ChatGPT
لمحللي الاستجابة للحوادث الامنية

عمر العنزي
26/3/2023


المقدمة

ChatGPT غير قواعد وقوانين اللعبة منذ بدء انطلاقة ، زود المستخدمين بإمكانات قوية جدا ، بل علاوة على ذلك فإن إمكانياته وقدراته تتجاوز انشاء وتحليل وتوليد النصوص. في هذا المقال ، سوف نستكشف كيف يمكن الاستفادة من قدرات ChatGPT واستخدامها في الاستجابة للحوادث الأمنية ، وتحديداً في اتمتة جمع البيانات من الانظمة. اتمتة الاستجابة للحوادث الأمنية امر بالغ الاهمية في مشهد الأمن السيبراني سريع الخطر ، حيث ان الوقت يعتبر عنصراً جوهرياً. بلا شك ، من غير اتمتة الاستجابة للحوادث الامنية ، يواجه فريق الاستجابة للحوادث الأمنيه تحديات وقيود كبيره في الاستجابة لأي حادثة امنية بطريقة فعالة في الوقت المناسب.

الاستجابة للحوادث الامنية

عادة ماتتضمن الاستجابة للحوداث الامنية على الخطوات التالية: التحضير، التعرف على الحادثة الأمنية ، احتواء الحادثة ، التخلص من سبب الحادثة ، الاستعادة والتعافي من الحادثه واخيراً الدروس المستفادة.

ومع ذلك فإن أكبر التحديات التي تواجهها فرق الاستجابة للحوادث الامنية يكمن في الجهد اليدوي المطلوب لجمع البيانات الخاصة بالانظمه اثناء وقوع الحادثه الامنية. يمكن ان يؤدي ذلك الى استهلاك الوقت ويمكن ان تكون صعبة خاصة في البيئات التي تحتوي على العديد من الانظمة.

يمكن لأتمتة جمع البيانات ان تقلل بشكل كبير من الوقت الذي يستغرقه جمع المعلومات الضرورية في الاستجابة للحوادث الامنية وجعل محللي الحوادث الامنية يتفرغون للتركيز على التحليل والاستجابة. في هذا المقال سوف نستكشف كيف يمكننا استخدام شات جي بي تي لأتمتة جمع البيانات اثناء الاستجابة لأي حادثة أمنية.

تقسيم عملية الاستجابة للحوادث الامنية الى خطوات امر بالغ الاهميه لأي استجابة فعالة:

1.التحضير: تتضمن هذه الخطوة وضع خطه شاملة للاستجابة للحوادث الامنية ، خطة تواصل وتحديد ادوار ومسؤوليات العاملين في إدارة الامن السيبراني.

2.التعرف على الحادثة الأمنية: تركز هذه الخطوة على كشف الحادثة الامنية والتعرف عليها.

1.2.تحديد النطاق: تعتبر هذه الخطوة حاسمة جداً لتحديد مستوى تواجد المهاجم في الشبكه ، وتحديد مستوى الحادثه الأمنية. في هذه الخطوة يتم اكتشاف اي انظمة اخرى مخترقة وادراجها تحت نطاق الحادثة الأمنية.

3.احتواء الحادثة: هذه الخطوة تتضمن عزل الانظمة المتضررة ومنع الحادثة من الانتشار في جميع انحاء الشبكة.

4.التخلص من سبب الحادثة: هذه الخطوة تتضمن إزالة سبب الحادثة الأمنية وإعادة الانظمة إلى حالتها الطبيعيه

5.الاستعادة والتعافي من الحادثه: تتضمن هذة الخطوة إعادة الانظمة الى حالتها الطبيعيه ومراقبتها لمنع اي هجمات اخرى.

6.الدروس المستفادة: تشمل هذه الخطوة الدروس المستفادة والتعلم منها لتعزيز عملية الاستجابة للحوادث الامنية.

يمكن ان تساعد اتمتة جمع البيانات في عملية الاستجابة للحوادث الامنية بشكل كبير في تسريع خطوات التعرف على الحادثة الأمنية ، تحديد نطاقها ، واحتوائها والقضاء عليها.
ملاحظة: بعد تحديد الحادثة الأمنية واعلانها ، يجب ان تدخل عملية الاستجابة للحادثة الامنية في دورة تحديد نطاق مصغره لأكتشاف نطاق الحادثه الامنية ، واكتشاف انظمة جديده مخترقه ، واستخدام هذه الانظمة لتحديد النطاق من جديد. هذه الخطوة مهمه جداً لفريق الاستجابة للحوادث الامنية لتحديد مدى الخطر وعمقه في الشبكه.

أتمتة الاستجابة للحوادث الامنية

كـ محلل استجابة للحوادث الامنية ، غالبا يجب عليك البدء بجمع البيانات من الصفر ، لتبدأ في التحقيق بالحادثة الامنية بالشكل الصحيح ، هذه البيانات من الممكن ان تتضمن Hostnames ، عناوين الشبكه ، اسماء ملفات او استخدام Detection rule مثل YARA او Sigma او غيرها من المعلومات التي تحتاجها بحسب الحادثة الامنية. ولتحديد نطاق الحادثة الامنية ، تحتاج ان تجمع بيانات مثل معلومات الانظمة ، معلومات الشبكه ، الملفات او غيرها من المعلومات المهمة حسب الحادثة الامنية. شات جي بي تي يستطيع أن يجعل عملية جمع المعلومات سهله جدا ، بسهولة يمكن أن نوجه سؤالا الى شات جي بي تي إذا كان بإمكانه كتابة Script او برنامج مصغر يجمع به المعلومات من اي نظام في الشبكه لضمان سرعه وصول المعلومة وتحليلها والاستجابة للحادثه الأمنية.

في هذا الجزء سوف نركز على الميزة الاساسية في اتمتة الاستجابة للحوادث الامنية مع شات جي بي تي. في هذا المقال ، سوف نستخدم شات جي بي تي لجمع معلومات من ويندوز 10 ، و ويندوز سيرفر. المهمة الاسياسة هي جمع معلومات عن system artifacts و security events لتحليلها اثناء التحقيق في الحادثة الامنية. حرصنا ان تكون التقنيات المستخدمة لجمع البيانات تقنيات موجوده في كل بيئة لذلك سوف نستخدم PowerShell و WMI كتقنية لجمع البيانات مع الانظمة. مهم جدا نذكر هنا ان PowerShell Remoting تقنية لها استخدامات سليمة ، ولكن كثير من المهاجمين يستخدمونها لصالحهم. في هذا المقال تم استخدام هذه التقنيات في بيئة معمل مخصصة للاختبارات. ولكن ، تفعيل PoweShell logging يمكن ان يساعد في الكشف عن كثير من الاستخدامات السيئة لكل من PowerShell وPowerShell Remoting.

لمزيد من المعلومات عن Powershell remoting يرجى زيارة موقع microsoft

https://learn.microsoft.com/en-us/powershell/scripting/learn/remoting/winrmsecurity?view=powershell-7.3

لنبدأ مع المثال العملي في استخدام شات جي بي تي في اتمتة الاستجابة للحوادث الامنية.
تم كتابة هذا script لجمع المعلومات الاساسية عن اي نظام مثل اسم الكمبيوتر ، الذاكره ، المعالج وغيرها من المعلومات الاساسية. كتب ChateGPT هذا الـ script وحفظ نتائج الـ script في ملف نصي لاستعراضه لاحقاً. والان لنتأكد اذا ما كان الـ script يعمل بالشكل الصحيح ، بما انه تم كتابته باستخدام الذكاء الاصطناعي.
رائع ! ، ChateGPT قد كتب الـ script قادر على جمع المعلومات بدون اي مشاكل.

نستكشف اكثر ونجمع معلومات عن جميع البرامج المثبتة على النظام و running processes وايضا Network connections
سوف نقوم بتنفيذ هذا الـ script على احد الانظمة باستخدام تقنية PowerShell Remoting عن بعد باستخدام الامر التالي:

Invoke-Command -ComputerName {Your_Target_HostName1} -FilePath .\ChatGPTScript1.ps1 > OmarResults.txt
ممتاز! تم تنفيذ الـ Script بنجاح على النظام عن بعد وتم حفظ النتائج في ملف. بإمكان ChatGPT جمع الكثير من المعلومات المهمه لأي محلل للاستجابة للحوادث الامنية. بالاسفل قائمة ببعض المعلومات والـ Artifacts التي من الممكن تكون مفيدة في اي تحقيق او استجابة للحوادث الامنية. user activity, user account management, system configuration, scheduled tasks, Windows service activity, PowerShell activity, process execution, image load, network activity, process access, authentication events, DLL injection, and COM object activity.

هندسة الرصد والاكتشاف

1-كتابة YARA RULE للكشف عن مؤشرات اختراق معنية
2-توجيه سؤال ChatGPT عن اخر الثغرات المكتشفة.
3-إجراء تحليل مباشر.

1-كتابة YARA RULE للكشف عن مؤشرات اختراق معنية

واحدة من اهم المزايا التي يمكن عملها مع ChatGPT هي كتابة قواعد الرصد والاكتشاف مثل YARA. وبما ان شات جي بي تي قادر على كتابة اكواد معقدة ، باستطاعته ايضا كتابة وتوليد YARA Rule بناءاً على مؤشرات الاختراق التي يتم توفيرها له. هنا مثال على مؤشرات اختراق تم توفيرها لـChatGPT.
طبعا ، بإمكانك سؤال ChatGPT لتغيير كل الشروط بناء على مدخلاتك ، بإمكانك بناء شروط معقده ، ولكن ، في هذا المقال طلبنا من شات جي بي تي ان يكتب شيء بسيط فقط.

2-سؤال ChatGPT عن اخر الثغرات المكتشفة.

شات جي بي تي يمكن ان يساعدك في فهم اخر مستجدات الثغرات على المستوى التقني وبتفاصيل تقنية مذهله ، سواء كنت تبحث عن شرح تقني او تبسيط لمفهوم الثغره ، شات جي بي تي يمكن ان يوفره لك. يمكن استخدام ChatGPT لشرح اكثر الثغرات تعقيداً وبالتفاصيل المملة.
3-إجراء تحليل مباشر.

استخدمنا ChatGPT لإجراء تحليل مباشر من PowerShell وقام ChatGPT بعمل التالي:

تحميل برنامج معين ، مثل ، Autorun.exe من موقع Microsoft وتثبيته على النظام المراد تحليله.

تشغيل البرنامج على النظام

مراجعه نتائج تشغيل البرنامج وتحليلها والبحث عن نتائج معينة مثل LaunchString

تمرير النتائج الى ChaGPT API لتحليلها وتحديد ما اذا كانت خبيثة أم لا
الخاتمة

وفي الختام ، من الممكن ان يكون ChaGPT غير كافي ، او غير فعال في بيئات Production الا أنه ممكن ان يكون ذا قيمة عالية جدا على الاقل في اتمتة المهام المتكررة ، وقد يفتح افاق جديده لاستخدامات اخرى في المستقبل. مع شات جي بي تي ، الامكانيات والفرص لا تنتهي ابداً ، يمكن ان تساعد في اتمتة جمع البيانات ، كتابة قواعد الرصد والاكتشاف ، تقليل وقت الاستجابة للحوادث الامنية وتقليل مخاطر الاستجابة للحوادث الامنية ، كل هذا يساعد في تطوير وتقليل مؤشرات الاداء الخاصة في الاستجابة للحوادث الامنية. تذكر دائما ، يجب ان تبني سؤالك بالطريقه الصحيحة للحصول على افضل اجابة. وكما يقال ، السؤال الصحيح نصف الاجابة.

ترقبوا الجزء الثاني.

لمشاركة هذه المدونة
تابعنا
طور مهاراتك من خلال متابعة آخر منشورات فريقنا
مدونات آخرى