Rose debug info
---------------

Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках») — основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками.

Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности. Помимо нее была создана дополнительная база знаний PRE-ATT&CK, описывающая подготовку к атаке, и ATT&CK для мобильных устройств.

Модель ATT&CK занимает среднее положение в иерархии:

Связь с Cyber ​​Kill Chain

Подробнее про см. PRE-ATT&CK и ATT&CK для предприятий

Информация в базе знаний MITRE ATT&CK представлена в виде матриц. Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам киберпреступников, то есть основным этапам кибератаки или подготовки к ней, а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно MITRE ATT&CK — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники [1].

В базе ATT&CK выделяются 12 тактик, которые разделены по стадиям кибератаки:
— первоначальный доступ (initial access);
— выполнение (execution);
— закрепление (persistence);
— повышение привилегий (privilege escalation);
— предотвращение обнаружения (defense evasion);
— получение учетных данных (credential access);
— разведка (discovery);
— перемещение внутри периметра (lateral movement);
— сбор данных (collection);
— управление и контроль (command and control);
— эксфильтрация данных (exfiltration);
— воздействие (impact).

В июле 2020 года добавились подтехники, т. е. более подробные техники. Техники представляют собой широкое действие, предпринимаемое злоумышленником для достижения тактической цели, тогда как подтехника является более конкретным действием противника. Например, такая техника, как Process Injection, имеет 11 суб-техник, чтобы охватить (более подробно) варианты того, как злоумышленники внедрили код в процессы [5].

см. Моделирование угроз на основе сценариев или Как Cyber Kill Chain и ATT&CK помогают анализировать угрозы ИБ, как использовать базу знаний

Применение MITRE ATT&CK

Специалисты по информационной безопасности используют матрицы MITRE ATT&CK для решения следующих задач:

Анализ существующей защиты на предмет соответствия реальным угрозам и повышение безопасности инфраструктуры компании. С помощью матриц MITRE ATT&CK можно определить, к каким техникам уязвимы ресурсы организации, чтобы в перспективе устранить самые критичные проблемы.

См. Навигатор — поможет спланировать работу RedTeam (атакующая команда, тулкиты для RedTeam и мануал) или BlueTeam (защитники, мануал BlueTeam). Сравнение команд тут.

См. подробнее как с помощью NTA (network traffic analysis) можно по прямым или косвенным признакам выявлять все известные тактики атак, описанные в базе знаний MITRE ATT&CK: часть 1, часть 2, часть 3, часть 4, часть 5.

Atomic Red Team — набор тестов для проверки.

Своевременное реагирование на инциденты. С помощью матриц MITRE ATT&CK можно установить, на каком этапе развития находится атака и какие меры необходимо принять в первую очередь, см. Как использовать базу знаний
Расследование киберинцидентов. Матрицы MITRE ATT&CK позволяют оперативно определить, на каком этапе обнаружена атака и где стоит в первую очередь искать следы вторжения.
Атрибуция атак. По перечню техник, использованных злоумышленниками, можно определить вероятного исполнителя. Например, APT3.
Анализ деятельности киберпреступников. Матрицы MITRE ATT&CK позволяют отслеживать эволюцию тактик и техник, которые применяют известные APT-группировки.
Обмен информацией с коллегами. Единая структурированная система описания кибератаки позволяет специалистам из разных областей находить общий язык [1].

База знаний по активной защите

В августе 2020 года анонсировали Shield — база знаний по активной защите, которую MITER разрабатывает, чтобы фиксировать и систематизировать то, что мы узнаем об активной защите и взаимодействии с противником. Пример реагирования.

Методы атак на системы машинного обучения

Совместно с IBM, NVIDIA, Bosch, Microsoft и другими MITRE выпустили матрицу, в которой собраны все известные методы атак на системы машинного обучения: Adversarial ML Threat Matrix.

см. Что нового от MITRE? Атаки на системы машинного обучения, Безопасность алгоритмов машинного обучения. Атаки с использованием Python

Подробнее про применение MITRE ATT&CK см. здесь
и
The Matrix has you: обзор проектов, использующих MITRE ATT&CK.

Перевод MITRE ATT&CK:

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access
Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics

Оригинальные статьи:

MITRE ATT&CK™: Design and Philosophy
Finding Cyber Threats with ATT&CK™-Based Analytics

см. Summary of Tradecraft Trends for 2019-20: Tactics, Techniques and Procedures Used to Target Australian Networks

Видео:

  1. Сергей Солдатов — Матрица MITRE ATT&CK в повседневной работе SOC
  2. Если бы я была разработчиком MITRE ATT&CK: проблемы, которые следует учитывать, презентация
  3. запрос
  4. Югославский: Информационная Безопасность с MITRE ATT&CK | 4SEC 18+
  5. Видосик по разбору тактики

Источники:

  1. Касперский
  2. Начало работы с ATT&CK тут.
  3. Atomic Threat Coverage
  4. Фреймворк RE&CT
  5. анонс
  6. ATT&CK in Practice A Primer to Improve Your Cyber Defense

Связь с БДУ ФСТЭК РФ

Как перейти от эфемерных угроз к реальным техникам злоумышленников?

Подписаться на блог
Поделиться
Отправить
Запинить
 940   2020   Infosec   Mitre Attck   Security
Дальше