مفهوم هرم درد

این مدل توسط "دیوید بیانکو" مطرح شده است. یک دیاگرام ساده و به شکل یک هرم طراحی شده است. به شکلی ساده ارتباط بین شاخص های مختلف که ممکن است شما از هرکدام برای شناسایی نفوذگران و سایر تهدیدات استفاده کنید را به شکلی ساده بیان می کند.
در این مدل به شش راهکار برای به چالش کشیدن نفوذگران، که قصد کسب دسترسی و سو استفاده از داراییهای سازمان را دارند مطرح شده است. سالهای زیادی است که در صنعت امنیت سایبری برخی از این مفاهیم به صورت جداگانه مورد استفاده قرار گرفته اند. این مدل بهترین روش برای شرح و توصیف عملکرد برای سیستمهای تشخیص نفوذ میباشد. این مدل طوری طراحی شده که مهاجمان در مواجهه با آن دچار سلسله مراتبی از چالشها میشوند که در نهایت مواجهه با این سری از چالشها به قدری برای مهاجمان و نفوذگران خسته کننده و آزار دهنده خواهد بود که ترجیح میدهند به سراغ هدفهای سادهتری بروند. هر میزان که از پایین هرم به سمت لایههای بالاتر برویم میزان چالش برای مهاجمان دردناکترو پر هزینه تر خواهد شد لذا از همین رو اسم این هرم، "هرم درد " نامیده شده است.
عموما سطوح بالایی هرم بیشتر برای مهاجمان و نفوذگران پیشرفته و هدفمند میباشد که با صرف زمان، هزینه و ابزارهای متعددی اقدام به هدف کردن سازمان برای بهره برداری کرده اند. هدف اصلی آنها مهاجمان پیشرفته و هدفدار میباشند. سطوح پایینتر هرم عموما برای شناسایی و مقابله با مهاجان بی هدف و تازه کار می تواند مفید باشد که ریسک کمتری نیز به همراه دارند.
به طور ساده می توان اینطور بیان کرد که هدف از پیاده سازی این هرم، وادار کردن نفوذگران به صرف زمان، هزینه و استفاده از منابع و ابزارهای گسترده و جدید برای هدف کردن سازمان می باشد که در نهایت منجر به کاهش میزان موثر بودن مجموعه اقدامات آن ها خواهد شد و در بسیاری از موارد مهاجمان از اقدام خود صرف نظر میکنند. فلسفهی این هرم بر مبنای اعمال هزینه در منابع و زمان برای نفوذگران میباشد، این امر منجر به پیچیدهتر شدن شرایط برای نفوذگران شده در نتیجه احتمال ایجاد خطا را در سطوح مختلف افزایش میدهد. همین امر در نهایت منجر به افزایش احتمال رویت نشانه های مختلف از نفوذگران می شود.
این هرم در اصل برای سنجش و ارزیابی میزان مفید بودن بالقوه راهکارهای هوشمند سازی پیاده سازی شده به خصوص هوشمندسازی پیرامون تهدیدات مورد استفاده قرار میگیرد.
همچنین به کمک این هرم می توان میزان دشواری در رسیدن به سطح ایده آل و مورد انتظار از هومشندی، خصوصا هوشمندی پیرامون تهدیدات برای سازمان را مورد ارزیابی قرار داد.
در اصل می توان اینطور بیان کرد که برای پیاده سازی کامل این هرم در سازمان می بایست اقدامات زیادی در سطح عملیات امنیت سازمان انجام شده باشد. لذا در سطح بالایی می بایست سازمان به حد بالایی از بلوغ عملیات امنیت رسیده باشد. همچنین برای دو سطح بالایی در راس هرم درد، می بایست از راهکارهای هوشمندی امنیت در سازمان بهره برداری شده باشد تا این امکان را برای تیم پاسخدهی به حوادث و تمامی تیم های مدافع عملیات امنیت فراهم شود.

در اصل میتوان این هرم را اینطور تشریح کرد که هر سطح از آن بارزترین نشانه های ممکن جهت شناسایی تهدیدات را مورد پایش قرار می دهد؛ این امر میبایست به گونهی انجام شود که امکان تاثیر گذاری و ایجاد اختلال در فرایند و عملیات مورد نظر نفوذگران و اعمال هزینه های جدید برای آنها به همراه داشته باشد. نکتهی دیگر توصیه بر وجود ارتباط بین لایه های این هرم برای بیشترین میزان تاثیر بر تهدیدات می باشد.
در این بخش به مرور کلی ویژگیهای هر بخش از این هرم میپردازیم و از پایینترین سطح بررسی را آغاز میکنیم.
اولین لایه ی هرم، Hashes؛
هشها الگوریتم های یک طرفه ای هستند که برای مقایسه و تصدیق اصالت یک پترن(برای مثال فایل) در دو سمت مورد استفاده قرار میگیرند. یکی از راهکارهای اولیه و ساده برای شناسایی تهدیدات، (هکر ها، بدافزارها) بهره برداری از راهکارهای مبتنی بر محاسبه ی Hash ها می باشد. با بهره برداری از این راهکارها نظیر FIM، سیستم اقدام به ساختن Hash از تمامی مولفههای مورد نظر کرده و به ازای هر تغییر کاربر و مدیر سیستم را مطلع می سازند. به طور معمول تنها برای صحت یکپارچگی در ساختار کد های منبع، فایلهای سیستمی و فایل های اطلاعاتی مورد بهره برداری قرار میگیرند.
هش هایی نظیر MD5، SHA1 و نظایر آن، راهکارهایی رایج و مرسوم برای شناسایی فایلهای آلوده و مشکوک مشخصی میباشند. به طور معمول برای اشاره به بدافزارهای مشخص و شناخته شده ای مورد استفاده قرار میگیرند.
متاسفانه این امکان وجود ندارد که از پترن های تمامی بدافزارها و نفوذگران پایگاهی از Hash ها جهت شناسایی رفتار آیندهی آنها ایجاد گردد و بتوان به صورت موثری از آن ها بهره برداری شود. زیرا دقت پایینی داشته زمان و منابع زیادی برای تمامی نقاط تحت پوشش نیاز دارد.
ولی نکته ی مهم در این قسمت بهره برداری از قابلیت تمایز دادن و انطباق Hash های فایل های آلوده برای شناسایی فایل های آلوده و مشکوک از سایر فایل ها و یا کد ها و آدرس های URL آلوده و مشکوک ازسایر موارد سالم می باشد. این راهکار هم به عنوان بخشی از فرایند فارنزیک (تحلیل و جرم شناسی) و هم به عنوان روشی ابتدای برای ایجاد هشدار برای تیم پاسخدهی به حادثه طی فرایند پاسخدهی به صورت پویا مورد استفاده قرار میگیرد.
هش ها مدت زمان بسیاری است که به عنوان مطمن ترین نشانه ها برای شناسایی تهدیدات مورد استفاده قرار میگیرند. این به دلیل مفهوم و ذات هش ها می باشد که به صورت دقیق می تواند تایید کننده ی وضعیت یک نشانه یا رفتار باشد.
• متاسفانه هش ها به شدت مشکوک به تغییر (تعامدی یا تصادفی) می باشند.
• هش ها به طور حتم کم استفاده ترین گونه از نشانههای تشخیص تهدیدات می باشند.

دومین لایهی هرم،آدرس های شبکه (IP Addresses)
آدرس های IP نسخه ی ۶ ویا نسخه ی ۴ برای همه آشنا هستند. رنج های شبکه ای با این آدرس ها یا CIDR ها در این قسمت هرم قرار می گیرند.
یکی دیگر از راهکارهای مرسوم و پرکاربرد خصوصا در گذشته برای مقابله و مواجهه با حملات سایبری در این صنعت استفاده از راهکارهای مبتنی بر ایجاد دسترسی شبکه ای مبنی بر "لیست سفید" و یا "لیست سیاه" بوده است. لذا با تکیه بر شناسایی رنج های IP نفوذگران می توان دسترسی مهاجمان را مسدود ساخت. این یکی از رایج ترین روش های سنتی برای مقابله با نفوذگران و ارتباطات مشکوک در گذشته بوده است. این روش نمیتواند به عنوان روشی بلند مدت مورد استفاده قرار بگیرد و کفایت لازم برای موثربودن در برابر حملات و تهدیدات را ندارد. اما در صورت لزوم با استفاده از رویکردهای اعمال دسترسی بر مبنای لیست های مجاز و غیر مجاز و مسدود ساختن دسترسی محدوده ی IP های مشکوک، با کمک خودکارسازی و هوشمند سازی ابزارهی پیشگیر و تشخیص نفوذ، وقفه در فرایند نفوذگران ایجاد شود.
اما نکات زیر در مورد این قسمت از هرم، لازم به ذکر میباشد؛
• تنها افراد تازه کار و مبتدی تمام کارهای خود را با آدرس های شبکه ی حقیقی خود و بدون تغییر اقدام به فعالیت های معمول و خصوصا تهدیدات آمیز می کنند.
• ابزارها و راهکارهایی نظیر VPNها، Tor، پراکسی ها و نظایر آن ها همگی این امکان را فراهم میکنند تا به سادگی هر کسی بتوانند آدرس IP خود را تغییر دهد. لذا آدرس های IP می توانند اهمیت بالایی داشته باشند.
• در صورتی که آدرس به صورت hardcode شده در پیکربندی وجود داشته باشند، برای نفوذگران با صرف مقداری زمان قابل بهره برداری هستند.

سومین لایهی هرم،نام دامنهها (Domain Name)
مسدود ساختن نامهای دامنهی مشکوک یا آلوده نیز مانند مسدود ساختن آدرسهای شبکه مشکوک و آلوده یکی از راهکارهای قدیمی و رایج برای مقابله با حملات سایبری بوده و امروزه میتوان با هوشمندسازی تهدیدات اقدام به مسدود ساختن نام های دامنهی مشکوک و آلوده به صورت خودکار شود. این روش نیز میتواند در فرایند حملهی نفوذگران اختلال ایجاد کند و سرباری برای ثبت و راه اندازی حملات از طریق دامنه ی جدید ایجاد کند.
نامهای دامنه ویا زیر مجموعه های نام یک دامنه که امروزه برای آلوده سازی سازمانها روشی بسیار رایج میباشند.
• به همان سادگی تغییر ادرس شبکه قابل تغییر و تبدیل میباشند.
• سرویس دهندگان DNS پویا حتی می توانند به نفوذگران امکان به روز رسانی خودکار فرایندها و فعالیتهایشان را از طریق API های کاربردی بدهند.

چهارمین لایهی هرم، Network & Host Artifacts ؛
در این قسمت از هرم اختلال و اذیت توسط تیم دفاعی و پاسخدهی به حادثه برای مهاجمان آغاز میشود. زمانی که بتوان نشانه ها و عوامل حاصل از ابزارهای مهاجمان را شناسایی کرد و به آنها پاسخ داد در این مرحله نفوذگران مجبور به بازبینی در ابزارهای خود میشوند.
در این بخش دادهها و اطلاعات مربوط به مشاهدات و شواهد حاصل از فعالیت های نفوذگران بر شبکهی شما قرار می گیرد. ردیابی و بررسی شبکه برای شناسایی و یا مشاهده نشانه هایی از تهدیدات، نظیر شواهدی خاص از پروتکل های C&C، کانال های مخفی ، روشهای Lateral movements در "زنجیره حملات " و نظایر آن ها می تواند در کشف تهدیدات و پاسخگویی به آنها مورد بهره برداری واقع گردد. هر بایت از فعالیت هایی که در شبکه جریان دارد می تواند یک نشانه و عامل از یک رفتار مرتبط با فعالیت های نفوذگر باشد. ونمونه هایی نظیر رفتارهای URI ، اطلاعات C2 نهاده شده در پروتکلهای شبکه و مواردی از این دست می توانند برای تحلیل رفتارها و شناخت نشانههای تهدیدات مورد استفاده قرار بگیرند. هر بایت که در شبکه ی شما جریان مییابد میتواند نتیجهی فعالیتهای نفوذگران در شبکه باشد و به عنوان یک مولفه و شاخص جهت شناسایی تهدیدات مورد استفاده قرار بگیرد.
در سطح میزبان میتوان در جستوجوی نشانه ها و امضاهای به جای مانده از فعالیت های مرتبط با نفوذگران که پس از فعالیت ایشان پس از نفوذ به جای میماند بود. به طور معمول رفتارهای نفوذگران محدود به یک سیستم میزبان نمیشوند و میبایست در طیفی از سیستمها وجود داشته باشند. لذا میبایست در جستوجوی نشانهها در سطحی از میزبانها بود. هر شاخص و نشانگری که بتواند گویای فعالیت نفوذگران در سطح سیستمهای میزبان باشد در این دسته قرار میگیرد و به طور معمول میتوان این نشانه را روی سایر سیستمهای دیگر نیز مشاهده کرد. مواردی نظیر کلیدهای رجیستری در سیستم عامل ویندوز، فایلهای مشخص، پراسسهای مشخص و مشکوک، سرویسهای مشکوک و نظایر آن همه میتوانند از نشانهها و شاخص های نفوذ در سطح سیستمهای میزبان محسوب می شوند و می توانند برای تحلیل گران و شکارچیان مورد استفاده قرار گیرند.
• بسیار مشکل است که بدون اقدام به بررسی و ردیابی نشانهها و عوامل ایجاد شده توسط مهاجمان بتوان اقدامات موثری در راستای مقابله و کاهش ریسک انجام داد.
• در هر سیستم میزبان و نقطه ی پایانی، میتوان به جست و جوی فایل ها، دایرکتوریها، استرینگهای واقع در حافظه و نظایر این نشانه ها پرداخت.
• در شبکه به دنبال بررسی مقادیر تراکنشهای متمایز و غیر معمول، خصوصا در مورد خطاهای مربوط به پروتکل ها و یا تبدیل های اشتباه بین پروتکل ها و مواردی غیر معمول و غیر طبیعی از این دست پرداخت.

پنجمین لایهی هرم، Tools ؛
اگر قادر به شناسایی ابزارهای مورد استفادهی نفوذگران باشید به سادگی می توانید عملکردشان را دچار اختلال سازید. شناسایی ابزارهای مورد استفاده ی نفوذگران می تواند باعث ایجاد اختلال در روش اصلی دسترسی و یا حذف کردن راهکار و روش اصلی مورد استفاده ی هکرها برای دسترسی و حفظ دسترسی به شبکه هدف گردد.
عموم نفوذگران از نرمافزارهای مشخصی برای اهداف خود استفاده میکنند. نفوذگران حرفهای و تحت حمایت دوت ها عموما ماموریت های مشخصی دارند و برای انجام ماموریت های خود اهداف مشخصی را در نظر دارند. لذا برای هدف قرار دادن آنها و انجام ماموریت خود از ابزارها و نرم افزارهایی مشخصی بهره برداری می کنند. این نرم افزارها ابزارهای اصلی نفوذگران برای اجرای ماموریتشان می باشد و چیزی فراتر از قابلیتهایی است که آن ها در شبکه ی هدف خود به کار برده اند. این نرم افزارها عموما ابزارهایی هستند که نفوذگران علاوه بر ابزارهایی که در بخش های مختلف شبکه و روی دارایی های ما نصب کرده و یا قرار داده اند مورد استفاده قرار میدهند. برای نمونه میتوان به مواردی از قبیل ابزارهایی برای استفاده در زمان post-compromise ، پسورد کرکرها، ابزارهای مبتنی بر استفاده از میزبان، دربهای پشتی ، پیاده سازی و پیکر بندی قابلیتهایی برای ایجاد مستنداتی آسیب پذیر برای حملات اسپیرفیشینگ و نظایر آنها اشاره کرد.
مواردی نظیر بهره برداری از قابلیتی برای ایجاد مستندات در قالبهای PDF و Microsoft Word که فایلها و مستنداتی آلوده را ایجاد کنند تا اقدام به Spearphishing کنند، درب های پشتی برای ایجاد ارتباطات C2 و یا مواردی از این دست که می توانند برای بهره برداری پس از نفوذ به سیستم ها مورد استفاده قرار گیرند.
در این سطح میبایست امکان تشخیص تمامی نشانههای ممکن برای شناسایی ابزارهای مهاجمان وجود داشته باشد. با شناخت ابزارهای مهاجمان رفتارهای ابزارها قابل پیشبینی بوده و قابل کنترل می باشد. لذا در بسیاری از موارد منجر به تغییر استراتژی نفوذگران شده و آن ها را وادار میسازد تا به سراغ ساخت ابزار جدید رفته و یا ابزار جدیدی تهیه کنند.
• به طور مشخص اگر بارها و بارها ابزار مشابهی را مشاهده کنید، به طور واضحی در تشخیص آن موفق خواهید بود.
ن مهم نیست که مهاجمان چه تغییراتی را به صورت تصادفی در ابزار مورد استفاده خود اعمال میکنند، مکانیزمهای تشخیص بکار رفته برای شما با شناخت آن ابزار به طور قطع از پس آن بر می آیند.
• برای اینکه مهاجمان بتوانند فعالیت های خود را ادامه دهند آنها نیاز به استفاده از ابزارهای جدیدی دارند. استفاده و بهره برداری از ابزار جدید برای مهاجمان نیازمند صرف زمان و گاها هزینه برای آزمودن و آموزش می باشد و این یک پیروزی بزرگ برای ساختار تدافعی سازمان شما می باشد.
برای نمونه، تیم پاسخدهی به حادثه ای درسازمانی در بازه ی زمانی یک ساله، همواره با فعالیت های مرتبط با یک ابزار مواجه می شد. این ابزار به سادگی به نفوذگران این امکان را میداد تا بتوانند پروتکل های مورد استفاده ی خود را تغییر دهند.(ولی تنها پروتکل ارتباط Front-End را تغییر می داد و ارتباط back-end از همان پروتکل شروع کنندهی ارتباط بهره می برد.) خوشبختانه تیم پاسخدهی به حادثه (IR Team) قادر به تشخیص این موضوع شد که این فعالیتهای ظاهری متمایز نگه داشتن بخشی از فعالیتهای Back-End در Front-End میباشند. در نتیجه با قابلیت اطمینان بالایی قابل تشخیص و پاسخدهی میباشند.
ششمین لایهی هرم، Tools, Techniques & Procedures ؛
در این لایه از هرم بالاترین سطح تشخیص نشانههای تهدیدات را شاهد میباشیم. در این قسمت به بررسی دادهها و اطلاعاتی از قبیل چگونگی محقق شدن عملیات و ماموریتهای نفوذگران، با کمک گرفتن از طریق شناسایی تمام راهها و روش ها برای اجرای حمله توسط نفوذگران، از اولین مرحلهی طرح ریزی حمله یعنی شناسایی و جمع آوری اطلاعات، توسط نفوذگران برای انجام ماموریتشان تا آخرین مرحلهی انجام نفوذ و حمله که Data Exfiltration میباشد پرداخته میشود.
در حملات پیشرفته زنجیره مفهومی تحت عنوان Cyber Kill Chain وجود دارد که به معنی زنجیرهی فعالیتهای مرتبط برای اجرای یک حملهی سایبری توسط نفوذگران بر یک سازمان هدف و یا دارایی مشخص میباشد. در این زنجیره تمامی مراحل یک حمله به صورت چکیده وجود دارد و تمامی مراحلی که عموما یک نفوذگر برای نفوذ استفاده میکند شرح داده شده است. این مدل یکی از روش های اولیه و کاربردی در توضیح حملات سایبری می باشد که می توان در این بخش از آن بهره برداری کرد. مدل Cyber Kill Chain توسط Lockheed Martin مطرح شده است و امروزه برای تشریح حملات مورد استفاده قرار میگیرد. این مدل به صورت اولیه در ارتش مورد استفاده قرار می گرفت و مفهومی برای ترسیم ساختار یک حمله ی نظامی بوده است. در مفهوم نظامی این مدل شامل مراحلی از جمله، شناسایی هدف، اعزام نیرو به سمت هدف، تصمیم گیری و دستور برای چگونگی حمله به هدف و در نهایت نابودی هدف بوده است. این مراحل برای حمله و نابود کردن هدفی مشخص تعریف شده است؛ ولی از سویی دیگر با بهره برداری از این ایده میتوان اقدام به شکستن زنجیرهی نابودگری مهاجم شود. این روش یک راهکار و اقدام پیشگیرانه است. در امنیت سایبری از این مفهوم برای مدل سازی حملات سایبری علیه یک هدف استفاده می شود.
نکته: این مدل مورد بازبینی قرار گرفته است و با نسخهی جدید در دسترس می باشد.

نکته: مدل سایبری Kill Chain، مدلی سنتی و ساده می باشد که توسط MITRE مورد بازبینی قرار گرفته است و نسخه ای جدید از آن توسط MITRE ارائه شده است.

همانطور که مشخص است نفوذگران برای اجرای حملات، خصوصا حملات توسعه یافته و هدفمند نیاز به اجرای مراحلی مشخص دارند. از اولین مرحلهی حمله یعنی شناسایی هدف تا مرحلهی نهایی Data Exfiltration و تمامی گام های بین این دو که توسط مهاجمان مورد استفاده قرار میگیرد تا ماموریت خود را علیه اهداف مشخص شده انجام دهند. در تیم دفاع سایبری می بایست تمامی این مراحل برای شناسایی برای نمونه یکی از روشهای رایج مهاجمان اقدام به اسپیرفیشیگ با بهره برداری از یک فایل PDF آلوده به تروجان می باشد. دامپ گرفتن از اطلاعات authentication و باز استفاده از آن برای در حمله ی Pass-the-Hash یکی از مصداق های TTP میباشد. همانطور که مشاهده میکنید به هیچ ابزار خاصی برای این کار و تجهیز فایل PDF برای اجرای حمله اشاره نشده است و برای اجرای Pass-the-Hash به هر طریقی میتوان فایل PDF را برای سرقت هویت تجهیز کرد.
به عنوان تیم آبی و محافظ در برابر تهدیدات به سراغ راس هرم درد می رویم. در اینجا یعنی راهکارهای دفاعی سازمان به سطحی رسیده که قابلیت تشخیص تهدیدات و حملات را در این سطح از پیچیدگی دارد. پس در این سطح شما به عنوان تیم محافظ، در برابر رفتارهای مهاجمان اقدامات لازم را انجام می دهید نه در برابر ابزارهای مهاجمان. برای نمونه سراغ همان حملهی Pass-the-Hash می رویم. احتمالا با استفاده از لاگهای ثبت شدهی خود سیستم عامل می توان به سادگی شاهد رفتار مهاجم بود. در اینجا فرقی ندارد که مهاجم از چه ابزاری برای این حمله استفاده کرده است؛ در اینجا تکنیک(روش)، تاکتیک و فرایندهای مورد استفادهی نفوذگر برای ما اهمیت دارد. اگر در این سطح ار آمادگی برای پاسخدهی به رفتار نفوذگران باشید، مهاجمان مجبور خواهند شد تا به سراغ یادگیری رفتارهای جدیدی بروند. در این حالت معمئلا دو رویکرد پیش روی مهاجمان قرار دارد؛ ۱- یا باید به کلی بی خیال این هدف بشوند ۲- ویا باید از ابتدا تمامی اقدامات را انجام دهند.

حداقل نیازمندی‌های پایه ای برای شکار تهدیدات...