- بواسطة x32x01 ||
يعني ايه اصلا Cyber Threat Intelligence ?!
قالك ال CTI هي تجميع و تحليل المعلومات من اكتر من source و هنتكلم عن ال sources دي كمان شوية خلينا نمشي الموضوع بالترتيب
طب ليه احنا دلوقتي بقينا بنحتاج ال CTI او ايه اهميتها بالنسبة ل أي organization دلوقتي ؟!
قالك دلوقتي بقي فيه شركات كتير متعرفش كل حاجة عن ال Assets ولا كل حاجة عن ال infrastructure ولا ال personnel و ال business operations الي بتتم من خلالها و دة بيسمح او بيدي فرصة كبيرة لل hackers انهم ياخدوا ال Organizations دي كا Target ليهم.
ال CTI بقي تقدر تساعدك ف انك تجمع كل المعلومات الي انت عايزها عن اي حاجة في الدنيا و تحدد ال Vulnerabilities و ال Business Flaws الي ممكن تكون موجودة في ال Organization دي و بعد ما يبقي معاك المعلومات دي استخدامها بيتحدد علي حسب انهي Team انت موجود فيه او انهي Perspective انت بتفكر بيه يعني لو بتفكر من ناحية ال Offensive Security المعلومات دي هيبقي ليها استخدام و لو بتفكر من ناحية ال Defensive Security المعلومات دي هيكون ليها استخدام تاني خالص.
طب دلوقتي عرفنا ايه هي ال CTI عايزين نعرف المراحل الي بتتم بيها ال Cyber Intelligence Operations من البداية لحد ما اخلص خالص....تعالي كدة نشرحهم واحدة واحدة :
1- اول مرحلة عندي اسمها Planning and Directions :
دي بتحدد فيها ال Requirements بتاعتك بتشوف ايه الي انت محتاج تجمع عنه معلومات....عشان تكون شاطر في ال Cyber Intelligence او عمتاً الاستخبارات زي ما بيقولوا لازم يكون عندك حاجتين : لازم يكون عندك defined Goal يعني هدف واضح و محدد عايز توصله و لازم يكون عندك techniques تقدر تستخدمها عشان تحقق الهدف دة...
2- تاني مرحلة اسمها Collection :
دي بتبدأ تحدد فيها انت هتجيب المعلومات الي انت بتجمعها منين و هتجيبها ازاي و دي ترجعنا للنقطة الي اتكلمنا عليها الي هي ال Cyber Intelligence Sources بس لسة هتكلم عليها كمان شوية مش دلوقتي...
3- تالت مرحلة اسمها Processing :
دي انك بتبدي تاخد ال Raw Data الي انت جمعتها دي و تعمل عليها Operations عن طريق انك تعملها Correlation و Aggregation يعني تربيط و تجميع عشان تقدر تكون سيناريو كامل من المعلومات الي انت جمعتها دي و دي اهم مرحلة في ال Intelligence Operations كلها هي انك ازاي تستفيد من المعلومات الي انت جمعتها دي كلها
4- رابع مرحلة اسمها Production :
دي بقي بتبقي الاستفادة بتاعتك من المعلومات الي انت جمعتها يعني مثلا لو مثال offensive ف ال production بتاعك هنا هيكون انك بعد ما جمعت كل المعلومات دي عن ال target دة هتبتدي تعمله exploitaion بناءً علي المعلومات الي انت قدرت توصلها و هتساعدك اكتر ف انك تكون فاهم ال Target الي انت رايحله مش بت Attack عشوائي كدة و خلاص....لو علي مثال Defensive هيكون انك جمعت كل المعلومات عن Attack معين ف هتقدر من خلال المعلومات دي انك تبني ال Shield بتاعك الي هيحميك من ال Attack دة لو حصل عليك.
انا عارف الجزء الي فات دة جزء نظري و رخم بس الجزء الحلو و الاستفادة كلها هتبدأ من دلوقتي معني انك فضلت مكمل لحد ما توصل للحتة دي انك مهتم...ف كمل بقي و هتلاقي الي انت عايزه في الشوية الي جايين دول ان شاء الله:
ايه هي بقي ال Intelligence Sources الي انا عمال اتكلم عنها كل شوية و مأجل كلام فيها دي بقي :
قالك انت كواحد شغال في المخابرات مثلا او اي شركة Intelligence هدفها تجميع المعلومات و بيعها او حتي الاستفادة منها ليك اكتر من Source تجيب منه المعلومات عن ال Target الي انت عايزه سواء كان ال Target دة شخص او Organization او مثلا تعاملات بنكية او مثلا شركات او اي حاجة انت عايز تجمع عنها معلومات...ركز بقي في الي جاي دة عشان الكلام هيبتدي يشد شوية :
اولا انت عندك حاجة اسمها OSINT الي هي Open Source Intelligence :
معظم الناس الي شغالين في ال Cyber Security سواء كان Offensive او Defensive يعرفوا ال OSINT بس تعالي نتكلم عنها سريعا بما انها واحدة من اهم ال Intelligence Source الموجودة :
ال OSINT دي يا سيدي هي كل المعلومات الي انت ممكن تجمعها من المصادر المفوحة او المتاحة للناس كلها زي مثلا Shodan Engine الي بيخلي الناس كلها تشوف ال Devices الي Connected علي ال Public Internet...طب هي ال OSINT دي ليها فايدة يعني بالنسبة ليا كا Pentester او راجل شغال في ال Offensive Security بصفة عامة !؟
قالك اه استخدامتها كبيرة اوي لل Attackers سواء كانوا Pentesters او Hackers
1- اول حاجة قالك ال Attack Preparation تقدر تجهز لل Attack الي انت هتعمله عن طريق ال OSINT الي هتعرفك شوية معلومات تقدر منها تكون سيناريو ال Exploitation هيكون عامل ازاي
2- تاني حاجة من اكبر استخدامات ال OSINT هي ال Client-Side Attacks الي هي ال Social Engineering Campaigns
3- ال Leaked Usernames and Passwords الي بتكون متسربة من ال Organization سواء بقصد او من غير قصد
4- ال Internal Infrastructure عن طريق ال OSINT تقدر تعرف ال internal Topology بتاعت ال Infrastructure بتاعت ال Organization
ايه هي امثلة ال OSINT :
اول حاجة عندك ال Data Gathering Frameworks زي :
- Shodan
- NetDB
- Censys
- Hunter
- HoneyDB
- Datasploit
- MISP
تاني حاجة هي ال Search Engines زي :
- Google
- Social Networks
- Communities , Blogs
- Dating Sites
- Business Sites [Linkedin,...etc]
تاني Intelligence Source عندنا الي هو HUMINT الي هو Human Intelligence :
قالك ال HUMINT الغرض منه هو تجميع و تحليل كل المعلومات الخاصة ببني ادم واحد او مجموعة اشخاص و غالباً الي بيدخل في ال Technique دة هما ال Intelligence Agency الي هي وكالة الاستخبارات بتاعت البلد او اجهزة المخابرات بتاعة الدول لان الغرض من ال investigation دة انهم يجيبوا شخص بعينه...قالك ال HUMINT ليها 3 models او 3 Categories رئيسية :
1- اول حاجة ال Directed Gathering Model و دة بيجمع كل ال Data عن الشخص المطلوب عن طريق اكتر من Source زي الصور و الفيديوهات و ال Voice Records و ال Face Recognition و غيرها
2- تاني حاجة هي ال Active Intelligence Gathering Model الي هي دي بيبقي الهدف منها تجميع معلومات عن Environment معينة زي دولة اي مجتمع بعينه
3- تالت و اخر حاجة هي ال Passive Intelligence Gathering Model دي الي هي بتكون عملية عشوائية ملهاش غرض محدد بيبقي الهدف منها اني بحاول اطلع ب اي حاجة مفيدة من المعلومات الي اقدر اجيبها.
تالت Intelligence Source عندنا الي هو SIGINT الي هو Signal Intelligence :
ال SIGINT دي بقي يا سيدي هي اني بجمع معلومات عن طريق اني بعمل intercept لل Electronic Signals و ال Radio Communications و دي بتتقسم لنوعين:
- ال COMINT الي هو Communication Intelligence
- ال ELINT الي هو Electronic Intelligence
و دي بتحتاج Hardwares خاصة عشان تتم يعني علي مثال صغير ال hackRF One مثلا.
رابع Intelligence Source عندنا هو ال GEOINT الي هو ال Geospatial Intelligence :
ال GEOINT هو عبارة عن تحليل الصور الي بتكون متوفرة عن ال GEOlocation بتاع ال Organization عشان منها تقدر تضيف علي ال Exploitation Scenario بتاعك عشان ممكن يبقي عندك Physical Intrusion Techniques عايز تستخدمها ف تكون مرتبلها صح.
طب انا ليه بقول كل الكلام دة و ليه واجع قلبي فيه اصلا ؟!
اكيد انا مش كاتب الموضوع دة كله عشان يبقي مجرد بس For your info....انا كاتب الموضوع دة تمهيداً للي انا عايز اقوله دلوقتي.....هو ان بقي فيه رسمياً وظيفه اسمها Cyber Threat Intelligence Researcher او Cyber Intelligence Analyst الوظيفة دي رسيمة و معتمدة و هنتكلم عنها بالتفصيل عشان ممكن تفكر تتخصص فيها لأنها بقت مطلوبة و كتير كمان :
تعالي نشوف ايه هو ال Job Description بتاع ال Cyber Intelligence Analyst :
قالك ال Intelligence Analyst دة هيبقي مطلوب منه كذا حاجة :
- مطلوب منه انه يجمع معلومات عن ال Target الي هيكون عنده من كل ال Intelligence Sources الي موجودة و بكل الطرق و انه مجرد ما ياخد اسم ال Target يقدر ف اسرع وقت يطلع Report عنه فيه تفاصيل حياته كلها
- تاني حاجة ال Intelligence Researcher مطلوب منه Digital Forensics Tasks عشان يقدر يعمل Identifications لل Cyber Attacks الجديدة و يفهم هي شغالة ازاي و بالتالي يقدر يبني ال Defensive Mechanism الي يقدر يقف قصادها
- تالت حاجة ال Intelligence Researcher بيبقي محتاج دايما يراقب كل المتغيرات و يتعرف علي كل الاشخاص الي تتطلب منه عشان يقدر يكون صورة عن ال Threats الي جاية من برة و بتهدد الامن القومي ف بلده زي مثلا الجماعات الارهابية من اول ما بتدخل البلد ف صورة اشخاص عادية لحد ما ينفذوا العملية بتاعتهم
- ال Intelligence Researcher لازم يكون عنده mix من ال analytical skills و ال technical skills زي ال Forensics و ال penetration testing و ال malware analysis و ال reverse engineering
- ال Intelligence Researcher مطلوب منه انه يطور Cyber Attacks عشان يستخدمها ضد Target معين و دة الي بيكون اسمه Crafted Attack الي هو بالبلدي Attack متفصل علي ال Target دة بالتحديد و مش هيشتغل علي حد تاني غيره...
- ال Intelligence Researcher بيكون مطلوب منه انه يتعرف علي اي عمل ارهابي ممكن يكون بيحصل او لسة هيتكون في البلد عن طريق ال analysis لل Variables الي عنده الي متكونه من ال Data الي هو جمعها من كل ال Sources الي قولنا عليها في الاول
ايه ال Qualifications المطلوبة من ال Cyber Threat Analyst :
اول حاجة يكون فاهم Computer Science و Computer Engineering كويس لان الموضوع مش مقتصر علي انه يستخدم Tools و خلاص لا الموضوع لازم يبقي Much more deeper
تاني حاجة فاهم Digital Forensics جدا
تالت حاجة فاهم Cyber Security و عنده خلفية عن ال Offensive Security
لازم يكون عنده Creative Thinking و Analytical Skills
طب بعد كل التعب و المرمطة دي هلاقي مكان يشغلني ولا لا :
فيه شركات كتير عندها وظايف ال Cyber Threat Intelligence Researcher و ال Cyber Threat Analyst زي :
- BitDefender
- Kaspersky
- Symantec
- Verisign
- MITRE
و كمان وكالات المخابرات زي ال CIA و ال FBI و غيرهم.....و بالمناسبة :
ال CIA دلوقتي فاتحين فرصة شغل كا Cyber Threat Analyst بمرتب من 54 ل 94 ألف دولار
قالك ال CTI هي تجميع و تحليل المعلومات من اكتر من source و هنتكلم عن ال sources دي كمان شوية خلينا نمشي الموضوع بالترتيب
طب ليه احنا دلوقتي بقينا بنحتاج ال CTI او ايه اهميتها بالنسبة ل أي organization دلوقتي ؟!
قالك دلوقتي بقي فيه شركات كتير متعرفش كل حاجة عن ال Assets ولا كل حاجة عن ال infrastructure ولا ال personnel و ال business operations الي بتتم من خلالها و دة بيسمح او بيدي فرصة كبيرة لل hackers انهم ياخدوا ال Organizations دي كا Target ليهم.
ال CTI بقي تقدر تساعدك ف انك تجمع كل المعلومات الي انت عايزها عن اي حاجة في الدنيا و تحدد ال Vulnerabilities و ال Business Flaws الي ممكن تكون موجودة في ال Organization دي و بعد ما يبقي معاك المعلومات دي استخدامها بيتحدد علي حسب انهي Team انت موجود فيه او انهي Perspective انت بتفكر بيه يعني لو بتفكر من ناحية ال Offensive Security المعلومات دي هيبقي ليها استخدام و لو بتفكر من ناحية ال Defensive Security المعلومات دي هيكون ليها استخدام تاني خالص.
طب دلوقتي عرفنا ايه هي ال CTI عايزين نعرف المراحل الي بتتم بيها ال Cyber Intelligence Operations من البداية لحد ما اخلص خالص....تعالي كدة نشرحهم واحدة واحدة :
1- اول مرحلة عندي اسمها Planning and Directions :
دي بتحدد فيها ال Requirements بتاعتك بتشوف ايه الي انت محتاج تجمع عنه معلومات....عشان تكون شاطر في ال Cyber Intelligence او عمتاً الاستخبارات زي ما بيقولوا لازم يكون عندك حاجتين : لازم يكون عندك defined Goal يعني هدف واضح و محدد عايز توصله و لازم يكون عندك techniques تقدر تستخدمها عشان تحقق الهدف دة...
2- تاني مرحلة اسمها Collection :
دي بتبدأ تحدد فيها انت هتجيب المعلومات الي انت بتجمعها منين و هتجيبها ازاي و دي ترجعنا للنقطة الي اتكلمنا عليها الي هي ال Cyber Intelligence Sources بس لسة هتكلم عليها كمان شوية مش دلوقتي...
3- تالت مرحلة اسمها Processing :
دي انك بتبدي تاخد ال Raw Data الي انت جمعتها دي و تعمل عليها Operations عن طريق انك تعملها Correlation و Aggregation يعني تربيط و تجميع عشان تقدر تكون سيناريو كامل من المعلومات الي انت جمعتها دي و دي اهم مرحلة في ال Intelligence Operations كلها هي انك ازاي تستفيد من المعلومات الي انت جمعتها دي كلها
4- رابع مرحلة اسمها Production :
دي بقي بتبقي الاستفادة بتاعتك من المعلومات الي انت جمعتها يعني مثلا لو مثال offensive ف ال production بتاعك هنا هيكون انك بعد ما جمعت كل المعلومات دي عن ال target دة هتبتدي تعمله exploitaion بناءً علي المعلومات الي انت قدرت توصلها و هتساعدك اكتر ف انك تكون فاهم ال Target الي انت رايحله مش بت Attack عشوائي كدة و خلاص....لو علي مثال Defensive هيكون انك جمعت كل المعلومات عن Attack معين ف هتقدر من خلال المعلومات دي انك تبني ال Shield بتاعك الي هيحميك من ال Attack دة لو حصل عليك.
انا عارف الجزء الي فات دة جزء نظري و رخم بس الجزء الحلو و الاستفادة كلها هتبدأ من دلوقتي معني انك فضلت مكمل لحد ما توصل للحتة دي انك مهتم...ف كمل بقي و هتلاقي الي انت عايزه في الشوية الي جايين دول ان شاء الله:
ايه هي بقي ال Intelligence Sources الي انا عمال اتكلم عنها كل شوية و مأجل كلام فيها دي بقي :
قالك انت كواحد شغال في المخابرات مثلا او اي شركة Intelligence هدفها تجميع المعلومات و بيعها او حتي الاستفادة منها ليك اكتر من Source تجيب منه المعلومات عن ال Target الي انت عايزه سواء كان ال Target دة شخص او Organization او مثلا تعاملات بنكية او مثلا شركات او اي حاجة انت عايز تجمع عنها معلومات...ركز بقي في الي جاي دة عشان الكلام هيبتدي يشد شوية :
اولا انت عندك حاجة اسمها OSINT الي هي Open Source Intelligence :
معظم الناس الي شغالين في ال Cyber Security سواء كان Offensive او Defensive يعرفوا ال OSINT بس تعالي نتكلم عنها سريعا بما انها واحدة من اهم ال Intelligence Source الموجودة :
ال OSINT دي يا سيدي هي كل المعلومات الي انت ممكن تجمعها من المصادر المفوحة او المتاحة للناس كلها زي مثلا Shodan Engine الي بيخلي الناس كلها تشوف ال Devices الي Connected علي ال Public Internet...طب هي ال OSINT دي ليها فايدة يعني بالنسبة ليا كا Pentester او راجل شغال في ال Offensive Security بصفة عامة !؟
قالك اه استخدامتها كبيرة اوي لل Attackers سواء كانوا Pentesters او Hackers
1- اول حاجة قالك ال Attack Preparation تقدر تجهز لل Attack الي انت هتعمله عن طريق ال OSINT الي هتعرفك شوية معلومات تقدر منها تكون سيناريو ال Exploitation هيكون عامل ازاي
2- تاني حاجة من اكبر استخدامات ال OSINT هي ال Client-Side Attacks الي هي ال Social Engineering Campaigns
3- ال Leaked Usernames and Passwords الي بتكون متسربة من ال Organization سواء بقصد او من غير قصد
4- ال Internal Infrastructure عن طريق ال OSINT تقدر تعرف ال internal Topology بتاعت ال Infrastructure بتاعت ال Organization
ايه هي امثلة ال OSINT :
اول حاجة عندك ال Data Gathering Frameworks زي :
- Shodan
- NetDB
- Censys
- Hunter
- HoneyDB
- Datasploit
- MISP
تاني حاجة هي ال Search Engines زي :
- Social Networks
- Communities , Blogs
- Dating Sites
- Business Sites [Linkedin,...etc]
تاني Intelligence Source عندنا الي هو HUMINT الي هو Human Intelligence :
قالك ال HUMINT الغرض منه هو تجميع و تحليل كل المعلومات الخاصة ببني ادم واحد او مجموعة اشخاص و غالباً الي بيدخل في ال Technique دة هما ال Intelligence Agency الي هي وكالة الاستخبارات بتاعت البلد او اجهزة المخابرات بتاعة الدول لان الغرض من ال investigation دة انهم يجيبوا شخص بعينه...قالك ال HUMINT ليها 3 models او 3 Categories رئيسية :
1- اول حاجة ال Directed Gathering Model و دة بيجمع كل ال Data عن الشخص المطلوب عن طريق اكتر من Source زي الصور و الفيديوهات و ال Voice Records و ال Face Recognition و غيرها
2- تاني حاجة هي ال Active Intelligence Gathering Model الي هي دي بيبقي الهدف منها تجميع معلومات عن Environment معينة زي دولة اي مجتمع بعينه
3- تالت و اخر حاجة هي ال Passive Intelligence Gathering Model دي الي هي بتكون عملية عشوائية ملهاش غرض محدد بيبقي الهدف منها اني بحاول اطلع ب اي حاجة مفيدة من المعلومات الي اقدر اجيبها.
تالت Intelligence Source عندنا الي هو SIGINT الي هو Signal Intelligence :
ال SIGINT دي بقي يا سيدي هي اني بجمع معلومات عن طريق اني بعمل intercept لل Electronic Signals و ال Radio Communications و دي بتتقسم لنوعين:
- ال COMINT الي هو Communication Intelligence
- ال ELINT الي هو Electronic Intelligence
و دي بتحتاج Hardwares خاصة عشان تتم يعني علي مثال صغير ال hackRF One مثلا.
رابع Intelligence Source عندنا هو ال GEOINT الي هو ال Geospatial Intelligence :
ال GEOINT هو عبارة عن تحليل الصور الي بتكون متوفرة عن ال GEOlocation بتاع ال Organization عشان منها تقدر تضيف علي ال Exploitation Scenario بتاعك عشان ممكن يبقي عندك Physical Intrusion Techniques عايز تستخدمها ف تكون مرتبلها صح.
طب انا ليه بقول كل الكلام دة و ليه واجع قلبي فيه اصلا ؟!
اكيد انا مش كاتب الموضوع دة كله عشان يبقي مجرد بس For your info....انا كاتب الموضوع دة تمهيداً للي انا عايز اقوله دلوقتي.....هو ان بقي فيه رسمياً وظيفه اسمها Cyber Threat Intelligence Researcher او Cyber Intelligence Analyst الوظيفة دي رسيمة و معتمدة و هنتكلم عنها بالتفصيل عشان ممكن تفكر تتخصص فيها لأنها بقت مطلوبة و كتير كمان :
تعالي نشوف ايه هو ال Job Description بتاع ال Cyber Intelligence Analyst :
قالك ال Intelligence Analyst دة هيبقي مطلوب منه كذا حاجة :
- مطلوب منه انه يجمع معلومات عن ال Target الي هيكون عنده من كل ال Intelligence Sources الي موجودة و بكل الطرق و انه مجرد ما ياخد اسم ال Target يقدر ف اسرع وقت يطلع Report عنه فيه تفاصيل حياته كلها
- تاني حاجة ال Intelligence Researcher مطلوب منه Digital Forensics Tasks عشان يقدر يعمل Identifications لل Cyber Attacks الجديدة و يفهم هي شغالة ازاي و بالتالي يقدر يبني ال Defensive Mechanism الي يقدر يقف قصادها
- تالت حاجة ال Intelligence Researcher بيبقي محتاج دايما يراقب كل المتغيرات و يتعرف علي كل الاشخاص الي تتطلب منه عشان يقدر يكون صورة عن ال Threats الي جاية من برة و بتهدد الامن القومي ف بلده زي مثلا الجماعات الارهابية من اول ما بتدخل البلد ف صورة اشخاص عادية لحد ما ينفذوا العملية بتاعتهم
- ال Intelligence Researcher لازم يكون عنده mix من ال analytical skills و ال technical skills زي ال Forensics و ال penetration testing و ال malware analysis و ال reverse engineering
- ال Intelligence Researcher مطلوب منه انه يطور Cyber Attacks عشان يستخدمها ضد Target معين و دة الي بيكون اسمه Crafted Attack الي هو بالبلدي Attack متفصل علي ال Target دة بالتحديد و مش هيشتغل علي حد تاني غيره...
- ال Intelligence Researcher بيكون مطلوب منه انه يتعرف علي اي عمل ارهابي ممكن يكون بيحصل او لسة هيتكون في البلد عن طريق ال analysis لل Variables الي عنده الي متكونه من ال Data الي هو جمعها من كل ال Sources الي قولنا عليها في الاول
ايه ال Qualifications المطلوبة من ال Cyber Threat Analyst :
اول حاجة يكون فاهم Computer Science و Computer Engineering كويس لان الموضوع مش مقتصر علي انه يستخدم Tools و خلاص لا الموضوع لازم يبقي Much more deeper
تاني حاجة فاهم Digital Forensics جدا
تالت حاجة فاهم Cyber Security و عنده خلفية عن ال Offensive Security
لازم يكون عنده Creative Thinking و Analytical Skills
طب بعد كل التعب و المرمطة دي هلاقي مكان يشغلني ولا لا :
فيه شركات كتير عندها وظايف ال Cyber Threat Intelligence Researcher و ال Cyber Threat Analyst زي :
- BitDefender
- Kaspersky
- Symantec
- Verisign
- MITRE
و كمان وكالات المخابرات زي ال CIA و ال FBI و غيرهم.....و بالمناسبة :
ال CIA دلوقتي فاتحين فرصة شغل كا Cyber Threat Analyst بمرتب من 54 ل 94 ألف دولار