بسم الله الرحمن الرحيم..
خضت مؤخرا غمار شهادة الـ GIAC Cyber Threat Intelligence وهذه التدوينة ملخص بسيط عن محتوياتها واهميتها ولماذا بالتحديد اخترت هذه الشهاده. تحتوى الماده على خمس كتب كالعاده وكتاب سادس للتطبيق العملي، هذه المره يوجد استثناء بحكم ان الماده جديده، اصدر تحديث لبعض المعلومات، فعددته كتاب سابع.
المميز الذي لا يشبه دورات اخرى هو محتوى الدورة، فهي بعيده نوعا ما من التدريب التقني الفني، وتعنى اكثر بالطرق الإستخبارية لجمع المعلومات والتصنيف واتخاذ القرار الأقرب للصحه عبر تحليل منطقي وممنهج.
المميز الذي لا يشبه دورات اخرى هو محتوى الدورة، فهي بعيده نوعا ما من التدريب التقني الفني، وتعنى اكثر بالطرق الإستخبارية لجمع المعلومات والتصنيف واتخاذ القرار الأقرب للصحه عبر تحليل منطقي وممنهج.
يتدرج المحتوى من البداية بتعريف مفاهيم الاستخبارات، وفي اول صفحه يضع المؤلف نبذه بسيطه عن خبراته السابقة وهي مثيرة للإهتمام، وتعطى نبده عن كاتب المحتوى وخلفيته وتوجهاته. يعد المؤلف خبير وله سابق خبره في عالم الإستخبارات في cyberspace warfare operations officer in the U.S. intelligence community. كما انه خبير بأنظمة التحكم ونشر عدة تقارير لها علاقة بإختراقات نوعية مثل الإختراق لأنظمة اوكرانيا
لماذا؟
بدأ من 2010 الى الان اصدرت عدة تقارير تشرح اهم الإختراقات المتقدمة التي حدثت حول العالم مثل عملية Operation Aurora التي استهدفت قوقل مع عدة شركات ضخمة اخرى
كل الفهم كان مرتكز على العوامل التقنية مثل طريقة الاختراق، الثغرات المستخدمة، البنية التحتية للمهاجمين التي تم استخدامها..الخ
لم يكن جانب معرفة المتسبب ذا اهمية كبيرة، لاننا ظننا سابقا اننا بمعزل عن هذه الهجمات التي تحدث بين امم صناعية متقدمة (الصين و امريكا) (روسيا و امريكا) (اسرائيل و بقية العالم) (اسبانيا والبرازيل)، ;حتى هذه الأمم تعلمت لاحقاً انها تحت الإتهداف السبراني، فلما حدث في السعودية اختراقات متقدمة تغيرت نظرتنا نحن الى الأبد حول الامن السيبراني!
بدأت شخصيا في السنوات الأخيرة تحليل التقارير المنشورة (APT reports) من اغلب الشركات العالمية المعروفة والمشهورة بالعمليات الدفاعية الرصينة. لم يكن واضح وجلي كيف يتوصل هؤلاء الباحثون الي معرفة البلدان، وكيفية ربط الهجوم ببلد معين او مجموعة معينه. بدا لي ان لكل شركة طريقة مختلفة عن الأخرى، فوجدت ان بعض التقارير رصين ومحكم، وبعضها ركيك. وبعض من منتجي التقارير الركيكة شركات من ذوات الأسماء المميزة للأسف. فالمعيار ليس للأسماء -المميزة- في التحليل، وإنما في جدية التهديد الإلكتروني ولو كان منشوراً في تغريدة مغمورة او تدوينة لا يعلم عنها احد.
وبحكم تتابع الهجمات في اخر ثلاث سنوات، بدا جلياً ان السعودية مستهدفة بشكل غير مسبوق، وبدا لي ان العمل مترابط ومنسق بشكل لم يسبق له مثيل في تاريخ السعودية الحديث.
هذا كله مدعاه الى معرفة الطرق والأساليب الأكثر اعتمادية للوصول الى فهم كامل لهذه الهجمات وتحديد المتسبب ودوافعه وطرق الدفاع.
كما ان احد اسباب دراسة هذه الدورة والإطلاع بشكل مكثف على تقارير الإختراقات، المقدرة على التمييز بين الغث والسمين بشكل مبدئي. والتعامل مع الأهم فالأهم، وإلا فإن علامات الإختراق [IOCs] والتقارير تصدر اسبوعياً بالمئات والالاف!
فإن كان هجوم معين موصوف في أحد التقارير بانه خطير ومهم للغاية،وجب علينا ان نتأكد قبل ان نستهلك طاقة وموارد قد لا تكون في مكانها الصحيح.
ايضا، تمكن المباديء الأساسية لهذه الدورة من فهم "الدافع" للمهاجم، فهذه النقطه قد لا تكون ذات اهتمام، ولكنها مهمة لأن بفهم دوافع المهاجمين قد تتغير استراتيجية الدفاع. فربما يفضل ان توقف الإختراق فوراً عند العلم به (يفضل هذا الخيارعلى مستوى المؤسسات والمنشئات الفردية) او قد تقرر ان تراقب تحركات المهاجم لجمع اكبر قدر من المعلومات لفهم الدوافع (يفضل هذا التوجه للمراكز الوطنية او للمنشات على مستوى الدولة او حتى الكيانات ذات التواجد الدولي الموزع).
فهم الدافع يغير استراتيجية الدفاع. واقل الإحسان ان فهم الدافع يمكن فرق التحليل من الحكم بشكل منطقي على التقارير المنشورة وأهميتها. ومعرفة مدى جدية شرح الهجمات واسباب ربط هذه التقارير بدول او مجموعات معينة.
كما ان احد اسباب دراسة هذه الدورة والإطلاع بشكل مكثف على تقارير الإختراقات، المقدرة على التمييز بين الغث والسمين بشكل مبدئي. والتعامل مع الأهم فالأهم، وإلا فإن علامات الإختراق [IOCs] والتقارير تصدر اسبوعياً بالمئات والالاف!
فإن كان هجوم معين موصوف في أحد التقارير بانه خطير ومهم للغاية،وجب علينا ان نتأكد قبل ان نستهلك طاقة وموارد قد لا تكون في مكانها الصحيح.
ايضا، تمكن المباديء الأساسية لهذه الدورة من فهم "الدافع" للمهاجم، فهذه النقطه قد لا تكون ذات اهتمام، ولكنها مهمة لأن بفهم دوافع المهاجمين قد تتغير استراتيجية الدفاع. فربما يفضل ان توقف الإختراق فوراً عند العلم به (يفضل هذا الخيارعلى مستوى المؤسسات والمنشئات الفردية) او قد تقرر ان تراقب تحركات المهاجم لجمع اكبر قدر من المعلومات لفهم الدوافع (يفضل هذا التوجه للمراكز الوطنية او للمنشات على مستوى الدولة او حتى الكيانات ذات التواجد الدولي الموزع).
فهم الدافع يغير استراتيجية الدفاع. واقل الإحسان ان فهم الدافع يمكن فرق التحليل من الحكم بشكل منطقي على التقارير المنشورة وأهميتها. ومعرفة مدى جدية شرح الهجمات واسباب ربط هذه التقارير بدول او مجموعات معينة.
هل هذا العلم فعلاً مهم؟ وذو تأثير؟
قد تكون افضل طريقة لمعرفة أهمية هذا العلم هو ضرب الأمثلة. مؤخرا ومع اختيار ترامب رئيساً خرجت تقارير مختلفة من عدة وكالات امريكية ترشح ان لروسيا وبوتين دور في التأثير على الناخبين.
الجانب السياسي لوحده لا يعنينا في هذا الحدث، ما يعنينا هو ان الوكالات الأمريكية ومجتمع امن المعلومات هناك قد فصل ونشر تقارير عن اختراق احزاب دميقراطية (المنافس لترامب) كما ان بعض التقارير اوضحت ان هناك اختراقات لحسابات شخصية لرؤساء حملات انتخابية لهيلاري كلينتون. هذه الإختراقات اثرت على الجانب السياسي بل ودفعت الجميع (وكالات وشركات) الى القول ان الهدف كان التأثير على الناخب الأمريكي.
استطاعت هذه الشركات والتقارير الاثبات عبر التحليل والبناء لمختلف الفرضيات والربط التقني والسلوكي (وهو اساس هذه الدورة) ان المخترقين ليسوا إلا روسيا ومجموعات روسية، وكان الهدف من كل هذه الإختراقات هو دفع الناخبين لانتخاب ترامب!
هي مجموعة الإختراق المسؤولة عن التأثير في حملة ترامب، رُبطت بروسيا ولها عدة اسماء منها: Fancy Bear (also known as APT28, Pawn Storm, Sofacy Group, Sednit and STRONTIUM)
CrowdStrike قدمت تقرير يشرح الإختراق وربط هذه المجموعة بالإختراق المؤثر على انتخابات ترامب. وبالتحديد وجدت الشركة اختراقين متزامنين للروس في لجنة الإنتخابات الديمقراطيه، كل اختراق من جهة مختلفة عن الاخرى والاولى هي Main Directorate of the General Staff of the Russian Armed Forces - GRU و الثانية هي Federal Security Service of the Russian Federation
كيف يتم ربط الدول والمجموعات بالإختراقات؟
يتم هذا العمل عبر عدة مراحل، ولكل مرحلة تفصيل وشروح لا يتسع المجال هنا لشرحها كاملة، اهمها التالي:
يتم هذا العمل عبر عدة مراحل، ولكل مرحلة تفصيل وشروح لا يتسع المجال هنا لشرحها كاملة، اهمها التالي:
- سلسلة ايقاف الهجمات cyber kill chain
- نموذج الماسة Diamond model
- استخدام Analysis of competing hypotheses
يتم استخدام السابق بعد جمع المعلومات التقنية من IOCs وليست فقط التقنية بل حتى السلوكية للمخترقين, بمعنى ان TTP وهي التقنيات، الاجراءات والادوات، المستخدمة من المهاجمين تختلف اختلافات قد تكون بتنوع كبير. استخدام اللغات في التحليل ايضا عامل مهم للتفريق. العوامل التي يتم تحديد فيها العلامات الفريدة لكل اختراق هي مهمة ومتعددة تبداً من تحليل بسيط الى عميق يصل الى هندسة عكسية كاملة لكل اجزاء الإختراق شاملة للاخطاء اللغوية في الكود البرمجي.
الصورة بالاعلى تمثل سلسة ايقاف الهجمات وفي كل خطوة يوجد اربع عوامل تتم ملاحظتها (هذه الاربع عوامل هي اركان نموذج الماسة للتحليل) وهي المخترق، القدرات، الضحية، البنية التحتية.
الاركان اليمنى، والاسفل واليسرى هي حقائق فقط لا تتحتمل الاحتمالات. بينما كقاعدة دائمة، المخترق هو عرضة للتقييم والتحليل عبر استخدام الـ Analysis of competing hypotheses
عودة لحملة الإختراق الروسية
تم تحليل اختراق اللجنة عبرثلاث شركات تجارية توصلت لـنتيجة واحدة، ان المجموعات تابعة لروسيا بلا مجال للشك. من ضمن الاخطاء خطاء لغوي في تسجيل نطاق تم استخدامه في التحكم والسيطرة، وهذا الإقتباس كما ذكر في مصدره :
بالطبع بعد الإختراق وتدخل الشركات في اجهزة اللجنة الديمقراطية، عَرف المهاجمين انهم فُضحوا وانهم تحت المتابعة، بدأت بعدها التسريبات تصل لويكيليكس، ومن ضمن هذه الملفات ملف تم تسريبه تم تعديله بواسطة اللغة الروسية، اعتبر هذا دليل اخر على التدخل الروسي "Феликс Эдмундович," بعد تحليل هذا التعديل وُجِد ان هذا الاسم او الكود، تابع لاحد الشخصيات الروسية التي تعد من اوائل الروس الذين اسسوا الفرق التجسسية السوفييتية!
بعد عدد كبير اخر من الادلة التقنية و السلوكية التي تدل على هذه المجموعات، نشرت وكالات حكومية ان الاستنتاجات صحيحه وان الانتخابات فعلا تم التأثير عليها من قبل الروس! ونشرت في هذا بيانات وتقارير رسمية بعضها تم تصنيفه للعامه ويمكن الوصول له على الانترنت!
هذه الأمثلة لا تعنينا إلا في شيء واحد، هي الإجابة على السؤال مطلع التدوينة "هل هذا العلم فعلاً مهم؟ وذو تأثير؟"
اخيراً
نجد ان علم تصنيف التهديدات والاختراقات الالكترونية مهم للدول وللحكومات المختلفة بما فيها القطاع الخاص. حتى نستطيع ان نصل الى طرق واضحة نربط فيها الاعمال التخريبية و الاختراقات السبرانية بأدلة منطقية واضحة ومترابطه قادرة على معرفة ماذا حدث بدقة وتضع القرارات المناسبة التي تنسجم مع هذه التهديدات.
ليس هذا وحسب، بل عدم بناء هذه القدرات عاجلا او اجلا سيجعل الاهداف المرصودة من قبل العدو عرضه للاختراقات المتكررة. كما ان استثمار الوقت والجهد في التجهيز للتهديدات الغير جديه هوانشغال عن التهديدات الجدية والواقعية التي قد تقع بلا تحوطات مسبقة!
عودة لحملة الإختراق الروسية
تم تحليل اختراق اللجنة عبرثلاث شركات تجارية توصلت لـنتيجة واحدة، ان المجموعات تابعة لروسيا بلا مجال للشك. من ضمن الاخطاء خطاء لغوي في تسجيل نطاق تم استخدامه في التحكم والسيطرة، وهذا الإقتباس كما ذكر في مصدره :
"in late March the attackers registered a domain with a typo—misdepatrment[.]com—to look suspiciously like the company hired by the DNC to manage its network, MIS Department. They then linked this deceptive domain to a long-known APT 28 so-called X-Tunnel command-and-control IP address, 45.32.129[.]185."
https://motherboard.vice.com/en_us/article/4xa5g9/all-signs-point-to-russia-being-behind-the-dnc-hack
بالطبع بعد الإختراق وتدخل الشركات في اجهزة اللجنة الديمقراطية، عَرف المهاجمين انهم فُضحوا وانهم تحت المتابعة، بدأت بعدها التسريبات تصل لويكيليكس، ومن ضمن هذه الملفات ملف تم تسريبه تم تعديله بواسطة اللغة الروسية، اعتبر هذا دليل اخر على التدخل الروسي "Феликс Эдмундович," بعد تحليل هذا التعديل وُجِد ان هذا الاسم او الكود، تابع لاحد الشخصيات الروسية التي تعد من اوائل الروس الذين اسسوا الفرق التجسسية السوفييتية!
بعد عدد كبير اخر من الادلة التقنية و السلوكية التي تدل على هذه المجموعات، نشرت وكالات حكومية ان الاستنتاجات صحيحه وان الانتخابات فعلا تم التأثير عليها من قبل الروس! ونشرت في هذا بيانات وتقارير رسمية بعضها تم تصنيفه للعامه ويمكن الوصول له على الانترنت!
هذه الأمثلة لا تعنينا إلا في شيء واحد، هي الإجابة على السؤال مطلع التدوينة "هل هذا العلم فعلاً مهم؟ وذو تأثير؟"
اخيراً
نجد ان علم تصنيف التهديدات والاختراقات الالكترونية مهم للدول وللحكومات المختلفة بما فيها القطاع الخاص. حتى نستطيع ان نصل الى طرق واضحة نربط فيها الاعمال التخريبية و الاختراقات السبرانية بأدلة منطقية واضحة ومترابطه قادرة على معرفة ماذا حدث بدقة وتضع القرارات المناسبة التي تنسجم مع هذه التهديدات.
ليس هذا وحسب، بل عدم بناء هذه القدرات عاجلا او اجلا سيجعل الاهداف المرصودة من قبل العدو عرضه للاختراقات المتكررة. كما ان استثمار الوقت والجهد في التجهيز للتهديدات الغير جديه هوانشغال عن التهديدات الجدية والواقعية التي قد تقع بلا تحوطات مسبقة!
شكرا لمعلوماتك القيمة.. سؤالي هل هناك شهادة لحضور دورة FOR578: Cyber Threat Intelligence؟ حيث ليس لي نية لدخول الاختبار الخاص بها في الوقت الراهن.
ردحذفوهل اختبارها صعب جدا وما هي طريقته وهل يعتبر حضور الدورة لخمسة أيام كاف لتجاوز الاختبار؟
الحضور لا يكفي لتجاوز الاختبار
ردحذفكما ان الاختبار يعتمد على منهجية الكتاب المفتوح