Co To Jest MITRE ATT&CK™? - Security Bez Tabu

Co To Jest MITRE ATT&CK™?

Co to jest i skąd się wzięło?

Firma MITRE wprowadziła ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) w 2013 roku jako sposób na opisanie i kategoryzację zachowań przeciwnika w oparciu o obserwacje w świecie rzeczywistym. ATT&CK to uporządkowana lista znanych zachowań atakujących, które zostały zebrane w taktyki i techniki i wyrażone w kilku matrycach.

Lista ta jest dość obszerną reprezentacją zachowań, które atakujący stosują podczas włamywania się do sieci, jest przydatna do różnych pomiarów, reprezentacji i innych mechanizmów ofensywnych i defensywnych. Zrozumienie macierzy MITRE ATT&CK należy rozpocząć od zrozumienie podziału jaki został zastosowany.

Podział macierzy

Firma podzieliła ATT&CK na kilka różnych macierzy:

Każda z tych matryc zawiera różne taktyki i techniki związane z tematyką tej matrycy. Macierz Enterprise składa się z technik i taktyk, które mają zastosowanie do systemów Windows, Linux i/lub MacOS. Mobile zawiera taktyki i techniki, które mają zastosowanie do urządzeń mobilnych. PRE-ATT&CK zawiera taktyki i techniki związane z tym, co robią napastnicy, zanim spróbują wykorzystać określoną sieć lub system docelowy.

Patrząc na ATT&CK w formie macierzy, tytuły kolumn u góry są taktykami i zasadniczo kategoriami technik. Taktyki są tym, co atakujący próbują osiągnąć, podczas gdy poszczególne techniki to sposób, w jaki osiągają te kroki lub cele.

Przykłady

Na przykład jedną z taktyk jest ruch boczny (Lateral Movement).

Aby napastnik z powodzeniem osiągnął ruch boczny w sieci, będzie chciał zastosować jedną lub więcej technik wymienionych w kolumnie Ruch boczny w macierzy ATT&CK. Technika to określone zachowanie służące do osiągnięcia celu i często jest to pojedynczy krok w ciągu działań służących do wykonania ogólnej misji napastnika. ATT&CK zawiera wiele szczegółów na temat każdej techniki, w tym opis, przykłady, odniesienia i sugestie dotyczące łagodzenia i wykrywania.

Działanie taktyk i technik w ATT&CK

Działanie taktyk i technik w ATT&CK możemy zobrazować następująco – atakujący może chcieć uzyskać dostęp do sieci i zainstalować oprogramowanie do wydobywania kryptowalut na jak największej liczbie systemów wewnątrz tej sieci. Aby osiągnąć ten ogólny cel, atakujący musi pomyślnie wykonać kilka kroków pośrednich. Najpierw uzyskaj dostęp do sieci – być może przez  Spearphishing Link. Następnie może potrzebować eskalacji uprawnień poprzez wstrzykiwanie procesu. Następnie uzyskać inne poświadczenia z systemu za pomocą zrzutu poświadczeń, a kolejnym krokiem będzie ustalenie trwałości, ustawiając skrypt wyszukiwania tak, aby działał jako zaplanowane zadanie. Po osiągnięciu tego atakujący może poruszać się w poprzek sieci za pomocą funkcji Pass the Hash i rozpowszechniać swoje oprogramowanie do wydobywania monet na tak wiele systemów, jak to możliwe.

W tym przykładzie atakujący musiał pomyślnie wykonać pięć kroków – każdy reprezentujący określoną taktykę lub etap ogólnego ataku: dostęp początkowy, eskalacja przywilejów, dostęp do poświadczeń, wytrwałość i ruch na boki. Wykorzystał określone techniki w ramach tych taktyk, aby ukończyć każdy etap swojego ataku (link do spearphishingu, wstrzykiwanie procesu, zrzucanie poświadczeń itp.).

Zachodzące na siebie macierze i Cyber Kill Chain

PRE-ATT&CK i ATT&CK Enterprise łączą się, tworząc pełną listę taktyk, które z pokrywają się z frameworkiem firmy Lockheed Martin Cyber Kill Chain. PRE-ATT&CK głównie łączy się z pierwszymi trzema fazami Cyber Kill Chain: econnaissance, weaponization i  delivery. ATT&CK Enterprise dobrze dopasowuje się do ostatnich czterech faz łańcucha exploitation, installation, command & control oraz actions on objectives.

ATT&CK sprawdza się w wielu codziennych sytuacjach. Wszelkie działania obronne, które odnoszą się do atakujących i ich zachowań, mogą skorzystać na zastosowaniu taksonomii ATT&CK. Oprócz oferowania wspólnego leksykonu dla cyberobrońców, ATT&CK zapewnia również podstawę do testów penetracyjnych i tworzenia Red Team. Daje to obrońcom i drużynom pentesterów wspólny język w odniesieniu do zachowań przeciwnika.

Przykłady, w których zastosowanie taksonomii ATT&CK może być przydatne:

  • Mapowanie kontroli defensywnych (Mapping defensive controls).
  • Polowanie na zagrożenia (threat hunting).
  • Wykrycia i dochodzenia (Detections and Investigations).
  •  Integracje narzędzi (Tools Integrations).
  • Działania zespołu czerwonego/testu penetracyjnego.

Użyj ATT&CK, aby odwzorować obronę i zrozumieć luki

Naturalną skłonnością większości zespołów ds. bezpieczeństwa, patrząc na MITRE ATT&CK, jest próba opracowania pewnego rodzaju kontroli wykrywania lub zapobiegania dla każdej techniki w macierzy przedsiębiorstwa. Chociaż nie jest to beznadziejny pomysł, niuanse ATT&CK sprawiają, że takie podejście jest nieco niebezpieczne, jeśli nie pamięta się o pewnych zastrzeżeniach. Techniki w macierzach ATT&CK można często wykonywać na różne sposoby. Tak więc zablokowanie lub wykrycie jednego sposobu ich wykonania niekoniecznie oznacza, że ​​istnieje pokrycie dla każdego możliwego sposobu wykonania tej techniki. Może to prowadzić do fałszywego poczucia bezpieczeństwa, ​​ponieważ narzędzie blokuje jedną formę zastosowania techniki, technika ta jest odpowiednio przykryta dla organizacji.

Osoby atakujące mogą nadal z powodzeniem stosować inne sposoby wykorzystania tej techniki bez żadnego wykrywania ani zapobiegania.

Sposób rozwiązania tego problemu jest następujący:

  • Zawsze zakładaj, że istnieje więcej niż jeden sposób wykonania techniki ATT&CK;
  • Zbadaj i przetestuj znane sposoby wykonywania określonych technik oraz mierzenia skuteczności narzędzi i widoczności w miejscu;
  • Uważnie rejestruj wyniki testów, aby pokazać, gdzie istnieją luki w tej technice i jakie sposoby zastosowania tej techniki można zapobiec lub wykryć;
  • Zwróć uwagę, które narzędzia okazują się skuteczne w określonych wykryciach i zwróć uwagę na luki w przypadku braku zasięgu;
  • Bądź na bieżąco z nowymi sposobami wykonywania technik i upewnij się, że testujesz je w środowisku, aby zmierzyć zasięg;

Najlepsze praktyki dotyczące korzystania z ATT&CK

Poniżej znajduje się lista najlepszych praktyk dotyczących ATT&CK: Stosuj taktyki, w których techniki są niejednoznaczne lub trudne do ustalenia Śledź zewnętrzne badania dotyczące wykrywania i łagodzenia Złośliwe oprogramowanie Archeologia Windows Logging Cheat Sheets JP-CERT wykrywający ruch boczny JP-CERT Polecenia Windows nadużywane przez atakujących. Podziel się odkrytymi metodami wykrywania i łagodzenia Dziel się taktykami i technikami zaobserwowanych zachowań napastników. Wykorzystaj integrację ATT&CK w istniejących narzędziach. Zachęć dostawców i usługodawców do dodania obsługi ATT&CK tam, gdzie byłoby to przydatne.

Narzędzia i zasoby związane z ATT&CK

Najlepszym miejscem do rozpoczęcia z ATT&CK jest zawsze strona internetowa MITRE ATT&CK. MITRE prowadzi również bloga o ATT&CK na portalu Medium.
Inne narzędzia i zasoby powiązane z tym frameworkiem:

  1. Nawigator ATT&CK Navigator to świetne narzędzie do mapowania w stosunku do technik ATT&CK. Można dodawać warstwy, które pokazują konkretnie kontrole detektywistyczne.
    Navigatora można używać online do szybkich makiet lub scenariuszy lub można go pobrać i skonfigurować wewnętrznie jako bardziej trwałe rozwiązanie.
  2. Uber Metta to projekt open source firmy Uber, który przeprowadza symulację przeciwników i jest zgodny z MITRE ATT&CK.
  3. MITRA Caldera to otwarto źródłowe, zautomatyzowane narzędzie do symulacji przeciwników, oparte na MITRE ATT&CK.
  4. Red Canary Atomic Red Team to narzędzie typu open source firmy Red Canary do symulowania wrogich zachowań zmapowanych na MITRE ATT&CK.
  5. Endgame  Red Team Automation to narzędzie open-source firmy Endgame, które testuje złośliwe zachowanie wzorowane na MITRE ATT&CK.
  6. Malware Archeology Windows ATT&CK Logging Cheat Sheet – zaufani specjaliści z Malware Archeology udostępniają szereg ściągawek do rejestrowania systemu Windows, aby pomóc obrońcom w wykrywaniu złośliwej aktywności w dziennikach. 
  7. MITRE Cyber ​​Analytics Repozytorium (CAR) MITRE posiada zasób o nazwie Cyber ​​Analytics Repository (CAR), który jest stroną odniesienia do różnych analiz przydatnych do wykrywania zachowań w MITRE ATT&CK.
  8. ATT&CK Tableau Table autorstwa Cyb3rPanda
  9. Palo Alto Unit 42 Playbook Viewer – Palo Alto wydała bezpłatną przeglądarkę podręczników, która pokazuje znane zachowania wrogie dla kilku grup zagrożeń dopasowanych do MITRE ATT&CK.
  10. Anomali Cyber ​​Watch Ten  to bezpłatny cotygodniowy raport, który zawiera najważniejsze zmiany w zakresie bezpieczeństwa i zagrożeń w danym tygodniu.

Podsumowanie

MITRE wniósł znaczący wkład w społeczność zajmującą się bezpieczeństwem, udostępniając nam ATT&CK oraz powiązane z nim narzędzia i zasoby. Cybernapastnicy szukają sposobów na większą niewidzialność i unikanie wykrycia przez tradycyjne narzędzia bezpieczeństwa, obrońcy muszą zmienić swoje podejście do wykrywania i obrony. ATT&CK przenosi naszą percepcję ze wskaźników niskiego poziomu, takich jak adresy IP i nazwy domen, i powoduje, że postrzegamy atakujących i naszą obronę przez pryzmat zachowań. Ta nowa percepcja nie oznacza jednak, że wyniki przyjdą łatwo.  Droga wykrywania i zapobiegania zachowaniom jest o wiele trudniejszą ścieżką niż dawne narzędzia typu „odpal i zapomnij”. Ponadto atakujący z pewnością będą się dostosowywać, ponieważ obrońcy wprowadzają nowe możliwości. ATT&CK zapewnia sposób na opisanie wszelkich nowych technik, które opracują, i miejmy nadzieję, że utrzymają obrońców w kroku.