إطار عمل MITRE ATT&CK: رسم خرائط سلوك المهاجمين

في البدايات، كان الدفاع السيبراني يركز على "مؤشرات الاختراق" (IoCs) مثل قوائم الـ IP السوداء. لكن المهاجمين تعلموا تغيير هذه البصمات في ثوانٍ. كان الحل هو الانتقال من مراقبة "ماذا" يستخدم المهاجم إلى "كيف" يتصرف المهاجم.

هذا التحول أدى لظهور إطار عمل MITRE ATT&CK.

هو قاعدة معرفية عالمية توثق تكتيكات وتقنيات المهاجمين بناءً على ملاحظات واقعية. توضح Cayvora Security كيف تستفيد من هذا الإطار لبناء دفاع قائم على فهم التهديد.

التكتيكات مقابل التقنيات

تتكون المصفوفة من هيكل منطقي يحاكي مراحل الهجوم:

1. التكتيكات (الـ "لماذا"): هي الأهداف التقنية للمهاجم (مثل: الوصول الأولي، رفع الصلاحيات، تسريب البيانات).
2. التقنيات (الـ "كيف"): هي الطرق المحددة لتحقيق التكتيك (مثل: تقنية الاحتيال - Phishing لتحقيق تكتيك الوصول الأولي).

لماذا يعتبر MITRE ATT&CK ثورة في عالم الأمن السيبراني؟

1. كشف الفجوات الدفاعية

من خلال رسم أدواتك الدفاعية (مثل EDR أو SIEM) على المصفوفة، يمكنك رؤية "النقاط العمياء" بوضوح. إذا كان هناك 10 طرق لـ التوسع الجانبي وأنت تكتشف 2 منها فقط، فلديك خارطة طريق واضحة للتطوير.

2. لغة مشتركة

يوفر الإطار لغة موحدة بين فريق الهجوم (Red Team) وفريق الدفاع (Blue Team). يتم الإبلاغ عن الثغرات باستخدام معرفات (MITRE IDs) دقيقة، مما يسهل عملية الإصلاح.

الخاتمة

حول إطار MITRE ATT&CK الأمن السيبراني من مجرد تخمينات إلى تخصص هندسي قابل للقياس. التركيز على "التكتيكات والتقنيات" يجعلك مستعداً حتى لو غير المهاجم أدواته.