Czym jest MITRE ATT&CK Framework?
2024 Oceny skuteczności wykrywania MITRE ATT&CK: Trend Vision One™ pozostawia atakujących bez możliwości ukrycia
MITRE ATT&CK Framework
MITRE ATT&CK, skrót od Adversarial Tactics, Techniques, and Common Knowledge, to publiczna baza wiedzy o taktykach i technikach przeciwników, która może być wykorzystana jako podstawa do opracowania konkretnych modeli i metodologii cyberzagrożeń.
Ta baza wiedzy została opracowana w oparciu o następujące trzy koncepcje:
Zachowuje perspektywę przeciwnika
Śledzi rzeczywiste wykorzystanie aktywności poprzez praktyczne przykłady użycia
Poziom abstrakcji jest odpowiedni, aby połączyć działania ofensywne z możliwą obroną.
MITRE ATT&CK pomaga branży określić i ujednolicić sposób opisania podejścia atakującego. Gromadzi i kategoryzuje typowe taktyki, techniki i procedury ataku (TTP), a następnie porządkuje te informacje w strukturę.
Trzecia koncepcja, która wymaga odpowiedniego poziomu abstrakcji do pokonania między metodą ataku a środkami zaradczymi, które można wdrożyć po stronie obrony, jest szczególnie ważna, gdy rozumiesz strukturę ATT&CK. Informacje są zorganizowane jako informacje o wysokim stopniu abstrakcji, a nie indywidualne / konkretne informacje, takie jak adresy IP, adresy URL i informacje o sygnaturach złośliwego oprogramowania.
Podstawą koncepcji czynników jest analiza ataków w oparciu o tzw. taktykę, technikę i procedurę (TTP). Głównie zdobywa się i organizuje wiedzę na temat technik.
Taktyka: Krótkoterminowy cel atakującego
Technika: Sposób na osiągnięcie celu przez atakującego
Procedura: Specyficzna metoda wykorzystania technik przez atakującego
Ramy te mogą pomóc wyjaśnić, jak zachowują się przeciwnicy, co próbują zrobić i jak to robią.
Posiadanie wspólnego języka i struktury jest ważne dla zdolności do komunikowania się, rozumienia i reagowania na zagrożenia tak skutecznie i efektywnie, jak to tylko możliwe.
MITRE ATTCK stał się krytyczną bazą wiedzy dla obrońców cyberprzestrzeni, ostatecznie poprawiając wydajność bezpieczeństwa i czas reakcji. Coroczna ocena MITRE porównuje innowacje w całej branży, aby dostarczać rozwiązania niezbędne do wykrywania i reagowania na ewoluujący krajobraz zagrożeń.
Oryginalny zasób można znaleźć tutaj
Ten rodzaj frameworku jest niezwykle przydatny dla specjalistów ds. bezpieczeństwa informacji, ponieważ pomaga na bieżąco informować ich o nowych technikach ataku i zapobiegać atakom.
Organizacje wykorzystują ATT&CK do standaryzacji rozmów społecznych, testów obronnych i ocen produktów/usług.
Oceny MITRE ATT&CK
MITRE ATT&CK Evaluation oferuje klientom przejrzystość i realne scenariusze ataków. Dzięki temu klienci mogą aktywnie oceniać produkty zabezpieczające, aby chronić się przed najnowszymi osiągnięciami atakujących w oparciu o ich obszary o największej potrzebie. Ocena wykorzystuje emulację przeciwników, aby zapewnić, że klienci będą w stanie radzić sobie z dzisiejszymi zagrożeniami. Korzystanie z technik, narzędzi, metod i celów inspirowanych celami atakującego.
Symulacje są wykonywane w kontrolowanym środowisku laboratoryjnym, aby zapewnić uczciwe i dokładne testy. Techniki ataku są następnie wykorzystywane w logiczny sposób krok po kroku w celu zbadania zakresu zasięgu ATT&CK.
Oceny nie są analizą konkurencyjną. Brak wyników, rankingów i ocen. Zamiast tego pokazują, jak każdy dostawca podchodzi do wykrywania zagrożeń w kontekście bazy wiedzy ATT&CK
Ocena oferuje nabywcom i klientom rozwiązań cyberbezpieczeństwa bezstronną opcję oceny produktów bezpieczeństwa, aby uzbroić się przed najnowszymi osiągnięciami atakujących w oparciu o ich obszary największych potrzeb.
Na przykład w 2022 r. ewaluacja emulowała przepływy operacyjne rzemiosła Wizard Spider i Sandworm w celu symulacji ataków podobnych do zachowań wykorzystywanych w tych grupach. Po przeprowadzeniu symulacji wyniki zostały przetworzone i upublicznione, w tym metodologia
Matryce MITRE ATT&CK
Struktura MITRE ATT&CK jest podzielona na wiele matryc, z których każda jest dostosowana do konkretnych środowisk, w których działają zagrożenia cybernetyczne. Te matryce kategoryzują taktyki, techniki i procedury (TTP) używane przez atakujących, pomagając zespołom ds. bezpieczeństwa w ulepszaniu ich strategii obronnych.
Matryca przedsiębiorstwa
Najbardziej kompleksowa macierz obejmująca zagrożenia w środowiskach Windows, macOS, Linux i chmurowych. Obejmuje techniki takie jak zwiększanie uprawnień, ruch lateralne i eksfiltracja danych.
Mobilna matryca
Koncentracja na zagrożeniach dla urządzeń z systemami iOS i Android. Ta macierz szczegółowo opisuje techniki ataku, takie jak kradzież danych uwierzytelniających, wykorzystywanie sieci i utrzymywanie się złośliwego oprogramowania mobilnego.
Matryca ICS (przemysłowych systemów sterowania)
Eliminuje zagrożenia cybernetyczne charakterystyczne dla środowisk przemysłowych, takich jak systemy SCADA. Podkreśla techniki wykorzystywane do zakłócania infrastruktury krytycznej, w tym nieautoryzowane wykonywanie poleceń i manipulowanie oprogramowaniem układowym.
Taktyki MITRE ATT&CK
Podstawy ATT&CK to seria technik przedstawiających działania atakującego zmierzające do osiągnięcia celu. Cele są klasyfikowane jako Taktyki.
Taktyka określa „Dlaczego” dana technika jest stosowana. To właśnie dlatego atakujący wykonuje jakąś czynność. Technika to „środki” pozwalające napastnikowi osiągnąć cel poprzez wykonanie działania. Przedstawia również „co” zdobywa atakujący.
Przyjmując domenę Enterprise jako analogię, taktyka jest następująca:
Początkowy dostęp: Metody wykorzystywane do infiltracji sieci, takie jak phishing, naruszenie łańcucha dostaw i wykorzystywanie aplikacji publicznych.
Realizacja: Techniki, które uruchamiają złośliwy kod w systemie, w tym wykonywanie wiersza poleceń, skrypty i wykorzystywanie do wykonywania zadań klienta.
Trwałość: Metody wykorzystywane przez atakujących do utrzymania dostępu po pierwszym zagrożeniu bezpieczeństwa, takie jak tworzenie nowych kont użytkowników, modyfikacje rejestru i zaplanowane zadania.
Eskalacja uprawnień: Sposoby, w jakie przeciwnicy uzyskują uprawnienia wyższego poziomu, takie jak wykorzystywanie luk w zabezpieczeniach, dumping poświadczeń i manipulowanie tokenami dostępu.
Unikanie obrony: Techniki omijania środków bezpieczeństwa, w tym wyłączania narzędzi bezpieczeństwa, zaciemniania plików i wstrzykiwania procesów.
Dostęp do poświadczeń: Metody kradzieży poświadczeń, takie jak oznaczanie kluczy, ataki metodą brute force i dumping poświadczeń.
Odkrywanie: Taktyki służące do gromadzenia informacji o systemie lub sieci, takich jak skanowanie sieci i wyliczanie kont.
Ruch lateralny: Techniki poruszania się między systemami, takimi jak protokół zdalnego pulpitu (RDP) i ataki typu „pass-the-hash”.
Kolekcjonowanie: Metody gromadzenia danych wrażliwych, w tym przechwytywanie ekranu, oznaczanie kluczem i dane z lokalnych baz danych.
Eksfiltracja: Sposoby przesyłania skradzionych danych z sieci, takie jak szyfrowana eksfiltracja i nadużycia pamięci masowej w chmurze.
Wpływ: Techniki mające na celu zakłócenie działalności, w tym wdrażanie ransomware, niszczenie danych i ataki typu odmowa usługi.
Techniki MITRE ATT&CK
Struktura MITRE ATT&CK kategoryzuje techniki przeciwników stosowane w cyberatakach. Kluczowe techniki obejmują:
Początkowy dostęp — metody takie jak phishing i wykorzystywanie publicznych aplikacji do uzyskiwania dostępu.
Realizacja — uruchamianie złośliwego kodu za pomocą wiersza poleceń lub skryptów.
Trwałość – utrzymywanie dostępu poprzez zmiany w rejestrze lub zaplanowane zadania.
Eskalacja uprawnień – zdobywanie wyższych uprawnień za pomocą exploitów lub dumpingu poświadczeń.
Unikanie obrony — omijanie zabezpieczeń za pomocą narzędzi zaciemniających lub wyłączających.
Ruch lateralny — rozprzestrzenianie się w sieciach za pośrednictwem RDP lub pass-the-hash.
Eksfiltracja – kradzież danych za pomocą nadużycia chmury lub zaszyfrowanych transferów.
Zrozumienie tych technik pomaga organizacjom wzmocnić mechanizmy ochrony.
Anatomia MITRE ATT&CK Framework
Taktyki to opis tego, co atakujący próbują osiągnąć.
Taktyki są podobne do rozdziału książki. CISO może nakreślić historię, którą chce opowiedzieć za pomocą taktyk wysokiego poziomu wykorzystanych w ataku, a następnie odwołać się do technik, aby opowiedzieć historię o tym, jak przeprowadzili atak, co zapewnia dodatkowe szczegóły
Przykładowa historia: Tworzenie historii ataku we wspólnym języku
Celem atakującego było uzyskanie początkowego dostępu do sieci. Korzystając z rozwiązania drive-by compromise z łączem typu spear-phishing i zaufanymi relacjami, atakujący zyskał pierwszy dostęp za pomocą tej techniki.
Uwaga: Struktura ta zawiera wszystkie znane sposoby uzyskania wstępnego dostępu przez atakującego.
Jak pomaga rozwiązanie z zakresu cyberbezpieczeństwa?
Rozwiązanie to mapuje produkty w programie ATT&CK Framework, pokazując taktyki i techniki wykrywania, które pokazują, jak możemy pomóc w rozwiązywaniu problemów związanych z wykrywaniem zagrożeń i reagowaniem na nie
A co z profilaktyką?
Kontrole prewencyjne są ważną częścią strategii ograniczania zagrożeń, która zwiększa odporność podczas ataku. W ostatniej kolejności przetestowano środki zapobiegawcze, które umożliwiają wczesne ograniczanie ryzyka, umożliwiając organizacjom spędzanie większej ilości czasu na trudniejszych problemach z bezpieczeństwem
MITRE ATT&CK a łańcuch cyberzabójczy
MITRE ATT&CK został zaprojektowany w celu zapewnienia głębszego poziomu szczegółowości w opisie tego, co może się wydarzyć podczas ataku, który jest krokiem naprzód w stosunku do Cyber Kill Chain.
Cyber Kill Chain składa się z siedmiu etapów:
Rekonesans
Włamanie
Wykorzystywanie
Realizacja uprawnień
Ruch lateralny
Maskowanie / ochrona przed śledczymi
Odmowa usługi
Eksfiltracja
Przypadki użycia MITRE ATT&CK
MITRE ATT&CK umożliwia organizowanie technologii z punktu widzenia atakującego i odwoływanie się do środków zaradczych po stronie obrony. W związku z tym opisano następujące przypadki użycia.
Emulacja przeciwnika
Emulacja atakującego. Wyodrębnij techniki i scenariusze ataków z grup w bazie danych, wykryj serię ataków i sprawdź, czy istnieją środki obronne przeciwko tym atakom.
Czerwona współpraca
Twórz scenariusze ataków na potrzeby ćwiczeń cybernetycznych. Czerwona drużyna odgrywa rolę atakującego, niebieska odgrywa rolę obrony, a biała odgrywa rolę kontroli i osądu.
Rozwój analityki behawioralnej
Zamiast IoC i znanych informacji o zagrożeniach, wykorzystaj bazę wiedzy ATT&CK i przeanalizuj nieznane techniki i wzorce działań, aby opracować nowe środki zaradcze.
Ocena luki defensywnej
Określ, co jest niedostateczne w istniejących środkach zaradczych organizacji. Określ priorytety dla inwestycji.
Ocena dojrzałości SOC
Określenie skuteczności wykrywania, analizy i reagowania przez SOC.
Wzbogacanie wiedzy o cyberzagrożeniach
Analityk może dokładnie zrozumieć działania grupy atakujących i zgłosić je. Istnieje możliwość jasnego określenia, jakiego rodzaju narzędzia dana grupa używała, jakiego rodzaju technologii i jakiej procedury używała grupa przy rozpoczynaniu ataków, poprzez pobieranie danych z bazy danych.
Chociaż jest to obszar profesjonalny, strona internetowa MITRE ATTCK udostępnia również aplikację o nazwie ATTCK Navigator, która umożliwia utworzenie macierzy zgodnie z celami opisanymi powyżej.
Wyniki MITRE ATT&CK 2024 dla bezpieczeństwa przedsiębiorstw
100% wykrywanie wszystkich głównych etapów ataku
W 2024 r. MITRE Engenuity udoskonalił grę, symulując najbardziej aktualne techniki ataku. Powiedzmy, że Trend Micro zmiażdżyło to zadanie.
Niesamowite wyniki 2024 w ocenach MITRE Engenuity ATTCK są naszymi piątymi z rzędu i obejmują jedne z najwyższych wyników kiedykolwiek odnotowanych dla jakiegokolwiek dostawcy.
W 2023 r. zablokowano ponad 161 miliardów zagrożeń — czyli o 10% więcej niż w 2022 r. — większa widoczność ryzyka ma kluczowe znaczenie dla aktywnego powstrzymywania nawet najbardziej zaawansowanych ataków.
Tegoroczne oceny koncentrowały się na taktykach, technikach i procedurach (TTP) DPRK, CL0P i LockBit, trzech z najbardziej zaawansowanych i niebezpiecznych zagrożeń ransomware.