تطبیق چارچوب MITRE ATT&CK با الزامات ISO 27001 بخش اول

1. MITRE ATT&CK چیست؟

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)  یک پایگاه داده دانش محور درباره رفتارها، تاکتیک‌ها و تکنیک‌های مهاجمان سایبری است که توسط سازمان MITRE  توسعه داده شده است.

هدف اصلی MITRE ATT&CK، فراهم کردن یک چارچوب واقعی و قابل استفاده برای:

• تحلیل تهدیدات سایبری واقعی
• درک بهتر رفتارهای مهاجمان
• تقویت دفاع سازمان‌ها در برابر حملات
• طراحی تست‌های شبیه‌سازی شده برای Red Team

 اجزاء اصلی:

1. 1. Tacticsتاکتیک‌ها:  اهدافی که مهاجم دنبال می‌کند (مثل دسترسی اولیه، حرکت جانبی، خروج داده‌ها). هر تاکتیک می‌تواند شامل چندین تکنیک باشد. به طور کلی، تاکتیک‌ها در مراحل مختلف حمله قرار دارند. به‌طور کلی 14 تاکتیک اصلی در MITRE ATT&CK وجود دارد:
      1. 1. : Initial Access  دسترسی اولیه به سیستم
         2. Execution: اجرای کد یا عملیات در سیستم
         3.  Persistence: حفظ دسترسی به سیستم
         4. Privilege Escalation: افزایش سطح دسترسی
         5. Defense Evasion: دور زدن مکانیسم‌های دفاعی
         6. Credential Access: دسترسی به اطلاعات احراز هویت
         7. Discovery: شناسایی محیط
         8. Lateral Movement:حرکت افقی در شبکه
         9. Collection:جمع‌آوری اطلاعات
         10. Exfiltration: بیرون بردن داده‌ها
         11. Impact: وارد کردن آسیب به سیستم
         12.  Command and Control: فرمان‌دهی و کنترل سیستم‌ها
         13.  Resource Development: توسعه منابع برای حملات آینده
   2. Techniques تکنیک‌ها: روش‌هایی که برای رسیدن به آن اهداف استفاده می‌کند (مثل استفاده از PowerShell یا Credential Dumping)
   3. Sub-techniques: جزئیات دقیق‌تر در مورد روش‌ها
   4. Mitigations: راهکارهای مقابله
   5. Detections: نحوه شناسایی تکنیک‌ها
2. ISO/IEC 27001 چیست؟

ISO/IEC 27001 یک استاندارد بین‌المللی برای مدیریت امنیت اطلاعات (ISMS) است. این استاندارد چارچوبی برای پیاده‌سازی، نگهداری و بهبود مداوم امنیت اطلاعات در یک سازمان فراهم می‌کند. اجزاء کلیدی

• ارزیابی ریسک‌های امنیت اطلاعات
• کنترل دسترسی
• مدیریت حوادث امنیتی
• سیاست‌های امنیتی
• اقدامات کنترلی (Annex A – 93 کنترل)

1. ارتباط MITRE ATT&CK با ISO27001

2. MITRE ATT&CK و ISO27001 در واقع مکمل هم هستند.

   جنبه	MITRE ATT&CK	ISO27001
   تمرکز	رفتار مهاجمین	مدیریت امنیت اطلاعات
   هدف	تحلیل تهدیدات، تست دفاع	چارچوب کلی امنیتی
   کاربرد	تست نفوذ، Red Teaming	مدیریت ریسک، تطابق با قانون
   ارتباط	کمک به شناسایی و مستندسازی تهدیدات واقعی	تقویت کنترل‌های امنیتی مستندشده

    مثال:

   در ISO27001، کنترل A.12.6.1 به مدیریت آسیب‌پذیری‌ها اشاره دارد. با استفاده از MITRE ATT&CK، می‌توان تکنیک‌های خاصی مثل "Credential Dumping (T1003)" را برای تحلیل و بهبود این کنترل پیاده کرد.

3.  رابطه MITRE ATT&CK با Red Teaming

• بررسی واکنش تیم دفاعی (Blue Team)
• کشف ضعف‌ها و نقاط کور
• آزمون واقع‌گرایانه امنیت سایبری

نقش MITRE ATT&CK در Red Team:

• ساخت سناریوهای حمله واقعی بر پایه رفتار مهاجمان
• مستندسازی تکنیک‌ها و تاکتیک‌های استفاده شده
• تحلیل Gap بین قابلیت‌های دفاعی و تهدیدات واقعی

1. ابزارهای مکمل:

• Caldera (ابزار شبیه‌سازی حمله از MITRE)
• Atomic Red Team (اجرای تکنیک‌های ATT&CK)
• MITRE D3FEND (چارچوب دفاعی مکمل ATT&CK)

1. بکارگیری مدل تهدید در گزارش حمله

در اینجا یک مثال از تبدیل کردن سناریو حمله به مدل تهدید با MITRE پرداخته شده است:

مرحله 1: Initial Access – فیشینگ هدفمند

• توضیح: مهاجم با ارسال ایمیل فیشینگ حاوی فایل ورد با ماکروی مخرب موفق به اجرای کد در سیستم یکی از کارکنان شد.
• تکنیک MITRE:
  • T1566.001 - Spearphishing Attachment
• سیستم هدف: ایستگاه کاری واحد مالی
• کنترل مرتبط ISO:
  • A.5.10 - آموزش آگاهی‌بخشی امنیتی
  • A.8.9 - محافظت در برابر بدافزارها

    مرحله 2: Execution – اجرای ماکرو و دانلود ابزار 

• توضیح: پس از کلیک کاربر روی فایل، ماکرو فعال شده و ابزار Cobalt Strike از سرور مهاجم دانلود و اجرا شد.
• تکنیک MITRE:
  • T1059 - Command and Scripting Interpreter
  • T1204.002 - Malicious File
• کنترل مرتبط ISO:
  • A.8.15 - کنترل اجرای کد
  • A.8.9 - آنتی‌ویروس و محافظت از نقاط پایانی

    مرحله 3: Privilege Escalation – استخراج رمزها و افزایش دسترسی 

• توضیح: مهاجم با اجرای Mimikatz موفق به استخراج رمز عبور ادمین محلی شد.
• تکنیک MITRE:
  • T1003.001 - LSASS Memory Dump
• کنترل ISO:
  • A.8.2 - مدیریت دسترسی
  • A.8.28 - اعمال پچ‌ها و به‌روزرسانی‌ها

                    مرحله 4: Lateral Movement – حرکت به سرور منابع انسانی

• توضیح: با استفاده از RDP و رمز عبور ادمین، مهاجم به سرور منابع انسانی متصل شد.
• تکنیک MITRE:
  • T1021.001 - Remote Services: Remote Desktop Protocol
• کنترل ISO:
  • A.8.3 - کنترل دسترسی سطح شبکه
  • A.8.26 - کنترل دسترسی اطلاعاتی حساس

             مرحله 5: Exfiltration – استخراج فایل‌های حقوقی

• توضیح: فایل‌های مربوط به پرداخت حقوق پرسنل به‌صورت ZIP رمزنگاری‌شده از طریق HTTPS به سرور خارجی ارسال شد.
• تکنیک MITRE:
  • T1041 - Exfiltration Over Web
• کنترل ISO:
  • A.8.23 - کنترل انتقال اطلاعات
  • A.5.32 - حفاظت از اطلاعات در برابر دسترسی غیرمجاز

ادامه دارد...