- بواسطة x32x01 ||
منقول عن م/ محد طلعت :
معلومات محتاج انك تعرفها وتفهمها بشكل واضح بالنسبة لل Compromise Assessments سواء كان Proactive CA او Reactive CA وكمان مرتبطة بال DFIR Assessments
بحكم خبرتي بفضل الله في السنين الكتير اللي فاتت وبالأخص في السنتين اللي فاتوا بما اني في السنتين دول بقيت بدير أكثر من team في وقت واحد في ال cases الخاصة بال compromise assessments و DFIR cases الخاصة ب APT Attacks وال threat actors activities on the dark web وبنيت department بالكامل في واحد من اكبر الأماكن خارج مصر واللي قمنا فيهم بعمل Compromise Assessments خلينا نرمز ليها عشان طول الكلمة ب (CA) سواء proactive CA او reactive CA مع وزارات واماكن حساسة وأماكن كبيرة جدا "وهنا اقصد كبيرة بمعنى انها مؤثرة في اقتصاد الدولة بشكل مباشر او ذات معلومات حساسة جدا" وشركات قطاع خاص بمختلف الجنسيات فحبيت اتكلم معاكم في كذا نقطة تخص الموضوع دا بما اني كنت مختفي في خلال المدة اللي فاتت وكمان في كورس هتلاقوه موجود في نهاية البوست.
واحدة من أهم النقاط اللي دايما بشرحها للشركات ولل teams القائمة على العمل دا بشكل خاص في مسألة ال compromise Assessments (CA) و DFIR Assessments هي مسألة ال methodology وحط تحت دي ألف خط بالأخص في proactive CA ، وأهم نقطة ازاي تتعامل مع الكميات الضخمة من ال Data وتعمل ليها filtration وتعمل ليها effective analysis وتفصل ال false positive منها عن ال suspicious activities وتوصل لل pivot point في أسرع وقت بالأخص لما تكون بتتعامل مع data و environment كبيرة جدا وحساسة جدا ازاي تقدر تجزم وبشكل قاطع ان ال environment دي مكنتش compromised من سنة مثلا او اكتر كمان ازاي ت maintains efficiency الخاصة بال critical servers أثناء عمليات ال collection و ال scanning وباقي ال process بما انها بتاخد وقت طبعا انا هنا مش بتكلم عن ان اصلا ال environment من المفترض تكون DFIR & CA friendly او انك تكون عارف ايه ال toolkits اللي محتاج تستعملها وبأي شكل لو بتتعامل مثلا مع ما يقارب من 1500 assets في proactive CA ومطالب انك ت confirm ان كل machine فيهم مكنتش compromised في الماضي او في الوقت الحالي أو حصل breach مثلا بأي شكل من الأشكال أو انك تكون فاهم ال Case اللي انت فيها فتكون عارف انت عاوز ت collect artifacts و data ايه عشان توصل لإيه او انك تكون على القدر الكافي من الخبرة من الأساس انك ت involve في حاجة زي دي لا لا خالص لأن دي أساسيات بديهية انا بتكلم هنا عن نقاط تانية خالص ذكرتها فوق.
-----------------------------------------------
فخلونا نفهم مع بعض شوية انا هنا عاوز أوضح ايه أولا ال compromise assessment ممكن تتم على أكثر من وجه يعني ممكن نقول في منها نوعين Reactive CA و Proactive CA واحنا يهمنا هنا النوع التاني وهو Proactive CA.
1- ال Reactive CA بيتم طلبه من ال customer او من جهة كبيرة في الدولة مسؤولة عن ال customer بتطالبهم بعمل CA لل environment بتاعتهم واوقات كتير بيكون بعد ما بتتم عملية ال DFIR لما يكون في incident واضحة عندهم او suspicious activity بمعنى ان مثلا لو في customer حصل عنده incident وتيم ال DFIR اتحرك وقام بشغله على أكمل وجه بعد كدا ال customer او جهة مسؤولة عنه ممكن تطالب بعمل compromise assessment لل environment بالكامل او ل department معينة ووقتها انت بتكون معاك pivot point او خلينا نقول نقطة بداية انت بتقدر تتحرك منها او ترتكز عليها لأنك بالفعل لسا عامل DFIR investigation لل environment دي وعرفت وفهمت ايه ال weakness اللي كان موجود عندهم فسبب ال Incident وال threat actors وصلوا لفين وعملوا ايه بالظبط فبتكون جمعت بالفعل بعض الأفكار عن ال environment وبتقدر تكون methodology تمشي من خلالها فتعرف لو كانت ال environment دي compromised بأي شكل تاني من الأشكال سواء دلوقتي او في الماضي "خلاصة الكلام ان بيكون في incident بالفعل حصلت وبتعمل بعدها Compromiseassessment" ودي مش غرضنا في البوست دا ولكن غرضنا هو ال proactive CA
2 - ال Proactive CA وهو واحد من الحاجات الصعبة فعلا في ال CA بشكل عام وخاص ودايما انا بعتبره هو advanced step من ال DFIR هنا ال customer ولنفترض ان هو جهة معينة عندها 2000 assets بتطلب منك انك تعمل Proactive CA لل environment بتاعتها عشان تكتشف هل كانت في يوم من الأيام في سنة من السنوات الماضية او دلوقتي compromised ومكنتش تعرف او في اي آثار ل malicious execution artifacts او lateral movement artifacts او persistence artifacts او credential dumping artifacts او ليها breach على underground forum بشكل من الأشكال أو في أي credentials ليها متواجدة في مكان من الأماكن او في اي استخدام malicious تم من خلال ال remote apps اللي بتستخدمها او ال public servers بتاعتها اتعرضت في يوم من الأيام لأي محاولات من ال attacks وهل في evidences موجودة على دا، وأسألة كتير جدا انت محتاج ترد عليها او التيم بتاعك يرد عليها هنا انت لو معندكش methodologies واضحة تقدر تنور ليك الطريق وتمسك من خلالها ال pivot point اللي هتقدر تتحرك من خلالها هتضيع يعني هتضيع كأنك بتدور على سمكة معينة لونها أزرق في بحر كله سمك أزرق. بالأخص لو بتتعامل مثلا مع 2000 assets او اكتر انت هنا هت collect كمية data مش طبيعية سواء forensics artifacts او historical logs او data من real time hunting وانت شغال وايه ال tools اللي هتستخدمها في انك مثلا تعمل collect لل artifacts من على 2000 assets بشكل parallel وبدون تعب وتضييع وقت وهحطلكم مثال تحت في ال comments عن حجم الداتا اللي بتطلع من artifact واحدة فقط كمثال وأهم نقطة لازم تعمل حسابها هي ازاي هتقدر ت filter الداتا دي وتطلع منها اللي يهمك او suspicios activities وترمي منها ال false positive وازاي هتتعامل اصلا مع الداتا اللي بالحجم دي وايه ال tools اللي هتساعدك على دا ولازم تفكر كويس ازاي تحافظ على efficiency الخاصة بال critical servers وانت شغال وبت collect data بكميات ضخمة منها او بتعمل scan بعدد rules مش قليل وازاي هت push ال agents الخاصة بال tools بتاعتك وال scripts على ال environment دي وهتقوم بعملية ال scan بأي methodology وبأي اسلوب، في النهاية عشان ما اطولش عليكم ال Proactive Compromise Assessments بقت بتتطلب بشكل مكثف في العالم كله دلوقتي بسبب الأحداث اللي مش بتنتهي من ال Cyber Attacks وبقت جزء لا يتجزأ من أي دولة أو قطاع او جهة او شركة وانا جاي أنبهك لدا ولازم انت تواكب دا وتفكر في كل النقاط اللي اتكلمت فيها ازاي تقدر أنك تتعامل معاها ولكن قبل ما اختم البوست بسبب اني طولت فيه شوية وان شاء الله الجزء التاني منه هتكلم عن ال methodology of thinking في ال Assessments اللي زي دي والمفروض تعمل ايه عشان توصل لهدفك فأنا هسيب ليكم رابط كورس كنت بدأت فيه من شهرين على اليوتيوب مجاني تماما الفيديو الواحد فيه تقريبا بيتعدى الساعة وانا نزلت فيه 4 فيديوهات بشرح فيهم بشكل مفصل في كل فيديو TTP معينة real senario و ايه ال methodology of thinking الصحيحة
ودا هدفي في الكورس في التعامل معاها واكتشافها واكتشاف تبعاتها بشكل practical سواء من وجهة نظر ال DFIR Investigator او Threat Hunter والكورس كنت عامله تحت مسمى: The Art of DFIR & Threat Hunting
اتفضلوا دا لينك الكورس
https://www.youtube.com/playlist?list=PLGJmR5eX86b2XaFa6rDb6Cc8cIgsmzqEL
وتقدروا تتابعوا على LinkedIn للإستفادة بشكل اكبر من المحتوى اللي بينزله وكان منه الكورس دا ودا لينك الـ profile الخاص به:
https://www.linkedin.com/in/muhammed-talaat-0x00
معلومات محتاج انك تعرفها وتفهمها بشكل واضح بالنسبة لل Compromise Assessments سواء كان Proactive CA او Reactive CA وكمان مرتبطة بال DFIR Assessments
بحكم خبرتي بفضل الله في السنين الكتير اللي فاتت وبالأخص في السنتين اللي فاتوا بما اني في السنتين دول بقيت بدير أكثر من team في وقت واحد في ال cases الخاصة بال compromise assessments و DFIR cases الخاصة ب APT Attacks وال threat actors activities on the dark web وبنيت department بالكامل في واحد من اكبر الأماكن خارج مصر واللي قمنا فيهم بعمل Compromise Assessments خلينا نرمز ليها عشان طول الكلمة ب (CA) سواء proactive CA او reactive CA مع وزارات واماكن حساسة وأماكن كبيرة جدا "وهنا اقصد كبيرة بمعنى انها مؤثرة في اقتصاد الدولة بشكل مباشر او ذات معلومات حساسة جدا" وشركات قطاع خاص بمختلف الجنسيات فحبيت اتكلم معاكم في كذا نقطة تخص الموضوع دا بما اني كنت مختفي في خلال المدة اللي فاتت وكمان في كورس هتلاقوه موجود في نهاية البوست.
واحدة من أهم النقاط اللي دايما بشرحها للشركات ولل teams القائمة على العمل دا بشكل خاص في مسألة ال compromise Assessments (CA) و DFIR Assessments هي مسألة ال methodology وحط تحت دي ألف خط بالأخص في proactive CA ، وأهم نقطة ازاي تتعامل مع الكميات الضخمة من ال Data وتعمل ليها filtration وتعمل ليها effective analysis وتفصل ال false positive منها عن ال suspicious activities وتوصل لل pivot point في أسرع وقت بالأخص لما تكون بتتعامل مع data و environment كبيرة جدا وحساسة جدا ازاي تقدر تجزم وبشكل قاطع ان ال environment دي مكنتش compromised من سنة مثلا او اكتر كمان ازاي ت maintains efficiency الخاصة بال critical servers أثناء عمليات ال collection و ال scanning وباقي ال process بما انها بتاخد وقت طبعا انا هنا مش بتكلم عن ان اصلا ال environment من المفترض تكون DFIR & CA friendly او انك تكون عارف ايه ال toolkits اللي محتاج تستعملها وبأي شكل لو بتتعامل مثلا مع ما يقارب من 1500 assets في proactive CA ومطالب انك ت confirm ان كل machine فيهم مكنتش compromised في الماضي او في الوقت الحالي أو حصل breach مثلا بأي شكل من الأشكال أو انك تكون فاهم ال Case اللي انت فيها فتكون عارف انت عاوز ت collect artifacts و data ايه عشان توصل لإيه او انك تكون على القدر الكافي من الخبرة من الأساس انك ت involve في حاجة زي دي لا لا خالص لأن دي أساسيات بديهية انا بتكلم هنا عن نقاط تانية خالص ذكرتها فوق.
-----------------------------------------------
فخلونا نفهم مع بعض شوية انا هنا عاوز أوضح ايه أولا ال compromise assessment ممكن تتم على أكثر من وجه يعني ممكن نقول في منها نوعين Reactive CA و Proactive CA واحنا يهمنا هنا النوع التاني وهو Proactive CA.
1- ال Reactive CA بيتم طلبه من ال customer او من جهة كبيرة في الدولة مسؤولة عن ال customer بتطالبهم بعمل CA لل environment بتاعتهم واوقات كتير بيكون بعد ما بتتم عملية ال DFIR لما يكون في incident واضحة عندهم او suspicious activity بمعنى ان مثلا لو في customer حصل عنده incident وتيم ال DFIR اتحرك وقام بشغله على أكمل وجه بعد كدا ال customer او جهة مسؤولة عنه ممكن تطالب بعمل compromise assessment لل environment بالكامل او ل department معينة ووقتها انت بتكون معاك pivot point او خلينا نقول نقطة بداية انت بتقدر تتحرك منها او ترتكز عليها لأنك بالفعل لسا عامل DFIR investigation لل environment دي وعرفت وفهمت ايه ال weakness اللي كان موجود عندهم فسبب ال Incident وال threat actors وصلوا لفين وعملوا ايه بالظبط فبتكون جمعت بالفعل بعض الأفكار عن ال environment وبتقدر تكون methodology تمشي من خلالها فتعرف لو كانت ال environment دي compromised بأي شكل تاني من الأشكال سواء دلوقتي او في الماضي "خلاصة الكلام ان بيكون في incident بالفعل حصلت وبتعمل بعدها Compromiseassessment" ودي مش غرضنا في البوست دا ولكن غرضنا هو ال proactive CA
2 - ال Proactive CA وهو واحد من الحاجات الصعبة فعلا في ال CA بشكل عام وخاص ودايما انا بعتبره هو advanced step من ال DFIR هنا ال customer ولنفترض ان هو جهة معينة عندها 2000 assets بتطلب منك انك تعمل Proactive CA لل environment بتاعتها عشان تكتشف هل كانت في يوم من الأيام في سنة من السنوات الماضية او دلوقتي compromised ومكنتش تعرف او في اي آثار ل malicious execution artifacts او lateral movement artifacts او persistence artifacts او credential dumping artifacts او ليها breach على underground forum بشكل من الأشكال أو في أي credentials ليها متواجدة في مكان من الأماكن او في اي استخدام malicious تم من خلال ال remote apps اللي بتستخدمها او ال public servers بتاعتها اتعرضت في يوم من الأيام لأي محاولات من ال attacks وهل في evidences موجودة على دا، وأسألة كتير جدا انت محتاج ترد عليها او التيم بتاعك يرد عليها هنا انت لو معندكش methodologies واضحة تقدر تنور ليك الطريق وتمسك من خلالها ال pivot point اللي هتقدر تتحرك من خلالها هتضيع يعني هتضيع كأنك بتدور على سمكة معينة لونها أزرق في بحر كله سمك أزرق. بالأخص لو بتتعامل مثلا مع 2000 assets او اكتر انت هنا هت collect كمية data مش طبيعية سواء forensics artifacts او historical logs او data من real time hunting وانت شغال وايه ال tools اللي هتستخدمها في انك مثلا تعمل collect لل artifacts من على 2000 assets بشكل parallel وبدون تعب وتضييع وقت وهحطلكم مثال تحت في ال comments عن حجم الداتا اللي بتطلع من artifact واحدة فقط كمثال وأهم نقطة لازم تعمل حسابها هي ازاي هتقدر ت filter الداتا دي وتطلع منها اللي يهمك او suspicios activities وترمي منها ال false positive وازاي هتتعامل اصلا مع الداتا اللي بالحجم دي وايه ال tools اللي هتساعدك على دا ولازم تفكر كويس ازاي تحافظ على efficiency الخاصة بال critical servers وانت شغال وبت collect data بكميات ضخمة منها او بتعمل scan بعدد rules مش قليل وازاي هت push ال agents الخاصة بال tools بتاعتك وال scripts على ال environment دي وهتقوم بعملية ال scan بأي methodology وبأي اسلوب، في النهاية عشان ما اطولش عليكم ال Proactive Compromise Assessments بقت بتتطلب بشكل مكثف في العالم كله دلوقتي بسبب الأحداث اللي مش بتنتهي من ال Cyber Attacks وبقت جزء لا يتجزأ من أي دولة أو قطاع او جهة او شركة وانا جاي أنبهك لدا ولازم انت تواكب دا وتفكر في كل النقاط اللي اتكلمت فيها ازاي تقدر أنك تتعامل معاها ولكن قبل ما اختم البوست بسبب اني طولت فيه شوية وان شاء الله الجزء التاني منه هتكلم عن ال methodology of thinking في ال Assessments اللي زي دي والمفروض تعمل ايه عشان توصل لهدفك فأنا هسيب ليكم رابط كورس كنت بدأت فيه من شهرين على اليوتيوب مجاني تماما الفيديو الواحد فيه تقريبا بيتعدى الساعة وانا نزلت فيه 4 فيديوهات بشرح فيهم بشكل مفصل في كل فيديو TTP معينة real senario و ايه ال methodology of thinking الصحيحة
ودا هدفي في الكورس في التعامل معاها واكتشافها واكتشاف تبعاتها بشكل practical سواء من وجهة نظر ال DFIR Investigator او Threat Hunter والكورس كنت عامله تحت مسمى: The Art of DFIR & Threat Hunting
اتفضلوا دا لينك الكورس
https://www.youtube.com/playlist?list=PLGJmR5eX86b2XaFa6rDb6Cc8cIgsmzqEL
وتقدروا تتابعوا على LinkedIn للإستفادة بشكل اكبر من المحتوى اللي بينزله وكان منه الكورس دا ودا لينك الـ profile الخاص به:
https://www.linkedin.com/in/muhammed-talaat-0x00