cyber kill chain Arabic
Last updated
Last updated
النهارده هتكلم عن cyber kill chain وهي 7 مراحل الل ممكن يمر بيها الهاكر من اول ما يحط حاجه ف دماغه لحد م يخترقها وازاي نحاول نوقف كل مرحلة وليكن مثلا شركتك أول مرحلة Reconnaissance يعني استطلاع هنا بيجمع اكبر عدد ممكن من المعلومات عن شركتك ويجيب Emails , IP , Domains ، مثلا يفحص البورتات المفتوحه او يشوف في ثغرات أو لا او مصادر بيانات تسجيل الدخول وأي معلومات ممكن تفيده ودي أهم مرحلة من المراحل عشان يعمل Attack ناجح . وطريقة الدفاع هنا هي تعطيل البورتات المفتوحة مثلا او تعطيل الخدمات الل انت مش بتستخدمها او تعمل جهاز honeypots أو تركب جهاز IPS طب لو معرفناش نوقفه هنا نعمل ايه ؟ ندخل ع المرحلة التانيه Weaponization يعني التسليح بعد ما جمع معلومات يبدأ يحدد السلاح الل هيستخدمه مثلا لو في عندك بورت مفتوح يبدأ يشوفله exploit او جاب ايميلات عملاءك ف يبدأ فممكن يجيب مثلا الMalicious payload بتاعه ويحطه ف فايل Pdf او Docx ويجهز ايميل phishing ويبتدي يبعت الفايل ده للVictim عشان ندافع نفعل مثلا AntiVirus او نتأكد ان جميع Service محدثه لأخر إصدار أو نستخدم mail security مثلا طب لو معرفتش توقفه هنا ؟ ننتقل للمرحلة التالته Delivery أو التوصيل : في المرحله دي يحاول يوصل سلاحه الل استخدمه لأجهزة الشركة عن طريق USB مثلا او سوشيال ميديا او يبعتلك ايميل عشان ندافع نركب IPS عشان نصيد الميلات ال phishing او نستخدم DNS Filtering مثلا لو قدر يوصل السلاح معرفناش نوقفه ؟ هنا هيكون وصل لمرحلة الرابعه مرحلة Exploitation أو الأستغلال نفترض ان السلاح كان Virus وبعتهولك ع الميل هو بيقنعك وبيستني انك تعمل Run له عشان تتم مرحلة الاستغلال عشان ندافع عن الشركه نستخدم مثلا SandBox او AntiExploit او DEP (Data Exexution Prevention ) ودي تقنيه بتمنع تنفيذ الاكواد البرمجية الخبيثه ع الجهاز طب لو معرفناش نوقفه ؟ هيوصل لمرحلة الخامسة Installation أو التثبيت يحاول الهاكر يثبت نفسه عن طريق انه يعدل مثلا ف Registry او يحمل برامج Malicious تانيه او يستخدم Meterpreter
طب ندافع هنا ازاي ؟ نعطل Powershell او نستخدم EDR مثلا (Endpoint Detection and response ) طب لو معرفناش نوقفه ؟ كدا يبقا وصل للمرحلة السادسة Command and Control ( C2 ) وكدا انت بقيت مخترق مخترق مخترق ! والهكر يقدر يتحكم ف جهازك طب ندافع هنا ازاي ، نحاول نعطل كل حاجه الهاكر ممكن يستخدمها زي POWERSHELL - NETCAT -TELNET -SSH -RDP - ETC ............ ونستخدم مثلا Next Generation Firewall لو معرفناش ؟ كدا الهكر يقدر ينتقل للمرحلة الاخيرة Action on objective كدا الattacker قدر يحقق الهدف بتاعه ويبدأ يعمل steal للdata الل هي بتتسمي Exfiltration أو يخربه ممكن ندافع هنا ونمنع بيانتنا انها تتسرق من خلال مفهوم DlP (Data Loss Prevention) وهي مراقبة البيانات وحمايتها من التسريب او الفقدان وبس
في طرق هجوم أو دفاع تانيه ، انا ذكرت أمثلة بس