A MITRE ATT&CK filozófiája
Krékity Gusztáv
2020.02.25
Mintegy 5 évvel ezelőtt kezdte el kategorizálni a MITRE az ismert támadási módszereket annak érdekében, hogy szimulálják a támadók viselkedését és javítsák a behatolásdetekciós képességet. Azóta jelentősen megnőtt a MITRE ATT&CK mind a tartalmát, mind a tartalom fenntartásának a folyamatát tekintve.
A MITRE nagyon fontosnak tartja, hogy hasznos maradjon a közösség számára. Kiadtak egy a filozófiáról szóló whitepapert, amely hiteles forrása az ATT&CK módszertan mögött álló tervezési, illetve filozófiai gondolatoknak. Úgy gondolják, a módszertan fontossága jobban fenntartható, ha átláthatóak a mögötte lévő döntések. A kezdetek óta még nyitottabbá vált a modell, és a nyitottság továbbra is alapvető elem.
Nem minden potenciális fenyegetés egyforma
Az ATT&CK módszertanát úgy fejlesztették ki, hogy utólagosan minél jobban észleljék a kiberbűnözők támadás alatti viselkedését. A fejlesztési munka célja, hogy aki az ATT&CK módszertant használja, képes legyen a dokumentált támadási viselkedésre összpontosítva rangsorolni a védekezés módját. A folyamatos fenyegetések – ezt gyakran ATP-nek nevezik – onnan kapták a nevüket, hogy a támadók a céljaik elérése érdekében, a célt azt különböző időben elnyújtva, többször, sokféleképpen, működésüket megszakítva végzik. A tartós fenyegetéseknek számos formája lehet, mint például az államok által szponzorált ATP-k, a kémkedés, a pénzügyileg motivált bűnözők, illetve a szellemi tulajdont fenyegetők. Mindegy milyen egyéni motivációval érkeznek a támadók, azok a technikák, amiket használnak, nagyon hasonlítanak egymáshoz. A támadók által alkalmazott technikák tárháza hatalmas. Elég, ha csak megnézzük, mi történt az előző években, vagy mi történik most, vagy mivel foglalkoznak a kutatások, illetve hogyan néznek ki ma a sérülékenységi adatbázisok, ha éppen valaki új ötlettel állt elő.
Megdöbbentő, hogy a vállalatoknak mennyi minden ad okot az aggodalomra, egyre nehezebb a technológia területén is boldogulni, miközben egyensúlyoznak a biztonsági események hatékonysága és a döntéseket alátámasztó kritikusság között. Nagyon praktikus, ha valaki képes ezeket részeire bontani, az empirikusan dokumentált fenyegetési aktivitásokra fókuszálni, hogy priorizáljon és azokkal foglalkozzon először, amelyek alapvetően befolyásolják a biztonsági szintjüket.
Milyen információforrásokat használ az ATT&CK?
Számos különböző információforrás van:
- Threat intelligence jelentések
- Konferencia-előadások
- Webináriumok
- Közösségi média
- Blogok
- Nyílt forráskód-tárházak
- Malware-minták
Minden hasonló technikára, fenyegetettségi információra nyitott a MITRE egészen addig, amíg az megbízható forrásból származik és növeli a közösség kollektív technikai megértését. Az ATT&CK csapatnak számos munkatársa van, akiknek többéves közösségi tapasztalata van threat intel védelemben és szimulációs gyakorlatokban.
Mi a helyzet a red teaminggel és az új technikák kutatásával?
Sajnos a nyilvánosan elérhető információk nem elégségesek, hogy megértse a MITRE mit csinálnak a szemben lévő támadók. Ami látható, illetve riportálható, azokon az adatokon alapul, amit valaki éppen abban a pillanatban látott, de az igazán érzékeny része az információnak – hogy mi is vezetett az aktuális esethez, mit is csináltak a támadók – legtöbbször publikusan nem elérhető.
Ez igazán komoly kihívás az ATT&CK számára, mivel folyamatosan frissen akarják tartani a keretrendszert. A legutóbbi taktikákat, technikákat, folyamatokat az úgynevezett TTP-t szeretnék feldolgozni, amit minden egyes védelemben dolgozó szakembernek tudnia kellene. Mindezt figyelembe véve többféle módszertant használnak arra, hogy megközelítőleg meg tudják mondani a támadók módszereit a való életben.
Léteznek nem túl gyakran dokumentált események, mert nem születnek róluk leírások. Az információmegosztási kontrollok és az adatok érzékenysége limitálja ezt, ezért, ha egy megbízható információforrás azt mondja, hogy felbukkant egy technika az életben és elég információ van róla, hogy elmondják hogyan történt, a legtöbb esetben bizonyítottnak tekintik, még akkor is, ha nincs róla riport.
Red teaming
Ugyanazzal a céllal történik általában, ahogyan a fenyegetéseket próbálják szimulálni. A támadóoldali technika nagyon sokszor hasonlít a valós élethez, de néhány esetben teljesen különbözik. Ha azt tapasztalják, hogy ezek a red teamek sikeresen használnak bizonyos technikákat és elég sok ügyfél sérülékeny ezekre a módszertanokra, valószínűsíthető, hogy egy a való életben is előforduló módszertanról van szó.
Az új technikákról rengeteg kutatás készül, sok jó publikálás születik az új módszertanokról és a biztonsági problémákról. Időnként ezek a technikák a való életből származnak, de vannak teljesen újak is, amit most fedeztek fel. Ilyenkor a régi adatokat vizsgálják, de új szemszögből. Ebben az esetben nagyon fontos, hogy az újonnan megjelent technikákat valamilyen szinten a múlttal is összevessék és így vizsgálják a megtörténésük valószínűsíthetőségét.
Technikákat befolyásoló döntési faktorok
Akkor kell új technikát létrehozni, amikor új előfordulást vagy új leíró riportot találnak. Bizonyos esetekben azonban csak kicsit átalakítják vagy kiegészítik azt egy meglévő részleteivel, vagy az észlelthez hasonló technikával, vagy csak új infót helyeznek el benne. Amikor egy-egy ilyen technikába új információt tesznek, akkor sok tényezőt gondolnak át, hogy megértsék a modellben, tudásbázisban hogyan és hova illeszthető be.
Számos szempont alapján mérlegelnek
Mit is valósít meg ez a technika? Hasonló technikák már előfordulhatnak úgy is, hogy különböző taktikai lépéseket valósítanak meg, vagy az is meglehet, hogy különböző technikák valósítanak meg hasonló taktikai lépéseket kicsit másképpen.
Akciók. Hogyan is hajtották végre ezt a támadási taktikát? A taktikát jelző trigger esemény különbözik még akkor is, ha a végeredmény ugyanaz vagy hasonló.
Megnézik, ki használja. Ha több csoport használja, ők hogyan használják? Ugyanúgy vagy különböző módon? Milyen előzmények szükségesek? Milyen komponensekre van szükség, hogy ezt a technikát kivitelezni tudják, és hol fejti ki a hatását? Fájlokon, registry változásokban, API-hívásokban, vagy jogosultságkezelési beállításokban?
Milyen hasonló komponenseket használnak a különböző technikákban? Mi a különböző és mi a hasonló?
Megnézik a detektálási oldalt is. Mi kell ahhoz, hogy észlelni tudják a technika használatát? Ez kapcsolatban van valami előzetes követelménnyel vagy cselekvéssel. Az is előfordulhat, hogy hasonló technikákban ez teljesen eltérő.
Hogyan tudják a hatását csökkenteni? Milyen hatáscsökkentő mechanizmusok állnak rendelkezésre abban az esetben, ha ezek hasonlóak más technikákkal? Ugyanazokat kell lépniük, és ugyanazok az eredmények várhatóak?
Legtöbb esetben az előbb említett kérdések egyike sem képes eldönteni, hogy hova tegyék az új információkat. De mindezeket átgondolva segítenek megtalálni a legjobb módot arra, hogy hogyan is építsék be az információkat az ATT&CK keretébe.
Kapcsolódó bejegyzések
A keretrendszer amely átalakította az IT biztonságot
Krékity Gusztáv
2020.02.25
A MITRE ATT&CK keretrendszer új szintet hoz az IT biztonságba, kategorizálva és szimulálva a támadási technikákat a hatékonyabb védekezésért.
X(DR)-akták, avagy generációváltás a végpontvédelemben
Krékity Gusztáv
2020.05.18
A Cortex XDR 2.0 új generációs végpontvédelem: AI és gépi tanulás révén csökkenti a hamis riasztásokat és gyorsabbá teszi a fenyegetések felismerését.
NetWitness XDR 12: új platform az XDR-iparág jövőjéhez
Krékity Gusztáv
2022.11.03
A NetWitness XDR 12 új platformja átfogó védelmet kínál, gyors fenyegetés-felderítést biztosít és támogatja a biztonsági műveletek automatizációját, egyszerűsítve a kiberfenyegetések elleni védekezést.