BLOG

Ovo je pitanje koji su mnogi od vas čuli nebrojeno puta. Prvo što vam verovatno pada napamet je da odgovorite pitanjem: Šta znači zaštićeni? Odgovor na ovo pitanje drugačije će formulisati analitičar za informacionu bezbednost, drugačije SOC menadžer, a opet sasvim drugačije CISO u nekoj organizaciji. Kako odgovoriti na ovo pitanje kada ga postavi neko od izvršnih direktora u vašoj organizaciji? Znate da se uglavnom od vas očekuje odgovor DA ili NE, a ne polusatno objašnjavanje o sigurnosnim pretnjama organizaciji. Isto ili slično pitanje vam se može postaviti i nakon evaluacije novog rešenja za zaštitu od sajber napada koji ste planirali da nabavite za organizaciju. Nezavisne kompanije testiraju i upoređuju rezultate različitih rešenja ali se pri tom fokusiraju samo na određene tipove napada (exploits, malware..). Da li ćete nakon kupovine novog sistema moći da odgovorite na pitanje „Da li smo zaštićeni?“ Kako biste bili što spremniji da odgovore na ovo nezgodno pitanje i da biste znali koliko su dobro zaštićeni postojećom infrastrukturom u svojoj organizaciji, mnogi stručnjaci za sajber bezbednost koriste MITRE ATT&CK™ framework.

https://attack.mitre.org/matrices/enterprise/ 

 

Šta je MITRE ATT&CK™ framework?

 

Kompanija MITRE je 2013. godine pokrenula ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) projekat kako bi dokumentovala uobičajene taktike, tehnike i procedure (TTP) koje se koriste u napadima na računarske mreže sa Windows OS. Nastao je iz potrebe za dokumentovanjem ponašanja sajber napadača, za upotrebu u istraživačkom projektu MITRE pod nazivom FMX. Zasnovan je na istraživanju i posmatranju sajber napada i pomaže tako što obezbeđuje jednostavan jezik da opiše tehnike koje napadači koriste. Najjednostavnije, ATT&CK se može predstaviti matricom koju čine taktike i tehnike. Taktika predstavlja „zašto“, taktički cilj napadača, odnosno razlog izvođenja akcije. Na primer, napadač će možda želeti da ostvari pristup kredencijalima. Tehnike predstavljaju „kako“ napadač postiže taktički cilj izvođenjem akcije. Podtehnike su konkretniji opis napadačevog ponašanja koje se koriste za postizanje cilja. Uvrštene su u matricu početkom 2020. godine, a nastale su kao posledica potrebe da se određene tehnike raščlane u skladu sa vrstama napada: Procedure predstavljaju specifičnu implementaciju primene tehnike ili podtehnike koju napadači koriste. Na primer, procedura može biti kada napadač koristi PowerShell za „ubacivanje“ u proces lsass.exe da bi prikupio kredencijale, „čitanjem“ LSASS memorije. ATT&CK se redovno ažurira kako se razvijaju nove pretnje i koriste nove tehnike napada. ATT&CK matrica postoji za sledeće bezbednosne domene: • Enterprise - tehnike koje napadači koriste na Windows, Mac i Linux OS • Cloud - tehnike koje napadači koriste na cloud platformama • Mobile - tehnike koje napadači koriste za iOS i Android • Pre-ATT&CK - aktivnosti koje napadačke grupe mogu preduzimati tokom ciljanja i pripreme za napad • ICS - tehnike koje napadači koriste u operacijama fokusiranim na industrijske kontrolne sisteme.

 

Za svaku od tehnika i podtehnika, MITRE obezbeđuje reference i objašnjenja. Ona jesu od velike pomoći, ali je potrebno dobro poznavanje sajber bezbednosti da bi se razumela svaka tehnika do detalja. Pored referenci i objašnjenja, svaka tehnika i podtehnika ima svoj jedinstveni ID broj. Ključ uspeha u korišćenju ATT&CK je u razumevanju šta možete dobiti od ovog framework-a. ATT&CK nije svemoguć. Organizacije koje ga tretiraju tako mogu završiti sa lažnim osećajem sigurnosti i pogrešnom alokacijom resursa. Iako je ATT&CK trenutno dostupna, najopsežnija baza hakerskih napada, ona neće pokriti sve napade zbog neograničene prirode sajber bezbednosti. Na ATT&CK treba pre svega gledati kao pomoćno sredstvo, bazu znanja, a ne kao na alat za merenje nivoa sajber bezbednosti neke organizacije. U stvarnosti, ako bi timovi za reagovanje na incidente bili upozoreni svaki put kad se tehnika u ATT&CK otkrije na krajnjoj tački ili na mreži, oni bi bili preplavljeni upozorenjima svaki put kada bi korisnik kompresovao datoteku ili svaki put kad bi administrator pokrenuo Powershell. Uostalom, postoji značajno preklapanje između napadačkih tehnika, funkcionalnosti operativnog sistema i normalnih IT operacija. Potrebno je fino podešavanje detektovanih pretnji da bi se došlo do detekcija sa visokim nivoom pouzdanosti i niskim nivoom šuma. Mnoge ATT&CK tehnike bi trebalo retko, a možda i nikada da generišu upozorenja. Umesto toga, trebalo bi ih koristiti kao kontekstualne pokazatelje za upozorenja većeg poverenja. Timovi moraju da razumeju šta je ispravno za uzbunjivanje u njihovom okruženju. Trebalo bi da razumeju koje ATT&CK ćelije matrice će im doneti više uvida u tehnike, kako bi se osigurala sposobnost proaktivnog delovanja na napade i dodatno obogatila druga sigurnosna upozorenja. Još jedna od karakteristika ATT&CK je popisivanje poznatih napadača i hakerskih grupa ukrštenih sa tehnikama koje su koristili u prošlosti.

 

https://attack.mitre.org/groups/

 

Jednom kada shvatite izazove i moguće pogrešne korake koje čovek može da načini koristeći MITRE ATT&CK, vreme je da počnete da razmišljate šta da radite sa njim. Ključni koncept prilikom operacionalizacije ATT&CK je vidljivost. Vidljivost je reč koju često čujemo u bezbednosti, i to sa dobrim razlogom. Ne možete zaustaviti napadača za koga ne znate da li postoji. Vidljivost se svodi na osiguravanje da timovi koji se bave bezbednošću mogu da vide sisteme i prikupe prave informacije potrebne za sprečavanje, otkrivanje i odgovaranje na pretnje. Konceptualno ovo zvuči jednostavno, ali praksa je mnogo složenija s obzirom na milione ili čak milijarde događaja koji se događaju na krajnjim tačkama i na mreži u određenom danu. Treba da brinete o tome koje podatke da prikupite, kako da ih prikupite i gde da ih čuvate. Gledajući rezultate, timovi mogu početi da postavljaju pitanja poput: • Gde postoje praznine u mojoj vidljivosti? • Koliko često se to dešava u mom okruženju? • Mogu li ovo povezati sa legitimnim poslovnim procesom? • Koje je „normalno“ ponašanje posmatranog korisnika ili radne stanice? ATT&CK takođe može biti koristan alat za procenu bezbednosti. Ne može zameniti testiranje ranjivosti sistema (eng. penetration testing), ali može pomoći timovima u nekim brzim procenama. Nekoliko softverskih projekata, uključujući Caldera iz MITRE-a i Atomic Red Team iz Red Canari-a, mogu raditi autonomne simulacije napada bazirane na ATT&CK tehnikama.

 

Zaključak

 

Svet sajber bezbednosti se kreće brzim tempom i napadači uvek smišljaju nove taktike za postizanje svojih ciljeva. Okviri poput MITRE ATT&CK - iako nisu sveobuhvatne smernice iz prethodno pomenutih razloga - od suštinske su važnosti za razvijanje jačih programa za sajber bezbednost. Uz pravilno razmatranje i korišćenje ATT&CK, ljudi koji se bave sajber bezbednošću moći će da imaju više uvida u snage i slabosti svog bezbednosnog programa kako bi u idealnom slučaju, na pitanje sa početka članka, mogli da odgovore: „Za sada“. VMware Carbon Black i MITRE ATT&CK Kompanija VMware Carbon Black, lider u oblasti EDR rešenja, prepoznala je značaj ATT&CK-a. Kao što smo već napomenuli, svaka tehnika u MITRE matrici ima svoj ID broj. U februaru 2020. godine Carbon Black je izvršio integrisanje ID brojeva tehnika u svoje cloud rešenje za zaštitu radnih stanica.

 

Više o tome možete pročitati ovde: https://www.carbonblack.com/blog/mitre-attck-evalution-demonstrates-the-power-of-the-vmware-carbon-black-cloud/

 

Prošle godine kompanije MITRE izvršila je procenu antivirusnih i EDR rešenja. Ova procena bila je zasnovana na oponašanju napada hakerske grupe APT29, nacionalno sponzorisana grupa koja se odlikovala svojom posvešćenošću nevidljivoj i sofisticiranoj implementaciji tehnika putem prilagođenih zlonamernih programa.

Rezultate koje je postigao VMware Carbon Black pogledajte ovde:

https://attackevals.mitre-engenuity.org/APT29/results/vmware/index.html

 

*izvor: HOW TO USE MITRE ATT&CK™, by MARK DUFRESNE, Protections Team Lead, Elastic Security

Poslednji blogovi