Автор оригинала:
Мы рады сообщить, что выпустили
История PRE-ATT & CK
Когда мы изначально запускали Enterprise ATT&CK, мы сосредоточились на поведении злоумышленников после того, как они проникли в инфраструктуру жертвы, примерно на этапе «Эксплуатация»
Рисунок 1. 17 оригинальных тактик PRE-ATT&CK против жизненного цикла кибератак
Некоторые из вас в сообществе ATT&CK приняли и использовали PRE-ATT&CK с момента выпуска для описания поведения злоумышленников до компрометации, но структура так и не нашла такого внедрения или вклада, который мы видели для Enterprise ATT&CK. Мы также слышали от ряда организаций на протяжении многих лет, что Enterprise ATT&CK покрывает только поведения после компрометации и ограничивает возможность принять её. В ответ мы начали процесс интеграции PRE-ATT&CK в Enterprise в 2018 году. В качестве первого шага этой интеграции мы отказались от тактики запуска и компрометации в PRE-ATT&CK и включили их в тактику
Рисунок 2. Запуск и компрометация становятся Первоначальным доступом
Завершение слияния
В своей
- технические — поведение имеет отношение к технической части, а не к планированию или сбору информации о людях;
- видимое для некоторых защитников — поведение понятно защитнику и не требует интеллектуальных возможностей на уровне государства, интернет-провайдера или поставщика DNS;
- доказательство использования злоумышленником — известно, что злоумышленник использовал поведение в боевую.
1.
2.
Рисунок 3. PRE-ATT&CK разделены на три части
В течение 2019 года я работал с бывшим членом команды ATT&CK Кэти Никелс, чтобы определить методы, соответствующие трем критериям, и охватил сферу применения остальных тактик в разделах «Разведка» и «Разработка ресурсов» PRE-ATT&CK. Эта работа была в основном завершена в октябре прошлого года, и вы могли заметить, что
Платформа PRE
При создании тактик разведки и разработки ресурсов возник вопрос: «Какая это должна быть платформа?» Например, сбор информации об удостоверении личности жертвы (
Еще одной уникальной характеристикой этих новых техник PRE является раздел, в котором указаны рекомендации по обнаружению. В то время как мы ограничили техники теми, которые, «видны некоторым защитникам», большая часть разведки и разработки ресурсов со стороны злоумышленников незаметна для большинства защитников. Во многих случаях мы выделили соответствующие техники, с помощью которых можно обнаружить злоумышленника. Для подмножества техник, которые могут быть обнаружены широким кругом защитников, мы описали возможность обнаружения, но для некоторых из них могут потребоваться новые источники данных.
Рисунок 4. Обнаружение для тактики Получение возможностей: цифровые сертификаты (T1588.004)
Снижение воздействия техник разведки и разработки ресурсов может быть сложным или невыполнимым, поскольку они происходят в пространстве за пределами защиты и контроля организации. Мы создали
Хотя эти новые методы обычно не применяются в корпоративных системах, их трудно обнаружить и потенциально невозможно устранить, их все же важно учитывать. Даже без точного обнаружения сбора информации злоумышленником понимание того, что и как они собирают с помощью разведки, может помочь нам изучить недостатки в безопасности и принять решения по оперативной безопасности. Точно так же наши сенсоры могут не обнаруживать большую часть активности, связанную с разработкой ресурсов, но такая тактика может предложить ценный контекст. Многие виды поведения оставляют доказательства видимыми для правильного сбора разведывательной информации из открытых / закрытых источников или могут быть выявлены через отношения обмена конфиденциальными данными с другими лицами.
Двигаясь вперед
Нам интересны ваши отзывы о добавленном нами материале и ваши отзывы о любых техниках, подтехниках, обнаружениях и средствах защиты, которые, по вашему мнению, мы упустили. Есть ли у вас способ обнаружить конкретную технику разработки ресурсов или помешать противнику успешно провести разведку? Пожалуйста, дайте нам знать, отправив нам
Наконец, если вы не готовы перейти с PRE-ATT&CK, мы все еще здесь для вас. PRE-ATT&CK по-прежнему доступен в