Czym jest MITRE ATT&CK Framework?
2024 Oceny skuteczności wykrywania MITRE ATT&CK: Trend Vision One™ pozostawia atakujących bez możliwości ukrycia
MITRE ATT&CK Framework
MITRE ATT&CK to publiczna baza wiedzy o taktykach i technikach przeciwnych, która może być wykorzystywana jako podstawa do opracowywania konkretnych modeli i metod cyberzagrożeń.
Ta baza wiedzy została opracowana w oparciu o następujące trzy koncepcje:
- Zachowuje perspektywę przeciwnika
- Wynika z rzeczywistego wykorzystania aktywności poprzez przykłady użycia empirycznego
- Poziom abstrakcji jest odpowiedni, aby połączyć obraźliwe działania z możliwą defensywną
MITRE ATT&CK pomaga branży określić i ujednolicić sposób opisania podejścia atakującego. Gromadzi i kategoryzuje popularne taktyki, techniki i procedury ataku (TTP), a następnie organizuje te informacje w ramach.
Trzecia koncepcja, która wymaga odpowiedniego poziomu abstrakcji do pokonania między metodą ataku a środkami zaradczymi, które można wdrożyć po stronie obrony, jest szczególnie ważna, gdy rozumiesz strukturę ATT&CK. Informacje są uporządkowane jako informacje o wysokim stopniu abstrakcji, a nie informacje indywidualne/konkretne, takie jak adresy IP, adresy URL i informacje o sygnaturach złośliwego oprogramowania.
Podstawą koncepcji czynników jest analiza ataków w oparciu o tzw. taktykę, technikę i procedurę (TTP). Głównie zdobywa się i organizuje wiedzę na temat technik.
- Taktyka: Krótkoterminowy cel atakującego
- Technika: Sposób na osiągnięcie celu przez atakującego
- Procedura: Specyficzna metoda wykorzystania technik przez atakującego
Narzędzie to ułatwia prześledzenie sposobu działania napastników, określenie ich zamiarów oraz poznanie ich metod.
Wspólne języki i ramy są ważne, jeśli chodzi o umiejętność komunikacji, rozumienia i reagowania na zagrożenia w sposób jak najbardziej efektywny i efektywny.
MITRE ATT&CK stał się kluczową bazą wiedzy dla cyberochronników, co ostatecznie poprawiło wydajność zabezpieczeń i czas reakcji. Coroczna ocena MITRE porównuje innowacje w całej branży, aby dostarczać rozwiązania niezbędne do wykrywania i reagowania na ewoluujący krajobraz zagrożeń.
Materiały z https://attack.mitre.org/resources/
Ten rodzaj frameworku jest niezwykle przydatny dla specjalistów ds. bezpieczeństwa informacji, ponieważ pomaga na bieżąco informować ich o nowych technikach ataku i zapobiegać atakom.
Organizacje wykorzystują ATT&CK do standaryzacji rozmów społecznych, testów obronnych i ocen produktów/usług.
Oceny MITRE ATT&CK
MITRE ATT&CK Evaluation oferuje klientom przejrzystość i rzeczywiste scenariusze ataków. Dzięki temu klienci mogą aktywnie oceniać produkty zabezpieczające, aby chronić się przed najnowszymi osiągnięciami atakujących w oparciu o ich obszary o największej potrzebie. Ocena wykorzystuje emulację przeciwników, aby zapewnić, że klienci będą w stanie radzić sobie z dzisiejszymi zagrożeniami. Korzystanie z technik, narzędzi, metod i celów inspirowanych techniką atakującego.
Symulacje są wykonywane w kontrolowanym środowisku laboratoryjnym, aby zapewnić uczciwe i dokładne testy. Techniki ataku są następnie wykorzystywane w logiczny sposób krok po kroku w celu zbadania zakresu zasięgu ATT&CK.
Oceny nie są analizą konkurencyjną. Brak wyników, rankingów i ocen. Zamiast tego pokazują, jak każdy dostawca podchodzi do wykrywania zagrożeń w kontekście bazy wiedzy ATT&CK
Ocena oferuje nabywcom i klientom rozwiązania z zakresu cyberbezpieczeństwa bezstronną opcję oceny produktów zabezpieczających, aby uzbroić się w najnowsze osiągnięcia atakujących w oparciu o ich obszary o największej potrzebie.
Na przykład w 2022 r. ewaluacja emulowała przepływy operacyjne rzemiosła Wizard Spider i Sandworm w celu symulacji ataków podobnych do zachowań wykorzystywanych w tych grupach. Po przeprowadzeniu symulacji wyniki zostały przetworzone i upublicznione, w tym metodologia
Matryce MITRE ATT&CK
Struktura MITRE ATT&CK jest podzielona na wiele matryc, z których każda jest dostosowana do konkretnych środowisk, w których działają zagrożenia cybernetyczne. Te matryce kategoryzują taktyki, techniki i procedury (TTP) używane przez atakujących, pomagając zespołom ds. bezpieczeństwa w ulepszaniu ich strategii obronnych.
Matryca przedsiębiorstwa
Najbardziej kompleksowa macierz obejmująca zagrożenia w środowiskach Windows, macOS, Linux i chmurowych. Obejmuje techniki takie jak zwiększanie uprawnień, ruch poprzeczny i eksfiltracja danych.
Mobilna matryca
Koncentracja na zagrożeniach dla urządzeń z systemami iOS i Android. Ta macierz szczegółowo opisuje techniki ataku, takie jak kradzież danych uwierzytelniających, wykorzystywanie sieci i utrzymywanie się złośliwego oprogramowania mobilnego.
Matryca ICS (przemysłowych systemów sterowania)
Eliminuje zagrożenia cybernetyczne charakterystyczne dla środowisk przemysłowych, takich jak systemy SCADA. Podkreśla techniki wykorzystywane do zakłócania infrastruktury krytycznej, w tym nieautoryzowane wykonywanie poleceń i manipulowanie oprogramowaniem układowym.
Taktyki MITRE ATT&CK
Taktyka reprezentuje „Dlaczego” techniki. To właśnie dlatego atakujący wykonuje jakąś czynność. Technika to „środki” pozwalające napastnikowi osiągnąć cel poprzez wykonanie działania. Reprezentuje również „co” zdobywa atakujący.
Przy analogii domeny Enterprise taktyka wygląda następująco:
- Początkowy dostęp: Metody stosowane przez atakujących do infiltracji sieci, takie jak phishing, naruszenie bezpieczeństwa łańcucha dostaw i wykorzystywanie aplikacji publicznych.
- Realizacja: Techniki, które uruchamiają złośliwy kod w systemie, w tym wykonywanie wiersza poleceń, skrypty i wykorzystywanie do wykonywania zadań przez klienta.
- Trwałość: Metody wykorzystywane przez atakujących do utrzymania dostępu po pierwszym zagrożeniu bezpieczeństwa, takie jak tworzenie nowych kont użytkowników, modyfikacje rejestru i zaplanowane zadania.
- Eskalacja uprawnień: Sposoby, w jakie przeciwnicy uzyskują uprawnienia wyższego poziomu, takie jak wykorzystywanie luk w zabezpieczeniach, dumping poświadczeń i manipulowanie tokenami dostępu.
- Ewakuacja obronna: Techniki omijania środków bezpieczeństwa, w tym wyłączania narzędzi bezpieczeństwa, zaciemniania plików i wstrzykiwania procesu.
- Dostęp poświadczający: Metody kradzieży danych uwierzytelniających, takie jak oznaczanie kluczy, ataki metodą brute force i dumping danych uwierzytelniających.
- Odkrycie: Taktyki służące do gromadzenia informacji o systemie lub sieci, takich jak skanowanie sieci i wyliczanie kont.
- Ruch boczny: Techniki przechodzenia między systemami, takimi jak protokół zdalnego pulpitu (RDP) i ataki typu „pass-the-hash”.
- Kolekcja: Metody gromadzenia danych wrażliwych, w tym przechwytywania ekranu, rejestrowania kluczy i danych z lokalnych baz danych.
- Eksfiltracja: Sposoby przesyłania skradzionych danych z sieci, takie jak zaszyfrowana eksfiltracja i nadużycia pamięci masowej w chmurze.
- Wpływ: Techniki mające na celu zakłócanie działalności, w tym wdrażanie ransomware, niszczenie danych i ataki typu odmowa usługi.
Techniki MITRE ATT&CK
Ramy MITRE ATT&CK kategoryzują techniki przeciwników stosowane w cyberatakach. Kluczowe techniki obejmują:
- Początkowy dostęp — metody takie jak phishing i wykorzystywanie publicznych aplikacji do uzyskiwania dostępu.
- Realizacja — uruchamianie złośliwego kodu za pomocą wiersza poleceń lub skryptów.
- Trwałość – utrzymywanie dostępu poprzez zmiany w rejestrze lub zaplanowane zadania.
- Eskalacja uprawnień — zdobywanie wyższych uprawnień za pomocą exploitów lub dumpingu poświadczeń.
- Unikanie obrony — omijanie zabezpieczeń za pomocą zaciemniania lub wyłączania narzędzi.
- Ruch boczny – rozprzestrzenianie się w sieciach za pośrednictwem RDP lub pass-the-hash.
- Eksfiltracja – kradzież danych za pomocą nadużycia chmury lub zaszyfrowanych transferów.
Zrozumienie tych technik pomaga organizacjom wzmocnić mechanizmy ochrony.
Anatomia MITRE ATT&CK Framework
Taktyki to opis tego, co atakujący próbują osiągnąć.
Taktyki są podobne do rozdziału książki. CISO może przedstawić historię, którą chce opowiedzieć, stosując taktyki wysokiego poziomu stosowane w ataku, a następnie odnieść się do technik opisujących sposób jego realizacji, które zawierają dodatkowe informacje
Przykładowa historia: Tworzenie historii ataku we wspólnym języku
Celem atakującego było uzyskanie początkowego dostępu do sieci. Korzystając z rozwiązania drive-by compromise z łączem typu spear-phishing i zaufanymi relacjami, atakujący zyskał pierwszy dostęp za pomocą tej techniki.
Uwaga: Struktura ta zawiera wszystkie znane sposoby uzyskania wstępnego dostępu przez atakującego.
Jak pomaga rozwiązanie z zakresu cyberbezpieczeństwa?
Rozwiązanie to mapuje produkty w programie ATT&CK Framework, pokazując taktyki i techniki wykrywania, które pokazują, jak możemy pomóc w rozwiązywaniu problemów związanych z wykrywaniem zagrożeń i reagowaniem na nie
A co z profilaktyką?
Kontrole prewencyjne są ważną częścią strategii ograniczania zagrożeń, która zwiększa odporność podczas ataku. W ostatniej kolejności przetestowano środki zapobiegawcze, które umożliwiają wczesne ograniczanie ryzyka, umożliwiając organizacjom spędzanie większej ilości czasu na trudniejszych problemach z bezpieczeństwem
MITRE ATT&CK a łańcuch cyberzabójczy
MITRE ATT&CK ma na celu zapewnienie głębszego poziomu szczegółowości opisu tego, co może się zdarzyć podczas ataku, który jest krokiem naprzód od łańcucha cyberzabójczego
Łańcuch cyberzabójców składa się z siedmiu kroków:
- Rozpoznanie
- Włamanie
- Wykorzystywanie
- Realizacja uprawnień
- Ruch poziomy („lateral movement”)
- Zaciemnienia/antykryminalizacja
- Odmowa usługi
- Eksfiltracja
Przypadki użycia MITRE ATT&CK
MITRE ATT&CK umożliwia organizowanie technologii z punktu widzenia atakującego i odwoływanie się do środków zaradczych po stronie obrony. W związku z tym opisano następujące przypadki użycia.
Emulacja przeciwnika
Emulacja atakującego. Wyodrębnij techniki i scenariusze ataków z grup w bazie danych, wykryj serię ataków i sprawdź, czy istnieją środki obronne przeciwko tym atakom.
Czerwona współpraca
Twórz scenariusze ataków na potrzeby ćwiczeń cybernetycznych. Czerwona drużyna odgrywa rolę atakującego, niebieska odgrywa rolę obrony, a biała odgrywa rolę kontroli i osądu.
Rozwój analityki behawioralnej
Zamiast IoC i znanych informacji o zagrożeniach, wykorzystaj bazę wiedzy ATT&CK i przeanalizuj nieznane techniki i wzorce działań, aby opracować nowe środki zaradcze.
Ocena luki defensywnej
Określ, co jest niedostateczne w istniejących środkach zaradczych organizacji. Określ priorytety dla inwestycji.
Ocena dojrzałości SOC
Określ skuteczność wykrywania, analizy i reakcji SOC.
Wzbogacanie wiedzy o cyberzagrożeniach
Analityk może dokładnie zrozumieć działania grupy atakujących i zgłosić je. Istnieje możliwość jasnego określenia, jakiego rodzaju narzędzia dana grupa używała, jakiego rodzaju technologii i jakiej procedury grupa używała przy rozpoczynaniu ataków, poprzez pobieranie danych z bazy danych.
Chociaż jest to dziedzina profesjonalna, witryna internetowa MITRE ATT&CK dostarcza również aplikację o nazwie ATT&CK Navigator, która umożliwia tworzenie matrycy zgodnie z celami opisanymi powyżej.
Wyniki MITRE ATT&CK 2024 dla bezpieczeństwa przedsiębiorstw
100% wykrywanie wszystkich głównych etapów ataku
W 2024 r. MITRE Engenuity udoskonalił grę, symulując najbardziej aktualne techniki ataku. Powiedzmy, że Trend Micro zmiażdżyło to zadanie.
Niesamowite wyniki MITRE Engenuity ATT&CK Evaluations w 2024 r. to nasza piąta ocena z rzędu, która obejmuje jedne z najwyższych wyników, jakie kiedykolwiek zarejestrowano dla każdego dostawcy.
W 2023 r. zablokowano ponad 161 miliardów zagrożeń — czyli o 10% więcej niż w 2022 r. — większa widoczność ryzyka ma kluczowe znaczenie dla aktywnego powstrzymywania nawet najbardziej zaawansowanych ataków.
Tegoroczne oceny koncentrowały się na taktykach, technikach i procedurach (TTP) DPRK, CL0P i LockBit, trzech z najbardziej zaawansowanych i niebezpiecznych zagrożeń ransomware.