معرفی Sourceهای رایگان Cyber Threat Intelligence Sharing و چگونگی دریافت feedها از آنها توسط Anomaly STAXX Client

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

مقاله: معرفی Sourceهای رایگان Cyber Threat Intelligence Sharing و چگونگی دریافت feedها از آنها توسط Anomaly STAXX Client

امروزه با وجود حملات و تهدیدات بسیاری که در سطح شبکه ها و زیرساخت های وجود دارد، متخصصان امنیتی به خصوص Threat Hunterها (یا شکارچیان تهدید) که معمولاً در لایه 3 از SOCها فعالیت دارند، نیاز به یکسری اطلاعات درباره آنها دارند تا بتوانند روال ها و پروسه های مربوطه به پیشگیری و مقابله با آنها را در ‌‌‌شرکت ها و سازمان های خود تسریع کنند. Cyber-Threat Information در واقع اطلاعاتی هستند که به این کارشناسان کمک می کنند تا شناسایی، سازماندهی، مانیتور و پاسخگویی به تهدیدات سایبری را انجام دهند. به عنوان مثال این Cyber-Threat Informationها می توانند شامل زیر باشند:

IoC & IoA Indicators 📌

TTPs 📌

Security Alarms 📌

Threat Intelligence Reports 📌

 📌 و البته پیکربندی های امنیتی پیشنهادی 

از این رو در اکثر SOCها واحدی به نام هوش تهدید سایبری یا Cyber Threat Intelligence – CTI وجود دارد که وظیفه این واحد یا تیم پرداختن به به نشانگرهای مختلف تهدیدات سایبری (نشانگرهای نفوذ و حمله) و مقابله با آنهاست. اما سوال اینجاست که چطور شکارچیان تهدیدات سایبری در این واحدها می توانند اطلاعات مورد نیاز خود یا همان Cyber-Threat Informationها را بدست آورند؟

مشخصاً به جز استفاده از ابزارهای امنیتی و پلتفرم هایی همچون SIEM که در SOCها وجود دارد، این کارشناسان اطلاعات مزبور را از طریق sourceهایی تحت عنوان Threat Intelligence Sharing که در انواع تجاری و رایگان وجود دارند کسب می کنند. در واقع این sourceها یا feedها، خوراک اصلی برای واحد CTI و Threat Hunterها را فراهم می کنند.

⭕️ لیست برخی از معروف ترین Sourceها یا Feedهای CTI-Sharing:

  1. TAXII (Trusted Automated eXchange of Intelligence Information)
  2. STIX (Structured Threat Information eXpression)
  3. CybOX (Cyber Observable eXpression)
  4. MAEC (Malware Attribute Enumeration and Characterization)
  5. CAPEC (Common Attack Pattern Enumeration and Classification)
  6. OVAL (Open Vulnerability Assessment Language)

📌 به عنوان مثال TAXII و STIX دو تا از معروف ترین feedهای رایگان (و البته پروتکل هایی به همین نام) در زمینه CTI-Sharing هستند. اکثر ابزارهای فوق ساختاری Client/Serverی دارند. یعنی شما به عنوان یک Threat Hunter می بایست به سرورهای مربوط به این feedها که بر روی بستر Cloud هستند متصل شده و این feedها را اصطلاحاً poll یا دانلود نمایید (هر چند می توانید اطلاعات export شده از سرورهای خود را نیز به آنها push یا آپلود نمایید).

در ادامه به معرفی مختصری از انواع Sourceهای رایگان برای CTI Sharing خواهم پرداخت:

STIX: Structured Threat Information eXpression

در واقع STIX یک نوع زبان برنامه نویسی XML استاندارد شده برای پوشش اطلاعات در خصوص تهدیدات امنیت سایبری است اما در قالب یک زبان رایج که به آسانی توسط انسان ها و تکنولوژی های امنیتی قابل فهم و استفاده می باشد. STIX توسط شرکت MITRE و کمیته فنی هوش تهدید سایبری OASIS طراخی شده است.STIX  برای چند use case اصلی طراحی شده است. اول اینکه تحلیگران تهیدادت سایبری به منظور بازنگری تهیدادت سایبری و فعالیت های مرتبط با تهدیدات می توانند از STIX استفاده نمایند. تحلیگران تهدید یا Threat Analystها همچنین از STIX جهت شناسایی الگوهایی که درای نشانه های حملات سایبری هستند استفاده می کنند. همچنین متخصصان SOCها می توانند از داده های STIX برای تسهیل فعالیت های واکنش سایبری خود از جمله پیشگیری، تشخیص و پاسخ استفاده کنند. اما آخرین مورد از استفاده STIX، اشتراک گذاری اطلاعات مربوط به تهدیدات سایبری در یک سازمان با شرکای خارجی خود و همچنین communityهایی هستند که از این اطلاعات سود می برند.

TAXII: Trusted Automated eXchange of Indicator Information

منظور از TAXII نیز یک application protocol برای تبادل اطلاعات CTI بر روی HTTPS است. TAXII یک RESTful API برای تبادل اطلاعات سرویس ها و پیام ها و یک مجموعه نیازمندی ها را برای TAXII Clientها و TAXII Serverها تعریف کرده است. TAXII بطور کلی 2 مدل جهت اشتراک گذاری اطلاعات تهدیدات سایبری تعریف کرده است که عبارتند از: مدل Collection و مدل Channel.

⭕️ مدل Collection: یک Collection یک رابط یا interface به یک منبع یا repository منطقی از objectهای CTI است که توسط یک TAXII Server به یک producer اجازه می دهد تا به host یک مجموعه اطلاعاتی CTI که مصرف کنندگان از اطلاعات آن می توانند استفاده کنند، متصل شود.

⭕️ مدل Channel: در این مدل از یک سرورTAXII  استفاده می شود و یک Channel به producerها (یا تولید کنندگان) اجازه می دهد تا اطلاعات را به Consumerهای زیاد (یا مصرف کنندگان) اصطلاحاً push کرده و و Consumerها نیز می توانند اطلاعات را از چندین Producer دریافت نمایند. حتی خود TAXII clientها نیز می توانند اطلاعات را با سایر کلاینت های TAXII در یک مدل publish-subscribe model با هم تبادل کنند.

CybOX: Cyber Observable eXpression

اما CybOX یک زبان استاندارد برای رمزگذاری و برقراری اطلاعات high-fidelity در مورد مشاهدات سایبریست، اعم از وقایع پویا یا اقدامات برجسته ای است که در حوزه سایبری قابل مشاهده است. CybOX به یک مورد استفاده از امنیت سایبری اختصاص نمی یابد بلکه اینطور در نظر گرفته شده است که به اندازه کافی انعطاف پذیر باشد تا یک راه حل مشترک برای همه موارد استفاده از امنیت سایبری ارائه دهد که نیاز به توانایی مقابله با مشاهدات سایبری را دارد. همچنین در نظر گرفته شده است که CybOX به اندازه کافی انعطاف پذیر باشد تا یک راهکار برای همه use caseهای امنیتی سایبری باشد که قادر به مشاهدات سایبریست. هدف CybOX این است که امکان پتانسیل برای به اشتراک گذاری خودکار، نقشه برداری، تشخیص و تجزیه و تحلیل دقیق را برای تهدیدات سایبری فراهم کند. CybOX برای پشتیبانی از طیف گسترده ای از حوزه های امنیت سایبری همچون موارد زیر می تواند مورد استفاده قرار گیرد:

📌  Threat assessment & characterization (detailed attack patterns)

📌  Malware characterization

📌  Operational event management

📌  Logging

📌  Cyber situational awareness

📌  Incident response

📌 Indicator sharing

📌  Digital forensics

MAEC: Malware Attribute Enumeration and Characterization

در واقع MAEC نیز یک زبان ساختاریافته برای کدگذاری و برقراری ارتباط اطلاعاتی امنی درباره تبادل خصوصیات رفتاری malwareها، artifactها (یا محصولات جعلی و fake) و ارتباطات بین نمونه های بدافزارهاست. پروژه MAEC نیز توسط شرکت MITRE نگهداری و توسعه داده شده و توسط اسپانسر خود یعنی U.S. DHS یا U.S. Department of Homeland Security مورد حمایت قرار می گیرد. شرکت MITRE یک مجوز و لایسنس غیر انحصاری (منظور non-exclusive) و royalty-free برای استفاده از MAEC برای تحقیقات، توسعه و اهداف تجاری اعطا می کند.

CAPEC: Common Attack Pattern Enumeration and Classification

اما CAPEC یک دیکشنری جامع و طبقه بندی شده از انواع حملات شناخته شده (یا taxonomyها) است که می تواند توسط تحلیلگران، توسعه دهندگان و Pen-testerها جهت پیشبرد درک جامعه و تقویت دفاعی مورد استفاده قرار گیرد. 

اما هدف از ایجاد پروژه CAPEC، در واقع ایجاد یک کاتالوگ از الگوهای حملات سایبری در دسترس عموم است که به صورت بصری طبقه بندی شده اند و همراه با یک طرح جامع برای توصیف حملات مرتبط و به اشتراک گذاری اطلاعات در مورد آنها توسط شرکت MITRE که یک سازمان غیر انتفاعی است و تحت حمایت دولت فدرال آمریکا می باشد، نگهداری و توسعه داده می شود. جهت دسترسی به این دیکشنری از taxonomyها می توانید به آدرس زیر مراجعه فرمایید:

https://capec.mitre.org/index.html

OVAL: Open Vulnerability and Assessment Language

منبع OVAL نیز یک استاندارد بین المللی، امنیت اطلاعات، و یک community استاندارد برای ترویج محتوای امنیتی آزاد و در دسترس عموم، و استاندارد سازی انتقال این اطلاعات در کل طیف ابزارها و خدمات امنیتی از جمله اسکنر Nikto می باشد. OVAL شامل زبانی است که برای رمزگذاری جزئیات سیستم و مجموعه ای از مخازن محتوا نگهداری می شود، استفاده می کند. زبان OVAL سه مرحله اصلی فرآیند ارزیابی را استاندارد سازی می کند:

  1. نمایش اطلاعات پیکربندی سیستم ها برای آزمایش
  2. تجزیه و تحلیل سیستم برای حضور در حالت مشخص شده دستگاه (آسیب پذیری، پیکربندی ، وضعیت patch و غیره)
  3. و گزارش نتایج ارزیابی مخازن OVAL که مجموعه ای از مطالب آزاد و عمومی هستند که از زبان OVAL استفاده می کنند.

 زبان OVAL نیز توسط شرکت MITRE توسعه داده شده و U.S. DHS نیز اسپانسر و حامی این پروژه است.

♻️ معرفی ابزار Anomaly STAXX Client

جهت دریافت Cyber Threat Informationها از Cyber-Sharing sourceهای معرفی شده، نیاز که در واقع در نقش Server هستند (به عنوان مثال TAXII Serverها)، شما نیاز به یک Client (به عنوان مثال CTI-TAXII-Client یا ArcSight STIX/TAXII Python Client و نظایر اینها) خواهید داشت. شرکت Anomaly به عنوان یکی از ارائه کنندگان راهکارهای امنیتی ابزاری تحت عنوان Anomaly STAXX Client را معرفی کرده که می تواند به صورت دو طرفه (دانلود/آپلود) جهت به اشتراک گذاری Threat Intelligenceها از sourceهای STIX/TAXII به شما کمک کند. این ابزار قادر است از چندین source مختلف که به آن معرفی می کنید استفاده نموده و Threat Informationهای دریافتی را در یک اینترفیس گرافیکی تحت وب به صورت دسته بندی شده تحت گراف های مختلف به شما نمایش دهد.

📌 جهت راه اندازی STAXX Client تنها کافیست فایل OVF آن را دریافت نموده و بر روی یک VM با حداقل 2vCPU و 4GB-RAM و 40GB disk نصب نمایید. سپس به آدرسی که پس از پروسه نصب در اختیار شما قرار می دهد متصل شده و feedهای خود را در آن اضافه نمایید و...

🌐 در صورت تمایل و کسب اطلاعات بیشتر در مورد Threat Intelligence Sharing و پروتکل های STIX/TAXII و همچنین ابزار STAXX پیشنهاد می کنم مقالات زیر از Anomaly و NIST و OASIS را مطالعه نمایید:

https://www.thehaguesecuritydelta.com/media/com_hsd/report/159/document/The-Definitive-Guide-to-Sharing-Threat-Intelligence.pdf

https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=923332

https://stixproject.github.io/oasis-faq.pdf

https://update.anomali.com/staxx/docs/Anomali_STAXX_Installation_&_Administration_Guide.pdf

🌀 میثم ناظمی

💎 گروه امنیتی الماس

https://t.me/Diamond_Security

@iranopensource🐧

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر