Co znajdziesz w tym artykule?
Co to jest i skąd się wzięło?
Firma MITRE wprowadziła ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) w 2013 roku jako sposób na opisanie i kategoryzację zachowań przeciwnika w oparciu o obserwacje w świecie rzeczywistym. ATT&CK to uporządkowana lista znanych zachowań atakujących, które zostały zebrane w taktyki i techniki i wyrażone w kilku matrycach.
Lista ta jest dość obszerną reprezentacją zachowań, które atakujący stosują podczas włamywania się do sieci, jest przydatna do różnych pomiarów, reprezentacji i innych mechanizmów ofensywnych i defensywnych. Zrozumienie macierzy MITRE ATT&CK należy rozpocząć od zrozumienie podziału jaki został zastosowany.
Podział macierzy
Firma podzieliła ATT&CK na kilka różnych macierzy:
Każda z tych matryc zawiera różne taktyki i techniki związane z tematyką tej matrycy. Macierz Enterprise składa się z technik i taktyk, które mają zastosowanie do systemów Windows, Linux i/lub MacOS. Mobile zawiera taktyki i techniki, które mają zastosowanie do urządzeń mobilnych. PRE-ATT&CK zawiera taktyki i techniki związane z tym, co robią napastnicy, zanim spróbują wykorzystać określoną sieć lub system docelowy.
Patrząc na ATT&CK w formie macierzy, tytuły kolumn u góry są taktykami i zasadniczo kategoriami technik. Taktyki są tym, co atakujący próbują osiągnąć, podczas gdy poszczególne techniki to sposób, w jaki osiągają te kroki lub cele.
Przykłady
Na przykład jedną z taktyk jest ruch boczny (Lateral Movement).
Aby napastnik z powodzeniem osiągnął ruch boczny w sieci, będzie chciał zastosować jedną lub więcej technik wymienionych w kolumnie Ruch boczny w macierzy ATT&CK. Technika to określone zachowanie służące do osiągnięcia celu i często jest to pojedynczy krok w ciągu działań służących do wykonania ogólnej misji napastnika. ATT&CK zawiera wiele szczegółów na temat każdej techniki, w tym opis, przykłady, odniesienia i sugestie dotyczące łagodzenia i wykrywania.
Działanie taktyk i technik w ATT&CK
Działanie taktyk i technik w ATT&CK możemy zobrazować następująco – atakujący może chcieć uzyskać dostęp do sieci i zainstalować oprogramowanie do wydobywania kryptowalut na jak największej liczbie systemów wewnątrz tej sieci. Aby osiągnąć ten ogólny cel, atakujący musi pomyślnie wykonać kilka kroków pośrednich. Najpierw uzyskaj dostęp do sieci – być może przez Spearphishing Link. Następnie może potrzebować eskalacji uprawnień poprzez wstrzykiwanie procesu. Następnie uzyskać inne poświadczenia z systemu za pomocą zrzutu poświadczeń, a kolejnym krokiem będzie ustalenie trwałości, ustawiając skrypt wyszukiwania tak, aby działał jako zaplanowane zadanie. Po osiągnięciu tego atakujący może poruszać się w poprzek sieci za pomocą funkcji Pass the Hash i rozpowszechniać swoje oprogramowanie do wydobywania monet na tak wiele systemów, jak to możliwe.
W tym przykładzie atakujący musiał pomyślnie wykonać pięć kroków – każdy reprezentujący określoną taktykę lub etap ogólnego ataku: dostęp początkowy, eskalacja przywilejów, dostęp do poświadczeń, wytrwałość i ruch na boki. Wykorzystał określone techniki w ramach tych taktyk, aby ukończyć każdy etap swojego ataku (link do spearphishingu, wstrzykiwanie procesu, zrzucanie poświadczeń itp.).
Zachodzące na siebie macierze i Cyber Kill Chain
PRE-ATT&CK i ATT&CK Enterprise łączą się, tworząc pełną listę taktyk, które z pokrywają się z frameworkiem firmy Lockheed Martin Cyber Kill Chain. PRE-ATT&CK głównie łączy się z pierwszymi trzema fazami Cyber Kill Chain: econnaissance, weaponization i delivery. ATT&CK Enterprise dobrze dopasowuje się do ostatnich czterech faz łańcucha exploitation, installation, command & control oraz actions on objectives.
ATT&CK sprawdza się w wielu codziennych sytuacjach. Wszelkie działania obronne, które odnoszą się do atakujących i ich zachowań, mogą skorzystać na zastosowaniu taksonomii ATT&CK. Oprócz oferowania wspólnego leksykonu dla cyberobrońców, ATT&CK zapewnia również podstawę do testów penetracyjnych i tworzenia Red Team. Daje to obrońcom i drużynom pentesterów wspólny język w odniesieniu do zachowań przeciwnika.
Przykłady, w których zastosowanie taksonomii ATT&CK może być przydatne:
- Mapowanie kontroli defensywnych (Mapping defensive controls).
- Polowanie na zagrożenia (threat hunting).
- Wykrycia i dochodzenia (Detections and Investigations).
- Integracje narzędzi (Tools Integrations).
- Działania zespołu czerwonego/testu penetracyjnego.
Użyj ATT&CK, aby odwzorować obronę i zrozumieć luki
Naturalną skłonnością większości zespołów ds. bezpieczeństwa, patrząc na MITRE ATT&CK, jest próba opracowania pewnego rodzaju kontroli wykrywania lub zapobiegania dla każdej techniki w macierzy przedsiębiorstwa. Chociaż nie jest to beznadziejny pomysł, niuanse ATT&CK sprawiają, że takie podejście jest nieco niebezpieczne, jeśli nie pamięta się o pewnych zastrzeżeniach. Techniki w macierzach ATT&CK można często wykonywać na różne sposoby. Tak więc zablokowanie lub wykrycie jednego sposobu ich wykonania niekoniecznie oznacza, że istnieje pokrycie dla każdego możliwego sposobu wykonania tej techniki. Może to prowadzić do fałszywego poczucia bezpieczeństwa, ponieważ narzędzie blokuje jedną formę zastosowania techniki, technika ta jest odpowiednio przykryta dla organizacji.
Osoby atakujące mogą nadal z powodzeniem stosować inne sposoby wykorzystania tej techniki bez żadnego wykrywania ani zapobiegania.
Sposób rozwiązania tego problemu jest następujący:
- Zawsze zakładaj, że istnieje więcej niż jeden sposób wykonania techniki ATT&CK;
- Zbadaj i przetestuj znane sposoby wykonywania określonych technik oraz mierzenia skuteczności narzędzi i widoczności w miejscu;
- Uważnie rejestruj wyniki testów, aby pokazać, gdzie istnieją luki w tej technice i jakie sposoby zastosowania tej techniki można zapobiec lub wykryć;
- Zwróć uwagę, które narzędzia okazują się skuteczne w określonych wykryciach i zwróć uwagę na luki w przypadku braku zasięgu;
- Bądź na bieżąco z nowymi sposobami wykonywania technik i upewnij się, że testujesz je w środowisku, aby zmierzyć zasięg;
Najlepsze praktyki dotyczące korzystania z ATT&CK
Poniżej znajduje się lista najlepszych praktyk dotyczących ATT&CK: Stosuj taktyki, w których techniki są niejednoznaczne lub trudne do ustalenia Śledź zewnętrzne badania dotyczące wykrywania i łagodzenia Złośliwe oprogramowanie Archeologia Windows Logging Cheat Sheets JP-CERT wykrywający ruch boczny JP-CERT Polecenia Windows nadużywane przez atakujących. Podziel się odkrytymi metodami wykrywania i łagodzenia Dziel się taktykami i technikami zaobserwowanych zachowań napastników. Wykorzystaj integrację ATT&CK w istniejących narzędziach. Zachęć dostawców i usługodawców do dodania obsługi ATT&CK tam, gdzie byłoby to przydatne.
Narzędzia i zasoby związane z ATT&CK
Najlepszym miejscem do rozpoczęcia z ATT&CK jest zawsze strona internetowa MITRE ATT&CK. MITRE prowadzi również bloga o ATT&CK na portalu Medium.
Inne narzędzia i zasoby powiązane z tym frameworkiem:
- Nawigator ATT&CK Navigator to świetne narzędzie do mapowania w stosunku do technik ATT&CK. Można dodawać warstwy, które pokazują konkretnie kontrole detektywistyczne.
Navigatora można używać online do szybkich makiet lub scenariuszy lub można go pobrać i skonfigurować wewnętrznie jako bardziej trwałe rozwiązanie. - Uber Metta to projekt open source firmy Uber, który przeprowadza symulację przeciwników i jest zgodny z MITRE ATT&CK.
- MITRA Caldera to otwarto źródłowe, zautomatyzowane narzędzie do symulacji przeciwników, oparte na MITRE ATT&CK.
- Red Canary Atomic Red Team to narzędzie typu open source firmy Red Canary do symulowania wrogich zachowań zmapowanych na MITRE ATT&CK.
- Endgame Red Team Automation to narzędzie open-source firmy Endgame, które testuje złośliwe zachowanie wzorowane na MITRE ATT&CK.
- Malware Archeology Windows ATT&CK Logging Cheat Sheet – zaufani specjaliści z Malware Archeology udostępniają szereg ściągawek do rejestrowania systemu Windows, aby pomóc obrońcom w wykrywaniu złośliwej aktywności w dziennikach.
- MITRE Cyber Analytics Repozytorium (CAR) MITRE posiada zasób o nazwie Cyber Analytics Repository (CAR), który jest stroną odniesienia do różnych analiz przydatnych do wykrywania zachowań w MITRE ATT&CK.
- ATT&CK Tableau Table autorstwa Cyb3rPanda
- Palo Alto Unit 42 Playbook Viewer – Palo Alto wydała bezpłatną przeglądarkę podręczników, która pokazuje znane zachowania wrogie dla kilku grup zagrożeń dopasowanych do MITRE ATT&CK.
- Anomali Cyber Watch Ten to bezpłatny cotygodniowy raport, który zawiera najważniejsze zmiany w zakresie bezpieczeństwa i zagrożeń w danym tygodniu.
Podsumowanie
MITRE wniósł znaczący wkład w społeczność zajmującą się bezpieczeństwem, udostępniając nam ATT&CK oraz powiązane z nim narzędzia i zasoby. Cybernapastnicy szukają sposobów na większą niewidzialność i unikanie wykrycia przez tradycyjne narzędzia bezpieczeństwa, obrońcy muszą zmienić swoje podejście do wykrywania i obrony. ATT&CK przenosi naszą percepcję ze wskaźników niskiego poziomu, takich jak adresy IP i nazwy domen, i powoduje, że postrzegamy atakujących i naszą obronę przez pryzmat zachowań. Ta nowa percepcja nie oznacza jednak, że wyniki przyjdą łatwo. Droga wykrywania i zapobiegania zachowaniom jest o wiele trudniejszą ścieżką niż dawne narzędzia typu „odpal i zapomnij”. Ponadto atakujący z pewnością będą się dostosowywać, ponieważ obrońcy wprowadzają nowe możliwości. ATT&CK zapewnia sposób na opisanie wszelkich nowych technik, które opracują, i miejmy nadzieję, że utrzymają obrońców w kroku.