Что такое ATT&CK?
Важные размеры ATT&CK
- Матрица: Матрица - это макромодель системы ATT&CK.
- Тактика: Тактика указывает на цель атаки атакующего.
- Техники: Техники атаки - это приемы, используемые для достижения цели атаки.
- Процедуры: процесс атаки - это реальный пример использования злоумышленником определенной техники атаки.
- Смягчения: Смягчения относятся к мерам борьбы, которые организации могут использовать в ответ на различные методы атак.
Ниже показан основной набор взаимосвязей для каждого измерения:
Что именно представляет собой ATT&CK?
Система ATT&CK подразделяется на три основные категории матриц:
- ATT&CK для предприятий Цепочка атак для предприятий
- ATT&CK для мобильных цепочек атак для мобильных платформ
- ATT&CK для промышленных систем управления Цепочка атак для промышленных систем управления
Например, Enterprise Matrix содержит цепочки атак для таких платформ, как PRE (подготовка атаки), Linux и т. д. ATT&CK делит всю фазу атаки на 14 тактик, из которых PRE включает разведку, разработку ресурсов, а остальные платформы - это Первоначальный доступ, исполнение, настойчивость, эскалация привилегий, уклонение от защиты, обнаружение, латеральное движение. Перемещение, сбор информации, командование и контроль, эксфильтрация, воздействие.
Пример диаграммы матрицы предприятия показан ниже:
В таблице выше показаны 14 тактик, и каждая из них содержит несколько методов атаки. Например, тактика Initial Access содержит девять методов атаки: Drive-by Compromise, Exploit Public-Facing Application, External Remote Services, Аппаратные дополнения, фишинг, репликация через съемный носитель, компрометация цепочки поставок, доверительные отношения, достоверные учетные записи и другие атаки. Доверенные отношения, действительные учетные записи, как показано ниже:
Сценарии применения ATT&CK
Официальное руководство по сценариям применения
- Обнаружение и аналитика
ATT&CK может помочь защитникам сетей разработать процедуры обнаружения для своевременного выявления методов, используемых злоумышленниками.
- Разведка угроз
ATT&CK предоставляет аналитикам безопасности общий язык для организации, сравнения и анализа данных об угрозах, а группы ATT&CK дают более полное представление о характеристиках атак угрожающих организаций.
- Эмуляция противника и Red Teaming (моделирование противника ипротивостояние красных и синих)
ATT&CK предоставляет общий язык и структуру, которые "синие" (за рубежом их часто называют "красными" вместо "ударных групп") могут использовать для разработки планов атак и моделирования атак, специфичных для конкретной угрозы.
- Оценка и проектирование
ATT&CK можно использовать для оценки защиты вашей организации и определения архитектуры защиты, например, какие инструменты или журналы следует внедрить.
ATT&CK предоставляет большое количество справочных знаний для четырех типов сценариев применения, упомянутых выше, где каждый тип сценария применяется отдельно с тремя различными уровнями возможностей безопасности. Мы рассматриваем эмуляцию противника и "красную команду" в качестве примера, чтобы представить основные области применения ATT&CK в противостоянии "красных" и "синих".
В книге Getting Started with ATT&CK: Adversary Emulation and Red Teaming (Начало работы с ATT&CK: эмуляция противника и "красная команда") есть 3 разных уровня в зависимости от возможностей организации в области безопасности:
Уровень 1: команды безопасности, которые только начинают работать и не располагают большими ресурсами.
Уровень 2: Относительно зрелая команда безопасности среднего уровня
Уровень 3: Организации с более развитыми командами и ресурсами безопасности
Для организаций уровня 1.Без помощи "Блюза" в определении угрозы все же можно смоделировать атаку, используя некоторые простые тесты. Авторы рекомендуют Atomic Red Team, которая выполняет простые "атомарные тесты" для проверки соответствующих компонентов защиты, сопоставленных с ATT&CK. например, Network Например, Network Share Discovery (T1135) можно протестировать с помощью T1135:
Как показано на рисунке выше, мы можем выполнить соответствующие тестовые команды в соответствующей платформе, чтобы определить, реагирует ли наша система защиты на сигналы тревоги, можем ли мы провести определенную оптимизацию защиты. Затем продолжайте расширять и совершенствовать систему, как показано в цикле ниже:
Для организаций уровня 2.Организации, которые уже обладают некоторыми возможностями по созданию чертежей, могут сопоставить использование известных методов и инструментов атак с фреймворком ATT&CK. Создание чертежей проводится в качестве "фазового теста" для завершения применения ATT&CK и позволяет использовать общий язык при составлении отчетов и обсуждении мер по снижению воздействия. Например, для моделирования атак мы используем инструмент проникновения Cobalt Strike, который в конечном итоге может быть охвачен различными типами методов атак, отображенными в рамках ATT&CK, как показано на рисунке ниже:
Для организаций уровня 3Если Красная армия, сильная Синяя армия или даже собственная служба разведки угроз уже существуют, Синяя армия может использовать разведданные для выбора организаций угроз с конкретными целями для имитации атаки с целью "полного теста".
- Собирать информацию об угрозах: собирайте информацию об угрозах и выбирайте конкретных противников
- Методы извлечения: сопоставление угрожающих организаций и методов атаки Blue Force с ATT&CK
- Анализировать и организовывать: анализировать план атаки организации
Например, разработка плана симуляции атаки на угрожающую организацию APT3:
- Разработка инструментов и процедур: разработка инструментов и процедур для атаки
- Имитация противника: "голубые силы" начинают выполнять имитацию атак в соответствии с планом
Примеры удачных сценариев применения
Помимо нескольких официально рекомендованных сценариев применения, в отрасли существует несколько отличных практик ATT&CK.
Использование ATT&CK в качестве преподавателя
Трэвис Смит на конференции MITRE ATT&CKcon организовал матрицу ATT&CK в зависимости от сложности эксплойта и использовал разные цвета для их обозначения, что автор назвал "радужной таблицей ATT&CK", как показано на рисунке ниже:
- Синий: Эта техника не является эксплойтом, а достигается за счет использования других обычных функций, таких как net view.
- Зеленый: простая в использовании технология, не требующая POC, скриптов или других инструментов, таких как действительные учетные данные.
- Желтый: обычно требует какого-то инструмента или POC, например Metasploit
- Оранжевый: для выполнения или исследования требуется различная степень инфраструктуры, и эти технологии могут варьироваться от очень простых до очень сложных, которые авторы объединили в "оранжевые уровни", такие как webshell.
- Красный: относится к более продвинутым или глубинным техникам, требующим глубокого понимания ОС или DLL/EXE/ELF и т. д., например, внедрение в процессы.
- Фиолетовый: авторы обновили технику более высокого уровня позже, и в сочетании с радужной таблицей ATT&CK, как я понимаю, она требует более высокого порога атаки или использует технику атаки с более низким коэффициентом успешности.
На этом этапе таблица ATT&CK Rainbow, включая саму матрицу ATT&CK, может быть использована в качестве руководства по изучению для отдельных лиц или команд, например, с какой точки зрения следует начинать изучение боковых проникновений? Каковы меры по их обнаружению и устранению? Можно ли их обойти? ATT&CK будет очень хорошим справочником.
ATT&CK лучше анализирует общий риск сети, но анализ для некоторых конкретных систем и платформ будет чуть менее детализированным. Компания AliCloud Security провела более детальную топологию атак на основе ATT&CK для конкретной структуры контейнеров в облаке, как показано на рисунке ниже:
Несмотря на то, что в общих чертах они не излагаются на языке ATT&CK, более детальная демонстрация приемов, используемых в рамках каждой тактики, облегчает руководство "синими" при проведении атак. Что касается использования общего языка, то достичь общего понимания "красных" и "синих" в рамках бизнеса или даже страны не составляет труда.
Поэтому для конкретных системных каркасов, таких как облачные контейнеры, частные облака, публичные облака, платформы больших данных и т. д., базовое отображение ATT&CK также может быть выполнено с учетом этого подхода.
резюме
Будучи отличной моделью атаки, ATT&CK обеспечивает относительно совершенную матрицу атаки, которая является хорошим руководством как для атаки, так и для защиты. Мы можем продолжать совершенствовать техническую коллекцию ATT&CK, чтобы улучшить способность противостояния красных и синих, а также составлять карты ATT&CK для различных сценариев и структур на предприятии в соответствии с местными условиями.
Справочная ссылка
https://mitre-attack.github.io/attack-navigator/
https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3
https://github.com/redcanaryco/atomic-red-team
https://github.com/TravisFSmith/mitre_attack
https://zhishihezi.net/
https://www.tripwire.com/state-of-security/mitre-framework/using-attck-учитель/
https://www.freebuf.com/articles/blockchain-articles/251496.html
https://www.freebuf.com/articles/network/254613.html
https://www.freebuf.com/articles/container/240139.html
http://vulhub.org.cn/attack
Источник: OPPO
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/the-attck-framework-for-cyber-security-attack-and-defense.html.
