كيف تستخدم SOCs ATTACKBOT الخاص بـ D3 لتحليل الثغرات – D3 Security

تزداد شعبية إطار عمل MITER ATT & amp؛ CK سريعًا بين قادة الأمن لأسباب عديدة. من بين التطبيقات العديدة لـ ATT & amp؛ CK ، تستخدم العديد من الشركات ATT & amp؛ CK لتحديد الثغرات في أمانها وما غطته بأدواتها الحالية.

بالنسبة لأولئك الذين ليسوا على دراية بإطار عمل ATT & amp؛ CK ، فهو عبارة عن مصفوفة من مئات تقنيات الهجوم السيبراني ، مقسمة إلى 12 “تكتيكا” ، والتي تمثل الخطوات التي يحتمل أن يتخذها الخصم أثناء الهجوم. تستند الأساليب والتكتيكات إلى آلاف الحوادث الواقعية التي درستها شركة MITER.

لذلك يمكنك معرفة كيف يمكن أن توفر ATT & amp؛ CK ، بصفتها مصفوفة شاملة لتهديدات الأمن السيبراني ، قائمة تحقق قيّمة من الأنواع لتحليل الثغرات في SOC. كما توفر أيضًا مصطلحات مشتركة للتهديدات عبر المؤسسة والأدوات العديدة في البنية الأساسية للأمان.

ما لم يكن لديك ميزانية أمان غير محدودة ، فربما يتعذر عليك محاولة تغطية كل الأساليب. لذلك ، تحتاج إلى تحديد الأولويات بعناية لتقليل المخاطر. وهنا يأتي دور ATTACKBOT الخاص بـ D3.

ما هو ATTACKBOT؟

لإنشاء ATTACKBOT ، قمنا بتضمين مصفوفة ATT & amp؛ CK بالكامل مباشرةً في نظام SOAR الخاص بنا لمراقبة سلسلة القتل المباشر والسياقي. لوضعها بشكل أقل تقنيًا ، يسحب ATTACKBOT كل IOC من حدث أمني ، ويحدد تقنيات ATT & amp؛ CK المستخدمة ، ويستخدم هذه المعلومات للبحث في الحوادث السابقة ، وسجلات أدوات الأمان ، وغيرها من بطاقات IOC المسجلة للعثور على آثار أخرى للهجوم . نظرًا لأن ATTACKBOT يستخدم إطار عمل ATT & amp؛ CK لفهم البنية المحتملة للهجمات ، فإنه يمكن أن يضيق إلى حد كبير الأرضية التي يتعين على محللي الأمن تغطيتها ، لذلك لم يعودوا يبحثون عن الإبر في أكوام القش بحثًا عن أدلة على الهجمات.

كيفية استخدام ATTACKBOT لتحليل الثغرات

من الواضح أن ATTACKBOT الخاص بـ D3 يمكن أن يُحدث فرقًا كبيرًا في عمليات الأمان الخاصة بك بعدة طرق. ربما تفكر بالفعل في اثنين من التحديات في مؤسستك والتي يمكن أن تساعدك في حلها. ولكن دعونا نلقي نظرة خاصة على كيفية مساعدة ATTACKBOT في تحديد الثغرات الأمنية وتحديد أولويات التهديدات الأكثر إلحاحًا بشكل فعال.

نظرًا لأن D3 تجمع الأحداث من جميع أنحاء البنية الأساسية للأمان لديك ، يمكنك استخدام ATTACKBOT لإنشاء تقارير شاملة تعرض بالضبط الأساليب التي يتم استخدامها ضدك ، وأي منها كان ناجحًا ، وأي منها لم يتم رؤيته في أي أحداث. يمكن إنشاء هذا التقرير بشكل خاص أو جدولته على أساس محدد مسبقًا. على سبيل المثال ، إذا قمت بتشغيل تقرير أسبوعي عن تقنيات الهجوم وكان هناك 20 نتيجة لتقنية Privilege Escalation ، فأنت تعلم أن هناك مشكلة خطيرة في هذه المنطقة.

عندما يتم عرضه على أنه تقرير اتجاه يغطي فترة زمنية طويلة ، سيعطيك تقرير التقنية صورة واضحة لما تحمي منه أدواتك الحالية وأين يلزم مزيد من التكوين. يمكنك بعد ذلك استخدام ميزات التزامن في D3 لأتمتة التغييرات – مثل تحديث قواعد SIEM أو إضافة التوقيعات إلى أدوات الكشف – أو تعيين المهام للموظفين المناسبين.

بالإضافة إلى قوة ATTACKBOT لتفعيل إطار عمل MITER ATT & amp؛ CK ، فإن D3 مناسب بشكل فريد لمهمة تحليل الثغرات القائمة على الأدلة لعدة أسباب. الأول هو أنه يمكن لـ D3 إنشاء تقارير عن أي بيانات تقريبًا في النظام ، مما يسهل تخصيص التقارير لتعكس بالضبط ما تريد رؤيته. ثانيًا ، يعمل D3 كنسيج ضام لـ SOC ، ويتكامل مع أكثر من 200 أداة أمان. هذا يعني أن D3 يمكنها تتبع كل تقنية تم اكتشافها بواسطة أي أداة ، دون نقاط عمياء أو تتطلب جمع البيانات يدويًا.

D3 SOAR + MITER ATT & amp؛ CK

تعد القدرة على إنشاء لقطة سريعة لتهديدات الأمن السيبراني في بيئتك أحد الأسباب العديدة التي تجعل عملائنا متحمسين للغاية بشأن ATTACKBOT. يمكنك معرفة المزيد حول كيفية قيادة D3 للانتقال من SOAR “المستند إلى الحدث” إلى SOAR “المستند إلى النية” في المستند التقني الأخير . أو إذا كنت تريد مشاهدته بنفسك ، جدولة عرضًا توضيحيًا اليوم .

نُشر في الأصل على https://d3security.com في 5 تموز (يوليو) 2019.