Co To Jest MITRE ATT&CK™?

securitybeztabu.pl 2 lat temu

Co to jest i skąd się wzięło?

Firma MITRE wprowadziła ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) w 2013 roku jako sposób na opisanie i kategoryzację zachowań przeciwnika w oparciu o obserwacje w świecie rzeczywistym. ATT&CK to uporządkowana lista znanych zachowań atakujących, które zostały zebrane w taktyki i techniki i wyrażone w kilku matrycach.

Lista ta jest dość obszerną reprezentacją zachowań, które atakujący stosują podczas włamywania się do sieci, jest przydatna do różnych pomiarów, reprezentacji i innych mechanizmów ofensywnych i defensywnych. Zrozumienie macierzy MITRE ATT&CK należy rozpocząć od zrozumienie podziału jaki został zastosowany.

Podział macierzy

Firma podzieliła ATT&CK na kilka różnych macierzy:

Każda z tych matryc zawiera różne taktyki i techniki związane z tematyką tej matrycy. Macierz Enterprise składa się z technik i taktyk, które mają zastosowanie do systemów Windows, Linux i/lub MacOS. Mobile zawiera taktyki i techniki, które mają zastosowanie do urządzeń mobilnych. PRE-ATT&CK zawiera taktyki i techniki związane z tym, co robią napastnicy, zanim spróbują wykorzystać określoną sieć lub system docelowy.

Patrząc na ATT&CK w formie macierzy, tytuły kolumn u góry są taktykami i zasadniczo kategoriami technik. Taktyki są tym, co atakujący próbują osiągnąć, podczas gdy poszczególne techniki to sposób, w jaki osiągają te kroki lub cele.

Przykłady

Na przykład jedną z taktyk jest ruch boczny (Lateral Movement).

Aby napastnik z powodzeniem osiągnął ruch boczny w sieci, będzie chciał zastosować jedną lub więcej technik wymienionych w kolumnie Ruch boczny w macierzy ATT&CK. Technika to określone zachowanie służące do osiągnięcia celu i często jest to pojedynczy krok w ciągu działań służących do wykonania ogólnej misji napastnika. ATT&CK zawiera wiele szczegółów na temat każdej techniki, w tym opis, przykłady, odniesienia i sugestie dotyczące łagodzenia i wykrywania.

Działanie taktyk i technik w ATT&CK

Działanie taktyk i technik w ATT&CK możemy zobrazować następująco – atakujący może chcieć uzyskać dostęp do sieci i zainstalować oprogramowanie do wydobywania kryptowalut na jak największej liczbie systemów wewnątrz tej sieci. Aby osiągnąć ten ogólny cel, atakujący musi pomyślnie wykonać kilka kroków pośrednich. Najpierw uzyskaj dostęp do sieci – być może przez Spearphishing Link. Następnie może potrzebować eskalacji uprawnień poprzez wstrzykiwanie procesu. Następnie uzyskać inne poświadczenia z systemu dzięki zrzutu poświadczeń, a kolejnym krokiem będzie ustalenie trwałości, ustawiając skrypt wyszukiwania tak, aby działał jako zaplanowane zadanie. Po osiągnięciu tego atakujący może poruszać się w poprzek sieci dzięki funkcji Pass the Hash i rozpowszechniać swoje oprogramowanie do wydobywania monet na tak wiele systemów, jak to możliwe.

W tym przykładzie atakujący musiał pomyślnie wykonać pięć kroków – każdy reprezentujący określoną taktykę lub etap ogólnego ataku: dostęp początkowy, eskalacja przywilejów, dostęp do poświadczeń, wytrwałość i ruch na boki. Wykorzystał określone techniki w ramach tych taktyk, aby ukończyć każdy etap swojego ataku (link do spearphishingu, wstrzykiwanie procesu, zrzucanie poświadczeń itp.).

Zachodzące na siebie macierze i Cyber Kill Chain

PRE-ATT&CK i ATT&CK Enterprise łączą się, tworząc pełną listę taktyk, które z pokrywają się z frameworkiem firmy Lockheed Martin Cyber Kill Chain. PRE-ATT&CK głównie łączy się z pierwszymi trzema fazami Cyber Kill Chain: econnaissance, weaponization i delivery. ATT&CK Enterprise dobrze dopasowuje się do ostatnich czterech faz łańcucha exploitation, installation, command & control oraz actions on objectives.

ATT&CK sprawdza się w wielu codziennych sytuacjach. Wszelkie działania obronne, które odnoszą się do atakujących i ich zachowań, mogą skorzystać na zastosowaniu taksonomii ATT&CK. Oprócz oferowania wspólnego leksykonu dla cyberobrońców, ATT&CK zapewnia również podstawę do testów penetracyjnych i tworzenia Red Team. Daje to obrońcom i drużynom pentesterów wspólny język w odniesieniu do zachowań przeciwnika.

Przykłady, w których zastosowanie taksonomii ATT&CK może być przydatne:

  • Mapowanie kontroli defensywnych (Mapping defensive controls).
  • Polowanie na zagrożenia (threat hunting).
  • Wykrycia i dochodzenia (Detections and Investigations).
  • Integracje narzędzi (Tools Integrations).
  • Działania zespołu czerwonego/testu penetracyjnego.

Użyj ATT&CK, aby odwzorować obronę i zrozumieć luki

Naturalną skłonnością większości zespołów ds. bezpieczeństwa, patrząc na MITRE ATT&CK, jest próba opracowania pewnego rodzaju kontroli wykrywania lub zapobiegania dla każdej techniki w macierzy przedsiębiorstwa. Chociaż nie jest to beznadziejny pomysł, niuanse ATT&CK sprawiają, iż takie podejście jest nieco niebezpieczne, jeżeli nie pamięta się o pewnych zastrzeżeniach. Techniki w macierzach ATT&CK można często wykonywać na różne sposoby. Tak więc zablokowanie lub wykrycie jednego sposobu ich wykonania niekoniecznie oznacza, iż ​​istnieje pokrycie dla wszystkich możliwego sposobu wykonania tej techniki. Może to prowadzić do fałszywego poczucia bezpieczeństwa, ​​ponieważ narzędzie blokuje jedną formę zastosowania techniki, technika ta jest odpowiednio przykryta dla organizacji.

Osoby atakujące mogą przez cały czas z powodzeniem stosować inne sposoby wykorzystania tej techniki bez żadnego wykrywania ani zapobiegania.

Sposób rozwiązania tego problemu jest następujący:

  • Zawsze zakładaj, iż istnieje więcej niż jeden sposób wykonania techniki ATT&CK;
  • Zbadaj i przetestuj znane sposoby wykonywania określonych technik oraz mierzenia skuteczności narzędzi i widoczności w miejscu;
  • Uważnie rejestruj wyniki testów, aby pokazać, gdzie istnieją luki w tej technice i jakie sposoby zastosowania tej techniki można zapobiec lub wykryć;
  • Zwróć uwagę, które narzędzia okazują się skuteczne w określonych wykryciach i zwróć uwagę na luki w przypadku braku zasięgu;
  • Bądź na bieżąco z nowymi sposobami wykonywania technik i upewnij się, iż testujesz je w środowisku, aby zmierzyć zasięg;

Najlepsze praktyki dotyczące korzystania z ATT&CK

Poniżej znajduje się lista najlepszych praktyk dotyczących ATT&CK: Stosuj taktyki, w których techniki są niejednoznaczne lub trudne do ustalenia Śledź zewnętrzne badania dotyczące wykrywania i łagodzenia Złośliwe oprogramowanie Archeologia Windows Logging Cheat Sheets JP-CERT wykrywający ruch boczny JP-CERT Polecenia Windows nadużywane przez atakujących. Podziel się odkrytymi metodami wykrywania i łagodzenia Dziel się taktykami i technikami zaobserwowanych zachowań napastników. Wykorzystaj integrację ATT&CK w istniejących narzędziach. Zachęć dostawców i usługodawców do dodania obsługi ATT&CK tam, gdzie byłoby to przydatne.

Narzędzia i zasoby związane z ATT&CK

Najlepszym miejscem do rozpoczęcia z ATT&CK jest zawsze strona internetowa MITRE ATT&CK. MITRE prowadzi również bloga o ATT&CK na portalu Medium.
Inne narzędzia i zasoby powiązane z tym frameworkiem:

  1. Nawigator ATT&CK Navigator to świetne narzędzie do mapowania w stosunku do technik ATT&CK. Można dodawać warstwy, które pokazują konkretnie kontrole detektywistyczne.
    Navigatora można używać online do szybkich makiet lub scenariuszy lub można go pobrać i skonfigurować wewnętrznie jako bardziej trwałe rozwiązanie.
  2. Uber Metta to projekt open source firmy Uber, który przeprowadza symulację przeciwników i jest zgodny z MITRE ATT&CK.
  3. MITRA Caldera to otwarto źródłowe, zautomatyzowane narzędzie do symulacji przeciwników, oparte na MITRE ATT&CK.
  4. Red Canary Atomic Red Team to narzędzie typu open source firmy Red Canary do symulowania wrogich zachowań zmapowanych na MITRE ATT&CK.
  5. Endgame Red Team Automation to narzędzie open-source firmy Endgame, które testuje złośliwe zachowanie wzorowane na MITRE ATT&CK.
  6. Malware Archeology Windows ATT&CK Logging Cheat Sheet – zaufani specjaliści z Malware Archeology udostępniają szereg ściągawek do rejestrowania systemu Windows, aby pomóc obrońcom w wykrywaniu złośliwej aktywności w dziennikach.
  7. MITRE Cyber ​​Analytics Repozytorium (CAR) MITRE posiada zasób o nazwie Cyber ​​Analytics Repository (CAR), który jest stroną odniesienia do różnych analiz przydatnych do wykrywania zachowań w MITRE ATT&CK.
  8. ATT&CK Tableau Table autorstwa Cyb3rPanda
  9. Palo Alto Unit 42 Playbook Viewer – Palo Alto wydała bezpłatną przeglądarkę podręczników, która pokazuje znane zachowania wrogie dla kilku grup zagrożeń dopasowanych do MITRE ATT&CK.
  10. Anomali Cyber ​​Watch Ten to bezpłatny cotygodniowy raport, który zawiera najważniejsze zmiany w zakresie bezpieczeństwa i zagrożeń w danym tygodniu.

Podsumowanie

MITRE wniósł znaczący wkład w społeczność zajmującą się bezpieczeństwem, udostępniając nam ATT&CK oraz powiązane z nim narzędzia i zasoby. Cybernapastnicy szukają sposobów na większą niewidzialność i unikanie wykrycia przez tradycyjne narzędzia bezpieczeństwa, obrońcy muszą zmienić swoje podejście do wykrywania i obrony. ATT&CK przenosi naszą percepcję ze wskaźników niskiego poziomu, takich jak adresy IP i nazwy domen, i powoduje, iż postrzegamy atakujących i naszą obronę przez pryzmat zachowań. Ta nowa percepcja nie oznacza jednak, iż wyniki przyjdą łatwo. Droga wykrywania i zapobiegania zachowaniom jest o wiele trudniejszą ścieżką niż dawne narzędzia typu „odpal i zapomnij”. Ponadto atakujący z pewnością będą się dostosowywać, ponieważ obrońcy wprowadzają nowe możliwości. ATT&CK zapewnia sposób na opisanie wszelkich nowych technik, które opracują, i miejmy nadzieję, iż utrzymają obrońców w kroku.

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Co To Jest MITRE ATT&CK™?

Powiązane

Uwaga programiści! Ktoś wysyła cwane komunikaty przez GitHuba

Uwaga programiści! Ktoś wysyła cwane komunikaty przez GitHub...

4 godzin temu
Defending liberalism in Bulgaria

Defending liberalism in Bulgaria

4 godzin temu
IMazing 3 to najlepsze narzędzie do zarządzania danymi dla iPhone’a 16

IMazing 3 to najlepsze narzędzie do zarządzania danymi dla i...

17 godzin temu
Programowanie i bezpieczeństwo

Programowanie i bezpieczeństwo

23 godzin temu
Krótkofalówki wybuchły im w rękach. Ktoś znowu użył elektroniki jako broni masowego rażenia

Krótkofalówki wybuchły im w rękach. Ktoś znowu użył elektron...

1 dzień temu
Oszustwa na powódź. CBZC ostrzega, jak nie dać się oszukać

Oszustwa na powódź. CBZC ostrzega, jak nie dać się oszukać

1 dzień temu
Konsumenci coraz bardziej boją się o bezpieczeństwo swoich danych

Konsumenci coraz bardziej boją się o bezpieczeństwo swoich d...

1 dzień temu
Ciekawy atak na pagery Hezbollahu

Ciekawy atak na pagery Hezbollahu

1 dzień temu
Cyber X Challenges: eksperci cyberbezpieczeństwa opowiadają o prawdziwych zagrożeniach w sieci

Cyber X Challenges: eksperci cyberbezpieczeństwa opowiadają ...

1 dzień temu

Polecane

Sprzęt przekazany przez Kuczmierowskiego pomoże policji!

Sprzęt przekazany przez Kuczmierowskiego pomoże policji!

1 dzień temu
Niemcy wprowadzają kontrolę na wszystkich granicach.

Niemcy wprowadzają kontrolę na wszystkich granicach.

3 dni temu
Wisznia Mała. Saperzy zabezpieczyli niewybuch z czasów II Wojny Światowej

Wisznia Mała. Saperzy zabezpieczyli niewybuch z czasów II Wo...

1 tydzień temu
ZOR RP uczestniczył w Nowym Dworze Mazowieckim w obchodach jubileuszu 80 – lecia 2 Mazowieckiego pułku saperów

ZOR RP uczestniczył w Nowym Dworze Mazowieckim w obchodach j...

1 tydzień temu
Stalowa Wola:Piknik Patriotyczny z okazji wręczenia chorągwi 18. Pułkowi Saperów

Stalowa Wola:Piknik Patriotyczny z okazji wręczenia chorągwi...

1 tydzień temu
Szef ABW zadecyduje kto jest terrorystą

Szef ABW zadecyduje kto jest terrorystą

1 tydzień temu
Stopnie alarmowe na terenie całego kraju wciąż obowiązują

Stopnie alarmowe na terenie całego kraju wciąż obowiązują

2 tygodni temu
Drugi stopień alarmowy (stopień BRAVO) oraz drugi stopień alarmowy CRP (BRAVO-CRP) na całym terytorium RP

Drugi stopień alarmowy (stopień BRAVO) oraz drugi stopień al...

2 tygodni temu
Jak wielką rolę odgrywają saperzy w akcji?

Jak wielką rolę odgrywają saperzy w akcji?

3 tygodni temu