Threat Intelligence مفهوم الـ

أسعد الله اوقاتكم بكل خير ..🌿

من اهم المجالات في الامن السيبراني الذي يجيب ان نكون على اطلاع واسع فيه، و أحد ركائز قوة دفاع المؤسسات لمواجهة الهجمات الآلكترونية هي الـ Threat Intelligence. حيث من المهم فهمها و معرفة ما تعنيه و ما تحتويه و لماذا هي ذات اهمية.

جميع متخصصي الامن السيبراني يجب ان يكونوا على فهم و دراية بجميع التهديدات (Threats) لمنعها او التخفيف من حدة تأثيرها. و بمعنى ادق، نحن نحتاج الى استخبارات التهديدات (Threat Intelligence) و هي بيانات الخصم/المهاجم تم تجميعها لمعرفة دوافع و امكانيات و أدوات و منهاجياتهم الخاصة على الجهات المستهدفة. Threat intelligence gathering تعتمد على تجميع البيانات من العالم الحقيقي و جمع الادلة و تحليلها.

تم تصنيفها على ثلاث مستويات:

الأول (strategic intelligence) / الذكاء الاستراتيجي:

 يقوم بتوفير معلومات واسعة عن التهديدات و الفاعل/المهاجم حيث يتم السماح للمنظمات بفهمها و الاستجابة لها.

الثاني (tactical threat intelligence) / استخبارات التهديد التكتيكي:

و هي معلومات تقنية وسلوكية أكثر تفصيل حيث تكون مفيدة بشكل مباشر لمتخصصي الأمن وغيرهم.

الثالث (operational threat intelligence) / استخبارات التهديد بكامل طاقته :

 عبارة عن معلومات مفصلة للغاية تسمح بالاستجابة لتهديد معين وغالبًا ما تتضمن معلومات حول مصدرها أو من أنشأها أو كيف تغيرت بمرور الوقت ، وكيف يتم تسليمها أو كيف تنتشر ، وما محاولة إزالته وكيفية منعه.

ملاحظة: و هُناك من تم تصنيفها على اربع مستويات (اضافًة للـ Techanical inteeligence).

في هذا المقال سنتطرق الى:

•  انواع التهديدات الاستخباراتية بما فيها مصادرها و وسائل تقييم مُلائمة و دقة مصدر استخبارات تهديد معين. 
• المصادر التي يمكن استخدامها في العمل.
• سنتحدث أيضًا عن تصنيف التهديدات والجهات الفاعلة في مجال التهديد.
• اخيرًا، اختبار قصير اخر المقال.

***

 Threat Data and Intelligence / بيانات التهديد والاستخبارات 

    هناك العديد من مصادر معلومات التهديد، سنبدأ من المعلومات الاستخبارية مفتوحة المصدر(Open source Intelligence) التي يمكن لنا جمعها من المصادر المتاحة للعامة ، إلى الخدمات التجارية التي توفر معلومات استخبارية خاصة (commercial services) أو مغلقة المصدر(closed source intelligence).

هناك قدرة على استهلاك الـ Threat feed data ( و هي عبارة عن بيانات تهديد قابلة للتنفيذ مرتبطة بمؤشرات أوبعض بيانات تم تجميعها من جهات خارجية للتعلم الوصول الى المنظمات الأخرى وإبرازها لتحسين الوعي بالتهديدات الأمنية الإلكترونية والاستجابة لها) بسبب زيادة عدد المنتاجات و الخدمات، مما يسمح لنا الاستفادة منها في جميع البنى التحتية و الانظمة.

هدف الـ Threat feed data: هو توفير تفاصيل محدثة حول التهديدات بطريقة يمكن للجهات الاستفادة منها. على سبيل المثال عناوين IP، أسماء المضيف، المجالات وعناوين البريد الإلكتروني، عناوين URL و تفاصيل أخرى قد تسبب بتعرض المؤسسات للتهديد و بالتالي هجمات قد تسبب عواقب وخيمة. من بين التفاصيل المفيدة للجهات التي ترغب في حماية فضائها الامني، تزويدها بمعلومات عن أوصاف الجهات الفاعلة(الخصم/المهاجم) في التهديد ، وحتى تفاصيل دوافعهم طرقهم و المنهجيات التي يتبعوها.

***

Open Source Intelligence / المعلومات الاستخبارية مفتوحة المصدر

بسبب كثرة المصادر العامة، يتمثل التحدي الآن في تحديد مصادر الـThreat Intelligence التي يجب استخدامها و التأكد من أنها موثوقة ومحدثة بشكل دوري. 

هناك العديد من المواقع تحتفظ بقوائم شاملة لمصادر الـ Threat Intelligence مفتوحة المصدر، سنذكر على سبيل لمثال:

• يوفر الـ Senki.org قائمة موجودة هنا : 

www.senki.org/operators-securitytoolkit/ open-source-threat-intelligence-feeds/ 

• Open Threat Exchange التي تديرها AlienVault :

https://cybersecurity.att.com/open-threat-exchange

ايضا هناك العديد من المصادر الحكومية والعامة لبيانات استخبارات التهديدات. 

• موقع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA):

https://us-cert.cisa.gov

• موقع مركز الجرائم الإلكترونية التابع لوزارة الدفاع الأمريكية:

https://www.dc3.mil

***

  Proprietary and Closed Source Intelligence / معلومات خاصة ومغلقة المصدر

 قد تلجئ بعض المنظمات للمصادر المفتوحة، فهناك بعضها قد تقوم بإنشاء واستخدام معلومات استخبارية خاصة أو مغلقة المصدر. و ذلك لعدة اسباب منها: استخدامهم ادوات و بحث خاص بهم و يستخدمون ادوات مخصصة غير متاحة للعامة ، و نماذج تحليل خاصة ، او اي طرق لجمع الـ Threat feed الخاصة بهم وتنظيمها والمحافظة عليها بشكل سري. و السبب الرئيسي في ذلك هو اختلاف رغبة منظمة لأخرى و لكن اُتفق برغبتهم الحفاظ على سرية البيانات او لرغبتهم في بيعها و الاستفادة منها كأسرار تجارية او لربما قد لا يرغبون في اغتنام فرصة معرفة الخصوم بالبيانات التي تم جمعها.

• ملاحظة:  أحيانا قد يكون كمية المعلومات الضخمة المتاحة كمصدر مفتوح عبر الـ Threat feed امر مقلق و مربك للكثير من المؤسسات.

***

 Assessing Threat Intelligence /  تقييم استخبارات التهديد 

من الضروري تقييم الـThreat Intelligence!

 هناك عدد من العوامل التي تلعب دور عند التقييم:

1.  هل هو الوقت المناسب؟
2. هل المعلومات دقيقة؟ ما مدى احتمالية صحة التقييم؟ هل تعتمد على مصدر واحد أم مصادر متعددة؟ كم مرة تكون هذه المصادر صحيحة؟
3. هل المعلومات لها علاقة؟

إحدى طرق تقييم استخبارات التهديد في الـ confidence score .

فكرتها:

تسمح confidence score للمؤسسات بفلترة الـ Threat Intelligence واستخدامها بناء على مقدار confidence.

 في حال كانت درجة المعلومات ذات lower confidence فهي ليست دائمًا غير مفيدة ! منطقيًا تبدأ الـ Threat Intelligence بدرجة confidence أقل وتزداد مع قوة المعلومات. فمن المهم عدم تجاهلها و لكن يعني ذلك الاعتماد عليها لاتخاذ قرارات مهمة!

Assessing the Confidence Level of Your Intelligence 

يستخدم ThreatConnect ستة مستويات من الثقة

Confirmed	(90–100)	يستخدم مصادر مستقلة أو تحليل مباشر لإثبات أن التهديد حقيقي
Probable	(70–89)	يعتمد على الاستدلال المنطقي لكنه لا يؤكد التهديد بشكل مباشر
Possible	(50–69)	عندما تتفق بعض المعلومات مع التحليل ، ولكن التقييم غير مؤكد ومن المنطقي إلى حد ما الاستدلال عليه من البيانات المقدمة
Doubtful	(30–49)	عندما يكون التقييم ممكنًا ولكن ليس الخيار الأكثر ترجيحًا ، أو لا يمكن إثبات التقييم أو دحضه من خلال المعلومات المتاحة
Improbable	(2–29)	يعني أن التقييم ممكن ولكنه ليس الخيار الأكثر منطقية، أو يتم دحضه من خلال المعلومات الأخرى المتوفرة
Discredited	(1)	عندما يتم التأكد من أن التقييم غير دقيق أو غير صحيح

بعض المؤسسات تستخدم مقياس مختلف مثل High/Medium/Low كلها تُستخدم بشكل شائع للسماح لتقييم جودة التقييم والبيانات الأساسية بشكل اسرع.

***

Threat Indicator Management and Exchange  / إدارة مؤشر التهديد 

تتطلب إدارة الـ Threat Intelligence على أي مجال التوحيد القياسي (standardization) للسماح بمعالجة  الـ Threat Intelligence و استخدامها بطرق اتوماتيكية.

 يمكن أن تكون الـ Indicator Management أسهل بكثير مع مجموعة محددة من المصطلحات، كالـ structured markup languages مثل STIX و OpenIOC.

 (Structured Threat Information Expression (STIX : 

هي لغة XML مقدمة من وزارة الأمن الداخلية الأمريكية. 

STIX 2.0 (النسخة الحالية) تتكون من 12 objects في مجال STIX ، بما في ذلك أشياء مثل أنماط الهجوم والهويات والبرامج الضارة والجهات الفاعلة في التهديد والأدوات.

 ثم يتم ربط هذه الـ objects ببعضها البعض من خلال أحد نموذجين STIX : إما كعلاقة أو رؤية.

صورة توضيحية لهيكل  (STIX 2.0)

يُعد بروتوكول (Trusted Automated Exchange of Indicator Information protocol) و اختصارها (TAXII) هو المصاحب لـ STIX.

 هدف الـ TAXII هو السماح بإرسال معلومات التهديد السيبراني في طبقة الـ application عبر HTTPS فقد تم تصميمه خصيصًا لدعم تبادل بيانات STIX.

 ***

  The Intelligence Cycle / دورة الاستخبارات

صورة توضيحية للـ The Intelligence Cycle

Planning Threat Intelligence: Requirements Gathering / تخطيط استخبارات التهديد: 

هي اول مرحلة جمع المتطلبات و المعلومات، ففي هذه الخطوة ، سيتم القيام بما يلي: 

1. تقييم الاختراقات الأمنية أو التسويات.
2.  تقييم المعلومات التي كان من الممكن أن تُمنع أو تحد من التأثير.
3. تقييم الضوابط والتدابير الأمنية التي لم تكن موجودة والتي كان من شأنها أن تخفف من الاختراق.

Data Collection / جمع البيانات :

المرحلة الثانية جمع البيانات من مصادر الاستخبارات الخاصة بالتهديدات لتلبية تلك المتطلبات في المرحلة الاولى. 

 Data Processing and Analysis / معالجة البيانات وتحليلها:

المرحلة الثالثة، في حال اردنا استخدام بأداة او عملية فسيتعين علينا معالجة البيانات للسماح باستهلاكها، و ثم تحليلها .

 Data Processing and Analysis / نشر المعلومات الاستخبارية:

المرحلة الرابعة، يتم توزيع البيانات على المُدراء والموظفين الذين سيستخدمون البيانات كجزء من دورهم في العمليات الأمنية.

Feedback / تعليق:

 المرحلة الأخيرة هي جمع الملاحظات حول التقارير والبيانات التي تم تجميعها. و هي مرحلة جدا مهمة!

***

Threat Actors /  الجهات الفاعلة للتهديد 

تسعى العديد من المنظمات إلى وصف كل من الجهات الفاعلة (الخصم / المهاجم) في التهديد وتصنيف التهديدات التي تواجهها لفهم التهديدات نفسها بشكل أفضل.

اشهر اربع تصنيفات كالاتي:

١.Nation-state:

 عبارة عن متسلل أو مجموعة من المتسللين الذين يعملون مع حكومة معادية ترتكب جرائم إلكترونية ضد دولة ما. اكثر ما اشتهر الحروب الالكترونية من روسيا و الصين ضد الولايات المتحدة أو حلفائها، و  تترتبط غالبًا بالـ advanced persistent threat ، ولديها أدوات وقدرات متقدمة خاصة جدا بها.

٢. Organized crime /  الجريمة المنظمة:

تهدف إلى تحقيق مكاسب مالية. تعتبر هجمات برامج الفدية (Ransomware) مثالا عليها.

٣.Hacktivists /الهاكرز :

هم نشطاء يستخدمون التهكير كوسيلة لهدف سياسي أو نفسي. احيانا يتكون من افراد او مجموعات كبيرة مجهولة الهوية (غالبا) ، ويمكن أن تختلف قدراتهم التقنية ومواردهم بشكل كبير على حسب احتياجاتهم و اهدافهم.

٤.Insider threats / تهديدات داخلية :

 هي تهديدات تكون من موظفين أو عاملين أو مجموعات موثوق بها داخل مؤسسة ما. قد تكون عن قصد أو لا ، و للأسف في كل الاحوال قد تسبب  تهديد كبير بسبب المكانة الموثوقة او المنصب التي يتمتع به الموظف.

•  ملاحظة: التهديدات الداخلية هي اشد و اصعب التصنيفات و يصعب اكتشافها.

***

 Threat Classification / تصنيف التهديد

اشهر تصنيفات التهديد تشمل التمييز بين:

1.  التهديدات المعروفة / known threats ، و التي من المحتمل ان تكون هناك معلومات مفيدة عنها.
2. التهديدات غير المعروفة/unknown threats ، والتي لا يمكن الاستعداد لها إلا من خلال استخدام الضوابط والعمليات العامة. اشهر انواع الـ unknown threats هي تهديدات الـ Zero-day. 

شركة مايكروسوفت اصدرت نموذج تصنيف STRIDE ، و هي  إحدى الطرق المميزة التي يمكن استخدامها لتصنيف التهديدات. 

STRIDE اختصار للـ threats المذكورة بالجدول ادناه.

صورة توضيحية STRIDE chart

 

توفر أداة التصنيف فائدتين رئيسيتين، وهما:

• يُسمح باستخدام إطار عمل مشترك لوصف التهديدات ، و السماح للآخرين بالمساهمة في معلومات التهديد وإدارتها.
• تعمل النماذج كتذكير بأنواع التهديدات الموجودة و المساعدة على اجراء افضل تحليل من خلال تزويد المختصين بخيارات التهديد المحتملة.

اختبار سريع لقياس مدى الاستيعاب:

اضغط هُنا

و في الختام يمكنكم الاطلاع على هذا الموضوع  لأهميته، كما قمت بارفاق العديد من المصادر التي قد تساعد في توسيع ادراك هذا المجال.🌹

المصادر:

• https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
• https://threatconnect.com/blog/best-practices-indicator-rating-and-confidence/
• https://www.researchgate.net/figure/Relationships-and-some-classes-defined-in-Structured-Threat-Information-eXpression-STIX_fig1_338616187
• https://threatconnect.com/solution/threat-intelligence/
• https://pdfhost.io/v/CrCB7im5f_CompTIA_CySA_Study_Guide_Exam_CS0002.pdf
• https://en.wikipedia.org/wiki/STRIDE_(security)
• https://www.microsoft.com/security/blog/2007/09/11/stride-chart/
• https://media.kaspersky.com/en/business security/enterprise/Kaspersky_Threat_Intelligence_Services.pdf