MITRE ATT & CK Framework в жизни платформы безопасности

Начнем с определения концепции MITRE ATT & CK Framework.

Структура MITRE ATT & CK ™ — это комплексная матрица тактик и приемов, используемых охотниками за угрозами, командами Red Team и командами ИБ для лучшей классификации атак и оценки риска организации.

Цель структуры – улучшить обнаружение злоумышленников на предприятиях после взлома путем демонстрации действий, которые они могли мог предпринять. Как проник злоумышленник? Как они передвигаются? База знаний разработана, чтобы ответить на эти вопросы и помочь понять состояние безопасности организации по периметру и за его пределами.

Организации могут использовать эту структуру для выявления брешей в защите и определения их приоритетов в зависимости от степени риска. Охотники за угрозами могут использовать структуру ATT & CK для поиска определенных методов, которые злоумышленники могут использовать совместно с другими.

Платформа может быть чрезвычайно полезной для измерения уровня видимости среды против целевых атак с помощью существующих инструментов, развернутых на конечных точках и периметре организации.


Когда была создана платформа ATT & CK?
Корпорация MITRE, некоммерческая организация, которая поддерживает несколько правительственных агентств США, начала разработку ATT & CK в 2013 году. Структура, которая расшифровывается как Adversarial Tactics, Techniques & Common Knowledge («Противоборствующие тактики, методы и общие знания»), была официально выпущена в мае 2015 года, но претерпела несколько обновлений.

По словам Блейка Строма, руководителя MITRE ATT & CK, структура была создана для лучшего анализа поведения злоумышленников в рамках внутреннего исследовательского проекта FMX. В дополнение к поведению, группе нужен был способ классифицировать, как злоумышленники взаимодействуют с системами во всех группах, на основе активности в реальном времени.
Технически существует три матрицы ATT & CK. Вот самые популярные, о которых мы поговорим здесь:

• Enterprise ATT & CK;
• PRE-ATT & CK – описывает тактику и методы предварительного взлома, что злоумышленники перед тем, как использовать целевую сеть;
• Mobile ATT & CK – модель противоборствующих тактик и приемов, используемых для получения доступа к мобильным устройствам.
  

Каковы тактики ATT & CK Framework?
Framework Enterprise ATT & CK состоит из 12 тактик. Рассмотрим тактику ATT & CK: какой цели хотел достичь атакующий с помощью компромисса?

• Первоначальный доступ (initial access).
• Выполнение (execution).
• Закрепление (persistence).
• Повышение привилегий (privilege escalation).
• Предотвращение обнаружения (defense evasion).
• Получение учетных данных (credential access).
• Разведка (discovery).
• Перемещение внутри периметра (lateral movement).
• Сбор данных (collection).
• Управление и контроль (command and control).
• Эксфильтрация данных (exfiltration).
• Воздействие (impact).
  

Каждая тактика содержит набор методов, которые использовались в дикой природе сети вредоносными программами или группами злоумышленников при компрометации.

В ATT & CK предусмотрена следующая тактика: как злоумышленники повышают привилегии и извлекают данные?

Хотя в структуре Enterprise ATT & CK всего 12 тактик, методов слишком много, чтобы перечислять (их более 290 на момент написания этой статьи). Их лучше всего визуализировать с помощью MITRE ATT & CK Navigator, веб-приложения с открытым исходным кодом, которое позволяет выполнять базовую навигацию и аннотировать все матрицы фреймворка. Методы обозначены в ATT & CK как Txxxx (например, ссылка на фишинговую рассылку – T1192, средства удаленного доступа – T1219 и т. д.).

Каждый метод содержит контекстную информацию:

• требуемые разрешения,
• на какой платформе обычно используется метод,
• как определять команды и процессы, в которых они используются.
  

Злоумышленники нередко перемещаются по сети через легитимные инструменты Windows, такие как Windows Management Instrumentation (WMI). Штамм вымогателя Petya использовал WMI (вместе с PsExec, EternalBlue и EternalRomance) для горизонтального распространения в 2017 году.

Охотник за угрозами может использовать ATT & CK для изучения взаимосвязей между такими методами, как WMI, и другими, которые можно использовать для сбора данных для обнаружения и выполнения файлов посредством бокового перемещения.

Перейдя к разделу техник «Обнаружение», охотник за угрозами может:

• узнать об отслеживании сетевого трафика для соединений WMI,
• искать использование WMI в средах, которые обычно его не используют,
• выполнять мониторинг процессов для захвата командной строки (аргументы «wmic», чтобы идентифицировать технику).
  

Каковы процедуры структуры ATT & CK?
Что касается ATT & CK, процедура описывает способ, которым злоумышленники или программное обеспечение реализуют метод. Например, WMI – перейдя к списку методов WMI, любой может увидеть, что популярная Российская группа хакеров APT29 использует WMI для кражи учетных данных и выполнения бэкдоров в будущем. BlackEnergy, APT-группа, связанная с атаками на украинские энергетические компании в 2015 году, тем временем использует WMI для сбора сведений о хостах жертв.

Блейка Строма, руководителя MITRE ATT & CK, описал:


Как ATT & CK помогает в обмене данными об угрозах?
Эта структура существует уже много лет, но в последнее время она особенно популярна для обмена данными об угрозах среди организаций, конечных пользователей и правительств. Хотя есть и другие способы поделиться информацией об угрозах, ATT & CK предоставляет общий язык, который стандартизирован и доступен во всем мире.

Как отмечает Кэти Никелс, руководитель отдела аналитики угроз ATT & CK для MITER, аналитики и защитники могут работать вместе с данными для сравнения и сопоставления групп угроз. Аналитики могут структурировать информацию о поведении, в то время как защитники могут структурировать информацию о поведении, которое они могут обнаружить и смягчить. Никелс дает хороший пример, сравнивая и противопоставляя методы, используемые группами APT3 и APT29, в блоге MITRE. Определяя методы с наивысшим приоритетом, организация может лучше определить, как их смягчить и обнаружить.

Тот факт, что база знаний управляется сообществом и широко используется для обмена структурированной информацией, также придала ему значительный импульс.


Продвинутые угрозы, о которых никогда не слышали
Кибератаки становятся все более изощренными, и организации с плохой подготовкой и инфраструктурой становятся легкой мишенью для хакеров.

Расширенная таргетированная атака — это методология, при которой:

• Хорошо зарекомендовавшие себя группы киберпреступников получают доступ к сети и сохраняют ее в течение месяцев / лет для достижения своих целей.
• Злоумышленники повышают привилегии домена и распространяются по сети в поисках более богатых целей внутри стен.
• Группы угроз используют различную тактику, инфраструктуру, повторное использование кода и общие наборы целей, чтобы оставаться незамеченными традиционными средствами защиты.
  

Как Bitdefender EDR защитит сеть?
Bitdefender EDR предотвращает киберпреступников с помощью повышенной бдительности и эффективных технологий сдерживания. Мониторинг в реальном времени и поведенческий анализ превращают обнаружение угроз в полезные сведения с рекомендациями по реагированию для групп безопасности.

Это мощная платформа, на которой данные собираются, анализируются и сопоставляются с ключевыми атрибутами и представляются в формате, позволяющем специалистам по безопасности и руководителям бизнеса принимать решительные меры.


Как Bitdefender использует техники MITRE ATT & CK Framework?
ATT & CK бросила вызов Bitdefender в 19 эмулируемых фазах атаки APT 29 или Cozy Bear, одной из самых скрытых в мире продвинутых постоянных групп угроз, спонсируемых государством.

Оценка проверяет способность поставщика обнаруживать действия злоумышленников по всему спектру изощренных атак, от первоначального взлома до бокового движения, настойчивости и утечки.

Результаты ATT & CK Evaluation показывают, что Bitdefender достиг максимального охвата всей цепочки атак, по методикам, тактике и общему обнаружению – наиболее актуальным категориям для средних организаций и MSP, которым нужны точные обработанные данные EDR, а не только телеметрия.

Bitdefender также превзошел в детализации конкретных методов атаки и предоставлении уведомлений для каждого шага в цепочке инфраструктуры атаки, от первоначального нарушения до повышения устойчивости.

Результаты демонстрируют ценность Bitdefender для организаций с ограниченным опытом в области безопасности для поиска в исторических данных. Подобные компании зависят от интуитивно понятных деталей техники атаки, чтобы сократить время до обнаружения и повысить прозрачность сложных атак.


Преимущества EDR
Традиционные продукты безопасности не обеспечивают адекватной видимости TTP, используемых для запуска сложных угроз. В них также отсутствуют условия, необходимые для эффективного сдерживания.

Bitdefender EDR защищает клиентов, предоставляя:

• Бесшовная интеграция.
  

EDR – очевидный выбор для практических действий по обнаружению и реагированию специалистами по безопасности. Он совместим с существующими решениями и является золотой серединой между Endpoint Protection и Security Information and Events Management (SIEM).

• Видимость злоумышленника TTP.
  

EDR сочетает в себе детективный, следственный и компенсационный меры безопасности. Оснащенный специализированными моделями машинного обучения и корреляции событий, он использует аналитику и автоматизацию песочницы для обнаружения подозрительных индикаторов, охватываемых матрицей MITRE ATT & CK.

• Сортировка предупреждений и приоритезация с разрешением в один щелчок.
  

EDR может помочь клиентам увидеть больше обычных предупреждений, чем их превентивные инструменты. Автоматическая сортировка предупреждений представляет собой понятную историю, которая позволяет аналитикам легко читать и понимать инциденты и принимать соответствующие меры реагирования.

• Устранение разрыва в навыках кибербезопасности.
  

Графическая визуализация и простые в использовании рабочие процессы сокращают кривую обучения. А также максимизируют способность команды безопасности следовать управляемым ответам, чтобы эффективно останавливать и устранять продолжающиеся атаки.

• Управление и снижение организационных рисков.
  

Интегрированный централизованный модуль анализа рисков конечных точек (ERA) обеспечивает комплексную идентификацию и устранение множества неправильных настроек операционной системы, уязвимостей приложений и рисков поведения человека.


Заключение
Простой в использовании и точный EDR является неотъемлемой частью нашей комплексной платформы защиты конечных точек (EPP).

GravityZone с модулем EDR объединяет многоуровневую защиту конечных точек нового поколения и простую в использовании платформу для точной защиты предприятий даже от самых неуловимых киберугроз. Он предлагает инструменты предотвращения, автоматического обнаружения, расследования и реагирования, чтобы корпоративные клиенты могли защитить свои цифровые активы и отреагировать на эти угрозы.

GravityZone выделяется там, где большинство продуктов слишком сложны и ресурсоемки!

Опираясь на высокоэффективные технологии предотвращения, автоматического обнаружения угроз и реагирования, GravityZone резко ограничивает количество инцидентов, требующих ручного анализа, сокращая операционные усилия, необходимые для запуска решения EDR.

Предоставляется в облаке локально, создается с нуля в виде унифицированного решения с одним агентом/единой консолью, его также легко развернуть и интегрировать в существующую архитектуру безопасности.

Попробуйте Bitdefender Gravity Zone EDR , закажите пилотный проект уже сейчас. Получите технического менеджера на время тестирования. Услуга предоставляется бесплатно.