-->
الصفحة الرئيسية

الفرز من خلال أكوام القش للعثور على إبر CTI

 


رؤية غائمة

تواجه أنظمة CTI بعض المشكلات الرئيسية التي تتراوح من حجم شبكات التجميع إلى تنوعها ، والتي تؤثر في النهاية على درجة الثقة التي يمكن أن تضعها في إشاراتها. هل هي طازجة بما يكفي وموثوقة بدرجة كافية لتجنب أي إيجابيات خاطئة أو أي تسمم؟ هل أخاطر بالتصرف بناءً على بيانات قديمة؟ هذا الاختلاف كبير لأن جزء من المعلومات هو مجرد مساعد لاتخاذ القرار ، في حين يمكن استخدام جزء من المعلومات القابلة للتنفيذ بشكل مباشر كأسلحة ضد المعتدي. إذا كانت البيانات الأولية هي حقول القش ، فإن المعلومات هي أكوام التبن ، والإبر هي الإشارة القابلة للتنفيذ.

لتوضيح حجم شبكات التجميع ونقطة التنوع ، دون تسمية أي شخص على وجه الخصوص ، دعنا نتخيل موفر CDN كبير. يتمثل دورك في تقديم محتوى على نطاق واسع عبر HTTP (s). يجذب هذا الكثير من "الانتباه" والإشارات ، ولكن فقط على طبقة HTTP. أيضًا ، من المحتمل أن يتجنب أي مهاجم ذكي التحقق من نطاقات IP الخاصة بك (وهي عامة ومعروفة في AS الخاص بك). ومن ثم ، فإنك تتلقى فقط الماسحات الضوئية العشوائية "Gatling guns" أو هجمات مباشرة عبر طبقة HTTP. هذا تركيز ضيق للغاية.

الآن ، إذا كنت تستخدم EDR / XDR كبير أو أيًا من برامج مكافحة الفيروسات الممجدة ، يمكنك أيضًا القول بأن لديك شبكة اكتشاف ضخمة تمتد على ملايين الأجهزة ... من الشركات الغنية. لأننا نواجه الأمر ، لا تستطيع كل مستشفى غير هادف للربح أو مستشفى عام أو مكتبة محلية تحمل تكلفة هذه الأدوات. ومن ثم فمن المحتمل أن ترى فقط التهديدات التي تستهدف الجهات الفاعلة المتطورة ، ومعظمها تلك التي تحملها البرامج الضارة على أجهزة الشبكة المحلية.

على جبهة مواضع الجذب ، لا توجد رصاصة فضية أيضًا. تمثل "ماسحات البنادق جاتلينج" النشاط الإشعاعي للإنترنت في الخلفية. نوع من الضوضاء الساكنة موجود باستمرار في محيط أي جهاز متصل بالإنترنت. هنا ، تكمن المشكلة في أنه لا توجد جماعة إجرامية إلكترونية محترمة ستستخدم أي موارد مفيدة لاستهداف آلة مواضع الجذب. ما الهدف من استثمار بعض موارد DDoS في التخلص من دمية القش؟ هل ستستخدم أي استغلال أو أداة ذات مغزى ، ناهيك عن حرق عنوان IP الخاص بك ، على هدف "محتمل"؟ تجمع مواضع الجذب "النوايا" ، والاستغلال الآلي ، شيء على غرار " يريد عنوان IP هذا معرفة ما إذا كنت (لا تزال) عرضة لـ log4j ".

يمكن أن يكون ممتعًا إلى حد ما ولكنه يقتصر على الفواكه المتدلية. أيضًا ، فإن تنوعك محدود بسبب قدرتك على الانتشار في العديد من الأماكن المختلفة. إذا كانت جميع تحقيقاتك (مواضع الجذب) تجلس على أكثر من عشرة أو أسوأ ، فقط 3 أو 4 غيوم مختلفة ، لا يمكنك رؤية كل شيء ، ويمكن "المراوغة" ، مما يعني أنه يمكن للمجرمين تخطي نطاقات IP الخاصة بك طواعية لتجنب اكتشافها. تحتاج أيضًا إلى تنظيم نظام النشر الخاص بك لكل منصة ، ومع ذلك سترى فقط عنوان IP لا يتجنب GCP أو AWS أو أيًا من السحابة التي تعمل معها. ونظرًا لأن هؤلاء المقدمين ليسوا منظمات غير حكومية ، فإن حجم شبكتك محدود أيضًا بـ… المال. إذا كانت تكلفة HP مؤتمتة بالكامل تعمل على سحابة XYZ تكلفك 20 دولارًا شهريًا ، فيجب أن يكون جيبك عميقًا لتشغيل الآلاف منها.

شن هجوم مضاد

للحد من مسار الإجرام الجماعي عبر الإنترنت ، نحتاج إلى العمل على مورد محدود من حيث الجوهر ، وإلا فلن تتمكن من تنظيم "نقص" مناسب. يلقي Conti-Leaks الشهير ضوءًا مثيرًا للاهتمام على نقاط الألم الفعلية لمجموعة كبيرة من الجرائم الإلكترونية. من الواضح أن غسيل الأموال (التشفير) ، والتوظيف ، والرواتب ، والكشوف الكلاسيكية التي تتوقعها. لكن المثير للاهتمام ، عندما تقرأ التبادلات على نظام الدردشة الداخلي الخاص بهم ، يمكنك رؤية IP ، وتغييرها ، والاستعارة ، والاستئجار ، وتنظيفها ، وتثبيت الأدوات ، وترحيل العمليات و C2 ، وما إلى ذلك ... مكلف. كلا من الوقت والمال.

هناك اختلافات لا حصر لها تقريبًا من التجزئات وتوفر SHA1 مساحة 2 ^ 160 احتمالًا. لذا فإن تجميعها يعد شيئًا واحدًا ، ولكنك تقريبًا متأكد من أن أي نوع جديد من البرامج الضارة سيكون له توقيع مختلف. في الوقت الحالي ، تتضمن معظم إجراءات CI / CD لأي مجموعة إجرامية إلكترونية محترمة بالفعل تعديل بايت واحد قبل إرسال الحمولة إلى الهدف.

إن استهداف أسماء النطاقات يقاتل ضد مساحة لا نهائية في الحجم أيضًا. يمكنك حجز domain1 و domain2 و domain3 وما إلى ذلك. لا يوجد حد تقنيًا لعدد الاختلافات. هناك أنظمة ذكية هناك تحمي علامتك التجارية وتتحقق مما إذا كان قد تم حجز أي أسماء نطاقات مشابهة لاسمك مؤخرًا. تعد أنظمة ما قبل الجريمة هذه مفيدة جدًا في التعامل مع محاولة التصيد الاحتيالي القادمة. تبدأ في أن تكون استباقيًا مع هذا النوع من المواقف والأدوات.

من المفيد على أي حال تتبع الثنائيات الخبيثة وفهرستها استنادًا إلى Hashes أو C2 التي يحاولون الاتصال بها أو حتى فهرسة IP في محاولة لاستغلال CVE المعروفة بشكل تلقائي ، ولكن القيام بذلك يعد موقفًا تفاعليًا إلى حد ما. لا يمكنك الرد من خلال معرفة موقع العدو أو تكتيكه ، بل تقوم بذلك عن طريق شل قدراته الهجومية ، وهذا هو المكان الذي تكون فيه عناوين IP مثيرة للاهتمام للغاية. النظام عمره عقود وسيظل قائما بعدنا. إنه

يوجد الآن مورد يعاني من ندرة بالفعل: IPV4. مساحة IP التاريخية محدودة بحوالي 4 مليارات منهم. إن إحضار المعركة إلى هذه الأرض أمر فعال لأنه إذا كان المورد في حالة ندرة ، فيمكنك في الواقع أن تكون استباقيًا وتحرق عناوين IP بأسرع ما تعلم أنه يستخدمه العدو. الآن ، هذا المشهد دائم التطور. يوفر موفرو VPN و Tor وتطبيقات الوكيل السكنية طريقة لمجرمي الإنترنت لاستعارة عنوان IP ، ناهيك عن حقيقة أنه يمكنهم الاستفادة من بعض الخوادم التي تم اختراقها بالفعل على الويب المظلم.

لذلك إذا تم استخدام عنوان IP في الوقت المناسب ، فمن المحتمل أنه لم يعد في الساعة التالية ، ثم تقوم بإصدار إيجابي كاذب إذا قمت بحظره. الحل هو إنشاء أداة التعهيد الجماعي لحماية جميع أحجام الشركات ، عبر جميع أنواع الأماكن ، والمناطق الجغرافية ، والسحب ، والمنازل ، والمنشآت الخاصة DMZ ، وما إلى ذلك ، وعلى جميع أنواع البروتوكولات. إذا كانت الشبكة كبيرة بما يكفي ، فإن تدوير عنوان IP هذا لا يمثل مشكلة لأنه إذا توقفت الشبكة عن الإبلاغ عن عنوان IP ، فيمكنك إطلاقه ، بينما يجب دمج الشبكة الجديدة التي ترتفع في عدد من التقارير في قائمة الحظر. كلما كانت الشبكة أكبر ، أصبحت أكثر واقعية.

يمكنك مراقبة أي بروتوكول تقريبًا باستثناء تلك التي تستند إلى UDP ، والتي يجب استبعادها نظرًا لأنه من السهل انتحال الحزم عبر UDP. لذلك من خلال النظر في التقارير حول بروتوكول قائم على UDP لحظر IP ، يمكن أن يتم خداعك بسهولة. بخلاف ذلك ، كل بروتوكول جيد للمراقبة. كذلك يمكنك بالتأكيد البحث عن مكافحة التطرف العنيف ولكن ، الأفضل ، عن السلوك. من خلال القيام بذلك ، يمكنك مواجهة الاعتداءات الموجهة للأعمال التي قد لا تكون قائمة على مكافحة التطرف العنيف فقط. مثال بسيط ، بخلاف L7 DDoS الكلاسيكي ، عمليات المسح أو القوة الوحشية للاعتماد أو الحشو هو المضاربة. Scalping هو إجراء شراء تلقائي لمنتج باستخدام روبوت على موقع ويب وإعادة بيعه للحصول على فائدة على موقع eBay على سبيل المثال. إنها مشكلة تتعلق بطبقة العمل ، وليست متعلقة بالأمان حقًا. تم تصميم نظام CrowdSec مفتوح المصدر خصيصًا لتمكين هذه الإستراتيجية.

أخيرًا ، خلال العقدين الماضيين ، قيل لنا ، "IPV6 قادم ، كن مستعدًا". حسنًا ... لنفترض أن لدينا وقتًا للاستعداد. لكنها موجودة بالفعل الآن ولن يؤدي نشر شبكة الجيل الخامس 5G إلا إلى تسريع استخدامها بشكل كبير. يغير IPV6 المرحلة بمجمع IP جديد قابل للعنونة بحجم 2 ^ 128. لا يزال هذا محدودًا من نواح كثيرة ، ليس أقلها لأن جميع نطاقات V6 IP لم يتم استخدامها بالكامل حتى الآن ولكن أيضًا لأن الجميع يحصل على العديد من عناوين IPV6 في وقت واحد ، وليس واحدًا فقط. ومع ذلك ، فإننا نتحدث عن عدد كبير منهم الآن.

دعونا نزاوج بين الذكاء الاصطناعي والتعهيد الجماعي

عندما تبدأ البيانات في التدفق بشكل كبير من شبكة كبيرة ذات مصادر جماعية ويزداد حجم المورد الذي تحاول تقليصه ، يبدو الذكاء الاصطناعي وكأنه طريق منطقي لاستكشافه.

يعد تأثير الشبكة بالفعل بداية جيدة من تلقاء نفسه. مثال هنا يمكن أن يكون حشو بيانات الاعتماد. إذا كان عنوان IP يستخدم العديد من الأزواج لتسجيل الدخول / المرور في مكانك ، فستسميها bruteforce الاعتماد. الآن على نطاق الشبكة ، إذا كان لديك نفس عنوان IP يطرق في أماكن مختلفة باستخدام تسجيل دخول / مرور مختلف ، فهو عبارة عن حشو بيانات الاعتماد ، حيث يحاول شخص ما إعادة استخدام بيانات الاعتماد المسروقة في العديد من الأماكن لمعرفة ما إذا كانت صالحة. تمنحك حقيقة أنك ترى نفس الإجراء ، بالاستفادة من نفس بيانات الاعتماد من عدة زوايا مختلفة ، مؤشرًا إضافيًا على الغرض من السلوك نفسه.

الآن ، لكي نكون صادقين ، لست بحاجة إلى الذكاء الاصطناعي لفرز القوة الوحشية للاعتمادات من إعادة استخدام بيانات الاعتماد أو حشو بيانات الاعتماد ، ولكن هناك أماكن يمكن أن تتفوق فيها ، خاصة عند التعاون مع شبكة كبيرة للحصول على أكوام من البيانات.

مثال آخر يمكن أن يكون مسحًا ضخمًا للإنترنت ، تم إجراؤه باستخدام 1024 مضيفًا. يمكن لكل مضيف مسح منفذ واحد فقط ومن المحتمل ألا يلاحظه أحد. إلا إذا رأيت ، في العديد من الأماكن المختلفة ، نفس عنوان IP يفحص نفس المنفذ خلال إطار زمني مماثل. مرة أخرى ، بالكاد مرئي على المستوى الفردي ، واضح على مقياس كبير.

من ناحية أخرى ، تعد خوارزميات الذكاء الاصطناعي جيدة في تحديد الأنماط التي لن تكون مرئية إذا نظرت في مكان واحد فقط في كل مرة ولكن بشكل صارخ على نطاق شبكة كبيرة.

يمكن أن يكشف تمثيل البيانات في الهياكل المناسبة باستخدام الرسوم البيانية والتضمينات عن درجات معقدة من التفاعل بين عناوين IP أو النطاقات أو حتى AS (الأنظمة المستقلة). يؤدي هذا إلى تحديد مجموعات من الآلات التي تعمل في انسجام لتحقيق نفس الهدف. إذا كانت عدة عناوين IP تسلسل هجومًا في العديد من الخطوات مثل المسح ، والاستغلال ، وتثبيت باب خلفي ، ثم استخدام الخادم الهدف للانضمام إلى جهود DDoS ، يمكن تكرار هذه الأنماط في السجلات. لذلك ، إذا كان عنوان IP الأول للمجموعة مرئيًا في طابع زمني معين ثم بعد 10 دقائق الثانية وما إلى ذلك ، وتكرر هذا النمط مع نفس عناوين IP في العديد من الأماكن ، فيمكنك إخبار الجميع بأمان بحظر عناوين IP الأربعة في وقت واحد.

يتيح لنا التآزر بين الذكاء الاصطناعي وإشارات المصادر الجماعية معالجة قيود بعضنا البعض بشكل فعال. في حين أن الإشارات التي يتم الحصول عليها من الجمهور توفر ثروة من البيانات في الوقت الفعلي حول التهديدات الإلكترونية ، إلا أنها قد تفتقر إلى الدقة والسياق ، مما يؤدي في النهاية إلى نتائج إيجابية خاطئة. من ناحية أخرى ، عادةً ما تصبح خوارزميات الذكاء الاصطناعي ذات صلة فقط بعد امتصاص كمية هائلة من البيانات. في المقابل ، يمكن أن تساعد هذه النماذج في تحسين هذه الإشارات وتحليلها ، والقضاء على الضوضاء وكشف النقاب عن الأنماط المخفية.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة