إسناد واضح
حدِّد الجهة المُهدِّدة.
يتضمن كل مؤشر تهديد إسنادًا كاملًا إلى الجهة الفاعلة. ليس مجرد عنوان IP. بل المجموعة، وتاريخها، وأساليبها وتكتيكاتها وإجراءاتها، وحملاتها.
الصورة الكاملة
استخبارات التهديدات السياقية للتكنولوجيا التشغيلية.
لا يتم تصفيته حسب قطاعك أو وفقًا لمدى الصلة. تحصل على الصورة الكاملة لتهديدات تقنية التشغيل (OT) وتقرر ما الذي يهم.
خبير
تشمل استشارات متخصصة.
تنبيهات استخبارات التهديدات المتخصصة للتقنيات التشغيلية، يكتبها محللون يفهمون أساليب الهجوم الصناعية. وليست ملخصات آلية.
عمليات أمن التكنولوجيا التشغيلية (OT)
استوعب مؤشرات التهديد المنسوبة إلى الجهات الفاعلة ضمن منصات SIEM وSOAR ومنصات البحث عن التهديدات لديك. ابحث عن الحملات التي تستهدف بيئات التقنيات التشغيلية (OT) بشكل نشط. أعطِ الأولوية للإجراءات الدفاعية بناءً على أساليب وتقنيات وإجراءات الجهات الفاعلة (TTPs) والجداول الزمنية للحملات.
فرق الاستجابة للحوادث
عندما يظهر مؤشر أثناء الاستجابة للحوادث (IR)، تحتاج إلى معرفة ذلك فورًا: هل هو جزء من حملة معروفة، ولأي جهة فاعلة ينتمي، وما الذي تفعله عادةً بعد ذلك. يوفّر OThello هذا السياق في الوقت الفعلي.
القيادة الأمنية
تتبّع التغيرات في مشهد التهديدات الخاصة بالتكنولوجيا التشغيلية (OT). تعرّف على الجهات الفاعلة النشطة، والقطاعات التي تستهدفها، وأساليب وتقنيات وإجراءات العمل (TTPs) الناشئة. وتُبقي تقارير الاتجاهات الفصلية والملخصات التنفيذية القيادة على اطلاع.
مهاجمو OT متطورون
تتطور الحملات على مدى أشهر. يتم إعداد البنية التحتية مسبقًا. يكون الاستطلاع شاملًا. لا يتطابق نمط الهجوم مع قواعد بيانات مؤشرات الاختراق العامة. يتتبّع OThello سلوك الجهات المهاجمة في بيئات تقنية التشغيل (OT) تحديدًا، وليس كجزء من استخبارات تهديدات تقنية المعلومات (IT).
الأدوات العامة تُنتج مخرجات عامة
عنوان IP مُصنَّف بعلامة تحذير لا يخبرك تقريبًا بأي شيء. أمّا عنوان IP المنسوب إلى جهة لها سجلّ موثّق في استهداف البنية التحتية للطاقة، فيخبرك بما ينبغي أن تستعدّ له.
تمرّ أشهر دون اكتشاف ذلك
تظلّ اختراقات الأنظمة التشغيلية (OT) غير مكتشفة لمدة متوسطة تبلغ 287 يومًا. ويُقاس الفاصل بين الاختراق الأولي واكتشافه بالأشهر، لا بالساعات. ويساعد إسناد الجهة الفاعلة على تضييق هذه الفجوة من خلال تحديد الحملات أثناء مرحلة الاستطلاع.
موجز استخبارات تهديدات التقنية التشغيلية
تغذية آنية بمؤشرات تهديد منسوبة إلى الجهات الفاعلة، وعناوين IP، والنطاقات، وهاشات البرمجيات الخبيثة، وتواقيع الهجوم على مستوى البروتوكول. يتضمن كل مؤشر سياق الجهة الفاعلة الكامل. بتنسيق STIX. مُعيَّن وفق MITRE ATT&CK لأنظمة التحكم الصناعية (ICS). مُهيكل للاستهلاك في منصات SIEM وSOAR ومنصات مطاردة التهديدات.
إسناد كامل للجهة الفاعلة
يتم إسناد كل مؤشر تهديد إلى الجهة الفاعلة أو الحملة المسؤولة عنه. تتضمن ملفات تعريف الجهات الفاعلة أساليب وتقنيات وإجراءات (TTPs) المعروفة، والقطاعات المستهدفة، وأنماط البنية التحتية، والجداول الزمنية للحملات. عند ظهور أي مؤشر، ستعرف لمن يعود وما الذي يقومون به عادةً بعد ذلك.
خدمة استشارية متخصصة
إشعارات مكتوبة حول الحملات النشطة في بيئات التشغيل التقني (OT)، والتهديدات الناشئة، وأساليب وتقنيات وإجراءات الفاعلين (TTPs). ليست ملخصات آلية. تحليل متخصص من محللين يفهمون أساليب الهجوم على بيئات OT. تُقدَّم على شكل تقارير منظمة تتضمن توصيات دفاعية قابلة للتنفيذ.
تنبيهات التحذير المبكر
عندما تظهر حملة جديدة تستهدف بيئات التقنية التشغيلية (OT)، تتلقى تنبيهًا مبكرًا. ليس بعد أن تصبح الحملة معروفة للجميع، بل عندما تظهر المؤشرات الأولية في شبكة المصائد الخادعة (honeypot) الخاصة بـ OThello. ويعني الإنذار المبكر حصولك على إشعار مسبق بساعات أو أيام، وليس أسابيع من اللحاق بالركب.
تحليل اتجاهات الحملات وأساليب وتقنيات وإجراءات الهجوم (TTPs)
تحليل اتجاهات ربع سنوي يوضح التحولات في سلوك الجهات الفاعلة في بيئات تكنولوجيا التشغيل (OT)، وأساليب وتقنيات وإجراءات (TTPs) الناشئة، وأنماط الهجمات الخاصة بكل بروتوكول، واتجاهات استهداف القطاعات.
التقارير التنفيذية
تقارير على المستوى التنفيذي حول التغيرات في مشهد تهديدات تقنية التشغيل (OT)، واتجاهات نشاط الجهات الفاعلة، وتطورات الحملات. مُنظَّمة لتناسب العرض على مجلس الإدارة والقيادة العليا. تُبيّن ما الذي تغيّر، وما الذي يبرز، وما الذي يتطلب اهتمامًا.
٠١
شبكة مصائد عسل عالمية.
تدير OThello شبكة عالمية من مصائد الخداع الخاصة بتقنية العمليات (OT)، وأجهزة التحكم الصناعية الحقيقية (PLCs وHMIs وRTUs وIEDs) المنتشرة في مواقع جغرافية متعددة.
٠٢
جمع تلقائي.
يتم تلقائياً استيعاب نشاط الهجوم الذي تلتقطه شبكة المصائد الخداعية (Honeypot)، وتنظيمه، وربطه بتكتيكات وتقنيات وإجراءات الجهات الفاعلة المعروفة (TTPs) وأنماط البنية التحتية. يتم تنفيذ الربط مع MITRE ATT&CK لأنظمة التحكم الصناعي (ICS) تلقائياً. كما يتم استخراج المؤشرات الخاصة بكل بروتوكول ووضع وسم لها بحسب نوع البروتوكول الصناعي.
٠٣
التحقق والإسناد.
تدخل عمليات الجمع الآلي في مرحلة تحقق المحللين. تتم مراجعة كل مؤشر من قِبل مختص قبل النشر. يتم إسناد الجهة المنفذة عبر مطابقة أساليب وتقنيات وإجراءات (TTPs) المرصودة، وأنماط البنية التحتية، وخصائص الحملات مع ملفات تعريف الجهات المعروفة.
٠٤
الهيكلة الاستشارية.
تُجمَّع المعلومات الاستخبارية المُتحقَّق منها في تنبيهات تهديدات مُنظَّمة. يضمّ كل تنبيه ملخصاً تنفيذياً، وتفاصيل تقنية، وجدولاً كاملاً لمطابقة تكتيكات وتقنيات وإجراءات الخصم (TTP)، وملحقاً لمؤشرات الاختراق (IOC)، ويُصنَّف وفق مستوى TLP المناسب للتوزيع. كما تُوسَم التنبيهات بحسب صلة القطاع، والمنطقة الجغرافية المستهدفة، والبروتوكول الصناعي المتأثر
05
إرشادات عملية للتهديدات.
تصل الاستشارة النهائية إلى منصة OThello كمخرج تشغيلي جاهز للاستخدام. وتتضمن كل استشارة ثلاثة عناصر: إجراءات تخفيف ذات أولوية مرتبطة بضوابط IEC 62443، وإرشادات للكشف على شكل قواعد SIEM وEDR وOT NDR جاهزة للنشر، وضوابط معمارية أمنية موصى بها ومُشار إليها وفقاً لـ TTP المحددة التي تم رصدها.
