Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Матрица ATT&CK. Как устроен язык описания угроз и как его используют
Содержание статьи
- Зачем нам ATT&CK
- Правила CAPA
- Выводы
MITRE ATT&CK — одна из популярнейших методологий среди специалистов по информационной безопасности. В этой статье мы расскажем, как создавалась и как устроена база знаний, при помощи которой описывают возможности малвари, составляют профили APT-группировок и пишут правила для автоматизации расследований.
Итак, что такое MITRE и что за атаки? MITRE — это некоммерческая организация, которая работает в США и управляет центрами исследований и разработок на уровне федерального правительства и местного самоуправления. В зону интересов MITRE входят: искусственный интеллект, квантовая информатика, информатика в области здравоохранения, космическая безопасность, обмен данными о киберугрозах и средствах защиты и так далее.
В сфере информационной безопасности корпорация MITRE известна благодаря списку CVE (Common Vulnerabilities and Exposures) cve.mitre.org. Это база общеизвестных уязвимостей, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, где структурируют и хранят данные по багам в ПО. Именно эти базы используют злоумышленники при первой попытке проникнуть в инфраструктуру жертвы после сканирования сети.
CVE — не единственный проект MITRE, связанный с защитой информации. Существуют и активно развиваются также такие направления:
- ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это структурированный список известных техник, приемов и тактик злоумышленников, представленный в виде таблиц;
- Structured Threat Information Expression (STIX) — это язык и формат сериализации, используемый для обмена информацией о киберугрозах (CTI — Cyber Threat Intelligence) между системами информационной безопасности;
- CAR (Cyber Analytics Repository) — база знаний, разработанная на основе модели ATT&CK. Она может быть представлена в виде псевдокода, и команды защитников могут использовать ее при создании логики детектирования в системах защиты;
- SHIELD Active Defense — база знаний по активной защите, которая систематизирует методы безопасности и дополняет меры снижения рисков, представленные в ATT&CK;
- AEP (ATT&CK Emulation Plans) — это способы моделирования поведения злоумышленника на основе определенного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.
Отечественные регуляторы, кстати, тоже занимаются подобными исследованиями — 5 февраля 2021 года ФСТЭК России выпустил методическое пособие по оценке угроз безопасности информации. На тридцатой странице показан пример сценария атаки.
Фрагмент методического пособия
В народе эту таблицу уже прозвали FST&CK, но это уже совсем другая история…
Зачем нам ATT&CK
MITRE представил матрицу ATT&CK в 2013 году как способ описания и категоризации поведения злоумышленников (составления паттернов поведения) на основе реальных наблюдений. Прежде чем начать разбирать, как пользоваться матрицей, давай пройдемся по основным понятиям (не переживай, их всего три).
APT (Advanced Persistent Threat) — это группа злоумышленников или даже страна, которые участвуют в продолжительных кибератаках на организации или страны. Дословный перевод термина — продвинутая постоянная угроза. Прочитав всю статью, ты поймешь, что особо продвинутого ничего нет.
www
Большой список известных APT-групп, который ведут фанаты информационной безопасности.
Наборы TTP (техники, тактики и процедуры), расшифровываются следующим образом:
- тактика — как злоумышленник действует на разных этапах своей операции, какая цель или задача злоумышленника на определенным шаге, например: TA0002 Execution — это когда злоумышленник пытается запустить свой вредоносный код. Да, звучит банально, но ты посмотри, что будет дальше;
- техника — как злоумышленник достигает цели или поставленной задачи, какие использует инструменты, технологии, код, эксплоиты, утилиты и так далее. Пример: T1059.001 PowerShell — использование PowerShell при атаке;
- процедура — как эта техника выполняется и для чего. Например: вредоносная программа, используя PowerShell, скачивает пейлоад, который, в свою очередь, загружает Cobalt Strike для попытки запуска на удаленных хостах (чуешь, что тут произошло объединение техники и тактики?).
Как вообще действует атакующий? Он открывает свой учебник для мамкиных хакеров, где на второй странице знакомится с понятием Kill Chain. Kill Chain, то есть «цепочка убийства», — модель, определяющая последовательность действий, ведущих нарушителя к цели. Она состоит из ряда обычно последовательных этапов:
- reconnaissance — разведка;
- weaponization — подготовка к атаке, определение инструментария и delivery — доставка;
- exploitation — эксплуатация арсенала;
- installation — установка;
- command & control (С2) — управление через командные серверы;
- lateral movement — горизонтальное перемещение, распространение внутри сети;
- objectives — целевое воздействие.
Матрица MITRE ATT&CK началась с внутреннего проекта, известного как FMX (Fort Meade Experiment). В рамках его специалистам по безопасности поставили задачу имитировать враждебные TTP против сети, а данные об атаках на эту сеть затем собирали и анализировали. Именно эти данные потом легли в основу ATT&CK. Поскольку матрица ATT&CK представляет собой довольно полное описание поведения, которое злоумышленники используют при взломе сетей, матрица полезна для различных наступательных и защитных измерений, представлений и других механизмов (например, моделирования угроз по ФСТЭК).
MITRE разбил ATT&CK на несколько сводных матриц:
- Enterprise — TTP, используемые при атаках на организации;
- Mobile — TTP, связанные с переносными устройствами;
- ICS — Industrial Control Systems, TTP для индустриальных систем.
Источник: xakep.ru
