتملة أو الخطوات التالية التي قد يتخذها مجرم الإنترنت.

تُعد مصفوفة ATT&CK تمثيلًا مرئيًا لهذه التكتيكات والتقنيات. ومن أمثلة هذه التكتيكات الاستمرار والحركة الجانبية والاكتشاف. وبالنسبة لهذه التكتيكات والعديد من التكتيكات الأخرى، تحدد المصفوفة التقنيات المحتملة التي يمكن استخدامها لكل منها. على سبيل المثال، تحتوي الحركة الجانبية على 17 تقنية مختلفة تم تحديدها مثل نصوص تسجيل الدخول ونسخ الملفات عن بُعد.

 

كيف تستفيد المؤسسات من نموذج ATT&CK

وباستخدام المعلومات المستمدة من نموذج ATT&CK، تستطيع المنظمات أن تبدأ في بناء دفاعاتها السيبرانية بشكل استباقي. وعندما تكتشف المنظمات استخدام تكتيكات معينة ضد دفاعاتها المحيطة، يمكنها استخدام المصفوفة لإعداد الدفاعات ضد التقنيات المحتملة، أو الخطوات التالية، التي قد يلجأ إليها الخصم.

تتمثل الفائدة الأساسية في الطبيعة الاستباقية لنموذج ATT&CK. تستخدم جميع المنظمات في العصر الرقمي بعض أشكال برامج وحلول الأمن السيبراني. وهي توفر مستويات متفاوتة من المواقف الدفاعية، وعلى أقل تقدير، توفر مستويات أساسية من الحماية. ومع ذلك، فإن احتمال حدوث خرق ناجح وشيك.

ولكي تتمكن أي منظمة من حماية أصولها الرقمية بنجاح، يتعين عليها أن تظل يقظة في جهودها للبقاء في طليعة خصومها. ووفقًا لويليام بارنز، فإن التحدي الأساسي هو وجود مجموعة واسعة من الأنشطة الخبيثة. بالإضافة إلى ذلك، استشهد بحقيقة مفادها أن كل من قطاعي الخدمات المالية والرعاية الصحية هما الكيانان الأكبر وبالتالي يوفران بيئة غنية بالأهداف للخصوم المحتملين. "الخدمات المالية هي أكبر مركز تبادل معلومات وأمن... لكن الرعاية الصحية تمثل مجتمعًا جماهيريًا أكبر بكثير من حيث أصحاب المصلحة".

 

التعاون هو المفتاح

في مؤتمر H-ISAC الربيعي الأخير، كان هناك موضوع مركزي قوي. إن العمل معًا لمحاربة تهديد الخصوم السيبرانيين هو أفضل طريق للمضي قدمًا ليس فقط في مجال الرعاية الصحية ولكن لجميع الصناعات.

وهنا يمكن لنموذج MITRE ATT&CK ومركز تبادل وتحليل المعلومات الصحية (H-ISAC) أن يحققا أعظم التقدم. يوفر النموذج نفسه إطارًا لتحديد التكتيكات مع التقنيات المرتبطة بها. ومع ذلك، فهو لا يكون جيدًا إلا بقدر المعلومات المتوفرة لديه حاليًا. ومن خلال مشاركة المنظمات الأعضاء في مركز تبادل وتحليل المعلومات الصحية (H-ISAC) لتجاربها، يمكن تحديث قاعدة المعرفة في MITRE باستمرار بأحدث التهديدات.

تتمتع المنظمات الآن بمنصة متسقة يمكن الاستعانة بها من قبل الجمهور، وفقًا لبارنز. وهذا يعني أن جميع الكيانات يمكنها الاستفادة من تجارب كل كيان على حدة. ونتيجة لذلك، يمكنها الاستمرار في بناء تدابير أمنية استباقية تجعلها متقدمة على الخصم.

 

ما هي تأثيرات الإفصاح؟

بطبيعة الحال، يثير هذا التبادل المفتوح للمعلومات بعض المخاوف أيضًا. فبعض المنظمات مترددة في مشاركة حقيقة تعرضها لاختراق ما، لأن ذلك يضر بمصداقيتها في السوق. ويخشى البعض أن تغري كيانات أخرى باستخدام هذه المعلومات ضد منافسيها.

وفقًا لبارنز، فقد تعاملت H-ISAC مع هذه المشكلة بشكل مباشر من خلال استخدام اتفاقيات عدم الإفصاح للكيانات الأعضاء. تساعد اتفاقيات عدم الإفصاح هذه في تخفيف المخاوف بشأن تسرب المعلومات غير المناسبة إلى الجمهور.

كما أشار بارنز إلى أن تبادل المعلومات لا يتعلق بالضرورة بحادثة اختراق فعلية. فمن خلال تعاون H-ISAC مع MITRE، فإن المعلومات المشتركة تتعلق أكثر بتحديد الأنشطة المشبوهة أو الضارة. والهدف ليس توجيه أصابع الاتهام إلى أولئك الذين تعرضوا للاختراق، بل تحديد التكتيكات والتقنيات الجديدة ومشاركتها مع أعضاء المجتمع لصالح الجميع.

 

مزايا وعيوب مشاركة البائعين

مع استمرار نمو المجتمع التعاوني، بدأت شركات الأمن السيبراني في أخذ مقعد على الطاولة. تتمثل ميزة إشراك هؤلاء اللاعبين في أنهم منغمسون في تكتيكات وتقنيات الخصوم ويمكنهم تقديم رؤية خط المواجهة للكيانات الأعضاء في H-ISAC.

وفقًا لبارنز، من المرجح أن يكون كل بائع قادرًا على التعامل مع مجموعة واسعة من التكتيكات والتقنيات؛ ومع ذلك، يميل كل منهم أيضًا إلى التخصص في مجالات معينة. من خلال جلب مجموعة واسعة من البائعين، يمكن لأعضاء H-ISAC ونموذج MITRE ATT&CK الاستفادة من وجهات نظرهم المختلفة.

 

المستقبل مشرق

على الرغم من كل التحديات التي تواجه العصر الرقمي الحديث، يظل بارنز متفائلاً. ومن أهم ما تعلمه من مؤتمر H-ISAC الربيعي هو الاعتقاد المتجدد بأن مجموعة عمل تحليلات الأمن السيبراني التابعة لـ H-ISAC قادرة على إنجاز أشياء رائعة.

إن النمو المستمر وتطوير نموذج MITRE ATT&CK يمثل فرصة مثيرة. إن إمكانية التأثير بشكل إيجابي على المنظمات في جميع مجالات الرعاية الصحية لم تكن أفضل من أي وقت مضى. بالإضافة إلى ذلك، أشار بارنز أيضًا إلى أن مجتمع H-ISAC جعل التنوع والشمول أولوية.

لمزيد من المعلومات حول تحليلات الأمن السيبراني ومجموعات العمل الأخرى، انتقل إلى https://h-isac.org/committees-working-groups/.

  • الموارد والأخبار ذات الصلة