CVE — не единс­твен­ный про­ект MITRE, свя­зан­ный с защитой информа­ции. Сущес­тву­ют и активно раз­вива­ются так­же такие нап­равле­ния:

• ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это струк­туриро­ван­ный спи­сок извес­тных тех­ник, при­емов и так­тик зло­умыш­ленни­ков, пред­став­ленный в виде таб­лиц;


• Structured Threat Information Expression (STIX) — это язык и фор­мат сери­али­зации, исполь­зуемый для обме­на информа­цией о киберуг­розах (CTI — Cyber Threat Intelligence) меж­ду сис­темами информа­цион­ной безопас­ности;


• CAR (Cyber Analytics Repository) — база зна­ний, раз­работан­ная на осно­ве модели ATT&CK. Она может быть пред­став­лена в виде псев­докода, и коман­ды защит­ников могут исполь­зовать ее при соз­дании логики детек­тирова­ния в сис­темах защиты;


• SHIELD Active Defense — база зна­ний по активной защите, которая сис­темати­зиру­ет методы безопас­ности и допол­няет меры сни­жения рис­ков, пред­став­ленные в ATT&CK;


• AEP (ATT&CK Emulation Plans) — это спо­собы модели­рова­ния поведе­ния зло­умыш­ленни­ка на осно­ве опре­делен­ного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.

Оте­чес­твен­ные регуля­торы, кста­ти, тоже занима­ются подоб­ными иссле­дова­ниями — 5 фев­раля 2021 года ФСТЭК Рос­сии выпус­тил ме­тоди­чес­кое пособие по оцен­ке угроз безопас­ности информа­ции. На трид­цатой стра­нице показан при­мер сце­нария ата­ки.

В народе эту таб­лицу уже проз­вали FST&CK, но это уже сов­сем дру­гая исто­рия...

Зачем нам ATT&CK

MITRE пред­ста­вил мат­рицу ATT&CK в 2013 году как спо­соб опи­сания и катего­риза­ции поведе­ния зло­умыш­ленни­ков (сос­тавле­ния пат­тернов поведе­ния) на осно­ве реаль­ных наб­людений. Преж­де чем начать раз­бирать, как поль­зовать­ся мат­рицей, давай прой­дем­ся по основным поняти­ям (не пережи­вай, их все­го три).

APT (Advanced Persistent Threat) — это груп­па зло­умыш­ленни­ков или даже стра­на, которые учас­тву­ют в про­дол­житель­ных кибера­таках на орга­низа­ции или стра­ны. Дос­ловный перевод тер­мина — прод­винутая пос­тоян­ная угро­за. Про­читав всю статью, ты пой­мешь, что осо­бо прод­винуто­го ничего нет.

www

Боль­шой спи­сок извес­тных APT-групп, который ведут фанаты информа­цион­ной безопас­ности.

На­боры TTP (тех­ники, так­тики и про­цеду­ры), рас­шифро­выва­ются сле­дующим обра­зом:

• 
  так­тика — как зло­умыш­ленник дей­ству­ет на раз­ных эта­пах сво­ей опе­рации, какая цель или задача зло­умыш­ленни­ка на опре­делен­ным шаге, нап­ример: TA0002 Execution — это ког­да зло­умыш­ленник пыта­ется запус­тить свой вре­донос­ный код. Да, зву­чит баналь­но, но ты пос­мотри, что будет даль­ше;


• 
  тех­ника — как зло­умыш­ленник дос­тига­ет цели или пос­тавлен­ной задачи, какие исполь­зует инс­тру­мен­ты, тех­нологии, код, экс­пло­иты, ути­литы и так далее. При­мер: T1059.001 PowerShell — исполь­зование PowerShell при ата­ке;


• 
  про­цеду­ра — как эта тех­ника выпол­няет­ся и для чего. Нап­ример: вре­донос­ная прог­рамма, исполь­зуя PowerShell, ска­чива­ет пей­лоад, который, в свою оче­редь, заг­ружа­ет Cobalt Strike для попыт­ки запус­ка на уда­лен­ных хос­тах (чуешь, что тут про­изош­ло объ­еди­нение тех­ники и так­тики?).

Как вооб­ще дей­ству­ет ата­кующий? Он откры­вает свой учеб­ник для мам­киных хакеров, где на вто­рой стра­нице зна­комит­ся с поняти­ем Kill Chain. Kill Chain, то есть «цепоч­ка убий­ства», — модель, опре­деля­ющая пос­ледова­тель­ность дей­ствий, ведущих наруши­теля к цели. Она сос­тоит из ряда обыч­но пос­ледова­тель­ных эта­пов:

• reconnaissance — раз­ведка;


• weaponization — под­готов­ка к ата­ке, опре­деле­ние инс­тру­мен­тария и delivery — дос­тавка;


• exploitation — экс­плу­ата­ция арсе­нала;


• installation — уста­нов­ка;


• command & control (С2) — управле­ние через коман­дные сер­веры;


• lateral movement — горизон­таль­ное переме­щение, рас­простра­нение внут­ри сети;


• objectives — целевое воз­дей­ствие.

Мат­рица MITRE ATT&CK началась с внут­ренне­го про­екта, извес­тно­го как FMX (Fort Meade Experiment). В рам­ках его спе­циалис­там по безопас­ности пос­тавили задачу ими­тиро­вать враж­дебные TTP про­тив сети, а дан­ные об ата­ках на эту сеть затем собира­ли и ана­лизи­рова­ли. Имен­но эти дан­ные потом лег­ли в осно­ву ATT&CK. Пос­коль­ку мат­рица ATT&CK пред­став­ляет собой доволь­но пол­ное опи­сание поведе­ния, которое зло­умыш­ленни­ки исполь­зуют при взло­ме сетей, мат­рица полез­на для раз­личных нас­тупатель­ных и защит­ных изме­рений, пред­став­лений и дру­гих механиз­мов (нап­ример, модели­рова­ния угроз по ФСТЭК).

MITRE раз­бил ATT&CK на нес­коль­ко свод­ных мат­риц:

• Enterprise — TTP, исполь­зуемые при ата­ках на орга­низа­ции;


• Mobile — TTP, свя­зан­ные с перенос­ными устрой­ства­ми;


• ICS — Industrial Control Systems, TTP для индус­три­аль­ных сис­тем.

Теги: CSS