#Cyber #Threat #Intelligence (CTI)
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
#Cyber #Threat #Intelligence
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
#OpenCTI #Cyber #Threat #Intelligence
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN