Категория > Новости > Матрица ATT&CK. Как устроен язык описания угроз и как его используют - «Новости»

Матрица ATT&CK. Как устроен язык описания угроз и как его используют - «Новости»


19-03-2021, 00:00. Автор: Инна
cve.mitre.org. Это база обще­извес­тных уяз­вимос­тей, которая появи­лась в 1999 году и с тех пор ста­ла одним из основных ресур­сов, где струк­туриру­ют и хра­нят дан­ные по багам в ПО. Имен­но эти базы исполь­зуют зло­умыш­ленни­ки при пер­вой попыт­ке про­ник­нуть в инфраструк­туру жер­твы пос­ле ска­ниро­вания сети.

CVE — не единс­твен­ный про­ект MITRE, свя­зан­ный с защитой информа­ции. Сущес­тву­ют и активно раз­вива­ются так­же такие нап­равле­ния:



  • ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это струк­туриро­ван­ный спи­сок извес­тных тех­ник, при­емов и так­тик зло­умыш­ленни­ков, пред­став­ленный в виде таб­лиц;

  • Structured Threat Information Expression (STIX) — это язык и фор­мат сери­али­зации, исполь­зуемый для обме­на информа­цией о киберуг­розах (CTI — Cyber Threat Intelligence) меж­ду сис­темами информа­цион­ной безопас­ности;

  • CAR (Cyber Analytics Repository) — база зна­ний, раз­работан­ная на осно­ве модели ATT&CK. Она может быть пред­став­лена в виде псев­докода, и коман­ды защит­ников могут исполь­зовать ее при соз­дании логики детек­тирова­ния в сис­темах защиты;

  • SHIELD Active Defense — база зна­ний по активной защите, которая сис­темати­зиру­ет методы безопас­ности и допол­няет меры сни­жения рис­ков, пред­став­ленные в ATT&CK;

  • AEP (ATT&CK Emulation Plans) — это спо­собы модели­рова­ния поведе­ния зло­умыш­ленни­ка на осно­ве опре­делен­ного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.


Оте­чес­твен­ные регуля­торы, кста­ти, тоже занима­ются подоб­ными иссле­дова­ниями — 5 фев­раля 2021 года ФСТЭК Рос­сии выпус­тил ме­тоди­чес­кое пособие по оцен­ке угроз безопас­ности информа­ции. На трид­цатой стра­нице показан при­мер сце­нария ата­ки.


Фраг­мент методи­чес­кого пособия

В народе эту таб­лицу уже проз­вали FST&CK, но это уже сов­сем дру­гая исто­рия...


 

Зачем нам ATT&CK


MITRE пред­ста­вил мат­рицу ATT&CK в 2013 году как спо­соб опи­сания и катего­риза­ции поведе­ния зло­умыш­ленни­ков (сос­тавле­ния пат­тернов поведе­ния) на осно­ве реаль­ных наб­людений. Преж­де чем начать раз­бирать, как поль­зовать­ся мат­рицей, давай прой­дем­ся по основным поняти­ям (не пережи­вай, их все­го три).


APT (Advanced Persistent Threat) — это груп­па зло­умыш­ленни­ков или даже стра­на, которые учас­тву­ют в про­дол­житель­ных кибера­таках на орга­низа­ции или стра­ны. Дос­ловный перевод тер­мина — прод­винутая пос­тоян­ная угро­за. Про­читав всю статью, ты пой­мешь, что осо­бо прод­винуто­го ничего нет.



www


Боль­шой спи­сок извес­тных APT-групп, который ведут фанаты информа­цион­ной безопас­ности.



На­боры TTP (тех­ники, так­тики и про­цеду­ры), рас­шифро­выва­ются сле­дующим обра­зом:




  • так­тика — как зло­умыш­ленник дей­ству­ет на раз­ных эта­пах сво­ей опе­рации, какая цель или задача зло­умыш­ленни­ка на опре­делен­ным шаге, нап­ример: TA0002 Execution — это ког­да зло­умыш­ленник пыта­ется запус­тить свой вре­донос­ный код. Да, зву­чит баналь­но, но ты пос­мотри, что будет даль­ше;


  • тех­ника — как зло­умыш­ленник дос­тига­ет цели или пос­тавлен­ной задачи, какие исполь­зует инс­тру­мен­ты, тех­нологии, код, экс­пло­иты, ути­литы и так далее. При­мер: T1059.001 PowerShell — исполь­зование PowerShell при ата­ке;


  • про­цеду­ра — как эта тех­ника выпол­няет­ся и для чего. Нап­ример: вре­донос­ная прог­рамма, исполь­зуя PowerShell, ска­чива­ет пей­лоад, который, в свою оче­редь, заг­ружа­ет Cobalt Strike для попыт­ки запус­ка на уда­лен­ных хос­тах (чуешь, что тут про­изош­ло объ­еди­нение тех­ники и так­тики?).


Как вооб­ще дей­ству­ет ата­кующий? Он откры­вает свой учеб­ник для мам­киных хакеров, где на вто­рой стра­нице зна­комит­ся с поняти­ем Kill Chain. Kill Chain, то есть «цепоч­ка убий­ства», — модель, опре­деля­ющая пос­ледова­тель­ность дей­ствий, ведущих наруши­теля к цели. Она сос­тоит из ряда обыч­но пос­ледова­тель­ных эта­пов:



  • reconnaissance — раз­ведка;

  • weaponization — под­готов­ка к ата­ке, опре­деле­ние инс­тру­мен­тария и delivery — дос­тавка;

  • exploitation — экс­плу­ата­ция арсе­нала;

  • installation — уста­нов­ка;

  • command & control (С2) — управле­ние через коман­дные сер­веры;

  • lateral movement — горизон­таль­ное переме­щение, рас­простра­нение внут­ри сети;

  • objectives — целевое воз­дей­ствие.


Мат­рица MITRE ATT&CK началась с внут­ренне­го про­екта, извес­тно­го как FMX (Fort Meade Experiment). В рам­ках его спе­циалис­там по безопас­ности пос­тавили задачу ими­тиро­вать враж­дебные TTP про­тив сети, а дан­ные об ата­ках на эту сеть затем собира­ли и ана­лизи­рова­ли. Имен­но эти дан­ные потом лег­ли в осно­ву ATT&CK. Пос­коль­ку мат­рица ATT&CK пред­став­ляет собой доволь­но пол­ное опи­сание поведе­ния, которое зло­умыш­ленни­ки исполь­зуют при взло­ме сетей, мат­рица полез­на для раз­личных нас­тупатель­ных и защит­ных изме­рений, пред­став­лений и дру­гих механиз­мов (нап­ример, модели­рова­ния угроз по ФСТЭК).


MITRE раз­бил ATT&CK на нес­коль­ко свод­ных мат­риц:



  • Enterprise — TTP, исполь­зуемые при ата­ках на орга­низа­ции;

  • Mobile — TTP, свя­зан­ные с перенос­ными устрой­ства­ми;

  • ICS — Industrial Control Systems, TTP для индус­три­аль­ных сис­тем.


Перейти обратно к новости