MITRE ATT&CK расшифровывается как Adversarial Tactics, Techniques и Common Knowledge (тактики, техники и общеизвестные факты о злоумышленниках). Это общедоступная база знаний о тактиках и техниках злоумышленников, которая может использоваться в качестве основы для разработки моделей и методологий киберугроз.
Содержание
Эта база знаний была разработана на основе следующих трех концепций:
Взгляд с точки зрения злоумышленника.
Отслеживание реальной активности на реальных примерах.
Уровень абстракции для сопоставления атакующих действий с возможными оборонительными приемами.
MITRE ATT&CK помогает отрасли определять и стандартизировать способ описания подходов злоумышленников. В базе упорядоченно собраны и разделены по категориям общие тактики, техники и процедуры (TTP) атак.
Третья концепция, которая требует надлежащего уровня абстракции для установления связи между методом атаки и контрмерами на стороне защиты, особенно важна при изучении структуры ATT&CK. Информация представлена с высокой степенью абстракции, без конкретики, вроде IP-адресов, URL и сигнатур.
Здесь атаки анализируются на основе тактик, техник и процедур (TTP), с упором на техники.
Тактика: краткосрочная цель злоумышленника.
Техника: средства достижения цели злоумышленником.
Процедура: конкретный метод реализации техники.
Этот фреймворк помогает объяснить, как злоумышленники себя ведут, чего они пытаются достичь и какими методами они это делают.
Наличие общей терминологии и фреймворка помогает эффективно обмениваться информацией, понимать угрозы и реагировать на них.
MITRE ATT&CK стала важной базой знаний для киберзащитников, поскольку она помогает им повысить эффективность средств безопасности и ускорить реагирование. Ежегодная оценка MITRE сравнивает отраслевые инновации и предоставляет решения, необходимые для обнаружения и реагирования с учетом меняющегося ландшафта угроз.
Исходный ресурс можно найти здесь.
Эта база знаний помогает специалистам по информационной безопасности быть в курсе новых техник атак, чтобы предотвращать их.
Организации используют ATT&CK для стандартизации коммуникаций в сообществе, тестирования средств защиты и оценки продуктов и услуг.
Оценки MITRE ATT&CK
Оценка MITRE ATT&CK обеспечивает прозрачность для клиентов и использует реальные сценарии атак. Это гарантирует, что клиенты смогут активно оценивать продукты безопасности, чтобы защититься от новейших приемов злоумышленников с учетом своих самых слабых мест. Для проверки того, могут ли клиенты справиться с современными угрозами, в ходе оценки моделируются атаки, при этом используются техники, инструменты, методы и цели, как у настоящих злоумышленников.
Моделирование выполняется в контролируемой лабораторной среде для обеспечения справедливости и точности тестирования. Техники злоумышленников выполняются пошагово для изучения широты охвата ATT&CK.
Оценки не являются конкурентным анализом. Здесь не используются баллы или рейтинги. Оценки показывают, как вендор подходит к обнаружению угроз в контексте базы знаний ATT&CK.
Оценка предлагает покупателям и пользователям решения по кибербезопасности возможность объективно оценить продукты безопасности, чтобы защититься от новейших приемов злоумышленников с учетом своих слабых мест.
Например, в 2022 году оценка имитировала атаки группировок Wizard Spider и Sandworm. После моделирования были обработаны и опубликованы результаты и методология.
Матрицы MITRE ATT&CK
Фреймворк MITRE ATT&CK разделен на несколько матриц, каждая из которых адаптирована к конкретным средам, где действуют киберугрозы. Эти матрицы классифицируют тактики, техники и процедуры (TTP), используемые злоумышленниками, помогая командам безопасности совершенствовать свои стратегии защиты.
Матрица для корпоративной инфраструктуры
Самая комплексная матрица, охватывающая угрозы в Windows, macOS, Linux и облачных средах. Сюда входят такие техники, как эскалация привилегий, горизонтальное перемещение и утечка данных.
Матрица мобильных устройств
Ориентирована на угрозы для устройств на iOS и Android. В этой матрице подробно описаны такие техники атак, как кража учетных данных, эксплуатация сети и защита от мобильных вредоносных программ.
Матрица для промышленных систем управления
Охватывает киберугрозы, характерные для промышленных сред, таких как системы АСУТП. Здесь описаны методы, используемые для нарушения работы критически важной инфраструктуры, включая несанкционированное выполнение команд и манипуляции с микропрограммным обеспечением.
Тактики MITRE ATT&CK
В основе ATT&CK лежит серия техник — действий, с помощью которых злоумышленники пытаются достичь цели. Эти цели называются тактиками.
Тактика объясняет, зачем применяется техника. Это причина, по которой злоумышленники действуют. Техника — это способ достижения цели. Она описывает, что делают злоумышленники.
В корпоративной среде могут применяться следующие тактики:
Первоначальный доступ: методы проникновения в сеть, такие как фишинг, компрометация цепочки поставок и использование уязвимостей в общедоступных приложениях.
Исполнение: техники запуска вредоносного кода в системе, включая выполнение командной строки, скриптинг и манипуляции клиентами.
Устойчивость: методы, которые злоумышленники используют для сохранения доступа после первоначальной компрометации, например создание новых аккаунтов, изменение реестра и планирование задач.
Эскалация привилегий: способ получить разрешения более высокого уровня, например использование уязвимостей, дампинг учетных данных и манипуляция токенами доступа.
Уклонение от защиты: техники обхода мер безопасности, включая отключение инструментов безопасности, обфускацию файлов и внедрение процессов.
Доступ к учетным данным: кража учетных данных, например с помощью кейлоггеров, подбора паролей и дампинга учетных данных.
Обнаружение: тактика, используемая для сбора информации о системе или сети, например, сканирование сети и изучение учетных записей.
Горизонтальное распространение: методы перемещения по системам, такие как протокол удаленного рабочего стола (RDP) и атаки Pass-the-hash.
Сбор: методы сбора чувствительных данных, включая захват экрана, кейлоггинг и извлечение данных из локальных баз данных.
Эксфильтрация: способы передачи украденных данных из сети, например зашифрованная эксфильтрация и злоупотребление облачными хранилищами.
Воздействие: техники, направленные на нарушение операций, включая развертывание программ-вымогателей, уничтожение данных и атаки типа «отказ в обслуживании».
Техники MITRE ATT&CK
Фреймворк MITRE ATT&CK классифицирует техники злоумышленников, используемые для кибератак. Ключевые техники:
Первоначальный доступ — получение доступа с помощью фишинга и эксплуатации публичных приложений.
Исполнение — выполнение вредоносного кода через командную строку или скрипты.
Устойчивость — сохранение доступа посредством изменений реестра или запланированных задач.
Эскалация привилегий — получение более высоких привилегий с помощью эксплойтов или дампинга учетных данных.
Уклонение от защиты — обход средств безопасности с помощью обфускации или отключения инструментов.
Горизонтальное распространение — перемещение по сетям через RDP или атаки Pass-the-Hash.
Эксфильтрация — кража данных путем злоупотребления облачными хранилищами или зашифрованных передач.
Понимание этих техник помогает организациям укреплять защиту.
Анатомия фреймворка MITRE ATT&CK
Тактики описывают, чего злоумышленники пытаются достичь.
Тактики можно сравнить с главой книги. Директор по информационной безопасности может рассказать историю, описав общие тактики атаки, а затем углубиться в детали, рассказав о техниках, которые используются для достижения целей.
Пример истории: понятное объяснение хода атаки
Цель злоумышленника заключалась в получении первоначального доступа к сети. Злоумышленник с помощью целевого фишинга заставил пользователя перейти по ссылке и загрузить теневое ПО, таким образом получив доступ.
Примечание: Фреймворк перечисляет все известные способы получения злоумышленником первоначального доступа.
Как решение по кибербезопасности может помочь?
Продемонстрировав тактики и техники на основе фреймворка ATT&CK, можно показать, как решение противостоит им, обнаруживая угрозы и реагируя на них.
Как насчет предотвращения угроз?
Предотвращение угроз является важной частью стратегии кибербезопасности, которая повышает устойчивость при атаке. Средства предотвращения были протестированы новейшими способами и доказали способность снижать риски при их появлении, позволяя организациям уделять больше времени самым сложным проблемам безопасности.
Сравнение MITRE ATT&CK и килчейна
По сравнению с килчейном MITRE ATT&CK обеспечивает более глубокий уровень детализации при описании того, что может произойти во время атаки.
Килчейн включает семь этапов:
Разведка.
Вторжение.
Эксплуатация.
Выполнение привилегий.
Горизонтальное распространение.
Обфускации / защита от обнаружения.
Отказ в обслуживании.
Эксфильтрация.
Сценарии применения MITRE ATT&CK
MITRE ATT&CK позволяет посмотреть на технологии с точки зрения злоумышленника и принять соответствующие контрмеры. Варианты применения:
Имитация атаки
Моделирование действий злоумышленников. Опираясь на представленные техники и сценарии атаки, использованные злоумышленниками на практике, выстраивайте серии атак и проверяйте, может ли ваша организация от них защититься.
Тестирование в формате Red Teaming
Создавайте сценарии атак для проведения учений. Красная команда играет роль злоумышленников, синяя — роль защитников, а белая команда наблюдает за процессов в качестве судьи.
Разработка поведенческой аналитики
Вместо индикаторов компрометации (IoC) и известной информации об угрозах используйте базу знаний ATT&CK и анализируйте неизвестные техники и модели действий для разработки новых контрмер.
Оценка пробелов в обороне
Определите недостатки существующих контрмер организации. Расставьте приоритеты для инвестиций.
Оценка зрелости SOC
Определите степень эффективность мер обнаружения, анализа и реагирования в SOC.
Расширение аналитических данных о киберугрозах
Аналитик может детально изучить действия группы злоумышленников и сообщить о них. Вы можете четко определить, какие инструменты, технологии и процедуры использовала конкретная группа при атаке.
Хотя для этого требуется профессиональный опыт, на сайте MITRE ATT&CK есть приложение ATT&CK Navigator, в котором можно создать матрицу для конкретных целей.
Результаты MITRE ATT&CK 2024 в сфере корпоративной безопасности
В 2024 году испытания от MITRE Engenuity были невероятно трудными, ведь они имитировали большинство современных методов атак. Trend Micro удалось показать невероятные результаты.
В 2024 году мы в пятый раз подряд блестяще справились с тестами MITRE Engenuity ATT&CK, показав рекордные результаты среди всех вендоров.
В 2023 году было заблокировано более 161 млрд угроз — на 10% больше, чем в 2022 году, — поскольку улучшенный мониторинг рисков позволяет предупреждать даже самые продвинутые атаки.
В этом году тесты были сосредоточены на тактиках, методах и процедурах DPRK, CL0P и LockBit — трех самых сложных и опасных угрозах, связанных с программами-вымогателями.
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.