Что такое MITRE ATT&CK и как он может быть интегрирован с SIEM и XDR решениями

Что такое MITRE ATT&CK?

Платформа ATT&CK (акроним: читается как «Attack», расшифровывается «Adversarial Tactics, Techniques & Common Knowledge») — это общедоступная база знаний, в которой содержатся тактики и техники злоумышленников, а также всевозможные способы им противостоять.

ATT&CK была впервые представлена компанией MITRE в 2013 году. С тех пор платформа периодически обновляется и дополняется. Данные фреймворка ATT&CK представлены в виде подробной матрицы, где каждая строка соответствует отдельной тактике, а каждый столбец — конкретной технике, используемой киберпреступниками. Платформа широко используются в индустрии кибербезопасности как инструмент для обучения специалистов, а также как инструмент анализа и документирования атак.

На практике MITRE ATT&CK помогает специалистам по безопасности мыслить как злоумышленники, и от этого лучше понимать логику их действий. Платформа служит коллективной информационной базой, которая помогает профессионалам обнаруживать и пресекать любую зловредную активность.

Все данные, полученные аналитиками по кибербезопасности и охотниками за угрозами, так же попадают на платформу ATT&CK, расширяя таким образом и без того огромную базу знаний.

Примеры использования платформы MITRE ATT&CK

1. Приоритизация обнаружения угроз

Даже специалисты безопасности с высокими ресурсами не всегда могут защититься от всех возможных векторов угроз. Платформа ATT&CK предлагает готовый план, который поможет понять, на чём стоит сосредоточить свои усилия, а что не столь важно в данный момент. Таким образом специалисты могут изучить методы, риски и целевые платформы, чтобы обучиться эффективному противодействию конкретным атакам и разработать свой собственный план по реагированию на них.

2. Оценка существующей защиты

Платформа MITRE ATT&CK также может помочь оценить текущие инструменты защиты и оценить охват, обеспечиваемый определенными методами атак. Для каждого уникального случая могут быть применены разные уровни телеметрии.

Специалисты самостоятельно определяют угрозы, защита от которых должна быть для организации в приоритете. А также могут оценить, насколько надёжна эта защита прямо сейчас.

Кроме того, такой подход может помочь во время занятий по Red Teaming. Ведь матрица ATT&CK может помочь установить рамки пентеста, а также послужить в качестве системы показателей во время тестирования и после его завершения.

3. Отслеживание хакерских группировок

Организации часто сосредотачивают свои усилия по отслеживанию общеизвестного поведения конкретных группировок киберпреступников, которые имеют отношение к их сектору или вертикали. Платформа ATT&CK постоянно развивается по мере появления подобных угроз.

Организации могут использовать данный фреймворк как источник знаний, который помогает лучше понимать, а также отслеживать поведение и методы, используемые и демонстрируемые хакерскими группировками.

Что такое матрицы ATT&CK и какие типы матриц существуют?

У фреймворка MITTRE ATT&CK есть 3 типа матриц атак. Каждая представляет из себя список тактик (например, управление аутентификацией, обход обнаружения и т.д.) и подробное описание связанных с ними техник и процедур, которые используются злоумышленниками. Каждая тактика и техника имеет свой уровень опасности и распространенности, что помогает оценить угрозу для конкретной системы или организации. Рассмотрим каждую матрицу подробнее.

1. Матрица предприятия

Эта матрица охватывает те этапы жизненного цикла кибератаки, которые происходят после инициирования эксплойта. Корпоративная матрица MITRE ATT&CK включает в себя одиннадцать тактик, касающихся действий, которые могут потребоваться злоумышленникам для достижения ими конечной цели. Например, конечной целью может быть получение начального доступа к определенной системе, сбор данных, эксфильтрация данных или боковое перемещение.

2. Матрица промышленной системы управления (ICS)

Как и матрица предприятия, матрица промышленной системы управления (ICS) охватывает те же этапы кибератаки, которые происходят после запуска эксплойта. Однако ICS-матрица фокусируется в первую очередь на угрозах, характерных для систем диспетчерского управления и сбора данных (SCADA), операционных технологий (OT) и критической инфраструктуры.

ICS-матрица охватывает многие этапы атаки, которые перечислены в матрице предприятия, поэтому многие пункты повторяются. Но, разумеется, присутствуют оригинальные тактики и техники, характерные только для этой матрицы.

3. Мобильная матрица

Мобильная матрица затрагивает те же этапы кибератак, что и корпоративная матрица. Однако охватывает только векторы атак и угрозы, характерные для мобильных устройств. Все методы сосредоточены вокруг специфичных для мобильных устройств векторов атак и не охватывают какие-либо общие векторы атак.

Как платформа MITRE ATT&CK соотносится с современными стандартами кибербезопасности?

MITRE ATT&CK является настоящим ветераном в области кибербезопасности, однако этот факт не делает платформу устаревшей. Фреймворк только набирает популярность с течением времени, а информации туда добавляется всё больше и больше. Это гарантирует актуальность ATT&CK.

Правительственные учреждения, организации и частные лица постоянно делятся с платформой новой информацией. Поэтому фреймворк продолжает развиваться даже спустя долгие годы своего существования.

В отличие от других систем безопасности, разработанных для конкретных пользователей и отраслей, платформа MITRE предоставляет широкий спектр передовых методов обеспечения безопасности, применимых к любой организации.

Конкурирующие с MITRE ATT&CK платформы безопасности

NIST Cybersecurity Framework

Национальный институт стандартов и технологий, сокращённо NIST — это агентство в США, которое предлагает множество информации, включая фреймворки безопасности, для помощи организациям, заинтересованным в укреплении своей защиты.

Фреймворк NIST считается гибким и экономически эффективным. Он включает в себя пятиэтапный процесс, предназначенный для устранения рисков кибербезопасности. Каждый шаг описывает ряд методов, которые помогают в идентификации, защите, обнаружении, реагировании и восстановлении после атак.

NIST SP 800-53

В дополнение к общей структуре институт NIST также создал платформу SP 800-53, которая определяет ряд требований безопасности для федеральных информационных систем и организаций. Целью этой платформы является защита критически важных и секретных данных, хранящихся в государственных сетях. В данном фреймворке изложены чёткие меры безопасности, направленные на улучшение состояния безопасности федеральных агентств, а также их подрядчиков.

HITRUST

Платформа безопасности Health Information Trust Alliance была создана специально для организаций здравоохранения. Данный фреймворк помогает в защите информационных систем, которые обрабатывают защищенную медицинскую информацию.

Платформа HITRUST содержит конкретные рекомендации, направленные на защиту медицинских данных, а также достижение и поддержание соответствия требованиям регулирующих органов.

Серия ISO 27000

Стандарт ISO 2700 был создан Международной электротехнической комиссией и Международной организацией по стандартизации систем управления информационной безопасностью. Цель ISO 27000 — помочь менеджерам оставаться в курсе мер контроля и обеспечения безопасности. Фреймворк охватывает многие аспекты защиты, включая средства контроля безопасности и эффективное управление IT-операциями.

MITRE ATT&CK Framework и Next-Gen SIEM-инструменты

Современные (или Next-Gen) решения для управления информацией о безопасности и событиями (SIEM) объединяют информацию из различных источников и применяют расширенную аналитику данных, чтобы помочь определить специалисту по кибербезопасности необходимый следующий шаг. При обнаружении различных угроз или аномалий Next-Gen SIEM-инструменты могут отреагировать на них автоматически, а также отправить соответствующее уведомление системному администратору.

Важность информации для Next-Gen SIEM-инструментов

Информация является ключевым элементом современных SIEM-инструментов. Для хорошей работы этим системам необходима надежная информационная база. SIEM-инструменты могут классифицировать угрозы, сопоставлять необходимые действия и предоставлять соответствующую информацию с автоматизацией, эскалацией или предупреждением.

Для эффективной работы Next-Gen SIEM-инструментам необходимо идентифицировать поведенческую аномалию, связать её с шаблоном атаки, целью и доступными средствами устранения угрозы. Это позволяет системе автоматически принимать эффективные меры и предоставлять системным администраторам информацию для предотвращения повторения события в будущем.

Как фреймворк MITRE ATT&CK может улучшить эффективность Next-Gen SIEM-инструментов

Платформа ATT&CK предоставляет следующие функции, необходимые для эффективной работы SIEM-инструментов:

Надежная база знаний – количество информации, необходимое для обеспечения эффективного SIEM, требует всеобъемлющей и регулярно обновляемой базы знаний. Такая база должна содержать достаточно информации, чтобы помочь точно определить методы, тактики и инструменты, используемые злоумышленниками. SIEM-решения могут интегрироваться с платформой MITRE ATT&CK и получать подробную информацию о каждой угрозе, обнаруженной инструментом.

Стандартизированная терминология – в то время как различные онлайн-источники и опубликованные исследования могут использовать разные названия для одних и тех же вещей в сфере кибербезопасности, ATT&CK предоставляет стандартизированную терминологию. Системы SIEM могут использовать классификации ATT&CK в отчётах, чтобы обеспечить согласованность и позволить специалистам легко воспринимать и использовать эту информацию.

Информация о злоумышленниках – зачастую группировки киберпреступников наносят огромный ущерб своим жертвам. Хакеры могут финансироваться целыми правительствами и представлять собой чёткие скоординированные объединения, а могут состоять из людей, которые даже не знают друг друга лично. Тем не менее, каждая группа чаще всего использует свои собственные характерные методы для проведения атак. Платформа ATT&CK предоставляет информацию в том числе и о методах работы определенных группировок, поэтому интегрированные SIEM-инструменты способны не просто засечь атаку, а с высокой точностью сообщить, какая конкретно хакерская группировка «приложила к ней руку».

Сценарии поведения – Next-Gen SIEM-решения поддерживают определённые шаблоны обнаружения и реагирования. А при прямом согласовании с платформой ATT&CK эти инструменты могут мгновенно реагировать на самые разные виды угроз обозначенным заранее сценарием поведения.

MITRE ATT&CK и XDR

Решения расширенного обнаружения и реагирования (XDR) сопоставляют данные, полученные сразу в нескольких местах, включая облака, сети и конечные точки. XDR-инструменты анализируют информацию и используют её для обнаружения угроз и инициирования последовательностей реагирования и оповещений специалистов.

Важность информации для эффективного XDR

Технология XDR требует разнообразного анализа угроз и защитных методов, чтобы быть действительно эффективной. Решения XDR полагаются на информацию для обнаружения угроз. Если эта информация недостаточно разнообразна, многие угрозы могут остаться незамеченными.

Особенности MITRE ATT&CK, актуальные для XDR

Платформа предоставляет следующие функции, которые поддерживают XDR-решения:

Расширенная база знаний – платформа ATT&CK может предоставлять решениям XDR информацию, необходимую для проведения более глубокого анализа угроз и применения соответствующих методов их эффективного предотвращения.

Усовершенствованные сценарии поведения – платформа предоставляет группам реагирования на инциденты информацию, необходимую для создания прогрессивных сценариев поведения, направленных на противостояние той или иной группировке злоумышленников.

Общий источник достоверной информации – согласование XDR с инфраструктурой MITRE ATT&CK создаёт рабочий процесс центра управления безопасностью (SOC), позволяющий аналитикам проводить всесторонние оценки воздействия и определять, как лучше защититься от тех или иных угроз, как эффективнее смягчать последствия атак.

Как такие фреймворки, как MITRE ATT&CK, могут принести пользу XDR-решениям?

Согласование контента – Подобно Next-Gen SIEM-инструментам, решения XDR также поддерживают настраиваемые шаблоны обнаружения и реагирования на угрозы, которые согласуются с фреймворком ATT&CK и обеспечивают актуальное и эффективное поведение XDR, подходящее каждой конкретной угрозе.

Упрощённое расследование – ключевой задачей XDR является объединение данных из разных источников для построения графика атаки. Используя данные платформы ATT&CK, XDR может улучшить этот процесс. Например, инструмент может определить, что какое-либо системное событие является частью известной вредоносной кампании, и использовать данные ATT&CK для добавления контекста к сценарию атаки.

Управляемое реагирование – хотя в некоторых случаях XDR может самостоятельно комплексно отреагировать на ту или иную угрозу, в определённых ситуациях он может дождаться команды специалиста, чтобы тот мог внести необходимые коррективы в процесс реагирования.