Организация MITRE Engenuity завершила этапы испытаний ATT&CK Evaluations 2020/2021 Carbanak + FIN7, и заинтересованные специалисты по всему миру приступили к анализу их результатов. SentinelOne поддерживает деятельность MITRE Engenuity, которая способствует последовательной разработке и непрерывному развитию общепринятого языка кибербезопасности, который помогает описывать поведение злоумышленников. Тестирование ATT&CK Evaluations имеет большое значение, ведь оно унифицирует описание угроз и расширяет возможности специалистов ИБ, которые защищают инфраструктуру и активы своей компании от злоумышленников и их попыток быстро нажить деньги, нанести ущерб или похитить данные. Благодаря глубокой интеграции ATT&CK Evaluations вендоры могут предложить своим клиентам более простую, быструю и эффективную защиту от угроз, и такое же реагирование на них.
Это статья SentinelOne будет полезна директорам по ИБ, аналитикам SOC и ИТ-архитекторам. В ней вы найдете мнение SentinelOne об испытаниях ATT&CK Evaluations 2021, а также ответы на два вопроса: какое значение это тестирование имеет для заказчика и как его можно применять для лучшего понимания и использования ваших СЗИ.
Что такое база знаний MITRE ATT&CK?
Теоретики выделяет три этапа шахматной партии: дебют, миттельшпиль и эндшпиль, то есть начало, середину и конец игры. На каждом этапе игроки совершают различные ходы для перехода в следующую фазу. Чтобы реализовать выбранную стратегию и поставить сопернику шах и мат, игроки разной квалификации будут использовать техники разного уровня сложности.
В мире ИБ приходится иметь дело со злоумышленниками, каждый их которых ведет свою шахматную партию немного иначе, чем другой. Но они все используют инструменты. Они разрабатывают методы и подходы для достижения целей. Они складывают различные мозаики атак из кусочков легитимного и аномального поведения. И каждый из них знает, что они хотят достичь.
Матрица ATT&CK — это способ описать как и зачем злоумышленники делают то, что они делают. Фреймворк ATT&CK — это «структурированная база знаний и модель поведения киберпреступников, которая отображает не только различные этапы жизненного цикла атаки, но и платформы, на которые те могут быть нацелены». Матрица ATT&CK стремится стать универсальным языком кибербезопасности, из элементов которого можно бесконечно составлять комбинации для описания действий злоумышленников.
Чтобы пояснить это определение, необходимо обратиться к первому ключевому понятию — этапы. Атакующий проходит через множество этапов, прежде чем достичь своей цели. Типичная схема:
Первичный доступ → исследование сети → латеральное движение → сбор данных → эксфильтрация
В этом линейном примере конечная цель злоумышленника — похитить данные. Метод реализации атаки можно описать пятью тактическими этапами, где первый из них — это получение первичного доступа, а последний — эксфильтрация данных. База MITRE Engenuity ATT&CK на данный момент включает 14 тактик, которые можно увидеть по оси Х Enterprise-навигаторе MITRE (чтобы увидеть их, нажмите «create new layer», а затем «enterprise»).
Второе ключевое понятие из вышеуказанного определения — поведение. Это ходы, которые предпринимают против вас атакующие на каждом этапе своей «шахматной» партии. Поведение — это техники злоумышленников, которые они применяют на каждом тактическом этапе. Например, чтобы заполучить первичный доступ к сети (этап №1), злоумышленник может отправить фишинговое письмо, содержащее ссылку на взломанный сайт, и заразить устройство через неисправленную уязвимость в браузере. Сейчас база MITRE ATT&CK включает более 200 техник (они указаны в строках таблицы), распределенных по 14 тактикам.
Следующий уровень — процедуры, которые представляют конкретный набор действий злоумышленника при реализации определенной техники.
Таким образом, для достижения конечной цели атакующему необходимо выполнить первую тактику с помощью реализации одной или более техник, затем следующую тактику с помощью ее техник, и так до тех пор, пока цель не будет достигнута. Реализация тактик дает нам конкретные процедуры, и все это в совокупности составляет TTP: тактики, техники и процедуры.
Зачем нужны испытания по матрице ATT&CK, проводимые MITRE Engenuity?
Испытания MITRE Engenuity по матрице ATT&CK имитируют известные TTP злоумышленников в контролируемой тестовой среде, что позволяет определить эффективность СЗИ каждого вендора, принявшего участие в тестировании. По определению MITRE Engenuity, «имитация вредоносного поведения в тестировании [ATT&CK] позволяет проверить действенность СЗИ при атаке в стиле конкретного злоумышленника. Это позволяет выбрать подходящий набор техник ATT&CK для тестирования. При разработке процедуры имитации мы используем общедоступные отчеты по киберразведке, сопоставляем их с базой ATT&CK и после этого определяем способ воссоздания поведения злоумышленника».
Цель всех этих действий — собрать воедино законченную и логичную цепочку атаки, в которой полно и эффективно задействованы все тактики, от первичной компрометации до закрепления в сети, латерального движения, эксфильтрации данных и т.д.
База MITRE ATT&CK позволяет всем участникам, специалистам ИБ и поставщикам СЗИ общаться на одном языке, тем самым помогая применять данные киберразведки в процессах обеспечения ИБ.
Это дает три преимущества:
- Мы можем понять план действий злоумышленника: каким сочетанием тактик и техник он воспользуется
- Мы можем четче коммуницировать сущность угрозы и быстрее реагировать благодаря лучшему пониманию происходящего
- Поскольку мы понимаем, кто и как нас обычно атакует, мы можем проактивно разрабатывать защитные меры и противодействовать злоумышленнику
MITRE Engenuity подчеркивает, что она представляет «модель поведения злоумышленников среднего уровня», то есть она дает не слишком конкретную, но и не слишком абстрактную информацию. Обобщенные модели высокого уровня, такие как Lockheed Martin Cyber Kill Chain, отображают цели злоумышленников, но не показывают средства их достижения. И наоборот, базы данных об эксплойтах и ВПО предоставляют только индикаторы компрометации — кусочки огромного пазла, которые не всегда дают понимание того, как злоумышленники их используют и кто эти злоумышленники. Модель TTP от MITRE Engenuity — это золотая середина, потому что тактические задачи отображают промежуточные цели злоумышленника, а техники — способы реализации каждой тактики.
Испытания ATT&CK в 2020/2021 году
Во время тестирования MITRE Engenuity активно взаимодействует с вендорами, и можно сказать, что MITRE Engenuity — это red team, а вендор — blue team, который должен обнаружить угрозы и среагировать на проверку в рамках испытаний ATT&CK Evaluations. В результате этого взаимодействия получается purple team: она помогает тестировать СЗИ в реальном времени путем имитации подхода, который с большой долей вероятности будет использован в настоящей атаке. Эта эмуляция основана на известных TTP, которые были выявлены в реальных условиях.
В первый год тестирование ATT&CK Evaluation 2018/2019 основывалось на атаках группировки APT3 (Gothic Panda). Во время ATT&CK Evaluation 2019/2020 защитные решения проверялись на основе APT29 (Cozy Bear). В этом году в ходе тестирования имитируются атаки группировок Carbanak и FIN7, нацеленных на финансовые учреждения и ритейл.
Повсеместный ущерб от кампаний Carbanak и FIN7 хорошо документирован: в ходе атаки Carbanak у банков в сумме было похищено около 1 млрд. долларов, а при атаке FIN7 украли данные более 15 млн. кредитных карт по всему миру. Главная цель этих злоумышленников — похитить финансовые активы компаний, например, информацию о дебетовых картах, или получить доступ к финансовым данным через компьютеры финансового отдела и перевести деньги на офшорные счета.
Это та статистика, которая известна по этим группировкам, но многие инциденты таки и остались неизвестны публике.
Качество детекта
Испытания ATT&CK не оценивают эффективность работы СЗИ различных вендоров. Вместо этого испытания анализируют то, как угрозы обнаруживаются на каждом этапе тестирования. На протяжении нескольких лет компания SentinelOne делала акцент на том, что указано в руководстве по тестированию MITRE Engenuity — у каждого типа детекта свое качество. Очевидно, что если детект категории «Телеметрия» — это практически необработанные данные о поведении злоумышленников, то на другом конце спектра качества находится детект категории «Техника», который предоставляет насыщенную информацию и позволяет аналитику моментально ориентироваться в происходящем. Последовательное обнаружение атак на основе техник идеально подходит для организаций, которые хотят извлечь максимум из своих СЗИ.
Если вы запомните только одну мысль из этой статьи, то запомните эту: в идеале продукт вендора должен автоматизировать создание контекста о действиях злоумышленника в реальном времени и подсвечивать эти данные в консоли с минимальным количеством алертов. Чем больше обнаружений вида Техника может автоматически предоставить СЗИ, а также объединить их в единый инцидент, тем больше этот продукт позволяет автоматизировать защитные функции. Это критически важно для максимального снижения среднего времени реагирования на атаку.
Более подробная информация о видах детекта:
- Тактики и техники (Tactic & Techniques) — наиболее качественные виды детекта. Обнаружения категории Тактика дают информацию о намерениях активности (зачем они это делают? чего пытаются достичь?), Техника дает аналитику «информацию о том, как было выполнено действие, или помогают ответить на вопрос «что было сделано».
- Общее обнаружение (General), обнаружение по телеметрии (Telemetry) — упрощенные и менее качественные виды обнаружения. Сами по себе обнаружения General и Telemetry дают аналитикам меньше контекста и могут быть представлены как сырые, необработанные данные. Следует отметить, что если вендорам засчитывают детект по Technique, то часто также засчитывают и Telemetry. Однако, если продукту было засчитано только упрощенное обнаружение Telemetry (поскольку он не смог скоррелировать достаточный объем данныъ), то ему не будет засчитано более качественное обнаружение Technique.
- Изменение конфигурации (Config Change) и Задержка (Delayed) — модификаторы тестирования. Модификатор Config Change означает изменения конфигурации, которые вносит вендор во время тестирования. Модификатор Delayed означает задержку в предоставлении результатов обнаружения организаторам тестирования из-за задержки обработки.
В идеале вендоры не изменяют конфигурацию продукта во время тестирования, а все данные обнаружений предоставляются в реальном времени без задержек.
ATT&CK Evaluations 2021 также представило два значительных нововведения: тестирование в средах Linux и тестирование возможностей предотвращения атак.
Как директору по ИБ разобраться в позициях вендоров и понять результаты тестирования?
Сориентироваться в результатах тестирования и верно оценить позицию поставщиков — нелегкая задача для директора по информационной безопасности. Вот несколько ключевых опорных точек:
- Остерегайтесь большого количества пропущенных угроз, задержек или изменений конфигурации. Если СЗИ вендора пропускает много угроз, то все понятно без слов. Большое количество задержек означает, что используются сторонние средства, которые не входят в нормальный процесс работы СЗИ, а значит, вашей команде тоже придется это делать. Вендоры, которые вносят много изменений в конфигурацию продукта прямо во время теста, также не вызывают доверия. Попробуйте понять, оправданы ли эти изменения, или это была попытка улучшить результаты.
- Остерегайтесь высоких показателей Telemetry и низких показателей Techniques. Вендоры, которые продвигают свои успехи по показателям Telemetry, но не могут сделать того же относительно Techniques, предлагают СЗИ, которое не обеспечивает автоматизированной корреляции событий и выявление атак на их основе. Значит, вашей команде придется делать это вручную, либо могут возникнуть значительные задержки или неточности в анализе событий. Несвоевременное обнаружение ведет к задержке реагирования, следовательно, повышает уровень риска.
- Остерегайтесь вендоров, которые изобретают собственные системы оценки. Многие поставщики искажают результаты непредвзятого тестирования какой-либо статистикой или показателями, в которых нет ни капли здравого смысла, но благодаря ним продукт выглядит неплохо. Не стоит и говорить о странной статистике в духе «Доля контекста на алерт» или «Детект 100%» (когда очевидно, что это некоторые детекты были пропущены). Не дайте себя обмануть — читайте примечания и детальные результаты вендора.
Что касается архитектуры решений, следующие принципы идеально сочетаются с духом и целями испытаний MITRE Engenuity:
- Мониторинг и покрытие EDR — это фундамент. Основой лучшего EDR-решения является возможность собирать и коррелировать данные в любом масштабе и экономически эффективно, используя при этом облачные вычисления. Каждый элемент релевантных данных необходимо зафиксировать с наименьшим количеством пропусков и тем самым обеспечить обширный мониторинг для команды SecOps. Данные, а именно сбор всех событий, — это фундамент для EDR, который необходимо рассматривать как первичную и ключевую метрику MITRE Engenuity.
- Машинная корреляция и контекст незаменимы. Корреляция — это процесс построения связей между разрозненными элементами данных. Лучше всего, чтобы корреляция была автоматической и происходила за доли секунды, тогда аналитикам не придется сопоставлять данные вручную и терять драгоценное время. Более того, к скоррелированным данным нужен доступ в их первоначальном контексте в течение долгого времени, если возникнет такая потребность.
- Консолидация алертов в консоли имеет критическое значение. Больше сигнала, меньше шума: сегодня командам SOC и реагирования на инциденты этого сложно добиться, поэтому они сталкиваются с переизбытком информации. Ваше решение должно автоматически группировать события и алерты в консолидированные инциденты, а не создавать отдельные оповещения по каждой сработке телеметрии, ведь это увеличивает нагрузку на без того перегруженную команду SOC. Лучше всего, если решение может коррелировать связанные события в единые инциденты, предоставляя аналитику на уровне злоумышленной кампании. Благодаря этому можно сократить количество действий, выполняемых вручную, справиться с усталостью от алертов и значительно снизить требования к опыту аналитика для реагировании на алерты. В итоге можно наблюдать повышение эффективности работы SOC: сокращается время, необходимое для сдерживания угроз, а также время реагирования в целом.
Как директоры по ИБ могут применять матрицу ATT&CK в своей работе?
Директоры и команды ИБ могут использовать следующие лучшие практики для усиления своей системы безопасности:
- Используйте ATT&CK при разработке стратегии защиты. Выстройте защиту от вредоносных техник, которые применяются против организаций вашей отрасли, и внедрите мониторинг, который позволит выявить реализацию техник ATT&CK в вашей сети.
- Используйте ATT&CK для эмуляции действий злоумышленников и повышения эффективности red team, проводите свои испытания по матрице MITRE. Red team могут разработать и реализовать продуманный подход к выявлению тактик и техник угроз, которые релевантны вашей организации, после чего оценить, насколько эффективно в вашей среде работают защитные меры против них.
- Выявляйте пробелы в защите. Матрицы ATT&CK помогут blue team лучше понять составляющие потенциальной или реальной атаки и выявить пробелы в системе безопасности, а затем закрыть их. В документации ATT&CK можно найти меры по блокировке техник, которым наиболее подвержена ваша организация, а также способы компенсации связанных с ними слабых мест.
- Используйте киберразведку. ATT&CK помогает эффективно использовать киберразведку в процессах ИБ. Угрозы можно сопоставить с конкретными техниками и понять, существуют ли пробелы в защите от них, определить уровень риска и разработать план действий по устранению проблем.
Заключение и результаты тестов
MITRE Engenuity ATT&CK Evaluations не перестает активно содействовать развитию отрасли ИБ и предоставляет понимание и независимое тестирование EDR-решений, в котором нуждается наша отрасль. Как руководителю или специалисту ИБ вам нужно обращать внимание не только на цифры, но и на то, могут ли разработчики СЗИ обеспечить высокий уровень мониторинга и высокое качество обнаружения, при этом снижая нагрузку на команду ИБ.
Вы можете изучить результаты участия SentinelOne и других разработчиков в тестировании MITRE Engenuity ATT&CK Evaluations 2021 в отдельной статье.
Демо и бесплатное тестирование SentinelOne
Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.