Что такое база знаний MITRE ATT&CK и зачем она нужна

Возможности ATT&CK

Базу знаний ATT&CK можно успешно использовать при выполнении различных повседневных операций. Эффективность любых мер защиты, которые учитывают особенности злоумышленников и их поведения, значительно возрастет при применении таксономии ATT&CK. Помимо предоставления общего лексикона для специалистов по информационной безопасности, ATT&CK также обеспечивает основу для тестирования на проникновение и имитации целенаправленных кибератак (группой Red Team). Это позволяет специалистам по информационной безопасности и группе Red Team найти общий язык, обсуждая поведение злоумышленников.

Примеры областей применения таксономии ATT&CK:

Используйте ATT&CK для планирования средств управления защитой и понимания слабых мест

Естественной первой реакцией большинства групп по обеспечению информационной безопасности при взгляде на MITRE ATT&CK бывает попытка разработать некое средство управления обнаружением или предотвращением для каждой техники в матрице Enterprise. Эту идею нельзя назвать «провальной», но все же нюансы ATT&CK делают этот подход достаточно коварным, если не учесть некоторые оговорки. Применение техник в матрицах ATT&CK может происходить различными способами. И потому блокирование или обнаружение одного способа их применения не обязательно означает, что будут охвачены все возможные способы применения этой техники. Это может привести к ложному ощущению безопасности из-за уверенности в том, что, поскольку инструмент блокирует один из способов применения техники, то организация надлежащим образом защищена от применения этой техники в целом. При этом злоумышленники могут успешно применять эту технику другими способами, не будучи обнаруженными и остановленными.

Решение этой проблемы выглядит следующим образом:

• Всегда исходите из предположения, что существует несколько способов применения техники ATT&CK
• Изучите и протестируйте известные способы применения конкретных техник и определите эффективность используемых инструментов и видимость действий злоумышленников
• Тщательно документируйте результаты тестов, чтобы выявить места, уязвимые к этой технике, и определить способы применения этой техники, которые можно предотвратить или обнаружить
• Фиксируйте, какие инструменты оказываются эффективными при обнаружении определенных угроз, и отмечайте слабые места, в которых защита вообще отсутствует
• Будьте в курсе новых способов применения техник и обязательно тестируйте их в корпоративной среде, чтобы оценить степень защиты

Например, если антивирусная программа обнаруживает присутствие Mimikatz, это не означает, что система защищена от Pass the Hash (T1075) и Pass the Ticket (T1097), так как существует еще несколько способов применения этих техник, которые не включают использования Mimikatz. Об этом необходимо помнить при использовании ATT&CK для демонстрации степени защиты в организации.

Использование ATT&CK в сочетании с анализом киберугроз

ATT&CK можно успешно применять для анализа киберугроз, так как это позволит описать поведение злоумышленников в унифицированной форме. Злоумышленников можно отслеживать путем сопоставления с техниками и тактиками в ATT&CK, характерными именно для них. Так специалисты по информационной безопасности получают план мероприятий, которые нужно провести в отношении средств оперативного контроля для выявления сильных и слабых сторон защиты от определенных источников угроз. Создание записей в MITRE ATT&CK Navigator для конкретных источников угроз является хорошим способом визуализации сильных и слабых сторон среды с точки зрения защиты от этих злоумышленников или групп. База ATT&CK также доступна в виде фида STIX/TAXII 2.0, что упрощает загрузку в существующие инструменты, поддерживающие эти технологии.

ATT&CK содержит подробную информацию о почти семидесяти злоумышленниках и группах с указанием техник и инструментов, которые они, как правило, используют, что подтверждается отчетами из открытых источников.

Список групп MITRE ATT&CK

Сам процесс сбора и обработки аналитических данных можно усовершенствовать с помощью профессиональной терминологии ATT&CK. Как уже упоминалось ранее, эту базу знаний можно применять не только к источникам угроз и группам, но и к наблюдаемому поведению, как это видно из деятельности SOC или специалистов по реагированию на инциденты. Вредоносное ПО также можно описать с точки зрения поведения, указанного в ATT&CK. Любые средства анализа угроз, поддерживающие ATT&CK, дополнительно упрощают этот процесс. Коммерческие и открытые источники аналитической информации, использующие ATT&CK, также помогают обеспечить единообразный подход. Предоставление аналитической информации оперативным подразделениям организации или руководству в конечном итоге становится намного проще, если все стороны говорят о поведении злоумышленников на одном языке. Если оперативное подразделение точно понимает, что представляет из себя принудительная аутентификация, и видит ее в отчете по анализу угроз, его специалисты могут с точностью определить, какие действия следует предпринять или какие уже существуют средства контроля, актуальные с точки зрения данной аналитической информации. Стандартизация ссылок на ATT&CK в продуктах для анализа угроз может таким образом значительно повысить эффективность и обеспечить единое понимание.

Имитация действий злоумышленников и ATT&CK

Тестирование техник, описываемых в ATT&CK, в корпоративной среде является наилучшим способом выполнить следующее:

• проверить средства управления и их эффективность;
• обеспечить необходимую степень защиты от различных техник;
• проанализировать слабые места в обеспечении видимости и защите;
• проверить конфигурацию инструментов и систем;
• продемонстрировать области среды, где действия различных злоумышленников будут успешными или будут обнаружены;
• исключить догадки и предположения об эффективности средств управления и получить точное представлением о том, что они способны обнаружить или предотвратить, а что нет

Процессы имитации действий злоумышленников активно используются во многих средах. При привлечении специалистов для тестирования среды на проникновение организации проводят тестирование путем имитации действий злоумышленников. То же самое относится и к организациям, в которых созданы внутренние группы Red Team или используются услуги групп Purple Team. Использование в этих мероприятиях техник из ATT&CK улучшает понимание результатов специалистами по информационной безопасности. Вместо того чтобы сообщать о невозможности обнаружения определенных действий, отчеты о результатах тестирования на проникновение и тестирования Red Team могут содержать контекст, который позволит эффективно принимать меры непосредственно в отношении средств оперативного контроля, защитных инструментов и процедур. Это позволяет специалистам по информационной безопасности принимать более эффективные меры на основании отчетов.

Имитация действий злоумышленников может проводиться таким образом, чтобы моделировать инструменты и техники, характерные для определенных злоумышленников. Это может быть особенно полезно при попытке оценить, насколько успешно некоторые злоумышленники могут противодействовать средствам управления, предусмотренным в среде.

Кроме того, есть инструменты, которые предоставляют механизмы тестирования определенных техник непосредственно внутри среды и уже согласованы с ATT&CK. Коммерческие инструменты, такие как Verodin, SafeBreach и AttackIQ, обеспечивают возможность смоделировать действия злоумышленников в соответствии с ATT&CK. Существует несколько инструментов с открытым исходным кодом для имитации действий злоумышленников, которые также согласованы с ATT&CK (перечислены ниже). Сохраняйте бдительность при проведении имитации действий злоумышленников в производственных сетях, где масштаб потенциальных последствий понятен не полностью.

• MITRE Caldera
• Uber Metta
• Endgame Red Team Automation (RTA)
• Red Canary Atomic Red Team

Процесс использования этих инструментов прост:

1. Имитация: выберите критерии имитации, необходимые для проведения тестирования, затем запустите инструмент или выполните процедуру вручную.
2. Поиск: изучите логи и результаты работы инструмента на наличие признаков симулированной деятельности; обратите внимание на меры обраружения и предотвращения, не оправдавшие ожиданий.
3. Обнаружение: добавьте новые средства обнаружения или смягчения последствий с учетом полученных данных; также обратите внимание на любые слабые места в обеспечении видимости и в любых инструментах, используемых для обнаружения или снижения риска.

Проблемы при использовании ATT&CK

UИспользование ATT&CK не обходится без проблем. При использовании ATT&CK следует помнить об этом.