מהו ניתוח TTP?
ניתוח TTP מספק לארגונים כלים מתקדמים להתמודדות עם איומים דינמיים בעולם הסייבר.
בעוד שתוקפים ממשיכים לפתח מנגנוני התחמקות חדשים, ארגונים יכולים לחזק את ההגנה שלהם באמצעות שילוב
של זיהוי מבוסס התנהגות, מודיעין איומים מתקדם, וכלי AI ו-Machine Learning.
גישה זו מאפשרת תגובה מהירה, איתור פרואקטיבי, וצמצום משמעותי של סיכוני הסייבר.
האיום של תקיפות סייבר הפך למורכב ומתוחכם יותר עם השנים.
תוקפים אינם מסתמכים עוד רק על כלי תקיפה ספציפיים, אלא מאמצים TTP (Tactics, Techniques, and Procedures) –
טקטיקות, טכניקות ופרוצדורות כדי לעקוף מערכות הגנה ולהשיג את מטרותיהם.
יכולתם להתאים את עצמם לסביבות שונות ולהסתיר את פעילותם מחייבת הגנה דינמית ומתקדמת.
טקטיקות (Tactics):
היעדים הכלליים של התוקפים
(למשל, השגת גישה ראשונית, התחמקות מהגנה, גניבת מידע).
טכניקות (Techniques):
שיטות ספציפיות שבהן משתמשים התוקפים כדי לממש את הטקטיקות שלהם
(למשל, ניצול חולשות Zero-Day או שימוש בתוכנות זדוניות).
פרוצדורות (Procedures):
היישום המעשי של הטכניקות בסביבות שונות, שיכול להשתנות בהתאם למטרות,
לכלים ולמנגנוני ההגנה של הקורבן.
משמעות ניתוח TTP
ניתוח TTP מאפשר לארגונים לזהות דפוסים ולבנות הגנה מבוססת התנהגות,
במקום להתמקד רק בזיהוי חתימות של נוזקות או תקיפות.
הבנה מעמיקה של TTP מסייעת בפיתוח יכולות Threat Hunting, תגובה לאירועים,
ושיפור מערכות הגנה מבוססות Machine Learning וThreat Intelligence.
מנגנוני התחמקות של תוקפים
כדי להערים על מערכות אבטחה, תוקפים משתמשים במגוון טכניקות התחמקות,
הכוללות:
התחמקות מזיהוי אנטי-וירוס (AV) ו-EDR
Obfuscation (ערפול קוד): הצפנת קוד זדוני או שינוי הדפוסים שלו כדי למנוע גילוי.
Process Hollowing & Code Injection: הזרקת קוד זדוני לתהליכים חוקיים
כדי להסוות פעילות.
Fileless Malware: תקיפות שמתבצעות בזיכרון ללא יצירת קבצים חשודים,
כמו ניצול PowerShell או WMI.
התחמקות ממערכות SIEM ו-Log Analysis
Manipulation of Logs: שינוי או מחיקה של לוגים כדי לטשטש עקבות.
Living off the Land (LotL): שימוש בכלים מובנים של מערכת ההפעלה
כמו PsExec, PowerShell, ו-WMI כדי למנוע זיהוי.
התחמקות מבדיקות פורנזיות ו-Sandboxing
Environment Detection: קוד זדוני שבודק אם הוא פועל בסביבה וירטואלית
או מעבדה ואז משנה את התנהגותו.
Time-Based Evasion: השהיית הפעולה של הנוזקה עד להשלמת
הבדיקות במערכות סנדבוקס.
אסטרטגיות להגנה מפני התחמקויות
כדי להילחם במנגנוני התחמקות, יש לאמץ גישות אבטחה מבוססות TTP Analysis
שמסתמכות על זיהוי דפוסים ולא רק על חתימות.
שימוש ב-Behavioral Detection
מערכות EDR מתקדמות שמבוססות על זיהוי אנומליות התנהגותיות
יכולות לזהות פעולות חריגות כמו:
ניסיון לבצע Process Hollowing.
יצירת תקשורת יוצאת בלתי רגילה.
ביצוע פקודות PowerShell חשודות.
חיזוק טכניקות Threat Intelligence
מעקב אחר MITRE ATT&CK Framework כדי למפות TTPs מוכרות.
שימוש בדיווחים מודיעיניים כדי להתעדכן בטכניקות התחמקות חדשות.
ניתוח IOC (Indicators of Compromise) ו-TTPs
כדי לזהות פעילות עוינת מוקדמת.
הטמעת טכניקות לזיהוי ואיתור מתקדם (Threat Hunting)
Memory Analysis לזיהוי Fileless Malware.
Honey Tokens – יצירת מידע “מזויף” כדי לאתר חדירה.
User Behavior Analytics (UBA) – איתור אנומליות בפעולות משתמשים.
Zero Trust & Least Privilege
צמצום גישה למשתמשים ולאפליקציות על בסיס עקרון Zero Trust.
מעקב והגבלת PowerShell Execution Policy כדי למנוע הרצת קוד מסוכן.
שילוב טכנולוגיות AI ו-ML
שימוש באלגוריתמים של Machine Learning לזיהוי דפוסים חריגים.
שילוב מערכות SOAR (Security Orchestration, Automation, and Response)
לאוטומציה של תגובות לאיומים.
שאלות ותשובות בנושא ניתוח TTP והגנה מפני התחמקויות
ש: כיצד ניתן להבדיל בין תקיפה המבוססת על TTP לבין תקיפה המבוססת על נוזקה ספציפית?
ת: תקיפה המבוססת על TTP אינה נשענת על נוזקה ספציפית אלא על טכניקות גנריות כגון Living off the Land (LotL),
שימוש בכלים פנימיים של מערכת ההפעלה (למשל, PowerShell, WMI, PsExec), והזרקות קוד.
תקיפה המבוססת על נוזקה ספציפית נשענת לרוב על חתימות סטטיות הניתנות לזיהוי באמצעות מנועי אנטי-וירוס מסורתיים.
האבחנה בין שני סוגי התקיפות מתבצעת בעיקר באמצעות Behavioral Analytics שמזהה תהליכים חשודים
ולא רק על סמך קובצי נוזקה ידועים.
ש: מה היתרון בזיהוי מבוסס התנהגות (Behavioral Detection) על פני חתימות (Signature-Based Detection)?
ת: זיהוי מבוסס חתימות פועל על ידי השוואת מחרוזות קוד ידועות מול נתונים חדשים, ולכן הוא אינו יעיל מול נוזקות חדשות
(Zero-Day Malware) או שינויים קלים בנוזקות קיימות (Polymorphic Malware).
זיהוי מבוסס התנהגות מתמקד בפעולות חריגות כגון יצירת חיבורים לרשת ללא סיבה נראית לעין, הפעלת סקריפטים ממסמכים,
או ניסיון לבצע Process Injection, מה שהופך אותו ליעיל יותר בזיהוי איומים מתוחכמים.
ש:. אילו טכניקות התחמקות משמשות תוקפים כדי להערים על מערכות EDR?
ת: תוקפים משתמשים במגוון טכניקות כדי להתחמק ממערכות Endpoint Detection and Response (EDR),
בהן:
Reflective DLL Injection – טעינת DLL ישירות לזיכרון מבלי להשתמש במערכת הקבצים.
Process Hollowing – הרצת קוד זדוני בתוך תהליך חוקי כדי לטשטש עקבות.
Indirect Syscalls – קריאות מערכת (syscalls) שמתבצעות ישירות מבלי לעבור דרך API של Windows,
מה שמונע זיהוי על ידי EDR מסוימים.
Userland Hook Bypass – עקיפת מעקבי API באמצעות החזרת ערכים מזויפים למערכת ההפעלה.
Binary Padding – הוספת נתונים אקראיים לקובצי הרצה כדי לשנות חתימה ולמנוע זיהוי על ידי מנועי אנטי-וירוס.
ש: כיצד ניתן לאתר ולהגן מפני Fileless Malware?
ת: מכיוון שנוזקות מסוג Fileless Malware פועלות ישירות בזיכרון ללא יצירת קבצים, זיהוי מבוסס חתימות אינו יעיל נגדן.
לכן, יש להשתמש בשיטות כגון:
זיהוי אנומליות בזיכרון (Memory Analysis) – חיפוש אחר טעינות חשודות של קוד או דפוסים חריגים ברצף ההרצה.
זיהוי דפוסי שימוש חשודים ב-PowerShell – ניטור פקודות בסיסמות מוצפנות, תקשורת יוצאת חריגה,
וטעינות קבצים חשודות מהאינטרנט.
הקשחת מדיניות Execution Policy – הגבלת הרצת סקריפטים ב-PowerShell למקורות מאושרים בלבד.
Application Whitelisting – הרשאה להפעלת תוכניות ידועות בלבד, תוך חסימת ביצוע קוד בלתי מורשה.
ש: כיצד ניתן להשתמש ב-MITRE ATT&CK Framework כדי לשפר את הגנת הסייבר של ארגון?
ת: MITRE ATT&CK מספקת מפת טקטיקות וטכניקות שנעשה בהן שימוש במתקפות סייבר,
וניתן ליישם אותה להגנה באופן הבא:
מיפוי ניסיונות תקיפה לעומת הטכניקות הידועות ב-ATT&CK – הבנת אילו טכניקות נפוצות נגד הארגון
ושיפור הבקרות הקיימות.
בניית חוקים לזיהוי פעולות חשודות – יצירת חוקי YARA, Sigma או Splunk queries לזיהוי דפוסים דומים
לאלו שמתועדים במאגר.
חיזוק Incident Response – הבנה כיצד תוקפים נעים בתוך הרשת וכתוצאה מכך שיפור תגובות ההגנה.
ביצוע Purple Teaming – הפעלת תרחישי תקיפה מבוססי ATT&CK כדי לבחון את היעילות של מערכות האבטחה.
ש: מהם האתגרים המרכזיים בהטמעת Zero Trust להגנה מפני TTP?
ת: יישום Zero Trust Architecture (ZTA) דורש שינוי גישה משמעותי והוא כולל מספר אתגרים:
מורכבות ניהולית – דורש מיפוי וגישה מבוקרת לכל משאב ואפליקציה, מה שיכול להאט תהליכים עסקיים.
מכשול לפרודוקטיביות – עובדים עלולים להיתקל בהגבלות גישה שעלולות לפגוע בזרימת העבודה שלהם.
דרישות טכניות מתקדמות – מערכות חייבות לתמוך באימות רב-שלבי (MFA),
בקרת גישה מבוססת תפקידים (RBAC) וניהול זהויות מתקדם (IAM).
שינוי תפיסתי בארגון – עובדים ומנהלים חייבים להבין שהגישה צריכה להיות מוגבלת כברירת מחדל,
מה שדורש חינוך והדרכה נרחבים.
ש: כיצד ניתן לבצע Threat Hunting אפקטיבי לאיתור TTP מתקדמים?
ת: Threat Hunting מבוסס TTP דורש שימוש בנתונים דינמיים ולא רק חוקים סטטיים.
להלן מספר שיטות מתקדמות:
ניתוח לוגים היסטוריים – חיפוש אחר חריגות כמו עלייה חריגה בשימוש ב-PowerShell או ב-WMI.
שימוש ב-Honey Tokens – יצירת קבצים מזויפים עם מידע שנראה אטרקטיבי לתוקף
כדי לזהות גישה בלתי מורשית.
Behavioral Analytics – שימוש במערכות AI/ML לאיתור דפוסים חריגים בפעילות משתמשים.
Memory Forensics – בדיקת הזרקות קוד ישירות לזיכרון שמערכות EDR רגילות לא בהכרח מזהות.
Network Traffic Analysis – זיהוי דפוסי תקשורת חריגים, כמו שליחת מידע מוצפן לכתובות IP חשודות.
ש: כיצד ניתן להתמודד עם התקפות Lateral Movement ברשת ארגונית?
ת: מניעת Lateral Movement (תנועה רוחבית) חיונית לצמצום ההשפעה של תקיפות ממוקדות.
להלן כמה שיטות מפתח:
Micro-Segmentation – חלוקת הרשת לאזורים מבודדים כדי לצמצם אפשרות של תוקף להתקדם לאחר חדירה.
Least Privilege Access – הגבלת הגישה של משתמשים ושירותים לרמת ההרשאות המינימלית ההכרחית.
Credential Guard & LAPS – הגנה על אישורי גישה באמצעות הצפנה ואכיפת סיסמאות ייחודיות למערכות שונות.
PowerShell Logging & Restriction – מניעת שימוש לא מאושר ב-PowerShell ופיקוח על הפקודות שמבוצעות.
Network Detection and Response (NDR) – ניטור תעבורת רשת בזמן אמת כדי לאתר תנועות
לא חוקיות בתוך הארגון.
