Интерпретация структуры ATT&CK для противостояния атак и защит в области сетевой безопасности

Красно-синее противостояние - это важное средство для атаки и защиты, ключ к которому лежит в реальном сетевом окружении, в принятии перспективы атакующего для обнаружения факторов угрозы, чтобы повысить способность защиты и помочь в создании безопасности предприятия.

ATT&CK, система моделирования атак, разработанная организацией MITRE, представляет собой коллекцию реальных векторов атак, основанных на наблюдениях за реальным миром, содержит множество публично опубликованных данных об угрожающих организациях и используемых ими инструментах и методах атак и может быть использована в качестве хорошего справочника и учебного пособия для Red-Blue Confrontation. Поэтому учебное исследование ATT&CK используется в качестве открытия серии статей Red-Blue Confrontation.

Что такое ATT&CK?

ATT&CK, полное название Adversarial Tactics, Techniques, and Common Knowledge, фреймворк, впервые предложенный MITRE Corporation в 2013 году, представляет собой базу знаний и модель для описания поведения при атаках.

Важные размеры ATT&CK

ATT&CK содержит несколько важных измерений, которые в совокупности образуют систему ATT&CK.
  • Матрица: Матрица - это макромодель системы ATT&CK.
  • Тактика: Тактика указывает на цель атаки атакующего.
  • Техники: Техники атаки - это приемы, используемые для достижения цели атаки.
  • Процедуры: процесс атаки - это реальный пример использования злоумышленником определенной техники атаки.
  • Смягчения: Смягчения относятся к мерам борьбы, которые организации могут использовать в ответ на различные методы атак.

Ниже показан основной набор взаимосвязей для каждого измерения:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

 

Что именно представляет собой ATT&CK?

В отличие от Cyber Kill Chain, ATT&CK не в точности повторяет линейную зависимость цепочки атак, а полностью демонстрирует методы атак злоумышленника и соответствующие меры по их снижению, средства мониторинга и рамки реальных случаев, стараясь при этом максимально следовать линейной зависимости.

Система ATT&CK подразделяется на три основные категории матриц:

  • ATT&CK для предприятий Цепочка атак для предприятий
  • ATT&CK для мобильных цепочек атак для мобильных платформ
  • ATT&CK для промышленных систем управления Цепочка атак для промышленных систем управления

Например, Enterprise Matrix содержит цепочки атак для таких платформ, как PRE (подготовка атаки), Linux и т. д. ATT&CK делит всю фазу атаки на 14 тактик, из которых PRE включает разведку, разработку ресурсов, а остальные платформы - это Первоначальный доступ, исполнение, настойчивость, эскалация привилегий, уклонение от защиты, обнаружение, латеральное движение. Перемещение, сбор информации, командование и контроль, эксфильтрация, воздействие.

Пример диаграммы матрицы предприятия показан ниже:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

В таблице выше показаны 14 тактик, и каждая из них содержит несколько методов атаки. Например, тактика Initial Access содержит девять методов атаки: Drive-by Compromise, Exploit Public-Facing Application, External Remote Services, Аппаратные дополнения, фишинг, репликация через съемный носитель, компрометация цепочки поставок, доверительные отношения, достоверные учетные записи и другие атаки. Доверенные отношения, действительные учетные записи, как показано ниже:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

 

Сценарии применения ATT&CK

Как ATT&CK может помочь нам в качестве механизма моделирования атак? В каких сценариях можно использовать ATT&CK?

Официальное руководство по сценариям применения

На официальном сайте ATT&CK описаны четыре категории типовых сценариев использования:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

 

  • Обнаружение и аналитика

ATT&CK может помочь защитникам сетей разработать процедуры обнаружения для своевременного выявления методов, используемых злоумышленниками.

  • Разведка угроз

ATT&CK предоставляет аналитикам безопасности общий язык для организации, сравнения и анализа данных об угрозах, а группы ATT&CK дают более полное представление о характеристиках атак угрожающих организаций.

ATT&CK предоставляет общий язык и структуру, которые "синие" (за рубежом их часто называют "красными" вместо "ударных групп") могут использовать для разработки планов атак и моделирования атак, специфичных для конкретной угрозы.

  • Оценка и проектирование

ATT&CK можно использовать для оценки защиты вашей организации и определения архитектуры защиты, например, какие инструменты или журналы следует внедрить.

ATT&CK предоставляет большое количество справочных знаний для четырех типов сценариев применения, упомянутых выше, где каждый тип сценария применяется отдельно с тремя различными уровнями возможностей безопасности. Мы рассматриваем эмуляцию противника и "красную команду" в качестве примера, чтобы представить основные области применения ATT&CK в противостоянии "красных" и "синих".

В книге Getting Started with ATT&CK: Adversary Emulation and Red Teaming (Начало работы с ATT&CK: эмуляция противника и "красная команда") есть 3 разных уровня в зависимости от возможностей организации в области безопасности:

Уровень 1: команды безопасности, которые только начинают работать и не располагают большими ресурсами.

Уровень 2: Относительно зрелая команда безопасности среднего уровня

Уровень 3: Организации с более развитыми командами и ресурсами безопасности

Для организаций уровня 1.Без помощи "Блюза" в определении угрозы все же можно смоделировать атаку, используя некоторые простые тесты. Авторы рекомендуют Atomic Red Team, которая выполняет простые "атомарные тесты" для проверки соответствующих компонентов защиты, сопоставленных с ATT&CK. например, Network Например, Network Share Discovery (T1135) можно протестировать с помощью T1135:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

Как показано на рисунке выше, мы можем выполнить соответствующие тестовые команды в соответствующей платформе, чтобы определить, реагирует ли наша система защиты на сигналы тревоги, можем ли мы провести определенную оптимизацию защиты. Затем продолжайте расширять и совершенствовать систему, как показано в цикле ниже:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

Для организаций уровня 2.Организации, которые уже обладают некоторыми возможностями по созданию чертежей, могут сопоставить использование известных методов и инструментов атак с фреймворком ATT&CK. Создание чертежей проводится в качестве "фазового теста" для завершения применения ATT&CK и позволяет использовать общий язык при составлении отчетов и обсуждении мер по снижению воздействия. Например, для моделирования атак мы используем инструмент проникновения Cobalt Strike, который в конечном итоге может быть охвачен различными типами методов атак, отображенными в рамках ATT&CK, как показано на рисунке ниже:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

Для организаций уровня 3Если Красная армия, сильная Синяя армия или даже собственная служба разведки угроз уже существуют, Синяя армия может использовать разведданные для выбора организаций угроз с конкретными целями для имитации атаки с целью "полного теста".

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

 

  • Собирать информацию об угрозах: собирайте информацию об угрозах и выбирайте конкретных противников
  • Методы извлечения: сопоставление угрожающих организаций и методов атаки Blue Force с ATT&CK
  • Анализировать и организовывать: анализировать план атаки организации

Например, разработка плана симуляции атаки на угрожающую организацию APT3:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

  • Разработка инструментов и процедур: разработка инструментов и процедур для атаки
  • Имитация противника: "голубые силы" начинают выполнять имитацию атак в соответствии с планом

Примеры удачных сценариев применения

Помимо нескольких официально рекомендованных сценариев применения, в отрасли существует несколько отличных практик ATT&CK.

Использование ATT&CK в качестве преподавателя

Трэвис Смит на конференции MITRE ATT&CKcon организовал матрицу ATT&CK в зависимости от сложности эксплойта и использовал разные цвета для их обозначения, что автор назвал "радужной таблицей ATT&CK", как показано на рисунке ниже:

 

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

 

  • Синий: Эта техника не является эксплойтом, а достигается за счет использования других обычных функций, таких как net view.
  • Зеленый: простая в использовании технология, не требующая POC, скриптов или других инструментов, таких как действительные учетные данные.
  • Желтый: обычно требует какого-то инструмента или POC, например Metasploit
  • Оранжевый: для выполнения или исследования требуется различная степень инфраструктуры, и эти технологии могут варьироваться от очень простых до очень сложных, которые авторы объединили в "оранжевые уровни", такие как webshell.
  • Красный: относится к более продвинутым или глубинным техникам, требующим глубокого понимания ОС или DLL/EXE/ELF и т. д., например, внедрение в процессы.
  • Фиолетовый: авторы обновили технику более высокого уровня позже, и в сочетании с радужной таблицей ATT&CK, как я понимаю, она требует более высокого порога атаки или использует технику атаки с более низким коэффициентом успешности.

На этом этапе таблица ATT&CK Rainbow, включая саму матрицу ATT&CK, может быть использована в качестве руководства по изучению для отдельных лиц или команд, например, с какой точки зрения следует начинать изучение боковых проникновений? Каковы меры по их обнаружению и устранению? Можно ли их обойти? ATT&CK будет очень хорошим справочником.

Тонкая интерпретация конкретного системного фреймворка

ATT&CK лучше анализирует общий риск сети, но анализ для некоторых конкретных систем и платформ будет чуть менее детализированным. Компания AliCloud Security провела более детальную топологию атак на основе ATT&CK для конкретной структуры контейнеров в облаке, как показано на рисунке ниже:

Основные положения и объяснение структуры ATT&CK для красно-синего противостояния

Несмотря на то, что в общих чертах они не излагаются на языке ATT&CK, более детальная демонстрация приемов, используемых в рамках каждой тактики, облегчает руководство "синими" при проведении атак. Что касается использования общего языка, то достичь общего понимания "красных" и "синих" в рамках бизнеса или даже страны не составляет труда.

Поэтому для конкретных системных каркасов, таких как облачные контейнеры, частные облака, публичные облака, платформы больших данных и т. д., базовое отображение ATT&CK также может быть выполнено с учетом этого подхода.

резюме

Будучи отличной моделью атаки, ATT&CK обеспечивает относительно совершенную матрицу атаки, которая является хорошим руководством как для атаки, так и для защиты. Мы можем продолжать совершенствовать техническую коллекцию ATT&CK, чтобы улучшить способность противостояния красных и синих, а также составлять карты ATT&CK для различных сценариев и структур на предприятии в соответствии с местными условиями.

 

Справочная ссылка

https://attack.mitre.org/

https://mitre-attack.github.io/attack-navigator/

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

https://github.com/redcanaryco/atomic-red-team

https://github.com/TravisFSmith/mitre_attack

https://zhishihezi.net/

https://www.tripwire.com/state-of-security/mitre-framework/using-attck-учитель/

https://www.freebuf.com/articles/blockchain-articles/251496.html

https://www.freebuf.com/articles/network/254613.html

https://www.freebuf.com/articles/container/240139.html

http://vulhub.org.cn/attack

Источник: OPPO

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/система-attck-для-атаки-и-защиты-кибербезо-2.

Нравиться (0)
Предыдущий 7 февраля 2022 г. в 8:05
Следующий 5 марта 2022 г. дп3:10

связанное предложение