Матрица ATT&CK. Как устроен язык описания угроз и как его используют

MITRE ATT&CK — одна из популяр­ней­ших методо­логий сре­ди спе­циалис­тов по информа­цион­ной безопас­ности. В этой статье мы рас­ска­жем, как соз­давалась и как устро­ена база зна­ний, при помощи которой опи­сыва­ют воз­можнос­ти мал­вари, сос­тавля­ют про­фили APT-груп­пировок и пишут пра­вила для авто­мати­зации рас­сле­дова­ний.

Итак, что такое MITRE и что за ата­ки? MITRE — это неком­мерчес­кая орга­низа­ция, которая работа­ет в США и управля­ет цен­тра­ми иссле­дова­ний и раз­работок на уров­не федераль­ного пра­витель­ства и мес­тно­го само­управле­ния. В зону инте­ресов MITRE вхо­дят: искусс­твен­ный интеллект, кван­товая информа­тика, информа­тика в области здра­воох­ранения, кос­мичес­кая безопас­ность, обмен дан­ными о киберуг­розах и средс­твах защиты и так далее.

В сфе­ре информа­цион­ной безопас­ности кор­порация MITRE извес­тна бла­года­ря спис­ку CVE (Common Vulnerabilities and Exposures) cve.mitre.org. Это база обще­извес­тных уяз­вимос­тей, которая появи­лась в 1999 году и с тех пор ста­ла одним из основных ресур­сов, где струк­туриру­ют и хра­нят дан­ные по багам в ПО. Имен­но эти базы исполь­зуют зло­умыш­ленни­ки при пер­вой попыт­ке про­ник­нуть в инфраструк­туру жер­твы пос­ле ска­ниро­вания сети.

CVE — не единс­твен­ный про­ект MITRE, свя­зан­ный с защитой информа­ции. Сущес­тву­ют и активно раз­вива­ются так­же такие нап­равле­ния:

• ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это струк­туриро­ван­ный спи­сок извес­тных тех­ник, при­емов и так­тик зло­умыш­ленни­ков, пред­став­ленный в виде таб­лиц;
• Structured Threat Information Expression (STIX) — это язык и фор­мат сери­али­зации, исполь­зуемый для обме­на информа­цией о киберуг­розах (CTI — Cyber Threat Intelligence) меж­ду сис­темами информа­цион­ной безопас­ности;
• CAR (Cyber Analytics Repository) — база зна­ний, раз­работан­ная на осно­ве модели ATT&CK. Она может быть пред­став­лена в виде псев­докода, и коман­ды защит­ников могут исполь­зовать ее при соз­дании логики детек­тирова­ния в сис­темах защиты;
• SHIELD Active Defense — база зна­ний по активной защите, которая сис­темати­зиру­ет методы безопас­ности и допол­няет меры сни­жения рис­ков, пред­став­ленные в ATT&CK;
• AEP (ATT&CK Emulation Plans) — это спо­собы модели­рова­ния поведе­ния зло­умыш­ленни­ка на осно­ве опре­делен­ного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.

Оте­чес­твен­ные регуля­торы, кста­ти, тоже занима­ются подоб­ными иссле­дова­ниями — 5 фев­раля 2021 года ФСТЭК Рос­сии выпус­тил ме­тоди­чес­кое пособие по оцен­ке угроз безопас­ности информа­ции. На трид­цатой стра­нице показан при­мер сце­нария ата­ки.

В народе эту таб­лицу уже проз­вали FST&CK, но это уже сов­сем дру­гая исто­рия…

Зачем нам ATT&CK

MITRE пред­ста­вил мат­рицу ATT&CK в 2013 году как спо­соб опи­сания и катего­риза­ции поведе­ния зло­умыш­ленни­ков (сос­тавле­ния пат­тернов поведе­ния) на осно­ве реаль­ных наб­людений. Преж­де чем начать раз­бирать, как поль­зовать­ся мат­рицей, давай прой­дем­ся по основным поняти­ям (не пережи­вай, их все­го три).

APT (Advanced Persistent Threat) — это груп­па зло­умыш­ленни­ков или даже стра­на, которые учас­тву­ют в про­дол­житель­ных кибера­таках на орга­низа­ции или стра­ны. Дос­ловный перевод тер­мина — прод­винутая пос­тоян­ная угро­за. Про­читав всю статью, ты пой­мешь, что осо­бо прод­винуто­го ничего нет.

На­боры TTP (тех­ники, так­тики и про­цеду­ры), рас­шифро­выва­ются сле­дующим обра­зом:

• так­тика — как зло­умыш­ленник дей­ству­ет на раз­ных эта­пах сво­ей опе­рации, какая цель или задача зло­умыш­ленни­ка на опре­делен­ным шаге, нап­ример: TA0002 Execution — это ког­да зло­умыш­ленник пыта­ется запус­тить свой вре­донос­ный код. Да, зву­чит баналь­но, но ты пос­мотри, что будет даль­ше;
• тех­ника — как зло­умыш­ленник дос­тига­ет цели или пос­тавлен­ной задачи, какие исполь­зует инс­тру­мен­ты, тех­нологии, код, экс­пло­иты, ути­литы и так далее. При­мер: T1059.001 PowerShell — исполь­зование PowerShell при ата­ке;
• про­цеду­ра — как эта тех­ника выпол­няет­ся и для чего. Нап­ример: вре­донос­ная прог­рамма, исполь­зуя PowerShell, ска­чива­ет пей­лоад, который, в свою оче­редь, заг­ружа­ет Cobalt Strike для попыт­ки запус­ка на уда­лен­ных хос­тах (чуешь, что тут про­изош­ло объ­еди­нение тех­ники и так­тики?).

Как вооб­ще дей­ству­ет ата­кующий? Он откры­вает свой учеб­ник для мам­киных хакеров, где на вто­рой стра­нице зна­комит­ся с поняти­ем Kill Chain. Kill Chain, то есть «цепоч­ка убий­ства», — модель, опре­деля­ющая пос­ледова­тель­ность дей­ствий, ведущих наруши­теля к цели. Она сос­тоит из ряда обыч­но пос­ледова­тель­ных эта­пов:

• reconnaissance — раз­ведка;
• weaponization — под­готов­ка к ата­ке, опре­деле­ние инс­тру­мен­тария и delivery — дос­тавка;
• exploitation — экс­плу­ата­ция арсе­нала;
• installation — уста­нов­ка;
• command & control (С2) — управле­ние через коман­дные сер­веры;
• lateral movement — горизон­таль­ное переме­щение, рас­простра­нение внут­ри сети;
• objectives — целевое воз­дей­ствие.

Мат­рица MITRE ATT&CK началась с внут­ренне­го про­екта, извес­тно­го как FMX (Fort Meade Experiment). В рам­ках его спе­циалис­там по безопас­ности пос­тавили задачу ими­тиро­вать враж­дебные TTP про­тив сети, а дан­ные об ата­ках на эту сеть затем собира­ли и ана­лизи­рова­ли. Имен­но эти дан­ные потом лег­ли в осно­ву ATT&CK. Пос­коль­ку мат­рица ATT&CK пред­став­ляет собой доволь­но пол­ное опи­сание поведе­ния, которое зло­умыш­ленни­ки исполь­зуют при взло­ме сетей, мат­рица полез­на для раз­личных нас­тупатель­ных и защит­ных изме­рений, пред­став­лений и дру­гих механиз­мов (нап­ример, модели­рова­ния угроз по ФСТЭК).

MITRE раз­бил ATT&CK на нес­коль­ко свод­ных мат­риц:

• Enterprise — TTP, исполь­зуемые при ата­ках на орга­низа­ции;
• Mobile — TTP, свя­зан­ные с перенос­ными устрой­ства­ми;
• ICS — Industrial Control Systems, TTP для индус­три­аль­ных сис­тем.

Читать новость в источнике Xakep