29.03.2021

MITRE ATT & CK Framework в жизни платформы безопасности

Bitdefender > Статьи > MITRE ATT & CK Framework в жизни платформы безопасности

Начнем с определения концепции MITRE ATT & CK Framework.

Структура MITRE ATT & CK ™ — это комплексная матрица тактик и приемов, используемых охотниками за угрозами, командами Red Team и командами ИБ для лучшей классификации атак и оценки риска организации.

Цель структуры – улучшить обнаружение злоумышленников на предприятиях после взлома путем демонстрации действий, которые они могли мог предпринять. Как проник злоумышленник? Как они передвигаются? База знаний разработана, чтобы ответить на эти вопросы и помочь понять состояние безопасности организации по периметру и за его пределами.

Организации могут использовать эту структуру для выявления брешей в защите и определения их приоритетов в зависимости от степени риска. Охотники за угрозами могут использовать структуру ATT & CK для поиска определенных методов, которые злоумышленники могут использовать совместно с другими.

Платформа может быть чрезвычайно полезной для измерения уровня видимости среды против целевых атак с помощью существующих инструментов, развернутых на конечных точках и периметре организации.

 

Когда была создана платформа ATT & CK?

Корпорация MITRE, некоммерческая организация, которая поддерживает несколько правительственных агентств США, начала разработку ATT & CK в 2013 году. Структура, которая расшифровывается как Adversarial Tactics, Techniques & Common Knowledge («Противоборствующие тактики, методы и общие знания»), была официально выпущена в мае 2015 года, но претерпела несколько обновлений.

По словам Блейка Строма, руководителя MITRE ATT & CK, структура была создана для лучшего анализа поведения злоумышленников в рамках внутреннего исследовательского проекта FMX. В дополнение к поведению, группе нужен был способ классифицировать, как злоумышленники взаимодействуют с системами во всех группах, на основе активности в реальном времени.

Технически существует три матрицы ATT & CK. Вот самые популярные, о которых мы поговорим здесь:

  • Enterprise ATT & CK;
  • PRE-ATT & CK – описывает тактику и методы предварительного взлома, что злоумышленники перед тем, как использовать целевую сеть;
  • Mobile ATT & CK – модель противоборствующих тактик и приемов, используемых для получения доступа к мобильным устройствам.

 

Каковы тактики ATT & CK Framework?

Framework Enterprise ATT & CK состоит из 12 тактик. Рассмотрим тактику ATT & CK: какой цели хотел достичь атакующий с помощью компромисса?

  • Первоначальный доступ (initial access).
  • Выполнение (execution).
  • Закрепление (persistence).
  • Повышение привилегий (privilege escalation).
  • Предотвращение обнаружения (defense evasion).
  • Получение учетных данных (credential access).
  • Разведка (discovery).
  • Перемещение внутри периметра (lateral movement).
  • Сбор данных (collection).
  • Управление и контроль (command and control).
  • Эксфильтрация данных (exfiltration).
  • Воздействие (impact).

Каждая тактика содержит набор методов, которые использовались в дикой природе сети вредоносными программами или группами злоумышленников при компрометации.

В ATT & CK предусмотрена следующая тактика: как злоумышленники повышают привилегии и извлекают данные?

Хотя в структуре Enterprise ATT & CK всего 12 тактик, методов слишком много, чтобы перечислять (их более 290 на момент написания этой статьи). Их лучше всего визуализировать с помощью MITRE ATT & CK Navigator, веб-приложения с открытым исходным кодом, которое позволяет выполнять базовую навигацию и аннотировать все матрицы фреймворка. Методы обозначены в ATT & CK как Txxxx (например, ссылка на фишинговую рассылку – T1192, средства удаленного доступа – T1219 и т. д.).

Каждый метод содержит контекстную информацию:

  • ​​требуемые разрешения,
  • на какой платформе обычно используется метод,
  • как определять команды и процессы, в которых они используются.

Злоумышленники нередко перемещаются по сети через легитимные инструменты Windows, такие как Windows Management Instrumentation (WMI). Штамм вымогателя Petya использовал WMI (вместе с PsExec, EternalBlue и EternalRomance) для горизонтального распространения в 2017 году.

Охотник за угрозами может использовать ATT & CK для изучения взаимосвязей между такими методами, как WMI, и другими, которые можно использовать для сбора данных для обнаружения и выполнения файлов посредством бокового перемещения.

Перейдя к разделу техник «Обнаружение», охотник за угрозами может:

  • узнать об отслеживании сетевого трафика для соединений WMI,
  • искать использование WMI в средах, которые обычно его не используют,
  • выполнять мониторинг процессов для захвата командной строки (аргументы «wmic», чтобы идентифицировать технику).

 

Каковы процедуры структуры ATT & CK?

Что касается ATT & CK, процедура описывает способ, которым злоумышленники или программное обеспечение реализуют метод.

Например, WMI – перейдя к списку методов WMI, любой может увидеть, что популярная Российская группа хакеров APT29 использует WMI для кражи учетных данных и выполнения бэкдоров в будущем. BlackEnergy, APT-группа, связанная с атаками на украинские энергетические компании в 2015 году, тем временем использует WMI для сбора сведений о хостах жертв.

Блейка Строма, руководителя MITRE ATT & CK, описал:

«Процедура является частным случаем использования и может быть очень полезной для понимания того, как именно используется техника, и для репликации инцидента с эмуляцией противника, а также для уточнения того, как обнаружить этот экземпляр в использовании».

 

Как ATT & CK помогает в обмене данными об угрозах?

Эта структура существует уже много лет, но в последнее время она особенно популярна для обмена данными об угрозах среди организаций, конечных пользователей и правительств. Хотя есть и другие способы поделиться информацией об угрозах, ATT & CK предоставляет общий язык, который стандартизирован и доступен во всем мире.

Как отмечает Кэти Никелс, руководитель отдела аналитики угроз ATT & CK для MITER, аналитики и защитники могут работать вместе с данными для сравнения и сопоставления групп угроз. Аналитики могут структурировать информацию о поведении, в то время как защитники могут структурировать информацию о поведении, которое они могут обнаружить и смягчить. Никелс дает хороший пример, сравнивая и противопоставляя методы, используемые группами APT3 и APT29, в блоге MITRE. Определяя методы с наивысшим приоритетом, организация может лучше определить, как их смягчить и обнаружить.

Тот факт, что база знаний управляется сообществом и широко используется для обмена структурированной информацией, также придала ему значительный импульс.

 

Продвинутые угрозы, о которых никогда не слышали

Кибератаки становятся все более изощренными, и организации с плохой подготовкой и инфраструктурой становятся легкой мишенью для хакеров.

Расширенная таргетированная атака — это методология, при которой:

  • Хорошо зарекомендовавшие себя группы киберпреступников получают доступ к сети и сохраняют ее в течение месяцев / лет для достижения своих целей.
  • Злоумышленники повышают привилегии домена и распространяются по сети в поисках более богатых целей внутри стен.
  • Группы угроз используют различную тактику, инфраструктуру, повторное использование кода и общие наборы целей, чтобы оставаться незамеченными традиционными средствами защиты.

 

Как Bitdefender EDR защитит сеть?

Bitdefender EDR предотвращает киберпреступников с помощью повышенной бдительности и эффективных технологий сдерживания. Мониторинг в реальном времени и поведенческий анализ превращают обнаружение угроз в полезные сведения с рекомендациями по реагированию для групп безопасности.

Это мощная платформа, на которой данные собираются, анализируются и сопоставляются с ключевыми атрибутами и представляются в формате, позволяющем специалистам по безопасности и руководителям бизнеса принимать решительные меры.

 

Как Bitdefender использует техники MITRE ATT & CK Framework?

ATT & CK бросила вызов Bitdefender в 19 эмулируемых фазах атаки APT 29 или Cozy Bear, одной из самых скрытых в мире продвинутых постоянных групп угроз, спонсируемых государством.

Оценка проверяет способность поставщика обнаруживать действия злоумышленников по всему спектру изощренных атак, от первоначального взлома до бокового движения, настойчивости и утечки.

Результаты ATT & CK Evaluation показывают, что Bitdefender достиг максимального охвата всей цепочки атак, по методикам, тактике и общему обнаружению – наиболее актуальным категориям для средних организаций и MSP, которым нужны точные обработанные данные EDR, а не только телеметрия.

Bitdefender также превзошел в детализации конкретных методов атаки и предоставлении уведомлений для каждого шага в цепочке инфраструктуры атаки, от первоначального нарушения до повышения устойчивости.

Результаты демонстрируют ценность Bitdefender для организаций с ограниченным опытом в области безопасности для поиска в исторических данных. Подобные компании зависят от интуитивно понятных деталей техники атаки, чтобы сократить время до обнаружения и повысить прозрачность сложных атак.

 

Преимущества EDR

Традиционные продукты безопасности не обеспечивают адекватной видимости TTP, используемых для запуска сложных угроз. В них также отсутствуют условия, необходимые для эффективного сдерживания.

Bitdefender EDR защищает клиентов, предоставляя:

  • Бесшовная интеграция.

EDR – очевидный выбор для практических действий по обнаружению и реагированию специалистами по безопасности. Он совместим с существующими решениями и является золотой серединой между Endpoint Protection и Security Information and Events Management (SIEM).

  • Видимость злоумышленника TTP.

EDR сочетает в себе детективный, следственный и компенсационный меры безопасности. Оснащенный специализированными моделями машинного обучения и корреляции событий, он использует аналитику и автоматизацию песочницы для обнаружения подозрительных индикаторов, охватываемых матрицей MITRE ATT & CK.

  • Сортировка предупреждений и приоритезация с разрешением в один щелчок.

EDR может помочь клиентам увидеть больше обычных предупреждений, чем их превентивные инструменты. Автоматическая сортировка предупреждений представляет собой понятную историю, которая позволяет аналитикам легко читать и понимать инциденты и принимать соответствующие меры реагирования.

  • Устранение разрыва в навыках кибербезопасности.

Графическая визуализация и простые в использовании рабочие процессы сокращают кривую обучения. А также максимизируют способность команды безопасности следовать управляемым ответам, чтобы эффективно останавливать и устранять продолжающиеся атаки.

  • Управление и снижение организационных рисков.

Интегрированный централизованный модуль анализа рисков конечных точек (ERA) обеспечивает комплексную идентификацию и устранение множества неправильных настроек операционной системы, уязвимостей приложений и рисков поведения человека.

 

Заключение

Простой в использовании и точный EDR является неотъемлемой частью нашей комплексной платформы защиты конечных точек (EPP).

GravityZone с модулем EDR объединяет многоуровневую защиту конечных точек нового поколения и простую в использовании платформу для точной защиты предприятий даже от самых неуловимых киберугроз. Он предлагает инструменты предотвращения, автоматического обнаружения, расследования и реагирования, чтобы корпоративные клиенты могли защитить свои цифровые активы и отреагировать на эти угрозы.

GravityZone выделяется там, где большинство продуктов слишком сложны и ресурсоемки!

Опираясь на высокоэффективные технологии предотвращения, автоматического обнаружения угроз и реагирования, GravityZone резко ограничивает количество инцидентов, требующих ручного анализа, сокращая операционные усилия, необходимые для запуска решения EDR.

Предоставляется в облаке локально, создается с нуля в виде унифицированного решения с одним агентом/единой консолью, его также легко развернуть и интегрировать в существующую архитектуру безопасности.

Попробуйте Bitdefender Gravity Zone EDR, закажите пилотный проект уже сейчас. Получите технического менеджера на время тестирования. Услуга предоставляется бесплатно.

Статьи
29.03.2021
MITRE ATT & CK Framework в жизни платформы безопасности
22.03.2021
Все, что нужно знать об онлайн-мошенничестве и защите личных данных
02.03.2021
Что такое кража личных данных?