- بواسطة x32x01 ||
مجال ال Penetration Testing الفترة الجاية داخل علي Level جديد من الصعوبة بالتحديد مجال الـ System Penetration Testing كلامي انهاردة مش Web ولا Wireless النهاردة بالتحديد System Penetration Testing.....الي خلاني اتكلم عن الموضوع بتاع انهاردة هو اني قابلته بنفسي خلال شغلي.....اي Pentester دلوقتي بقي عنده Nightmare اسمه CTI الي هو Cyber Threat Intelligence
ايه هو ال CTI او ال Cyber Threat Intelligence ?!
ال CTI هي اني بعمل Defensive System بيقدر يعمل Detect لل Attack و يقدر ياخد Action كمان سواء كنت انا اتدخلت في الموضوع او متدخلتش و يقدر ياخد ال Action في ال Real-Time يعني تدخل ال Machine Learning و ال AI عمل طفرة في موضوع ال DR الي هي Detection and Response مجال ال Incident Handling اتنقل نقلة نوعية كبيرة بعد الاعتماد علي ال AI....
تعالي نبدأ الموضوع من الأول.....اي Organization في الدنيا بتبقي معرضة لـ Cyber Attacks ف طبيعي اي CISO بيسأل نفسه 3 أسئلة أساسية :
- مين الي عايز يعمل علينا Attack ?!
- ايه هي ال Methodology الي هيستخدمها في ال Attack الي هيعمله علينا ؟!
- ايه هي اكتر Systems تكون Critical عندي لازم احميها الاول ؟!
اي Cyber Attack بيتكون من شوية Stages و Components تعالي واحدة واحدة نتكلم عن ال Stages دي :
- لو علي مستوي ال Victim الي هيتعرض للـ Attack فيه اكتر من Consideration:
اول حاجة ال Identity.......اهم حاجة بالنسبة للـ Pentester او لل Hacker هي Identity ال Victim لأن فيه Victim لو عرفت تجيبها يبقي انت كدة خلصت ال Project من قبل ما يبتدي اصلا زي ال Domain Admin او ال Tenant Admin بصفة عامة دة واحد معاه Access علي كل حاجة في الدنيا ف مش محتاج اخد اي Account تاني تقريباً..... ف لازم الاول اعرف مين ال Victim الي انا حاطتها Target ليا حتي لو دخلت عند Victim اقل و اقدر اعمل Pivot منه للـ Target بتاعي....
تاني حاجة علي مستوي ال Victim هي ال Location : فيه Users بيكونوا On-Prim و دول مش بيبقوا اول اختيار بيفكر فيه ال Pentester لأن بيبقي عليهم العين ف لو ال Organization ليها 3rd-Party Users او VPN Users هما دول الي بيتحطوا Target اول حاجة...
- لو علي مستوي ال Attack Delivery يعني هوصل ال Attack ازاي لل Victim :
عندي 3 يعتبروا هما اهم Considerations بالنسبة ليا الي هما :
اول حاجة هي ال Mechanism و لو اتكلمنا عن ال Cyber Attacks Mechanisms ممكن نقعد 3 سنين بنتكلم عن Mechanisms مش بتخلص بس طبعاً اهم Mechanism طلعت في 2017 هي ال Fileless Attacks الي مش عارف ال Fileless Attacks يقدر يـ Search عليها عشان دي الكلام فيها كتير و هيطول اوي حجم البوست....المهم اني قبل ما اعمل اي Cyber Attack لازم اكون محدد ال Mechanism الي همشي بيها فيه من اول ما اعمل Launch لل Attack لحد ما اوصل لمرحلة ال Covering Tracks....
تاني حاجة علي مستوي ال Attack Delivery هي ال Malware
من اهم ال Skills الي لازم تكون عند ال Pentester الشاطر هي ال Malware Development لازم يكون يعرف ازاي يعمل Malware مش مجرد يعمل Generate لل Malware من Veil او Fatrat او غيرهم من ال Frameworks المشهورة..لأن ف سيناريوهات كتير ال Malware هو بيكون طريقتك شبه الوحيدة للدخول..
تالت حاجة علي مستوي ال Attack Delivery هي ال Exploit
دي مش من اهم لا دي Already اهم Skill لازم تكون عند ال Pentester هي ال Exploitation Skills سواء ال Exploitation Development او ال Exploitation Execution بصفة عامة يعرف يسلك في ال Exploitation Process من اولها لحد ال Pwning Level...
- لو علي مستوي ال Attacker.....فيه 3 يعتبروا برضو من اهم ال Considerations في المستوي دة :
ال Identity لازم ال Incident Handler يقدر يحدد مين هو ال Attacker بس دة مش بيكون اول اهتماماته هو اهم حاجة بالنسبة ليه انه يوقف ال Attack بغض النظر عن مين ال Attacker انما المسؤول الاول و الاخير عن تحديد مين هو ال Attacker هو ال Forensics Examiner او ال Forensics Investigator
تاني حاجة علي مستوي ال Attacker هو ال Connection :
لازم تعرف ال Connection Level بتاعت ال Attacker هل هو External Access ولا Internal Access ولا Remote Access عشان تقدر تحدد ال Incident Handling Scenario هيبقي عامل ازاي....
السؤال المهم بقي : ليه الناس احتاجت لحاجة زي ال CTI او ايه الي خلاهم يفكروا فيه اصلاً ؟!
زمان او من فترة بسيطة كان معظم ال Security Systems بتعتمد اعتماد كبير علي ال Signature-Based Detection System يعني كان اعتماد ال Security Engineer او ال Incident Handler علي ان ال Security System بتاعه هيمسك ال Attack الي ليه Signature بس بعد فترة و مع تطور ال Cyber Attacks الناس لقت ال Signature-Based Detection System دة ملوش لازمة او فعاليته بدأت تقل بشكل كبير و دة لكذا سبب :
- ال Encryption واحد من اهم الاسباب انه ال Signature-Based Detection System يفشل لأنه و هو بيعمل Inspection لل Attack مش بيعرف يشوف ال Attributes الي علي اساسها بيشوف ال Attack دة ليه Signature ولا لا
- ال Tailored Attacks و دة الي Attack الي بيكون معمول عشان Targeted Victim يعني معمول مخصوص عشان بنك معين او شركة معينة و دة بيكون مبني علي اساس ان ال Hacker عارف بالظبط ال Infrastructure الي جوة عاملة ازاي يعني ال Attack بيكون متفصل علي انه يـ Bypass كل ال Security Systems الي عندك و دة اسوء سيناريو ممكن يتعرضله ال Incident Handler انه يقابل Attack متفصل عشان هو ميعرفش يوقفه..
- ال Ephemeral Attacks دة تاني اسوء سيناريو ممكن يتعرضله ال Incident Handler....ال Ephemeral Attacks هي ال Attacks الي بتضرب و بتختفي بسرعة بيكون ليها Execution Time سريع جداً في مبيلحقش ال Incident Handler يتعرف علي ال Attack ولا حتي يوقفه
طب ايه الفرق بين ال Incident Handling قبل ال CTI و بعد ال CTI ?!
قبل ال CTI كان معظم ال Handling Processes ماشية ب Detection Methodologies معينة اهمهم :
- اني بدور علي IOC الي هو (indicator of compromise) يعرفني اي معلومات عن ال Attack دة
- اني استني Alert يحصل لما ال Attack يحصل عن طريق ال IDS او SIEM او غيرهم و دة كان بيبقي دايماً مش كفاية او بييجي متأخر بيكون ال Attack عمل ال Impact و ال Damage بتاعه خلاص..
الحياة بعد ال CTI بقت مختلفة تماماً بقي فيه Methodologies كتير دخلت في اللعبة بتاعت ال Incident Handling و ال Incident Response غيرت من شكل ال Attack Detection خالص زي :
- انها تـ Focus اكتر علي ال Attacker و ال Attack و تعرف اذا كان Attack عادي ولا Tailored و متفصل علي ال Organization بتاعتي
- ال Proactive Processes بقت فيه Systems قايمة علي concept :
Hunt Before Alert
يعني خد انت ال Action او كل ال Actions الي تقدر عليها قبل ما تبلغ ال Incident Handler عشان تلحق توقف ال Attacks قبل حتي ال Handler ما ييجي
- ال Stealthy Actions هي الي ال Machine Learning و ال Artificial Intelligence زودوها في مجال ال CTI عن طريق انه مبقوش يحسسوا ال Hacker او ال Attacker انه اتعمله Detection و بيسيبوه يكمل عادي جداً و هما مراقبينه و في خلال ما هما بيراقبوه بيقدروا يجمعوا عنه معلومات اكتر عشان بعد كدة يستخدموها في ال Forensics فا عشان كدة ممكن ال Attacker او ال Pentester يفتكر انه خلاص دخل و نجح و محدش جابه و يكمل عادي و يكتشف انه كل دة كان متراقب و ال CTI نقله علي Virtual Environment مش هيطلع منها ب اي حاجة...
قبل ال CTI كانت ال Initial security appliances الي ممكن تبقي موجودة ف اي مكان هي :
- Unified Threat Management [UTM]
- Intrusion Prevention System [IPS]
- Proxy
- Web Application Firewall [WAF]
- Security Information and Event Management Solution [SIEM]
- Vulnerability Management Solutions
- Identity & Access Management Solutions
كل دول بقي الي المفروض الي كانوا بيقفوا ف وش ال Pentester او ال Hacker و المفروض سواء ال Pentester او ال Hacker انه يعملهم Bypass عشان يوصل
للـ Backend الي وراهم الي هي ال Target اصلا و كان معظم الحاجات دي بيشتغل يا اما Behavior Based يا اما Signature Based Detection System ف كان عادي ان يحصلهم Bypass لأن كان فيه طرق كتير عشان تـ Bypass ال Signature او ال Behavior....
لكن دلوقتي زاد عليهم ال Cyber Threat Intelligence الي هو اكبر كابوس لل Pentesters في الوقت الحالي و لوقت كبير جاي قدام....بسبب اعتماده علي ال Machine Learning و ال Artificial Intelligence الي صعبوا الدنيا جداً و بقي فيه Factors كتير تسد كل ال Bypassing Techniques الي كنا بنستخدمها قبل كدة و دة الي بدء بسببه Chapter جديد في سيناريوهات ال Penetration Testing الي هو ازاي تعدي من ال Cyber Threat Intelligence لو بتعمل Penetration Testing علي Environment فيها CTI Solution خصوصاً ان بقي فيه اكتر من Vendor دلوقتي بيتنافسوا في المجال بتاع ال CTI اكبرهم و احسنهم علي الاقل الي انا اتعاملت معاهم هما :
- Carbon Black , FireEye , Fidelis , Link Shadow , End Game
كل البوست دة عبارة عن بس توعية للناس الي شغالة او ناوية تشتغل في ال System Penetration Testing ان هيقابلكوا الفترة الجاية حاجات كتير صعبة ف لو انت مش هتشتغل علي نفسك ولا تطور من نفسك عشان تقدر تعمل Methodologies تخليك تعدي من ال CTI Solutions الي هي دورها اصلا انها تكون EDR الي هي End-point Detection and Response صدقني ال System Penetration Testing هيبقي كابوس بالنسبة ليك....يعني خلاصة البوست كله ألحق زاكر CTI عشان تعرف ازاي هتـ Bypass الموضوع دة لأنك قريب اوي هتقابله في كل ال Environments الكبيرة.
ايه هو ال CTI او ال Cyber Threat Intelligence ?!
ال CTI هي اني بعمل Defensive System بيقدر يعمل Detect لل Attack و يقدر ياخد Action كمان سواء كنت انا اتدخلت في الموضوع او متدخلتش و يقدر ياخد ال Action في ال Real-Time يعني تدخل ال Machine Learning و ال AI عمل طفرة في موضوع ال DR الي هي Detection and Response مجال ال Incident Handling اتنقل نقلة نوعية كبيرة بعد الاعتماد علي ال AI....
تعالي نبدأ الموضوع من الأول.....اي Organization في الدنيا بتبقي معرضة لـ Cyber Attacks ف طبيعي اي CISO بيسأل نفسه 3 أسئلة أساسية :
- مين الي عايز يعمل علينا Attack ?!
- ايه هي ال Methodology الي هيستخدمها في ال Attack الي هيعمله علينا ؟!
- ايه هي اكتر Systems تكون Critical عندي لازم احميها الاول ؟!
اي Cyber Attack بيتكون من شوية Stages و Components تعالي واحدة واحدة نتكلم عن ال Stages دي :
- لو علي مستوي ال Victim الي هيتعرض للـ Attack فيه اكتر من Consideration:
اول حاجة ال Identity.......اهم حاجة بالنسبة للـ Pentester او لل Hacker هي Identity ال Victim لأن فيه Victim لو عرفت تجيبها يبقي انت كدة خلصت ال Project من قبل ما يبتدي اصلا زي ال Domain Admin او ال Tenant Admin بصفة عامة دة واحد معاه Access علي كل حاجة في الدنيا ف مش محتاج اخد اي Account تاني تقريباً..... ف لازم الاول اعرف مين ال Victim الي انا حاطتها Target ليا حتي لو دخلت عند Victim اقل و اقدر اعمل Pivot منه للـ Target بتاعي....
تاني حاجة علي مستوي ال Victim هي ال Location : فيه Users بيكونوا On-Prim و دول مش بيبقوا اول اختيار بيفكر فيه ال Pentester لأن بيبقي عليهم العين ف لو ال Organization ليها 3rd-Party Users او VPN Users هما دول الي بيتحطوا Target اول حاجة...
- لو علي مستوي ال Attack Delivery يعني هوصل ال Attack ازاي لل Victim :
عندي 3 يعتبروا هما اهم Considerations بالنسبة ليا الي هما :
اول حاجة هي ال Mechanism و لو اتكلمنا عن ال Cyber Attacks Mechanisms ممكن نقعد 3 سنين بنتكلم عن Mechanisms مش بتخلص بس طبعاً اهم Mechanism طلعت في 2017 هي ال Fileless Attacks الي مش عارف ال Fileless Attacks يقدر يـ Search عليها عشان دي الكلام فيها كتير و هيطول اوي حجم البوست....المهم اني قبل ما اعمل اي Cyber Attack لازم اكون محدد ال Mechanism الي همشي بيها فيه من اول ما اعمل Launch لل Attack لحد ما اوصل لمرحلة ال Covering Tracks....
تاني حاجة علي مستوي ال Attack Delivery هي ال Malware
من اهم ال Skills الي لازم تكون عند ال Pentester الشاطر هي ال Malware Development لازم يكون يعرف ازاي يعمل Malware مش مجرد يعمل Generate لل Malware من Veil او Fatrat او غيرهم من ال Frameworks المشهورة..لأن ف سيناريوهات كتير ال Malware هو بيكون طريقتك شبه الوحيدة للدخول..
تالت حاجة علي مستوي ال Attack Delivery هي ال Exploit
دي مش من اهم لا دي Already اهم Skill لازم تكون عند ال Pentester هي ال Exploitation Skills سواء ال Exploitation Development او ال Exploitation Execution بصفة عامة يعرف يسلك في ال Exploitation Process من اولها لحد ال Pwning Level...
- لو علي مستوي ال Attacker.....فيه 3 يعتبروا برضو من اهم ال Considerations في المستوي دة :
ال Identity لازم ال Incident Handler يقدر يحدد مين هو ال Attacker بس دة مش بيكون اول اهتماماته هو اهم حاجة بالنسبة ليه انه يوقف ال Attack بغض النظر عن مين ال Attacker انما المسؤول الاول و الاخير عن تحديد مين هو ال Attacker هو ال Forensics Examiner او ال Forensics Investigator
تاني حاجة علي مستوي ال Attacker هو ال Connection :
لازم تعرف ال Connection Level بتاعت ال Attacker هل هو External Access ولا Internal Access ولا Remote Access عشان تقدر تحدد ال Incident Handling Scenario هيبقي عامل ازاي....
السؤال المهم بقي : ليه الناس احتاجت لحاجة زي ال CTI او ايه الي خلاهم يفكروا فيه اصلاً ؟!
زمان او من فترة بسيطة كان معظم ال Security Systems بتعتمد اعتماد كبير علي ال Signature-Based Detection System يعني كان اعتماد ال Security Engineer او ال Incident Handler علي ان ال Security System بتاعه هيمسك ال Attack الي ليه Signature بس بعد فترة و مع تطور ال Cyber Attacks الناس لقت ال Signature-Based Detection System دة ملوش لازمة او فعاليته بدأت تقل بشكل كبير و دة لكذا سبب :
- ال Encryption واحد من اهم الاسباب انه ال Signature-Based Detection System يفشل لأنه و هو بيعمل Inspection لل Attack مش بيعرف يشوف ال Attributes الي علي اساسها بيشوف ال Attack دة ليه Signature ولا لا
- ال Tailored Attacks و دة الي Attack الي بيكون معمول عشان Targeted Victim يعني معمول مخصوص عشان بنك معين او شركة معينة و دة بيكون مبني علي اساس ان ال Hacker عارف بالظبط ال Infrastructure الي جوة عاملة ازاي يعني ال Attack بيكون متفصل علي انه يـ Bypass كل ال Security Systems الي عندك و دة اسوء سيناريو ممكن يتعرضله ال Incident Handler انه يقابل Attack متفصل عشان هو ميعرفش يوقفه..
- ال Ephemeral Attacks دة تاني اسوء سيناريو ممكن يتعرضله ال Incident Handler....ال Ephemeral Attacks هي ال Attacks الي بتضرب و بتختفي بسرعة بيكون ليها Execution Time سريع جداً في مبيلحقش ال Incident Handler يتعرف علي ال Attack ولا حتي يوقفه
طب ايه الفرق بين ال Incident Handling قبل ال CTI و بعد ال CTI ?!
قبل ال CTI كان معظم ال Handling Processes ماشية ب Detection Methodologies معينة اهمهم :
- اني بدور علي IOC الي هو (indicator of compromise) يعرفني اي معلومات عن ال Attack دة
- اني استني Alert يحصل لما ال Attack يحصل عن طريق ال IDS او SIEM او غيرهم و دة كان بيبقي دايماً مش كفاية او بييجي متأخر بيكون ال Attack عمل ال Impact و ال Damage بتاعه خلاص..
الحياة بعد ال CTI بقت مختلفة تماماً بقي فيه Methodologies كتير دخلت في اللعبة بتاعت ال Incident Handling و ال Incident Response غيرت من شكل ال Attack Detection خالص زي :
- انها تـ Focus اكتر علي ال Attacker و ال Attack و تعرف اذا كان Attack عادي ولا Tailored و متفصل علي ال Organization بتاعتي
- ال Proactive Processes بقت فيه Systems قايمة علي concept :
Hunt Before Alert
يعني خد انت ال Action او كل ال Actions الي تقدر عليها قبل ما تبلغ ال Incident Handler عشان تلحق توقف ال Attacks قبل حتي ال Handler ما ييجي
- ال Stealthy Actions هي الي ال Machine Learning و ال Artificial Intelligence زودوها في مجال ال CTI عن طريق انه مبقوش يحسسوا ال Hacker او ال Attacker انه اتعمله Detection و بيسيبوه يكمل عادي جداً و هما مراقبينه و في خلال ما هما بيراقبوه بيقدروا يجمعوا عنه معلومات اكتر عشان بعد كدة يستخدموها في ال Forensics فا عشان كدة ممكن ال Attacker او ال Pentester يفتكر انه خلاص دخل و نجح و محدش جابه و يكمل عادي و يكتشف انه كل دة كان متراقب و ال CTI نقله علي Virtual Environment مش هيطلع منها ب اي حاجة...
قبل ال CTI كانت ال Initial security appliances الي ممكن تبقي موجودة ف اي مكان هي :
- Unified Threat Management [UTM]
- Intrusion Prevention System [IPS]
- Proxy
- Web Application Firewall [WAF]
- Security Information and Event Management Solution [SIEM]
- Vulnerability Management Solutions
- Identity & Access Management Solutions
كل دول بقي الي المفروض الي كانوا بيقفوا ف وش ال Pentester او ال Hacker و المفروض سواء ال Pentester او ال Hacker انه يعملهم Bypass عشان يوصل
للـ Backend الي وراهم الي هي ال Target اصلا و كان معظم الحاجات دي بيشتغل يا اما Behavior Based يا اما Signature Based Detection System ف كان عادي ان يحصلهم Bypass لأن كان فيه طرق كتير عشان تـ Bypass ال Signature او ال Behavior....
لكن دلوقتي زاد عليهم ال Cyber Threat Intelligence الي هو اكبر كابوس لل Pentesters في الوقت الحالي و لوقت كبير جاي قدام....بسبب اعتماده علي ال Machine Learning و ال Artificial Intelligence الي صعبوا الدنيا جداً و بقي فيه Factors كتير تسد كل ال Bypassing Techniques الي كنا بنستخدمها قبل كدة و دة الي بدء بسببه Chapter جديد في سيناريوهات ال Penetration Testing الي هو ازاي تعدي من ال Cyber Threat Intelligence لو بتعمل Penetration Testing علي Environment فيها CTI Solution خصوصاً ان بقي فيه اكتر من Vendor دلوقتي بيتنافسوا في المجال بتاع ال CTI اكبرهم و احسنهم علي الاقل الي انا اتعاملت معاهم هما :
- Carbon Black , FireEye , Fidelis , Link Shadow , End Game
كل البوست دة عبارة عن بس توعية للناس الي شغالة او ناوية تشتغل في ال System Penetration Testing ان هيقابلكوا الفترة الجاية حاجات كتير صعبة ف لو انت مش هتشتغل علي نفسك ولا تطور من نفسك عشان تقدر تعمل Methodologies تخليك تعدي من ال CTI Solutions الي هي دورها اصلا انها تكون EDR الي هي End-point Detection and Response صدقني ال System Penetration Testing هيبقي كابوس بالنسبة ليك....يعني خلاصة البوست كله ألحق زاكر CTI عشان تعرف ازاي هتـ Bypass الموضوع دة لأنك قريب اوي هتقابله في كل ال Environments الكبيرة.