معرفی منابع رایگان اشتراک گذاری تهدیدات سایبری

- تبلیغات -

Cyber Threat Intelligence Sharing چیست؟

امروزه با وجود حملات و تهدیدات سایبری بسیاری که در سطح شبکه ها و زیرساخت های وجود دارد، متخصصان امنیتی به خصوص شکارچیان تهدید (Threat Hunter) که معمولاً در لایه 3 از SOCها فعالیت دارند، نیاز به یکسری اطلاعات درباره آنها دارند تا بتوانند روال ها و پروسه های مربوطه به پیشگیری و مقابله با آنها را در ‌‌‌شرکت ها و سازمان های خود تسریع کنند. Cyber-Threat Information در واقع اطلاعاتی هستند که به این کارشناسان کمک می کنند تا شناسایی، سازماندهی، مانیتور و پاسخگویی به تهدیدات سایبری را انجام دهند. به عنوان مثال این Cyber-Threat Informationها می توانند شامل زیر باشند:

  • IoC & IoA Indicators
  • TTPs
  • Security Alarms
  • Threat Intelligence Reports
  • و البته پیکربندی های امنیتی پیشنهادی

از این رو در اکثر SOCها واحدی به نام هوش تهدیدات سایبری یا Cyber Threat Intelligence – CTI وجود دارد که وظیفه این واحد یا تیم پرداختن به نشانگرهای مختلف تهدیدات سایبری (نشانگرهای نفوذ و حمله) و مقابله با آنهاست. اما سوال اینجاست که چطور شکارچیان تهدیدات سایبری در این واحدها می توانند اطلاعات مورد نیاز خود را بدست آورند؟

مشخصاً به جز استفاده از ابزارهای امنیتی و پلتفرم هایی همچون SIEM که در SOCها وجود دارد، این کارشناسان اطلاعات مزبور را از طریق منبع هایی تحت عنوان Threat Intelligence Sharing که در انواع تجاری و رایگان وجود دارند کسب می کنند. در واقع این منابع، خوراک اصلی برای واحد CTI و شکارچیان تهدید را فراهم می کنند.

لیست برخی از معروف ترین منابع اشتراک گذاری تهدیدات سایبری:

  • TAXII (Trusted Automated eXchange of Intelligence Information)
  • STIX (Structured Threat Information eXpression)
  • CybOX (Cyber Observable eXpression)
  • MAEC (Malware Attribute Enumeration and Characterization)
  • CAPEC (Common Attack Pattern Enumeration and Classification)
  • OVAL (Open Vulnerability Assessment Language)

به عنوان مثال TAXII و STIX دو مورد از معروف ترین feedهای رایگان (و البته پروتکل هایی به همین نام) در زمینه CTI-Sharing هستند.

اکثر ابزارهای فوق ساختاری سرور/میزبان دارند. یعنی شما به عنوان یک شکارچی تهدید می بایست به سرورهای مربوط به این feedها که بر روی بستر ابر (Cloud) هستند متصل شده و این feedها را اصطلاحاً poll یا دانلود نمایید (هر چند می توانید اطلاعات export شده از سرورهای خود را نیز به آنها push یا آپلود نمایید).

معرفی منابع رایگان اشتراک گذاری تهدیدات سایبری

معرفی منابع رایگان اشتراک گذاری تهدیدات سایبری

STIX: Structured Threat Information eXpression

در واقع STIX یک نوع زبان برنامه نویسی XML استاندارد شده برای پوشش اطلاعات در خصوص تهدیدات امنیت سایبری است اما در قالب یک زبان رایج که به آسانی توسط انسان ها و تکنولوژی های امنیتی قابل فهم و استفاده می باشد.

STIX توسط شرکت MITRE و کمیته فنی هوش تهدید سایبری OASIS برای چند use case اصلی طراحی شده است. اول اینکه تحلیگران تهدیدات سایبری به منظور بازنگری تهدیدادت سایبری و فعالیت های مرتبط با تهدیدات می توانند از STIX استفاده نمایند.

تحلیگران تهدید یا Threat Analystها همچنین از STIX جهت شناسایی الگوهایی که درای نشانه های حملات سایبری هستند استفاده می کنند. همچنین متخصصان SOCها می توانند از داده های STIX برای تسهیل فعالیت های واکنش سایبری خود از جمله پیشگیری، تشخیص و پاسخ استفاده کنند.

اما آخرین مورد از استفاده STIX، اشتراک گذاری اطلاعات مربوط به تهدیدات سایبری در یک سازمان با شرکای خارجی خود و همچنین communityهایی هستند که از این اطلاعات سود می برند.

TAXII: Trusted Automated eXchange of Indicator Information

منظور از TAXII نیز یک application protocol برای تبادل اطلاعات CTI بر روی HTTPS است. TAXII یک RESTful API برای تبادل اطلاعات سرویس ها و پیام ها و یک مجموعه نیازمندی ها را برای TAXII Clientها و TAXII Serverها تعریف کرده است. TAXII بطور کلی 2 مدل جهت اشتراک گذاری اطلاعات تهدیدات سایبری تعریف کرده است که عبارتند از: مدل Collection و مدل Channel.

مدل Collection: یک Collection یک رابط به یک منبع یا repository منطقی از objectهای CTI است که توسط یک TAXII Server به یک producer اجازه می دهد تا به host یک مجموعه اطلاعاتی CTI که مصرف کنندگان از اطلاعات آن می توانند استفاده کنند، متصل شود.

مدل Channel: در این مدل از یک سرورTAXII استفاده می شود و یک Channel به producerها (یا تولید کنندگان) اجازه می دهد تا اطلاعات را به Consumerهای زیاد (یا مصرف کنندگان) اصطلاحاً push کرده و و Consumerها نیز می توانند اطلاعات را از چندین Producer دریافت نمایند. حتی خود TAXII clientها نیز می توانند اطلاعات را با سایر کلاینت های TAXII در یک مدل publish-subscribe model با هم تبادل کنند.

CybOX: Cyber Observable eXpression

اما CybOX یک زبان استاندارد برای رمزگذاری و برقراری اطلاعات high-fidelity در مورد مشاهدات سایبری است، اعم از وقایع پویا یا اقدامات برجسته ای است که در حوزه سایبری قابل مشاهده است.

CybOX به یک مورد استفاده از امنیت سایبری اختصاص نمی یابد بلکه اینطور در نظر گرفته شده است که به اندازه کافی انعطاف پذیر باشد تا یک راه حل مشترک برای همه موارد استفاده از امنیت سایبری ارائه دهد که نیاز به توانایی مقابله با مشاهدات سایبری را دارد.

همچنین در نظر گرفته شده است که CybOX به اندازه کافی انعطاف پذیر باشد تا یک راهکار برای همه use caseهای امنیتی سایبری باشد که قادر به مشاهدات سایبری است.

هدف CybOX این است که امکان پتانسیل برای به اشتراک گذاری خودکار، نقشه برداری، تشخیص و تجزیه و تحلیل دقیق را برای تهدیدات سایبری فراهم کند. CybOX برای پشتیبانی از طیف گسترده ای از حوزه های امنیت سایبری همچون موارد زیر می تواند مورد استفاده قرار گیرد:

  • Threat assessment & characterization (detailed attack patterns)
  • Malware characterization
  • Operational event management
  • Logging
  • Cyber situational awareness
  • Incident response
  • Indicator sharing
  • Digital forensics

MAEC: Malware Attribute Enumeration and Characterization

در واقع MAEC نیز یک زبان ساختاریافته برای کدگذاری و برقراری ارتباط اطلاعاتی امنی درباره تبادل خصوصیات رفتاری malwareها، artifactها (یا محصولات جعلی و fake) و ارتباطات بین نمونه های بدافزارهاست.

پروژه MAEC نیز توسط شرکت MITRE نگهداری و توسعه داده شده و توسط اسپانسر خود یعنی U.S. DHS یا U.S. Department of Homeland Security مورد حمایت قرار می گیرد.

شرکت MITRE یک مجوز و لایسنس غیر انحصاری (منظور non-exclusive) و royalty-free برای استفاده از MAEC برای تحقیقات، توسعه و اهداف تجاری اعطا می کند.

CAPEC: Common Attack Pattern Enumeration and Classification

اما CAPEC یک دیکشنری جامع و طبقه بندی شده از انواع حملات شناخته شده (یا taxonomyها) است که می تواند توسط تحلیلگران، توسعه دهندگان و Pen-testerها جهت پیشبرد درک جامعه و تقویت دفاعی مورد استفاده قرار گیرد.

اما هدف از ایجاد پروژه CAPEC، در واقع ایجاد یک کاتالوگ از الگوهای حملات سایبری در دسترس عموم است که به صورت بصری طبقه بندی شده اند و همراه با یک طرح جامع برای توصیف حملات مرتبط و به اشتراک گذاری اطلاعات در مورد آنها توسط شرکت MITRE که یک سازمان غیر انتفاعی است و تحت حمایت دولت فدرال آمریکا می باشد، نگهداری و توسعه داده می شود.

جهت دسترسی به این دیکشنری از taxonomyها می توانید به این آدرس مراجعه فرمایید.

OVAL: Open Vulnerability and Assessment Language

منبع OVAL نیز یک استاندارد بین المللی، امنیت اطلاعات، و یک community استاندارد برای ترویج محتوای امنیتی آزاد و در دسترس عموم، و استاندارد سازی انتقال این اطلاعات در کل طیف ابزارها و خدمات امنیتی از جمله اسکنر Nikto می باشد.

OVAL شامل زبانی است که برای رمزگذاری جزئیات سیستم و مجموعه ای از مخازن محتوا نگهداری می شود، استفاده می کند. زبان OVAL سه مرحله اصلی فرآیند ارزیابی را استاندارد سازی می کند:

  • نمایش اطلاعات پیکربندی سیستم ها برای آزمایش
  • تجزیه و تحلیل سیستم برای حضور در حالت مشخص شده دستگاه (آسیب پذیری، پیکربندی ، وضعیت patch و غیره)
  • و گزارش نتایج ارزیابی مخازن OVAL که مجموعه ای از مطالب آزاد و عمومی هستند که از زبان OVAL استفاده می کنند.

زبان OVAL نیز توسط شرکت MITRE توسعه داده شده و U.S. DHS نیز اسپانسر و حامی این پروژه است.

 معرفی ابزار Anomaly STAXX Client

جهت دریافت Cyber Threat Informationها از منابع اشتراک گذاری معرفی شده، نیاز که در واقع در نقش Server هستند (به عنوان مثال TAXII Serverها)، شما نیاز به یک Client (به عنوان مثال CTI-TAXII-Client یا ArcSight STIX/TAXII Python Client و نظایر اینها) خواهید داشت.

شرکت Anomaly به عنوان یکی از ارائه کنندگان راهکارهای امنیتی ابزاری تحت عنوان Anomaly STAXX Client را معرفی کرده که می تواند به صورت دو طرفه (دانلود/آپلود) جهت به اشتراک گذاری Threat Intelligenceها از منابع STIX/TAXII به شما کمک کند.

این ابزار قادر است از چندین منبع مختلف که به آن معرفی می کنید استفاده نموده و Threat Informationهای دریافتی را در یک اینترفیس گرافیکی تحت وب به صورت دسته بندی شده تحت گراف های مختلف به شما نمایش دهد.

جهت راه اندازی STAXX Client تنها کافیست فایل OVF آن را دریافت نموده و بر روی یک VM با حداقل 2vCPU و 4GB-RAM و 40GB disk نصب نمایید. سپس به آدرسی که پس از پروسه نصب در اختیار شما قرار می دهد متصل شده و feedهای خود را در آن اضافه نمایید و…

- تبلیغات -

1 دیدگاه
  1. نـــــــNedaــــــدا می گوید

    عالی بود ، وب سایت خوبی دارید

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.