Zagrożenia cyberbezpieczeństwa wymagają coraz większych umiejętności i sprawności operacyjnych przez zespoły reagujące na incydenty bezpieczeństwa. Jednym z ważnych aspektów dotyczących detekcji zagrożeń bezpieczeństwa jest kompleksowa wiedza o taktykach, technikach i procedurach (TTPs) stosowanych przez cyberprzestępców. Już starożytni filozofie, jak Sun Tzu, wiedzieli, że kluczem do zwycięskiej wojny jest umiejętność rozróżniania strategii i technik prowadzenia wojny. W Piramidzie Bianco, która prezentuje zależności pomiędzy różnymi wskaźnikami IOC, na samym szczycie znajdują się właśnie TTPs. A im wyżej w tej piramidzie, tym wyższe koszty muszą ponosić cyberprzestępcy. Dążaniem każdego SOC jest osiągnięcie szczytu tej piramidy, a więc sytuacji kiedy Blue Team jest w stanie obserowować aktywności adwersarzy. W osiągnięciu takiego poziomu dojrzałości bezpieczeństwa organizacji nieocenioną pomocą jest baza wiedzy o zagrożeniach ATT&CK MITRE.

Czym jest ATT&CK MITRE?

Metodyka ATT&CK MITRE (Adversarial Tactics, Techniques and Common Knowledge) jest zbiorem wiedzy o modelach zachowań cyberprzestępców, które zostały pogrupowane w postaci matrycy taktyk i technik. Ów framework przydatny jest do zrozumienia ryzyka związanego z bezpieczeństwem organizacji, środków stosowanych przez cyberprzestępców oraz do planowania ulepszeń i weryfikacji czy mechanizmy obronne działają zgodnie z naszym oczekiwaniem. Baza wiedzy o zagrożeniach MITRE powstała głównie w celu poprawienia zdolności wykrywania zagrożeń bezpieczeństwa, a tym samym znalezieniu luk w systemach obronnych organizacji. Myślą przewodnią tej organizacji było stworzenia przewodnika, który pozwoli wykrywać zaawansowane ataki APT szybciej niż to się dzieje obecnie. Czas potrzebny na wykrycie ataku celowanego mierzony jest w miesiącach, a średnio czas do rozpoznania wroga w organizacji szacowany jest na pięć miesięcy. Jest to dużo czasu aby atakujący poznał zaatakowaną firmę na wylot, a nawet wszedł w nielegalne posiadanie wrażliwych informacji mogących mieć przełożenie na dalsze losy organizacji. Trzeba pamiętać, że nawet jeśli organizacja ma perfekcyjny program patchowania luk bezpieczeństwa cy też program zgodności z regulacjami, to atakujący i tak może być górą dzięki wykorzystaniu exploitów dnia zerowego lub metod socjotechniki.

Taktyki, techniki…

Ponad dwieście technik ATT&CK MITRE zostało podzielonych na dwanaście grup, tzw taktyk. Rozbicie poszczególnych faz ataków tak skruplatnie daje szeroki pogląd na techniki i możliwości atakujących, których chcielibyśmy wykrywać jak najszybciej i jak najbardziej precyzjnie (bez tzw. szumu związanego z False Positives). Cybeprzestępca przeprowadzając zaawansowany atak, potrąca postawiona przez nas czerwona flagi. Tymi flagami są mechanizmy detekcji i mitygacji zagrożeń zaimplementowanych w systemach bezpieczeństwa organizacji.

Baza zagrożeń MITRE to nie tylko tabela taktyk i technik, ale również szereg wskazówek dot. wymaganych źródeł danych potrzebnych do wykrycia podejrzanych aktywności, a także liczne przykłady rzeczywistych ataków w odniesieniu do określonych grup przestępczych.

Monitorowanie

W celu wykrywania zaawansowanych ataków na podstawie zachowań cyberprzestępców, organizacja MITRE rekomenduje analizowanie podejrzanych aktywności bazując na monitorowaniu stacji roboczych, a więc zaawansowanym monitorowaniu logów z systemów operacyjnych (w tym Sysmon), logów sieciowych (w tym Netflow), logów z firewalli, aplikacji, systemów uwierzytelnień, komponentów węzłów chmurowych, DNS-u, PowerShell-a oraz wielu innych źródeł danych.
Czerpiąc z tej skarbnicy wiedzy o zagrożeniach, twórcy systemu FlowControl postanowili ją wdrożyć we własnym produkcie do monitorowania flowów sieciowych. System FlowControl oprócz wykrywania ataków DDoS, wykrywa wiele typów zagrożeń bezpieczeństwa i anomalii sieciowych m.in. z takich obszarów jak: Initial Access, Credential Access, Discovery, C2, Lateral Movement, Exfiltration, czy Impact. Więcej informacji o systemie FlowControl można znaleźć tutaj

Podsumowanie
Zastosowanie ATT&CK MITRE ułatwia organizacjom uszczelnianie poziomu bezpieczeństwa, dzięki bardzo skrupulatnym umieszczeniu pułapek na atakujących np. w postaci reguł korelacyjnych w SIEM czy też w innych systemach bezpieczeństwa. W związku z ogromem pracy związanej z pokryciem wszystkich technik, zachęcam aby to robić etapami, tak aby mniej doświadczeni specjaliści mieli odpowiednią ilość czasu na zapoznanie się z tą metodyką i zbyt szybko się nie zniechęcili. Z drugiej strony poprzez taką naukę, „bezpiecznicy” poprawiają efektywność narzędzi do wykrywania i analizowania zagrożeń bezpieczeństwa. Moim zdaniem każda osoba zajmująca się bezpieczeństwem IT powinna być zaznajomiona z tym frameworkiem, więc jeśli tego jeszcze nie zrobiłeś to zacznij się zaprzyjaźniać z ATT&CK MITRE (https://attack.mitre.org).

Autor: Jacek Grymuza, Senior Security Engineer w Passus S.A, członek Zarządu (ISC)2 Poland Chapter