ما المقصود بتحليل مسار الهجوم؟

يحدد تحليل مسار الهجوم (APA) المسارات المحتملة التي يمكن أن يستغلها المهاجمون لاختراق شبكتك أو نظامك. 

باستخدام تعيين مسارات الهجوم، يمكنك أن تفهم بشكل أفضل كيف تجتمع الثغرات الأمنية والتكوينات غير الصحيحة والأذونات المرتبطة بالأصول والهويات على شبكتك؛ لتشكيل سيناريوهات قابلة للاستغلال.

غالبًا ما يستخدم نهج الأمن الإلكتروني هذا الرسوم البيانية للهجمات لتوضيح الروابط بين الموارد المخترقة وتأثيرها المحتمل على الأصول الحيوية. في أبسط صوره، سيساعدك تحليل مسار الهجوم على ما يأتي:

• فهم العلاقة بين الأصول والهويات والمخاطر التي يمكن أن يستغلها المهاجمون لاختراق الأصول الأكثر أهمية.
• تحديد المخاطر أو التقنيات أو نقاط الاختناق المحددة داخل مسار الهجوم التي يمكن أن يستغلها المهاجمون لكسر سلسلة الهجوم وتعطيل مسار أو أكثر من مسارات الهجوم. 
• التوصية بالتصحيحات المحددة أو تغييرات التكوينات أو الإجراءات التي يمكنك استخدامها للتخفيف من المخاطر.

لكي تتفوق على المهاجمين، يجب أن تفكر مثلهم. تحليل مسار الهجوم مهم؛ لأنه يساعدك على رؤية تسلسل الخطوات التي يمكن أن يتخذها المهاجم لاختراق الأنظمة. إنه يسلط الضوء على الأماكن التي يمكن للجهات التي تُشكل تهديدًا الوصول إليها داخل سطح الهجوم، والتحرك أفقيًا، وزيادة الامتيازات وتحقيق النتيجة المرجوة مثل تعطيل الخدمات أو تسريب البيانات الحساسة أو الاحتفاظ بالشبكة أو البيانات للحصول على فدية. 

من خلال رؤية تحليل مسار الهجوم، يمكن لفرق الأمن لديك اتخاذ إجراءات استباقية للتصرف بحزم وتعزيز تدابير دفاع الأمن الإلكتروني لديك.

• يتضمن سطح الهجوم جميع الطرق التي يمكن أن يستغل بها المهاجم أصولك الرقمية، من الأنظمة الخارجية إلى الهويات والثغرات الأمنية. ويختلف ذلك حسب حجم مؤسستك ومجال عملك ومجموعتك التقنية.
• نواقل الهجوم هي التقنيات التي يمكن أن يستخدمها المهاجمون لاستغلال ثغرة أمنية أو تكوين غير صحيح أو أذونات زائدة من سطح الهجوم لديك مثل الثغرات الأمنية البرمجية غير المصححة أو التكوينات الخاطئة أو البرمجيات الضارة أو الهويات المخترقة، وما إلى ذلك.
• مسارات الهجوم هي علاقات الأصول والهويات والمخاطر التي يمكن للمهاجم استغلالها في تسلسل للدخول والتحرك أفقيًا وتحقيق النتيجة المرجوة.

يتماشى تحليل مسار الهجوم بشكل وثيق مع إطار عمل MITRE ATT&CK، الذي يصنِّف تكتيكات وتقنيات وإجراءات (TTPs) الخصم. يستكمل تحليل مسار الهجوم (APA) إطار العمل هذا من خلال:

• تحديد التكتيكات، والتقنيات، والإجراءات (TTPs) التي يحددها إطار عمل MITRE ATT&CK التي يمكن للمهاجمين استغلالها في بيئتك.
• تحديد مجموعات التكتيكات، والتقنيات، والإجراءات (TTP) التي يمكن للمهاجم استغلالها.
• إثراء إستراتيجيات التخفيف التي تستهدف التقنيات ذات الأولوية العالية.

من خلال دمج تحليل مسار الهجوم (APA) مع إطار عمل MITRE ATT&CK، يمكنك سد الفجوة بين نمذجة التهديدات النظرية والتدابير الأمنية القابلة للتنفيذ.

1. استخدم مسارات الهجوم لتوضيح التأثير المحتمل بصريًا والتحقق من صحة إدارة التصحيحات أو احتياجات التخفيف الأخرى وتحديد أولوياتها.
2. تتبّع الاختراقات النشطة والتخفيف من آثارها بسرعة، من خلال عرض تفصيلي لنقاط الضعف المؤدية إلى الأصول الحرجة.
3. تحديد الأصول والاتصالات غير المصرح بها التي يمكن أن تعرض سلامة البيئات المعزولة للخطر. 
4. تحديد التكوينات والامتيازات والثغرات الأمنية الخطرة التي يمكن أن تؤدي إلى اختراق التطبيقات والأنظمة والهويات ذات المهام الحرجة. 
5. توصيل المخاطر بلغة يمكن للمديرين التنفيذيين وأعضاء مجلس الإدارة فهمها بدلًا من حجم المخاطر الفردية.
6. منع المهاجمين من الوصول إلى الأنظمة والبيانات المهمة؛ لضمان استمرارية الأعمال.
7. تحديد مسارات الهجوم التي قد تؤدي إلى انتهاكات تنظيمية ومعالجتها؛ لضمان الامتثال للمعايير مثل معيار ضوابط النظام والتنظيم 2 (SOC 2) واللائحة العامة لحماية البيانات.

• التعرف تلقائيًا على جميع الأصول والهويات داخل شبكتك، بما في ذلك موارد تكنولوجيا المعلومات غير المُدارة أو موارد تكنولوجيا المعلومات غير الرسمية.
• تحديث وتقييم سطح الهجوم بانتظام لاكتشاف الثغرات الأمنية أو التغييرات الجديدة في الشبكة.
• توفير تعيينات واضحة لمسارات الهجوم المحتملة (تصور مسار الهجوم) لبيان كيف يمكن للمهاجمين استغلال الثغرات الأمنية بشكل متسلسل.
• تقييم شدة الثغرات الأمنية والتأثير المحتمل لتحديد أولويات المعالجة بناءً على المخاطر وأهمية الأصول.
• العمل بسلاسة مع أدوات وأطر العمل الأمنية الحالية لتحقيق إستراتيجية دفاع موحّدة.
• الحصول على تمثيلات مرئية واضحة وبديهية لمسارات الهجوم ونقاط الاختناق (تصور الرسم البياني للهجوم).
• تحديد جميع الأصول وتعيينها تلقائيًا، بما في ذلك موارد تكنولوجيا المعلومات غير الرسمية وموارد السحابة.
• تتبّع التغييرات في بيئتك باستمرار لتحديد المخاطر الجديدة ومسارات الهجوم في الوقت الفعلي.
• الحصول على رؤى قابلة للتنفيذ وإرشادات علاجية مفصَّلة لمعالجة المخاطر.
• الحصول على تعيين لمسار الهجوم بشكل واضح وفوري مع تفاصيل عن المصدر والهدف والخطورة.
• تسليط الضوء على المناطق التي تتقاطع فيها مسارات الهجوم المتعددة لتنفيذ إجراءات تخفيف مركَّزة.
• الحصول على دعم البيئات السحابية الديناميكية والبيئات المختلطة.
• إخطار الفرق بالمخاطر الحرجة وخطوات المعالجة الموصى بها.

• تركّز مسارات هجمات زيادة بيانات الاعتماد والامتيازات على كيفية قيام المهاجمين بزيادة الامتيازات باستخدام بيانات الاعتماد المسروقة أو آليات المصادقة الضعيفة أو الأذونات التي تم تكوينها بشكل خاطئ. تسمح تقنيات مثل Pass-the-Hash وKerberoasting والحسابات ذات الامتيازات الزائدة للخصوم بالحصول على مستويات وصول أعلى، مما يؤدي في كثير من الأحيان إلى اختراق على مستوى النطاق.
• تمكّن مسارات هجوم الحركة الجانبية المهاجمين من التنقل عبر شبكة بعد الوصول الأولي. وباستغلال التفويض الذي تم تكوينه بشكل خاطئ، وهجمات ترحيل SMB، ونُهج المجموعات الضعيفة، ينتقل المهاجمون من الحسابات أو الأجهزة ذات الامتيازات المنخفضة إلى الأصول الأكثر أهمية، مثل وحدات التحكم في النطاق أو قواعد البيانات الحساسة.
• تعتمد مسارات استغلال الثغرات الأمنية على استغلال المهاجمين لثغرات أمنية برمجية لم يتم تصحيحها أو نقاط الضعف في النظام للوصول غير المصرح به. يستهدف المهاجمون الثغرات الأمنية وحالات التعرض للمخاطر الشائعة الحرجة ونقاط دخول برمجيات الفدية الخبيثة وبيئات Active Directory ‏(AD) المختلطة التي تم تكوينها بشكل خاطئ لتنفيذ التعليمات البرمجية أو زيادة الامتيازات أو التحرك بشكل جانبي داخل شبكة.
• يؤدي ضعف أمن الشبكة والتكوينات الخاطئة للشبكة إلى إنشاء مسارات هجوم قائمة على الشبكة والتكوينات الخاطئة يمكن أن تسمح بالوصول غير المصرح به أو زيادة الامتيازات. يستفيد المهاجمون من مشاركات الشبكة المفتوحة وواجهات الإدارة المكشوفة (RDP وSSH) وعلاقات الثقة الضعيفة بين النطاقات، مما يوفر نقاط ارتكاز لشنّ مزيد من الهجمات.
• تركز مسارات اختراق النطاقات على السيطرة على Active Directory؛ للتلاعب بآليات المصادقة والاعتماد. يستغل المهاجمون هجمات DC Sync وDC Shadow وGolden Ticket لانتحال شخصية المستخدمين المميزين والحفاظ على وصول مستمر للاستيلاء على نطاقك بالكامل.
• يمكن أن يستغل المهاجمون مسارات الهجوم السحابية والهجينة مثل البيئات السحابية التي تم تكوينها بشكل خاطئ، وسياسات إدارة الهوية والوصول (IAM)، وحزم التخزين المكشوفة، وآليات اتحاد الهوية الضعيفة؛ لاختراق الموارد القائمة على السحابة. من خلال الاستفادة من سرقة رمز OAuth المميز أو إساءة استخدام ثقة الدليل النشط المختلط، يمكن للمهاجمين التنقل بين البيئات السحابية والبيئات المحلية دون أن يتم اكتشافهم.

من خلال دمج تحليل مسار الهجوم في برنامج الأمان الخاص بك، يمكنك تحسين السلامة الإلكترونية من خلال:

• التنبؤ الاستباقي بالتهديدات المحتملة وتخفيف حدتها قبل أن تتحقق.
• نشر تدابير أمنية دفاعية موجَّهة بدقة في الأماكن التي تحتاج إليها بشدة.
• التركيز على الثغرات الأمنية عالية الخطورة لتحسين تخصيص الموارد الأمنية.
• تعزيز الاستجابة للحوادث من خلال اكتشاف الحوادث الأمنية وتحليلها والاستجابة لها.
• معالجة وترتيب أولويات الثغرات الأمنية التي تشكل جزءًا من مسارات الهجمات عالية الخطورة وتحديد أولوياتها؛ لتحسين إدارة الثغرات الأمنية وجهود المعالجة.
• استخدام تمثيلات مرئية لمسارات الهجوم لفهم المخاطر بشكل أفضل والتواصل بشأنها مع أصحاب المصلحة الفنيين وغير الفنيين.
• استخدام معلومات التهديدات لتحديد أولويات معالجة أهم الثغرات الأمنية التي تشكل تهديدًا مباشرًا لأصولك القيّمة.
• دعم الامتثال من خلال إظهار السيطرة على المخاطر الأمنية والثغرات الأمنية.

هناك أيضًا فوائد لتحليل مسار الهجوم في إدارة الثغرات الأمنية:

• يمكن أن يساعدك تعيين مسار الهجوم في العثور على الثغرات الأمنية الأكثر أهمية وتحديد أولوياتها.
• دعم تقييمات المخاطر الاستباقية.
• التركيز على الثغرات الأمنية في مسارات الهجوم النشطة؛ للحدّ من إهدار الجهد والموارد.
• المساعدة على زيادة وضوح سطح الهجوم من خلال الكشف عن المخاطر المترابطة.
• تمكين إدارة المخاطر الاستباقية لدعم مبادرات الامتثال.

تعمل أدوات تحليل مسار الهجوم الآلي من خلال:

• تصور العلاقات بين الأصول والهويات والثغرات الأمنية.
• تحديد التركيبات السامة والتداخلات الخطيرة بين التكوينات والأذونات.
• محاكاة سيناريوهات الهجوم من خلال التنبؤ بتحركات المهاجمين بناءً على التكتيكات والتقنيات المعروفة.

عند اختيار أداة تحليل مسار الهجوم، اطرح الأسئلة الآتية:

• هل يمكن للأداة تقييم جميع مسارات الهجوم المحتملة عبر الشبكة بأكملها بتغطية متعددة النطاقات؟
• هل تحتوي على تمثيلات مرئية بديهية وسهلة الاستخدام وواضحة لمسارات الهجوم؟
• هل يمكنها التكيف والتوسع مع احتياجات عملك وبنية الشبكة المتطورة؟
• هل تتكامل بسلاسة مع أدوات الأمان وعمليات سير العمل الحالية؟
• هل يوفر البائع تحديثات منتظمة لمعالجة التهديدات والثغرات الأمنية الناشئة؟

1. النطاق والاكتشاف: تحديد حدود التحليل وتحديد الأصول المهمة (على سبيل المثال: أصول تكنولوجيا المعلومات وقواعد البيانات والحسابات المميزة ووحدات التحكم في النطاق) لفهم تخطيط الشبكة. يتمثل هدفك في تحديد أسطح الهجمات المحتملة، مثل الخدمات المكشوفة على الإنترنت أو الموارد السحابية التي تم تكوينها بشكل خاطئ أو غيرها من عناصر التحكم الأمنية.
2. تجميع البيانات وربطها لتعيين العلاقات بين المستخدمين ووحدات التحكم في النطاق والأنظمة والثغرات الأمنية. يكشف هذا عن نواقل الهجوم الخفية، مثل بيانات الاعتماد الضعيفة المستخدمة عبر أنظمة متعددة أو الثغرات الأمنية غير المصححة التي يمكن أن تؤدي إلى زيادة الامتيازات.
3. استخدم نمذجة الرسوم البيانية والتصوير المرئي لمعرفة كيف يمكن للمهاجم أن يتحرك في بيئتك، من خلال استغلال الثغرات الأمنية أو زيادة الامتيازات أو الحركة الجانبية أو الاستفادة من التكوينات الخاطئة.
4. تحديد أولويات المعالجة: بمجرد تحديد مسارات الهجوم المحتملة، قم بترتيبها بناءً على عوامل الخطر، مثل قابلية الاستغلال (سهولة الهجوم)، وتحديد أولويات نقطة الاختناق، والتأثير (العواقب على الأعمال)، واحتمالية الحدوث (تقنيات الهجوم الواقعية المستخدمة في MITRE ATT&CK). يجب أن تكون الأولوية القصوى للمسارات الأكثر أهمية مثل تلك التي تؤدي إلى الوصول إلى صلاحيات مسؤول النطاق أو الأصول المهمة للأعمال.

ضمن إطار عمل إدارة التعرض للمخاطر المستمر، يعمل تحليل مسار الهجوم على:

• تحديد حالات التعرض للمخاطر من خلال تعيين مسارات الهجوم المحتملة.
• تسليط الضوء على الثغرات الأمنية الأكثر أهمية التي يمكن أن تؤدي إلى اختراقات كبيرة؛ حتى تتمكن من تحديد أولويات التخفيف من حدتها.
• توفير رؤى لإثراء إستراتيجيات الدفاع الاستباقية لتقوية وضعك الأمني العام وتعزيز المرونة.

يدعم تحليل مسار الهجوم تدابير الأمن التفاعلية والاستباقية:

• الأمن التفاعلي: المساعدة في الاستجابة للحوادث من خلال تتبّع خطوات الهجوم وفهم تطوره وتحديد الأصول المخترقة.
• الأمن الاستباقي: مساعدة فرقك على التنبؤ بمسارات الهجوم المحتملة وتنفيذ تدابير دفاعية لمنع استغلالها.

تعرّف على المزيد حول كيف يمكن لتحليل مسار الهجوم من خلال منصات إدارة التعرّض للمخاطر مثل Tenable One أن يساعدك في التغلب على التعقيدات عبر سطح الهجوم الحديث. تتطلب البيئات المعقدة اليوم - التي تتخطى نطاق تكنولوجيا المعلومات التقليدية، وتشمل أشياء مثل الخدمات المصغرة وتطبيقات الويب وخدمات الهوية والتكنولوجيا التشغيلية (OT) وغيرها الكثير - مجموعة متنوعة من الأدوات لتقييم الثغرات الأمنية. يجب أن تساعدك المنصة القوية على التنبؤ وتحديد الأولويات وتقديم رؤى قابلة للتنفيذ.