Масштабы атак продолжают стремительно расти, однако наряду с этим ростом возникает сложная задача отслеживания тактик, техник и процедур (TTPs), используемых различными злоумышленниками («акторами»). Лаборатория информационных технологий CSRC (Computer Security Resource Center) Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) разделяет поведение злоумышленников на уровни тактик, техник и процедур. Отслеживание такого поведения стало основополагающей концепцией для специалистов по анализу киберугроз. Классификация и документирование тактик, техник и процедур злоумышленников позволяет специалистам по информационной безопасности лучше понять их поведение и принципы организации конкретных атак и, следовательно, подготовиться к эффективному реагированию и отражению текущих и будущих угроз.
Определение тактик, техник и процедур (TTPs)
Тактика в аббревиатуре TTP означает обобщенное описание поведения или действий злоумышленника. Например, первоначальный доступ — это тактика, которую будет использовать злоумышленник для проникновения в сеть.
Техника — это подробное описание ожидаемого поведения или действий для конкретной тактики. Например, техника получения первоначального доступа к сети может предполагать фишинговую атаку.
Процедура — это технические подробности или способы использования злоумышленником выбранной техники для достижения своей цели. Например, процедуры для фишинговой атаки будут включать в себя порядок проведения или этапы кампании. К ним будут относиться сбор сведений об инфраструктуре для отправки вредоносного электронного письма, выбор целевых пользователей и планирование способов проникновения на их компьютеры.
К сожалению, отслеживание поведения злоумышленников всегда было сложной задачей, во многом из-за отсутствия единого, повсеместно применяемого, стандартизированного подхода, которого можно было бы придерживаться. Показательный пример приводила компания Radware в первом выпуске справочника Hacker's Almanac, когда одна и та же группа злоумышленников была известна под множеством имен в зависимости от организации из сферы безопасности, раскрывшей и описавшей кибератаку: APT10 (раскрыта компанией Mandiant) также упоминается как menuPass (раскрыта компанией Fireeye), Stone Panda (раскрыта компанией Crowdstrike) или Red Apollo, Cloud Hopper и POTASSIUM (раскрыты корпорацией Microsoft). Такая ситуация чрезвычайно осложняет процесс обсуждения, документирования и информирования о действующих злоумышленниках или группировках.
К счастью, за последние несколько лет в отрасли началось повсеместное внедрение платформы MITRE ATT&CK для корпоративной среды, которая призвана обеспечить стандартизацию и содержит каталог тактик, техник и процедур (TTPs), используемых злоумышленниками, а также их имена и псевдонимы.
Что такое MITRE ATT&CK?
Платформа MITRE ATT&CK — это открытая и актуальная база знаний, которая содержит описание тактик и техник злоумышленников на основе анализа реальных атак. Корпорация MITRE, разработавшая платформу, — некоммерческая организация, которая управляет научно-исследовательскими центрами, финансируемыми из федерального бюджета (FFRDC) и поддерживаемыми правительством США. За годы своего существования платформа MITRE ATT&CK превратилась в ценный ресурс для организаций по всему миру, стремящихся лучше понять угрозы, с которыми они могут столкнуться.
Платформа MITRE ATT&CK для корпоративной среды отслеживает и классифицирует угрозы в удобном для просмотра формате. Классификация содержит подробные сведения о возможных действиях злоумышленников для атаки на вашу корпоративную сеть. Платформа MITRE ATT&CK предлагает исчерпывающий перечень известных техник атак, упорядоченных по 14 категориям тактик от этапа разведки до воздействия.
База знаний непрерывно обновляется для контроля актуальности данных и уточнения структуры политик защиты и методов обнаружения киберугроз. Платформа MITRE ATT&CK также предлагает единый для всех отраслей подход и терминологию. Внедрение принятых в таблице (матрице) MITRE ATT&CK структуры и наименований в политику безопасности компаний поможет обеспечить использование единой терминологии среди организаций и во всей отрасли, упрощая процесс обсуждения, документирования и информировать об угрозах и группах злоумышленников.
MITRE ATT&CK — нативные средства безопасности платформы Azure
В июне корпорация Microsoft при содействии Центра защиты на основе информирования об угрозах (CTID) в составе MITRE выпустила таблицу (матрицу), сопоставляющую нативные элементы безопасности платформы Azure с классификацией платформы MITRE ATT&CK. Azure Security Stack — первая в своем роде платформа, которая связывает средства безопасности продукта, Azure, с платформой ATT&CK для корпоративной среды и создает основу для широкой отраслевой кооперации. Кроме того, по сообщениям в блоге MITRE Engenuity, следующей платформой, которая в сотрудничестве с MITRE сопоставит средства безопасности с платформой ATT&CK, станет облачная служба Amazon Web Services (AWS).
Платформа Microsoft Azure Security Stack устанавливает соответствие нативных элементов безопасности с матрицами тактик и методов, описанными в MITRE ATT&CK, и предлагает специалистам по ИБ определенные ресурсы платформы Azure. Специалистам по ИБ это дает возможность подготовиться к реагированию и отражению текущих и будущих угроз в среде Azure. Например, рассмотрим случай с фишинговой атакой применительно к Microsoft Azure Security Stack: для обеспечения минимально необходимого уровня обнаружения и защиты от этого вектора атак пользователям предлагается использовать инструменты Azure DNS Analytics, Azure Defender для служб приложений и Microsoft Anti-Malware для Azure, чтобы обеспечить необходимый уровень защиты и обнаруживать попытки проникновения методом фишинга.
За счет сопоставления средств безопасности своих продуктов с классификацией MITRE ATT&CK организации имеют возможность оценить эффективность имеющихся механизмов защиты в противостоянии реальным тактикам, техникам и процедурам (TTPs) злоумышленников. Это именно то, что сейчас требуется отрасли. Однако, как отмечается в блоге MITRE Engenuity, для установки соответствия средств безопасности с платформой MITRE ATT&CK требуется много усилий с учетом постоянно эволюционирующего характера угроз. Эксперты Radware предполагают, что, независимо от сложностей, отрасль будет быстро переходить к связыванию средств безопасности с классификацией MITRE ATT&CK для корпоративной среды. Совместные проекты подобного рода позволяют отраслевым экспертам говорить на одном языке, документировать информацию об атаках и обсуждать специфичные для продуктов угрозы.
Почему важно понимать ландшафт угроз
Современные угрозы, без сомнения, требуют не только комплексных решений, но и глубокого понимания ландшафта угроз. Для эффективной борьбы с постоянно эволюционирующими угрозами необходимо их изучать и вносить свой вклад в стандартизацию базы знаний. Анализируя и классифицируя повторяющиеся сценарии действий злоумышленников, а также обеспечив обмен этими знаниями, мы можем лучше понять их поведение и принципы организации атак. Углубленное понимание методов и тактик злоумышленников поможет сообществу и организациям подготовиться к эффективному обнаружению и отражению атак.
Получив представление о тактиках и методах атакующих, вы сможете соотнести их со своим комплексом средств безопасности. Пользователям это позволяет повысить защищенность своей среды, эффективно обнаруживать, изолировать и отражать угрозы и блокировать методы и тактики злоумышленников.
злоумышленниками, а также их имена и псевдонимы.
