התקשר אלינו: 03 5292456
התקשר אלינו: 03 5292456

MITRE ATT&CK Framework: הבנת שיטות התקיפה

עמוד הביתסייבר ואבטחת מידע MITRE ATT&CK Framework: הבנת שיטות התקיפה
24 פבר 2025 נכתב על ידי סייבר ואבטחת מידע

מה זה MITRE ATT&CK Framework?

MITRE ATT&CK Framework היא בין הכלים החזקים והנפוצים ביותר בתחום ההגנה בסייבר,
המציעה שפה שיטתית וסדורה לתיאור טכניקות, טקטיקות ונהלים של תוקפים.

השימוש בה מאפשר לארגונים למקד את מאמצי האבטחה, לגלות פערים ולהשקיע באמצעים הנדרשים
על מנת לזהות ולבלום פעילות זדונית בשלב מוקדם ככל האפשר.

בין אם מדובר באנליסטים בחמ”ל אבטחה, חוקרי סייבר, מפתחים של מוצרי אבטחה או צוותי Red/Purple Team,
המודלים והידע במאגר ATT&CK מסייעים לכולם לשפר את תהליכי אבטחה ולצמצם את שטח ההתקפה.

ככל שיותר ארגונים מאמצים את המסגרת ועובדים לפיה, כך גדל הידע הקולקטיבי על אופן הפעולה של התוקפים,
מה שמשפר את החוסן והחוזק של האקוסיסטם כולו.

המסגרת ממשיכה להתעדכן עם מידע חדש בעקבות מחקרי סייבר מתקדמים ודיווחים על תקיפות בשטח,
ולכן מומלץ לבקר באתר MITRE ATT&CK באופן קבוע וליישם את הלקחים והממצאים העדכניים ביותר.

היכולת להתמודד בהצלחה עם איומי הסייבר העתידיים תלויה רבות ביכולת שלנו להגיב ולהגן באופן פרואקטיבי ומודע,
ו-MITRE ATT&CK מהווה אבן יסוד חשובה במסע הזה.

 

 

רקע והיסטוריה של MITRE ATT&CK Framework

MITRE Corporation הוא ארגון ללא מטרות רווח בארצות הברית, העוסק במחקר ובפיתוח בתחומי ביטחון לאומי,
בטיחות, בריאות, וחיזוי איומים שונים.

הארגון עבד במשך שנים רבות על מיפוי טכניקות, טקטיקות ונהלים (TTPs – Tactics, Techniques, and Procedures)
של קבוצות תקיפה, תוך כדי התבססות על מקרי אמת של תקיפות אבטחה שזוהו ונחקרו.

התוצאה של מחקר זה התגבשה לכדי מאגר ידע שנקרא MITRE ATT&CK
(ראשי תיבות של Adversarial Tactics, Techniques, and Common Knowledge).

המסגרת הוצגה לציבור לראשונה בשנת 2013, כשהמטרה המרכזית שלה היא לספק בסיס חופשי ושקוף
שעל פיו ארגונים יוכלו:

להבין את דרכי הפעולה וההתנהגות של תוקפי סייבר.

לשפר ולייעל את פעולות הזיהוי, ההגנה והתגובה.

לקבוע סדרי עדיפויות ולהטמיע בקרות מתאימות בהתאם לאיומים הרלוונטיים לארגון.

 

 

המבנה של MITRE ATT&CK

טקטיקות (Tactics)

הטקטיקות הן קטגוריות-על המתארות את המטרות העיקריות של התוקף בכל שלב של התקיפה.

לכל טקטיקה יש שם המתאר את הכוונה הכללית שעומדת מאחורי הפעולה, לדוגמה:

Initial Access (גישה ראשונית)

Execution (ביצוע)

Persistence (התמדה)

Privilege Escalation (הסלמת הרשאות)

Defense Evasion (התחמקות מבקרות הגנה)

Credential Access (גישה להרשאות/סיסמאות)

Discovery (חקר הסביבה)

Lateral Movement (תנועה רוחבית)

Collection (איסוף נתונים)

Command and Control (פקודות ושליטה מרחוק)

Exfiltration (הוצאת מידע)

Impact (גרימת נזק)

טקטיקות מייצגות את “למה” – מדוע תוקף מבצע פעולה בשלב נתון של התקיפה.

 

טכניקות (Techniques)

בטכניקות אנו יורדים שכבה למטה מהטקטיקות.

טכניקות מתארות את האופן הספציפי שבו התוקף משיג את מטרתו.

לדוגמה, תחת הטקטיקה Privilege Escalation נוכל למצוא טכניקות כמו:

שימוש בהרשאות מערכת (Token Manipulation)

ניצול חולשת מערכת (Exploitation for Privilege Escalation)

הרשאות שגויות על קבצים (Access Token Replacement)

כל טכניקה מציגה פירוט על איך בדיוק תוקפים מיישמים את הטקטיקה הרלוונטית.

 

תתי-טכניקות (Sub-Techniques)

תתי-טכניקות הן רמת פירוט עוד יותר מדויקת.

למשל, במסגרת הטכניקה Credential Dumping ייתכנו תתי-טכניקות המתייחסות
לכלים או לגישות שונות לשליפת סיסמאות, לדוגמה:

Credential Dumping \ LSASS Memory

Credential Dumping \ Windows Registry

Credential Dumping \ DCSync

תתי-טכניקות מעניקות מיקוד נקודתי על אופן הפעולה המדויק,
כדי להדריך את האנליסטים ומנהלי האבטחה ביישום בקרות נכונות.

 

מאפייני טכניקה (Procedure Examples)

בנוסף לרשימות הטקטיקות, הטכניקות ותתי-הטכניקות, במסגרת ATT&CK קיימת גם התייחסות
לפרוצדורות – דוגמאות קונקרטיות איך קבוצות תקיפה משתמשות בטכניקות השונות.

הדבר כולל מידע על כלים נפוצים (Tools) המשמשים את התוקפים, דוגמת Mimikatz או Powershell,
וכן ראיות מהשטח (Threat Intelligence) על אופן השימוש בהם.

 

 

סוגי ה-MITRE ATT&CK

Enterprise ATT&CK – 

מסגרת ממוקדת בעיקר על סביבות ארגוניות: מערכות Windows, Linux, macOS, שירותי ענן וכו’.

זהו המאגר העיקרי שבו מתמקדים רבים מעולם הסייבר.

 

Mobile ATT&CK – 

מסגרת העוסקת במכשירים ניידים, כמו סמארטפונים וטאבלטים.

כוללת טקטיקות וטכניקות שייחודיות לאנדרואיד ול-iOS,
וכיצד תוקפים פועלים במרחב הנייד.

 

ICS ATT&CK – 

מסגרת שמותאמת למערכות בקרה תעשייתיות (ICS – Industrial Control Systems)
עבור ארגוני תעשייה ותשתיות קריטיות.

מערכות אלו לרוב בעלות סט דרישות והגנות שונות, עם אתגרים ייחודיים בעולמות
ה-SCADA וה-OT.

 

 

דרכי שימוש ב-MITRE ATT&CK בארגונים

הערכת פערים (Gap Analysis):

מנהלי אבטחת מידע והצוותים הטכניים יכולים למפות אילו בקרות אבטחה הם כבר מכילים בארגון
ביחס לכל טכניקה במסגרת ATT&CK.

תוך כך הם מגלים “חורים” ומבינים אילו טכניקות אינן מכוסות בבקרות הנוכחיות.

תהליך זה מאפשר לקבוע עדיפויות ולהשקיע היכן שיש סיכון גבוה יותר.

 

יצירת סימנים לאיתור (Detection):

לכל טכניקה ב-ATT&CK מצורפות דוגמאות להתנהגויות חשודות ו-Indicators of Compromise (IoCs) פוטנציאליים.

הצוותים יכולים לפתח ולשפר חוקי SIEM, חתימות IDS/IPS, התראות EDR ודומיהן,
על מנת לזהות ניסיונות ניצול של הטכניקות השונות.

 

פעילות Red Team / Purple Team:

צוותים המדמים תוקפים (Red Team) יכולים להשתמש ב-ATT&CK כדי לבנות תרחישי תקיפה המבוססים
על טכניקות נפוצות או על טכניקות המזוהות עם קבוצת תקיפה מסוימת.

צוותי הגנה (Blue Team) יכולים להעריך את היכולת שלהם לזהות ולבלום אותן.

כך נוצר Purple Team – שיתוף פעולה המאפשר לכל הצדדים ללמוד ולשפר תהליכי תגובה.

 

מודיעין איומים (Threat Intelligence):

חוקרי סייבר וקבוצות Threat Intel ממפות את הפעילות של קבוצות תקיפה לפי הטכניקות והטקטיקות בשימושן.

כך ניתן להבין טוב יותר את אופן הפעולה של הקבוצה ולהיערך בהתאם.

מאגר ATT&CK כולל גם מידע על קבוצות (APT Groups) ידועות והכלים שלהן,
כך שניתן לחבר בין המידע של הקבוצה בשטח לבין הטכניקות הידועות במחקר.

 

בניית מודלי תקיפה והגנה (Attack Simulations):

בעזרת מודל ATT&CK ניתן לתכנן ולהרים סימולציות תקיפה מקצה-לקצה.

הדבר מסייע לבחון את כיסוי בקרות האבטחה הארגוניות ולוודא את כשירות תהליכי הניטור,
ההתרעה והתגובה. התוצאה מצביעה על חולשות בתשתית או בתהליכי עבודה.

 

 

יתרונות מרכזיים של MITRE ATT&CK

סטנדרטיזציה ושפה משותפת

אבטחת סייבר מאופיינת לרוב במגוון עצום של מושגים, כלים ושיטות.

MITRE ATT&CK מספקת שפה אחידה ומוסכמת לתיאור טכניקות התקפה,
דבר שמקל על התקשורת בין צוותים שונים (אבטחה, פיתוח, ניהול סיכונים, מודיעין ועוד).

 

מיפוי שיטתי ומקיף

בניגוד לשיטות מחקר בהן ריכוז מידע על תקיפות נעשה בצורה לא ממוסדת,
ATT&CK היא מסגרת מסודרת וברורה שמכסה מגוון רחב של טכניקות לעומק.

 

שקיפות וחופשיות המידע

המידע ב-MITRE ATT&CK זמין לכולם וניתן לשימוש ללא עלות.

ארגונים, חוקרים וקובעי מדיניות אינם כבולים לספק תוכנה או פלטפורמה מסוימת
כדי ללמוד וליישם את המסגרת.

 

התמקדות במומנט התקיפה ולא רק באיום

במקום להתמקד רק בתוכנות זדוניות (Malware) או בווירוסים, MITRE ATT&CK מתמקדת
בדרך ההתנהגות של התוקפים, כלומר ברצף השלבים שהם נוקטים.

גישה זו מאפשרת לארגונים לבנות הגנה עמוקה, שמזהה תבניות התקפיות (TTPs)
ולא רק חתימות של קוד זדוני.

 

 

אתגרים והסתייגויות

עדכונים תכופים:

עולם הסייבר דינאמי מאוד, וטכניקות חדשות צצות ללא הרף.

MITRE ATT&CK מתעדכנת באופן שוטף, אך עדיין קיים צורך למשתמשים לעקוב אחר העדכונים
ולהתאים את ההגנות שלהם.

ארגון שלא שומר על עדכניות מול המסגרת עלול לפספס איומים חדשים.

 

מצריכה מומחיות:

על אף שהמסגרת נגישה לכולם, ניצול מיטבי שלה דורש ידע וניסיון טכני.

צריך להבין לעומק את הטכנולוגיות הקיימות, את התנהגות התוקפים ואת מבנה הרשת הארגונית
על מנת למפות ביעילות את נקודות החוזק והחולשה.

 

כיסוי חלקי:

למרות שהמסגרת נחשבת למקיפה, תמיד ייתכנו טכניקות או וקטורי תקיפה שעדיין
לא מופו ב-ATT&CK, במיוחד בתחומי מחקר מתפתחים.

 

תעדוף משאבים:

בארגונים מורכבים, יש מאות טכניקות אפשריות, לא ניתן ליישם הגנה מושלמת על כולן.

נדרש תעדוף מושכל על פי הסיכון, הסבירות וההשפעה הפוטנציאלית.

 

 

 

מחפש יישום MITRE ATT&CK Framework? פנה עכשיו!

email

שלחו מייל

 telephone

באו נדבר

 whatsapp

באו נתכתב