MITRE ATT&CK

Когда-то давно я думал, что главный признак хорошего специалиста – это умение объяснять сложные вещи понятными словами. Однако, подобно тому, как аналогии никогда не являются доказательствами, так и красивые объяснения имеют свойство запутывать. Со временем я понял, что самое ценное, что есть у грамотных специалистов, это умение систематизировать как свои знания, так и информацию вообще. Причем, особенно восхищение вызывают люди, умеющие найти паттерн и систему там, где, казалось бы, её нет.

К чему это я. Ах да, MITRE ATT&CK.

Строго говоря, MITRE ATT&CK – это просто база знаний. База знаний известных типов кибер-атак, основанная на наблюдении и статистике. Как часто бывает с такими инициативами, она бесплатна, поддерживается сообществом и доступна всем. Она бесплатна и для конечных пользователей, и для организаций, и даже для разработчиков программного обеспечения. С самой же MITRE все чуть сложнее. Это хоть и некоммерческая организация, но, тем не менее, она занимается довольно интересными исследовательскими проектами для федерального правительства США. Вы точно сталкивались с этой организацией, потому что CVE и CWE – это тоже их проекты.

Можно представить себе MITRE ATT&CK как такую энциклопедию, которая описывает всё то, что может делать кибер-преступник. Главная идея при создании такой энциклопедии – не моделирование угроз, а данные из реального мира. Несмотря на обилие очень разных угроз от хакеров одиночек до групп, финансируемых правительствами, их методы, как оказалось, можно собрать в довольно компактную базу данных. Эта база данных в терминах MITRE называется матрицей.

Зачем всё это нужно, если у вас есть какой-нибудь умный SIEM с приставкой “Intelligence” и даже специалист, который с ней постоянно работает? Тут все сложно. Дело в том, что классические SIEM используют различные параметры или индикаторы, чтобы выявлять нарушителей или следы их деятельности. Но, как можно догадаться, не все индикаторы созданы равными. Специалист по информационной безопасности Дэвид Бьянко (David Bianco) предложил такую пирамиду, угрожающе назвав её Пирамидой боли.

В пирамиде представлены индикаторы компрометации, которые расположены от самых простых в обнаружении до самых сложных. Разберем подробнее:

1. Hash Values. Это самое простое, ваш антивирус может снимать хэши со всех скачиваемых файлов и обнаруживать известные вредоносные файлы. SIEM без проблем может получать эту информацию.
2. IP адреса. Это тоже просто. Например, производитель вашего IPS получил информацию об атаке с определённых адресов и передал его вам.
3. Доменное имя. То же, что предыдущий пункт, но только имя, а не адрес. Например, в сети появился зараженный сайт, и производитель вашего UTM добавил его в перечень вредоносных.
4. Сетевые артефакты. Это могут быть какие-то определённые HTTP User-Agent’ы или MTA, которые как-то были скомпрометированы.
5. Артефакты на хостах. Это могут быть ключи реестра, или файлы, или папки в определенных местах с определенными названиями.
6. Инструменты. Это конкретные программные продукты или скрипты, которые используют злоумышленники.
7. TTPs (Tactics, Techniques and Procedures). Это самое комплексное понятие из всех. Речь идет о конкретных тактиках, которые применяют нарушители. Например, файл с расширением *.zip.exe, который нужно доставить на рабочий стол пользователя.

Индикаторы расположены в таком порядке по сложности их обнаружения, но и по сложности их изменения злоумышленниками на ходу. Например, собрать вредоносный файл с другим хэшем не составляет никаких проблем, чуть сложнее сменить адрес, с которого вы будете его рассылать, но совсем сложно сменить вообще всю тактику вашей атаки.

Вот тут нам и пригодится MITRE ATT&CK, которая ориентирована как раз на тактики нарушителей, а не какие-то конкретные значения IP адресов и хэшей инструментов.

Основной инструмент MITRE ATT&CK – это собственно матрица, где в верхней строке у нас так называемые тактики, т.е. технические цели злоумышленников. Еще недавно их было 11, в прошлом году добавили 12-ю – Impact, т.е. когда цель злоумышленника заключатся в нарушении целостности или доступности систем и информации. Пример можно посмотреть здесь: https://mitre-attack.github.io/attack-navigator/enterprise/.

Под тактиками находятся техники, т.е. способы достижения целей тактики. А еще ниже уровнем находятся процедуры, т.е. конкретные имплементации конкретной техники. Давайте для примера возьмем тактику Initial Access, с которой обычно всё и начинается. Дальше выберем технику, например, Valid Accounts https://attack.mitre.org/techniques/T1078/.

Тут мы видим описание техники, примеры использования, обнаружения и противодействия. Примеры, кстати, приходят от того же сообщества, и вы быстро обнаружите там очень крупных игроков, которые делятся своими данными.

В этом смысле MITRE ATT&CK ориентирована именно на практику, а не на абстрактное перечисление уязвимостей. Я думаю всем понятно, что уязвимость – это еще не атака.

Выборку можно смотреть как угодно, например можно почитать, как были устроены конкретные атаки конкретных хакерских групп. Возьмем для примера северокорейскую группу Lazarus Group https://attack.mitre.org/groups/G0032/. Можно прочесть информацию о том, какими средствами они пользовались и какие тактики применяли.

На этом обычно заканчивается рассказ про MITRE ATT&CK, и люди в аудитории начинают переглядываться. Ну ок, база знаний, что теперь с этим делать? Переслать в свой отдел ИБ, пускай думают, как применить? Давайте, все-таки, посмотрим несколько сценариев использования.

Поиск узких мест

Это самый простой сценарий, где вы просто можете пробежаться по всем техникам и тактикам и понять, какие угрозы не закрыты вашими существующими средствам защиты. Это займет некоторое время, но вы довольно быстро осознаете, что в теме обнаружения угроз вы уверенно поднимаетесь по пирамиде боли. Теперь у вас не просто антивирус ловит хэши вредоносного ПО, а на межсетевом экране блэк-листы от вашего вендора. Теперь, пройдясь по всем типам атак, у вас появится количественный показатель, который уже можно улучшать. Всё это укладывается в Threat Hunting, и если интересует эта тема, можно начать с прочтения:

• MITRE Cyber Analytics Repository https://car.mitre.org/
• The ThreatHunter-Playbook https://github.com/hunters-forge/ThreatHunter-Playbook
• Atomic Threat Coverage  https://github.com/atc-project/atomic-threat-coverage

Это будет особенно полезным, если вы только начали настраивать SIEM или создавать свой SOC внутри организации.

Более продвинутый уровень – это попытаться найти признаки компрометации в логах, которые вы уже собрали. Сбор событий в том или ином виде есть у всех. Может не платный SIEM уровня ArcSight, но хотя бы что-то. Логов копится много, но их толком никто не читает. Есть инструментарий того же MITRE, который позволит вытащить данные из существующих источников и посмотреть, если там есть признаки атаки.

Ну и самый продвинутый сценарий, это когда вы можете протестировать обнаружение для всех сценариев MITRE в вашей системе. Это занимает много времени и не факт, что всем подойдет, но это работа, которую можно и нужны делать. Вам, правда, предстоит выбрать какие-то метрики для оценки того, как хорошо вы обнаруживаете те или иные атаки.

Основным вашим инструментом будет MITRE ATT&CK Navigator https://github.com/mitre-attack/attack-navigator, без разницы on-line или on-premise, там вы будете отмечать, какие угрозы вы уже проработали, а над какими еще стоит поработать. Тут тоже важно понять, что 100% не будет ни у кого, но это то, к чему стоит стремиться.

От простого обнаружения можно перейти собственно к противодействую.

Противодействие

Ок, мы создали свою карту угроз на attack navigator, где много зеленого, но еще больше красного и совсем много белых пятен. CISO задает вам резонный вопрос, что с этим со всем делать?

Для начала можно включить логи там, где они еще не включены. А это, кстати, довольно частая ситуация. Затем с помощью существующего программного обеспечения закрыть найденные пробелы. Причем, кроме применения инструментов, это могут быть и политики, и настройки. Какие-то риски при этом, возможно, просто придется принять.

Тут, кстати, нельзя забывать, что ИБ – это не столько техника, сколько люди и процессы. В конце концов, информационная безопасность существовала задолго до изобретения компьютеров. Допустим у вас нет хорошего почтового антивируса на конечных устройствах, но вы можете обучить своих сотрудников не открывать подозрительные письма.

Ну и наконец, можно задуматься о приобретении новых инструментов для закрытия брешей.

Threat Intellingence

Это подходит уже для крупных организаций, где вы можете на основе матрицы давать рекомендации тем, кто отвечает за безопасность тех или иных узлов вашей сети. Да, я в курсе, что на вашем SIEM, скорее всего, тоже написано слово “Intelligence”, но значить это может практически что угодно.

Эмуляция действий нарушителей

Мы поняли, какие атаки можем обнаружить, но как в этом убедиться? За дело берется Red Team. Конечно, тестирование на проникновение — это очень широкая область деятельности, поэтому в рамках MITRE ATT&CK речь идет только об имитировании конкретных действий нарушителей. Всё же это не полноценные кибер-учения.

Даже если у вас нет штатных “хакеров”, то вы можете начать с простых инструментов для эмуляции атаки, с которым можно разобраться самостоятельно небольшими силами.

• Caldera https://github.com/mitre/caldera
• METTA https://github.com/uber-common/metta
• Red team Automation https://github.com/endgameinc/RTA
• Atomic Red Team Tool https://github.com/redcanaryco/atomic-red-team

Особо хочу обратить внимание на RedHunt OS https://github.com/redhuntlabs/RedHunt-OS, где уже собраны все инструменты.

Когда появится определенный опыт или подтянутся специалисты, то можно эмулировать уже полноценные атаки. В MITRE подготовила готовые планы: https://attack.mitre.org/resources/adversary-emulation-plans/

Ну и в конце концов, когда придет время, вы уже начнете разрабатывать свои планы атак.

Здесь очень важный момент, что вы сможете протестировать собственный SIEM и создать реально работающие правила на реальных примерах атак.

MITRE ATT&CK это очень мощный инструмент, и это одна из тех вещей, которые можно начать использовать, даже если у вас нет ни крупных бюджетов, ни большого штата специалистов. Конечно, изначально результаты буду удручающими, но зато вы сможете оперативно определить узкие места и придумать, как с ними справиться.

Кстати, кроме базовой матрицы угроз у MITRE есть аналогичное решение для облачных решений, АСУ ТП, мобильных устройств и т.п.

P.S. За примером того, как все это работает даже в небольшой организации, рекомендую посмотреть эту презентацию на Blackhat 2019 где Кэти Никлс (Katie Nickels) и Райан Ковар (Ryan Kovar) рассказывают вымышленную (или нет?), но правдоподобную историю о том, как иранская хакерская группа атакует танкер с пивом, и как с этим инцидентом разбирается небольшая организация.