Для чего используется матрица mitre att ck
The Matrix has you: обзор проектов, использующих MITRE ATT&CK
Уже давно на разных площадках обсуждается матрица MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), в том числе есть целая серия статей здесь, на самом Хабре. Можно сказать, что сообщество приняло эту модель, более того — многие начали ее использовать. Сегодня мы составили для вас небольшой обзор различных проектов, которые направлены на:
Содержание
Вступление
Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности. Помимо нее была создана дополнительная база знаний PRE-ATT&CK, описывающая подготовку к атаке, и ATT&CK для мобильных устройств.
По состоянию на июль 2019 года Enterprise ATT&CK включает 314 методов атак для Windows, Linux и Mac. Структура матрицы состоит из 11 тактик: от начального доступа до взятия под контроль через C&C и эксфильтрацию данных. Каждая фаза жизненного цикла атаки состоит из множества техник, которые успешно использовались различными группами киберпреступников при компрометации сети организации. При тестировании безопасности RedTeam по сути делает то же самое, потому не использовать подобную базу знаний было бы большим упущением.
В данной статье мы не будем подробно останавливаться на самой матрице ATT&CK, все подробности можно найти на сайте разработчиков. О пользе и применимости данной базы знаний говорит её частое применение крупными и не очень вендорами: почти все threat detection and hunting решения уже имеют корреляцию событий с данной матрицей.
Навигация по матрице, представление данных
ATT&CK Navigator
Веб-приложение с открытым исходным кодом, которое предоставляет базовую навигацию и аннотации всех матриц платформы. Несмотря на свою простоту, приложение значительно упрощает работу с матрицей, позволяет создавать слои поверх основной матрицы. Конкретный слой может демонстрировать техники определенной группировки или же наоборот, визуализировать защитное покрытие. Навигатор поможет спланировать работу ваших RedTeam или BlueTeam. По сути приложение просто позволяет вам манипулировать ячейками в матрице: цветовое кодирование, добавление комментария, присвоение числового значения и т.д.
Viewer Playbook
Viewer Playbook — это система для анализа контента STIX2, который содержит методы противника. Цель Playbook состоит в том, чтобы упорядочить инструменты, методы и процедуры, которые использует противник, в структурированный формат, которым можно делиться с другими. Инфраструктура MITRE ATT&CK предоставляет имена, описания и ссылки на примеры использования противниками тактик во время операции, а также методы, используемые противником для их достижения.
Для BlueTeam
Cyber Analytics Repository (CAR) и CAR Exploration Tool (CARET), Unfetter
В организации MITRE решили не останавливаться на одной только матрице ATT&CK и развивать идею дальше: так был создан реестр методов обнаружения поведения нарушителей на основе ATT&CK Cyber Analytics Repository. К нему для удобства добавили GUI — так получился CAR Exploration Tool (CARET). Но и этого показалось мало, поэтому совместно с Агентством национальной безопасности США был создан проект Unfetter. Этот проект расширяет возможности CARET, чтобы помочь специалистам в области кибербезопасности выявлять и анализировать бреши в защите. В Unfetter есть 2 проекта:
CASCADE
Это исследовательский проект MITRE, цель которого — автоматизировать большую часть работы BlueTeam для определения масштабов и вредоносности подозрительного поведения в сети с использованием данных хоста. Прототип сервера CASCADE может обрабатывать аутентификацию пользователей, выполнять аналитику данных, хранящихся в Splunk или ElasticSearch, генерировать предупреждения. Оповещения запускают рекурсивный процесс расследования, когда несколько последующих запросов собирают связанные события, которые включают в себя родительские и дочерние процессы (деревья процессов), сетевые подключения и файловую активность. Сервер автоматически генерирует график этих событий, показывая отношения между ними, и помечает график информацией из матрицы ATT&CK.
Atomic Threat Coverage
Это инструмент, который позволяет автоматически генерировать аналитику, предназначенную для борьбы с угрозами на основе ATT&CK. С его помощью можно создавать и поддерживать свой собственный аналитический репозиторий, импортировать аналитику из других проектов (таких как Sigma, Atomic Red Team, а также частные ветки этих проектов с вашей собственной аналитикой) и осуществлять экспорт в читаемые вики-страницы на двух платформах:
ATT&CK Python Client
Скрипт на Python для доступа к содержимому матрицы ATT&CK в формате STIX через общедоступный сервер TAXII. В этом проекте используются классы и функции Python-библиотек cti-python-stix2 и cti-taxii-client, разработанных MITRE. Основная цель проекта — предоставить простой способ доступа и взаимодействия с новыми данными ATT&CK.
Для RedTeam
CALDERA
CALDERA — автоматизированная система эмуляции действий злоумышленников, построенная на платформе MITRE ATT&CK. Ее основное назначение — тестирование решений безопасности конечных точек и оценка состояния безопасности сети. Согласно терминам Gartner, эту систему можно отнести к продуктам breach and attack simulation (BAS). CALDERA использует модель ATT&CK для выявления и репликации поведения противника, как если бы происходило реальное вторжение. Это позволит избежать рутинной работы и даст больше времени и ресурсов для решения сложных задач.
Недавнее обновление системы изменило её структуру: если раньше она состояла из сервера, агента и исполняемого файла для эмуляции противника, то теперь используется архитектура плагинов. Они подключают новые функции и поведение к базовой системе. Сейчас CALDERA поставляется с несколькими заранее созданными шаблонами поведения противников с помощью плагина Stockpile, но добавить свои собственные достаточно легко.
Atomic Red Team
Является, пожалуй, самым популярным проектом, связанным с матрицей ATT&CK. Red Canary создали библиотеку простых тестов, сопоставленных с MITRE ATT&CK Framework. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает защитникам эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак.
ATT&CK-Tools
Репозиторий содержит следующее:
Purple Team ATT&CK Automation
Проект компании Praetorian, в котором реализованы тактики, техники и методы из матрицы MITRE ATT&CK в качестве post-модулей Metasploit Framework. Проект призван автоматически эмулировать тактику противника.
Red Team Automation (RTA)
RTA представляет собой набор из 38 сценариев и поддерживающих исполняемых файлов, которые пытаются выполнить вредоносную деятельность в соответствии с методами матрицы ATT&CK. На данный момент RTA обеспечивает покрытие 50 тактик. Там, где это возможно, RTA пытается выполнить описанную сценариями вредоносную деятельность, в других случаях будет эмулировать ее.
EDR-Testing-Script
Этот репозиторий содержит простой скрипт для тестирования решений EDR на основе платформ Mitre ATT&CK / LOLBAS / Invoke-CradleCrafter. На самом деле трудно проверить, сколько различных вредоносных атак правильно идентифицировано и предотвращено EDR. Для этой цели и был создан этот скрипт, запустите его и наблюдайте какие сообщения приходят на консоль EDR. Большинство тестов будут просто выполнять calc.exe, но их можно легко изменить (например, попытаться загрузить и выполнить Mimikatz). Этот скрипт работает только в Windows и должен работать с большинством решений EDR.
Проект сейчас находится в зачаточном состоянии.
Приложения для Splunk
Splunk — это система хранения и анализа логов; имеет веб-интерфейс и возможность создавать панели (dashboard’ы) — свое собственное Splunk-приложение.
ThreatHunting
ThreatHunting — приложение для Splunk, созданное с целью мониторинга угроз согласно матрице ATT&CK. Приложение основано на данных Sysmon — это бесплатный мощный инструмент трассировки на уровне хоста, использующий драйвер устройства и службу, которая работает в фоновом режиме и загружается очень рано в процессе загрузки. Этот сервис также позволяет вам настроить то, что будет регистрироваться. Открыв приложение ThreatHunting, вы попадете на страницу обзора с подсчетом всех триггеров для каждой категории ATT&CK за последние 24 часа, а также увидите техники с наибольшим количеством срабатываний и наиболее уязвимые хосты. Приложение позволяет отслеживать события, связанные с ATT&CK, построить на основе данных дерево событий и собрать отчет. За более подробной информацией можно обратиться к блогу автора.
DarkFalcon, InfernoAuger
DarkFalcon — система дашбордов, помогающая работать с ATT&CK Framework в вашем Splunk. Есть также обновленная версия InfernoAuger — пересобранный DarkFalcon, который может автоматизировать многие компоненты в приложении FireDrill и отправлять отчеты в Splunk. FireDrill предоставляет библиотеку настраиваемых атак, которые помогут определить, могут ли ваши системы защиты остановить или обнаружить их. Сценарии из данной библиотеки помещаются в наборы настроенных тестов (“assessments”), с которыми уже взаимодействуют модули InfernoAuger. В настоящее время есть пять модулей:
Разное
VECTR
Это централизованная панель мониторинга, которая облегчает отслеживание действий по тестированию RedTeam и BlueTeam, чтобы измерить возможности обнаружения и предотвращения атак по различным сценариям, согласно данным из матрицы MITRE ATT&CK. Обладает в том числе следующими возможностями:
ATT-CK_Analysis
Научно-аналитический репозиторий, содержащий анализ данных из MITRE ATT&CK. Независимые аналитики ищут ответы на ряд вопросов, например:
The Hunting ELK (HELK)
Новый проект Hunting ELK (Elasticsearch, Logstash, Kibana). Это экосистема, состоящая из нескольких платформ с открытым исходным кодом, работающих вместе с главной целью расширения возможностей агентов по обнаружению угроз, возможностей стека Elastic ELK. Аналитические возможности поиска обеспечиваются внедрением технологий Spark & Graphframes. Это одна из первых общедоступных сборок, позволяющая бесплатно использовать функции обработки данных в стеке ELK. Кроме того, в проект интегрирован Jupyter Notebook для создания прототипов при использовании больших данных и/или машинного обучения. Этот стек предоставляет механизм полнотекстового поиска, смешанный с визуализациями, графическими реляционными запросами и расширенной аналитикой. Проект находится на этапе разработки, код и функциональность будут меняться. В ближайших планах добавление дашбордов с данными из ATT&CK. Подробнее о проекте можно прочитать в блоге автора.
Заключение
Количество проектов, активно использующих матрицу MITRE ATT&CK, продолжает расти. Нельзя не отметить, что это хорошая база знаний для аналитиков, свежий взгляд на модель угроз информационной безопасности. Впрочем, отдельные исследователи отмечают некоторые недостатки матрицы. Например, встречаются случаи очень расплывчатого описания техник, что сильно затрудняет работу с ними.
Главное, о чем не стоит забывать: эта матрица построена на основе успешно проведенных атак. Т.е. по большому счету это историческая справка о том, какие техники и методы применялись. Несомненно, это хорошая база знаний, удобная в эксплуатации, но все же она никогда полностью не опишет все возможные техники противника.
Mitre Att&ck
Mitre Att&ck (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках») — основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками.
Базу Mitre Att&ck компания Mitre создала в 2013 году. Цель проекта — составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
Матрицы Mitre Att&ck
Информация в базе знаний Mitre Att&ck представлена в виде матриц. Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам киберпреступников, то есть основным этапам кибератаки или подготовки к ней, а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно Mitre Att&ck — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники.
Матрицы Mitre Att&ck объединены в четыре группы:
Помимо матриц, в базе знаний Mitre Att&ck доступны перечни техник, которыми пользуются известные APT-группировки, а также списки вредоносного инструментария этих группировок. Кроме того, на сайте Mitre Att&ck представлены основные методы укрепления защиты организации.
Применение Mitre Att&ck
Специалисты по информационной безопасности используют матрицы Mitre Att&ck для решения следующих задач:
Публикации на схожие темы
Предприятие с изолированной подсетью: что может пойти не так?
Киберпанк 2021: CD Projekt атаковали вымогатели
Насколько неуязвим Linux?
История года: программы-вымогатели в заголовках СМИ
Обзор APT-угроз за 2021 год
Киберугрозы для финансовых организаций в 2022 году
ATT&CK v10: больше объектов, техник и функций
Привет! Сегодня рассказываем о том, какие обновления и функции ждут пользователей новой версии MITRE ATT&CK: v10. Свежий релиз включает в себя новые источники данных, новый контент и улучшения, связанные с техниками, группами, программного обеспечения корпоративного сегмента и мобильных устройств.
Осмысление новых источников данных
В ATT&CK v9 была добавлена новая форма источника данных с обновляемой структурой имён источников данных (Data Source: Data Component). Она отражала:
«Какова специфика/тема собранных данных (файл, процесс, сетевой трафик и т. д.)?»
«Какие конкретные значения/свойства необходимы для обнаружения злонамеренного поведения?»
Эти обновления были связаны с файлами YAML в GitHub, но они не полностью интегрировались в матрицу ATT&CK. Версия ATT&CK v10 успешно объединяет эту информацию об источниках данных, структурируя их как новые объекты источников данных ATT&CK v10.
Объект источника данных содержит имя источника и ключевые метаданные, включая идентификатор, определение, где данные могут быть собраны (уровень сбора), на какой платформе можно найти этот источник, а также компоненты данных, выделяющие соответствующие значения и свойства, составляющие сами данные. Ниже показан пример страницы источника данных в ATT&CK v10.
Страница источника данных сетевого трафика
Компоненты данных представлены ниже, каждый из которых сопоставлен с различными техниками, которые могут быть использованы с этими конкретными данными. В отдельных техниках источники данных и компоненты были вытащены из поля метаданных в верхней части страницы и размещены вместе в описательной части.
Размещение нового источника данных на странице техники (T1055.001)
Эти источники данных доступны для всех платформ Enterprise версии ATT&CK, включая новейшие дополнения, которые охватывают источники данных, связанные с OSINT, сопоставленные с техниками платформы PRE.
Страница репозитория вредоносных программ
Эти обновлённые структуры также видны в представлении STIX ATT&CK, причём как источники данных, так и компоненты данных отображаются в виде пользовательских объектов STIX (Structured Threat Information Expression). Вы сможете увидеть взаимосвязи между этими объектами, а источники данных будут содержать один или несколько компонентов данных, каждый из которых определяет один или несколько методов. Для получения дополнительной информации о представлении STIX ATT&CK, включая эти новые объекты и отношения, вы можете ознакомиться с документом об использовании STIX.
Модель источника данных STIX
Можно ожидать что эти улучшения повысят доступность и понятность описания поведения злоумышленников, зафиксированное в ATT&CK. Очень отрадно видеть, что объекты источников данных развиваются, как и остальная часть ATT&CK.
MacOS и Linux: теперь с новым контентом!
В течение последних нескольких месяцев увеличился охват для платформ macOS и Linux. Злоумышленники активно осваивают эти платформы, однако публичных отчетов о злонамеренных действия и анализе вредоносных программ для них всё ещё немного.
Одним из наиболее заметных изменений, которое затронуло техники по всем направлениям, стало предоставление более подробных справочных материалов и примеров использования с описание как работают процедуры и процессы и какое влияние они оказывают. Некоторое внимание привлекли удаленные службы и дополнительные методы для macOS и Linux, но большинство улучшений были более подробными примерами в разделе описания с идеями обнаружения. Наряду с остальной частью в Enterprise версии также обновились источники данных для macOS.
ICS: объектно-ориентированная и интегрирующая
Фреймворк Industrial Control Systems ICS уделяет особое внимание равенству функций с версией Enterprise, включая обновление источников данных, добавление и уточнение техник, обновление активов и составление плана обнаружения.
Также добавлены некоторые ключевые изменения, чтобы облегчить охоту в средах ICS. В соответствии с дорожной картой на 2021 год, v10 также включает междоменное сопоставление корпоративных технологий с ПО, которое ранее было представлено только в матрице ICS, включая Stuxnet, Industroyer и некоторые другие. Созданы корпоративные записи для программного обеспечения, ориентированного на ICS, чтобы предоставить защитникам сети представление о поведении ПО, охватывающего обе матрицы. Ожидается, что междоменные сопоставления позволят более эффективно использовать обе базы знаний вместе.
Что касается источников данных, то они согласовываются с Enterprise ATT&CK при обновлении имён источников данных. Текущий выпуск ICS отражает обновление источников данных Enterprise v9 с новым форматом имени и контентом, представленным на GitHub. Эти источники данных будут связаны с файлами YAML, которые содержат более подробную информацию, в том числе об источниках данных и о том, как их следует использовать. В следующих релизах планируется более точно отображать действия на техники, чтобы позволить отслеживать, как эти действия могут повлиять на технику или с какими активами связаны эти действия. Уже в 2022 году планируется интеграция в ту же платформу разработки, что и версия Enterprise, ATT&CK Workbench и присоединение к остальным доменам на сайте ATT&CK (attack.mitre.org).
Материал подготовлен на основе открытых источников, официальных релизов ATT&CK и статьи Amy L. Robertson.
Что ещё интересного есть в блоге Cloud4Y
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
Что такое MITRE ATT&CK и как ее использовать
В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак.
MITRE ATT&CK — это структурированный список известных поведений злоумышленников, разделенный на тактики и методы, и выраженный в виде таблиц (матриц). Матрицы для различных ситуаций и типов злоумышленников публикуются на сайте MITRE. Также классификация доступна в машиночитаемых форматах STIX / TAXII. Поскольку этот список дает комплексное представление о поведении злоумышленников при взломе сетей, он крайне полезен для различных защитных мероприятий, мониторинга, обучения и других применений.
В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизированно описывать поведение злоумышленников. Злоумышленники («акторы») могут отслеживаться с помощью ассоциации наблюдаемых в сети событий с методами и тактиками в ATT&CK, которые используют те или иные группировки. Специалистам по ИБ это позволяет оценивать свой уровень защищенности, анализируя способности имеющихся средств защиты выявлять или блокировать те или иные методы и тактики, что дает представление о сильных и слабых сторонах против определенных злоумышленников.
Хорошим способом визуализации сильных и слабых сторон средств защиты по отношению к определенным группам или акторам является, например, создание тепловых карт покрытия техник в Excel или с помощью MITRE ATT&CK Navigator. База знаний ATT&CK также доступна в виде фида STIX / TAXII 2.0, который позволяет легко интегрировать ее в любые инструменты, поддерживающие эту технологию.
Корпорация MITRE внесла значительный вклад в сообщество безопасности, предоставив нам ATT&CK и связанные с ней инструменты и ресурсы. Причем сделано это было в удачный момент. Поскольку злоумышленники находят способы быть более скрытными и избегают обнаружения традиционными инструментами безопасности, специалисты по ИБ вынуждены менять подходы к обнаружению и защите от атак. База знаний ATT&CK меняет наше восприятие, абстрагируясь от индикаторов низкого уровня, таких как IP-адреса и доменные имена, и заставляет нас видеть злоумышленников и нашу защиту через линзу поведения.
Однако это новое восприятие не означает, что работа защитников упростится. Безоблачные дни блэклистов и простых фильтров киберразведки почти исчезли. Стратегия обнаружения и предотвращения на основе поведения злоумышленников — это гораздо более сложный путь, чем инструменты прошлого, работающие по принципу «настроил и забыл». Кроме того, по мере появления новых способов защиты злоумышленники, безусловно, будут адаптироваться. ATT&CK позволяет описывать любые новые методы, которые будут использовать злоумышленники, и, будем надеятся, позволит нам не отставать.
База знаний ATT&CK может быть полезна в самых разнообразных ситуациях. Более подробно о практических применениях, лучших практиках и особенностях этой методологии вы можете прочитать на специализированной странице MITRE ATT&CK на сайте Anomali.
Это адаптация статьи Тревиса Фэррела, директора по стратегии безопасности компании Anomali. Оригинальная запись доступна в блоге Anomali.
Об авторе
Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.
Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.