В поле нашего зрения попала матрица Shield от MITRE, в которой приводятся тактики активной защиты от действий злоумышленников. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.
Злоумышленники очень изобретательны и редко пасуют перед трудностями. Поэтому методы активной защиты, подразумевающие изучение их поведения, отслеживание действий и реагирование в реальном времени всегда будут актуальны.
Привычная всем нам классификация методов защиты выглядит следующим образом:
криптографические методы защиты, изменяющие вид и структуру информации при передаче по сети и во время хранения;
организационные методы защиты данных;
технические и технологические методы защиты информации, подразумевающие использование специальных программных и аппаратных средств.
Все методы, приведенные ниже, можно назвать статичными:
настроить СЗИ, чтобы не дать злоумышленнику прорваться в инфраструктуру;
настроить права доступа для пользователей;
установить минимальные привилегии…
…и так далее. Их объединяет то, что они практически не предполагают какого-либо взаимодействия со злоумышленником. А ведь именно так можно не только узнать гораздо больше о его намерениях и инструментарии, но и, конечно же, не дать продвинуться вглубь защищаемой инфраструктуры.
Цель активных методов защиты заключается в том, чтобы помешать действиям злоумышленников непосредственно в момент их осуществления или даже предвосхищая их. Кроме того, активная защита включают в себя и сбор информации о возможностях атакующего. Специалисты MITRE предлагают следующие тактики активной защиты.
Теперь подробнее о каждой из тактик.
Перенаправление
В нашем случае направить злоумышленника по ложному пути – отличная идея. Например, его можно отвлечь от важных систем и сегментов сети, перенаправив на поддельные, потеря контроля над которыми не принесет вреда реальной инфраструктуре.
Таким образом, злоумышленник зря потратит время, ресурсы и мотивацию, а специалисты по ИБ смогут изучить его поведение.
Сбор информации
Все действия злоумышленника можно записывать и изучать, чтобы сделать инфраструктуру системы более безопасной. Сбор информации о злоумышленнике и его действиях включает в себя логирование и сбор образцов используемых вредоносных программ.
Сдерживание
Злоумышленника можно загнать в рамки. Для этого нужно обеспечить замкнутую среду, из которой он не сможет выйти и навредить другим частям инфраструктуры. Это может быть, например, запрет доступа к определенным системам и подсетям. Подобные меры направлены на предотвращение атак по методу «бокового смещения» (lateral movement).
Обнаружение
Действия злоумышленника необходимо обнаружить, прежде чем на них как-то реагировать. В системе должны быть настроены оповещения о том, что атакующий достиг тех или иных точек.
Прерывание
Действиям злоумышленника можно помешать, усложнив стоящие перед ним задачи или усилив контроль. Так ему придется затратить больше ресурсов и времени.
Содействие
Да-да, вы не ослышались. Противнику можно помочь завершить его дело. Можно использовать незащищенные версии ОС или ПО, ненадежные пароли; открыть порты, но только там, где это не нанесет вреда вашей инфраструктуре.
Легитимация
Никогда не помешает придать аутентичности ложным компонентам, чтобы убедить злоумышленника в реалистичности обстановки. Это могут быть псевдореальные учетные записи, файлы, операции системы — словом, все, до чего злоумышленник может добраться.
Тестирование
В рамках тестирования злоумышленнику можно предоставить возможности проникнуть в систему и проверить, интересен ли ему определенный контент. Также можно усложнить задачи, стоящие перед ним, чтобы выяснить уровень его подготовки.
Конечно же, применить все тактики разом невозможно, поэтому стоит выбирать варианты, которые подходят защищаемой инфраструктуре. Каждой тактике соответствуют определенные техники, а одна и та же техника может использоваться в разных тактиках. В описании каждой техники защиты перечислены и методы, используемые злоумышленниками, что поможет лучше сориентироваться при выборе инструментов для защиты системы.
Отметим, что разработчики Shield от MITRE предлагают всем желающим поучаствовать в работе над матрицами. Они открыты для новых идей.