TTP چیست و چه کاربردی در امنیت سایبری دارد؟
تهدیدات سایبری امروزه درحال گسترش و پیشرفت میباشد و هکرها و افراد مخرب این حوزه این روزها کمتر به دام می افتند و کار تشخیص و کشف آنها کمی سخت شده است. امروزه هکرها به ندرت پیش می آید که از یک حمله واحد و تکنیک های مشابه برای یک حمله استفاده کنند، آنها تکنیک ها و روش های مختلف را باهم ترکیب میکنند و شروع به نفوذ به سازمان و زیرساخت مورد نظر میکنند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
امروزه با وجود روش های مانند TTP به شکل راحت تری میتواتیم این فرآيند هارا انجام بدهیم و رفتارهای هکرها را تشخيص بدهیم.
تاکتیک ها ، تکنیک ها و رویه ها (TTPs) چیست؟
درواقع کلمه TTP از سه بخش مختلف Tactics, Techniques و Procedures شناخته میشود که به ترتیب به معنای تاکتیک ها ، تکنیک ها و رویه ها میباشد که هرکدام از این سه بخش مفهوم و معنای خاص خودش را دارد اما به صورت کلی از طریق TTP ما توانایی این را داریم که رفتارها و روش های مختلفی را که هکرها برای نفوذ و حمله استفاده میکنند را توصیف کنیم و به شکل بهتری توانایی کشف اشکالات و نفوذهای موجود درون سازمان را داشته باشیم.
بیشتر ببینید: کاملترین دوره آموزش SANS 560 | آموزش تست نفوذ شبکه
کارشناسان و متخصصین امنیت به واسطه تجزیه و تحلیل کردن رفتارها و نحوه حمله افراد مخرب توانایی کشف و ردیابی آنهارا پیدا میکنند و به شکل بهتری توانایی پاسخگویی به حوادث را دارند.
چارچوب MITRE ATT&CK چیست؟
درواقع MITRE ATT&CK یک چارچوب ( Framework ) امنیتی میباشد که تمامی تکنیک ها و تاکتيک های مختلفی را که در جهان هکرها و افراد مخرب برای حمله و نفوذ به سازمانها و زیرساخت آنها استفاده میکنند را برای ما شرح داده است. تکنیک ها و تاکتیک های عنوان شده در MITRE ATT&CK براساس شواهد و رخداد های دنیای واقعی میباشد و به عنوان یکی از منابع بسیار ارزشمند برای سازمان های بدل شده است که مايلند درک خوبی را از تهدیدات و رخداد های مختلف داشته باشند تا به واسطه آن توانایی پاسخگویی و کشف و ردیابی آنهارا پیدا کنند.
بیشتر ببینید: کاملترین دوره آموزش کشف جرایم رایانه ای
در چارچوب MITRE ATT&CK ما یک مفهوم داریم تحت عنوان MITRE ATT&CK Matrix که شامل ستون های مختلفی میشود که حملات و تهديدات را در آن لیست کرده است و مثله یک نمودار برای حملات و تهدیدات سایبری میتوانیم آنرا تجزیه و تحلیل کنیم
مفهوم تاکتيک ( Tactic ) در TTP چیست؟
درواقع مفهوم Tactic در TTP شامل تاکتيک ها و استراتژی های میشود که فرد برای انجام حمله خود مورد استفاده قرار میدهد؛ به عنوان مثال فرض کنید که یک نفر قصد دارد موجب از دسترس خارج شدن یکی از سرورهای موجود در اینترنت سازمان X شود و برای اینکار تاکتيکی که باید استفاده کند چیست؟ اصولا بهترین تاکتيک حملات DoS و DDoS میباشد پس از این بابت فهمیدیم که فرد مهاجم برای از دسترس خارج کردن سرور از یک تاکتيکی استفاده میکند تحت عنوان DoS یا همان Denial-of-Service اگر بخواهیم مثال دیگری بزنیم میتوانیم به روشی برای نفوذ به سازمان فکر کنیم خب یکی از روش های ساده ما میتواند حملات فیشینگ باشد و از این بابت حمله فیشینگ به عنوان یک تاکتيک برای حمله استفاده میشود و تاکتيک ما برای نفوذ حمله فیشینگ میباشد.
در MITRE ATT&CK Matrix ما 12 ستون مختلف را داریم که شامل تاکتيک های متنوع برای نفوذ و حملات متنوع میباشد.
مفهوم تکنيک ( Technique ) در TTP چیست؟
درواقع تکنیک ها شامل روش های هستند که ما از آنها برای بهربرداری از تاکتيک ها استفاده میکنیم برای مثال ما برای اینکه بخواهیم از حمله DoS برای از دسترس خارج کردن سرور مشخصی استفاده کنیم اصولا ما کلی حمله DoS در پیش رویمان داریم مانند SynFlooding و UDP Flooding و... و حملاتی مانند Syn Flooding حملاتی هستند
که ما به عنوان تکنیکی برای تاکتیک ها میشناسیم و میتوانیم بگویم که فرد مهاجم اگر بخواهد از تاکتیک DoS برای حمله استفاده کند باید از تکنیک های مختلفی مانند Syn Flooding و UDP Flooding و... استفاده کند.
این مثال برای حملات فیشینگ هم شامل میشود زیرا به واسطه حمله فیشینگ، ما توانایی انتقال صفحه فیشینگ به روش های مختلفی را داریم مانند ایمیل های مخرب و... که این روش ارسال و فریب دادن فرد مورد نظر را به عنوان تکنیک میشناسیم.
در هر سطر از MITRE ATT&CK Matrix حملات متنوعی را میبینیم که در زیرمجموعه تاکتیک ها قرار گرفته اند.
مفهوم رویه ( Procedures ) در TTP چیست؟
درواقع این مفهوم شامل پیاده سازی و نحوه بکارگيري تاکتیک ها و تکنیک ها میشود. درنظر بگیرید شما در MITRE ATT&CK Matrix با کلیک بر روی هر تکنیک و حمله توانایی مطالعه در رابطه با آن و روش های پیاده سازی آن را دارید.