Что такое MITRE ATT&CK и почему она важна для кибербезопасности

Введение

Киберпреступники постоянно меняют свои тактики и техники, адаптируясь к новым защитным мерам и обучаясь на своих успехах и неудачах. Они могут похищать личные данные, наносить ущерб бизнесу или нарушать работу критически важной инфраструктуры. Но мы также можем многому научиться у киберпреступников. И в этом нам поможет MITRE ATT&CK.

MITRE ATT&CK - это глобально доступная база знаний о поведении киберпротивников, основанная на реальных наблюдениях. ATT&CK используется как основа для разработки конкретных моделей угроз и методологий в частном секторе, правительстве и сообществе поставщиков продуктов и услуг в области кибербезопасности. База знаний ATT&CK описывает общие тактики, техники и процедуры, используемые киберпротивниками. Таким образом, ATT&CK предоставляет общий язык для защитников, чтобы обсуждать новые угрозы и разрабатывать эффективные стратегии защиты.

В этой статье мы расскажем, что такое MITRE ATT&CK, как она устроена, как ее можно использовать для повышения уровня кибербезопасности и какие инструменты и ресурсы доступны для работы с ней.

Что такое MITRE ATT&CK?

MITRE ATT&CK - это акроним, который расшифровывается как Adversarial Tactics, Techniques and Common Knowledge (Тактики, Техники и Общие Знания Противника). Это база знаний, которая содержит информацию о том, как киберпротивники атакуют свои цели, какие инструменты и методы они используют, какие следы они оставляют и как им можно противостоять.

MITRE - это некоммерческая организация, которая занимается научно-исследовательской и консультационной деятельностью в интересах общественного блага. Она была создана в 1958 году для поддержки проектов военно-воздушных сил США и с тех пор расширила свою сферу деятельности до других областей, включая кибербезопасность.

MITRE начала разрабатывать базу знаний ATT&CK в 2013 году как внутренний проект для анализа поведения киберпротивников. В 2015 году она опубликовала первую версию базы знаний для широкой аудитории. С тех пор MITRE постоянно обновляет и расширяет базу знаний, добавляя новые данные и обратную связь от сообщества кибербезопасности.

Как устроена MITRE ATT&CK?

MITRE ATT&CK состоит из нескольких матриц, которые представляют собой табличные отображения тактик и техник, используемых киберпротивниками в разных средах. Каждая матрица имеет свою область применения и целевую аудиторию. На данный момент существуют следующие матрицы:

• ATT&CK для предприятий (Enterprise) - охватывает тактики и техники, применяемые против организаций различных размеров и отраслей. Включает в себя подматрицы для Windows, Linux, macOS, облачных платформ (AWS, Azure, GCP), мобильных устройств (Android, iOS) и промышленных систем управления (ICS).

• ATT&CK для киберфизических систем (Cyber-Physical) - охватывает тактики и техники, применяемые против систем, которые контролируют или взаимодействуют с физическим миром, таких как автомобили, самолеты, медицинские устройства и т.д.

• ATT&CK для контейнеров (Containers) - охватывает тактики и техники, применяемые против контейнеризованных приложений и инфраструктуры, таких как Docker, Kubernetes и т.д.

• PRE-ATT&CK - охватывает тактики и техники, применяемые противниками на этапе подготовки к атаке, такие как разведка, приобретение ресурсов, разработка возможностей и т.д.

Каждая матрица состоит из столбцов и строк. Столбцы представляют собой тактики - это стратегические цели противника на разных этапах атаки. Например, тактика Initial Access (Начальный Доступ) описывает, как противник пытается получить первичный доступ к системе или сети жертвы. Строки представляют собой техники - это конкретные методы или действия, которые противник использует для достижения своих тактических целей. Например, техника Phishing (Фишинг) описывает, как противник отправляет поддельные электронные письма или ссылки для обмана пользователей и заставления их раскрыть свои учетные данные или запустить вредоносный код.

Каждая техника имеет свой уникальный идентификатор (например, T1566), название (например, Phishing), описание (например, Adversaries may use phishing to gain access to systems or information by sending malicious emails that solicit a response or action from the recipient.), примеры использования в реальных инцидентах (например, APT28 used spearphishing emails to target individuals associated with the 2016 U.S. presidential election.), сопутствующие данные (например, URL-адреса, заголовки писем, хэши файлов), связанные инструменты или группы противников (например, Emotet, APT28), возможные способы обнаружения или предотвращения (например, User Training, Anti-Spam and Anti-Malware Protection) и другую полезную информацию.

Некоторые техники имеют подтехники - это более узкие или специфические варианты реализации техники. Например, техника Phishing имеет подтехники Spearphishing Attachment, Spearphishing Link и Spearphishing via Service, которые описывают разные способы отправки поддельных сообщений с целью обмана получателей. Подтехники помогают уточнить и детализировать данные о поведении противника и облегчить их анализ и сопоставление.

Как использовать MITRE ATT&CK для повышения кибербезопасности?

Платформа MITRE ATT&CK может быть полезна для разных специалистов и организаций, которые занимаются кибербезопасностью. В зависимости от целей и задач, можно использовать разные способы работы с базой знаний. Вот некоторые из них:

• Анализ угроз. С помощью ATT&CK можно изучать профили различных группировок киберпреступников, их тактики и техники, используемые инструменты и программное обеспечение. Это поможет понять, какие угрозы актуальны для конкретной среды или отрасли, какие уязвимости могут быть эксплуатированы, какие следы могут быть обнаружены и какие меры защиты необходимо принять.
• Разработка сценариев атак. С помощью ATT&CK можно создавать реалистичные сценарии атак, основанные на известных тактиках и техниках противников. Это поможет проверить эффективность существующих механизмов обнаружения и реагирования, а также выявить слабые места в системе защиты.
• Оценка продуктов и решений. С помощью ATT&CK можно сравнивать разные продукты и решения в области кибербезопасности по их способности обнаруживать или предотвращать определенные техники атак. Это поможет выбрать наиболее подходящий инструмент для конкретной ситуации или потребности.
• Обучение и повышение квалификации. С помощью ATT&CK можно изучать лучшие практики и рекомендации по кибербезопасности, а также получать актуальную информацию о новых угрозах и методах защиты. Это поможет повысить уровень знаний и навыков специалистов по кибербезопасности, а также повысить осведомленность и ответственность пользователей.

Какие инструменты и ресурсы доступны для работы с MITRE ATT&CK?

Для работы с платформой MITRE ATT&CK существует множество инструментов и ресурсов, которые можно использовать в зависимости от целей и задач. Вот некоторые из них:

• Официальный сайт MITRE ATT&CK - это основной источник информации о базе знаний, где можно просматривать матрицы, техники, группы, программное обеспечение и другие данные. Также на сайте можно найти полезные ресурсы, такие как блог, FAQ, видеоуроки, документация и т.д.
• Интерактивная матрица MITRE ATT&CK - это веб-приложение, которое позволяет визуализировать и манипулировать данными из базы знаний. С его помощью можно создавать, редактировать, сохранять и экспортировать свои собственные варианты матриц, а также применять разные фильтры, цвета, аннотации и т.д.
• Оценки MITRE ATT&CK - это серия независимых оценок продуктов и решений в области кибербезопасности, проводимых MITRE Engenuity, технологическим фондом MITRE, который сотрудничает с частным сектором по вопросам общественного интереса. Оценки следуют строгой и прозрачной методологии, используя совместный подход красной и синей команд (purple teaming), чтобы оценить возможности и производительность решений в контексте ATT&CK.
• Центр угрозоориентированной защиты (Center for Threat-Informed Defense) - это инициатива MITRE Engenuity, которая объединяет опытные команды по безопасности из ведущих организаций со всего мира для проведения и распространения исследований, которые улучшают коллективную способность предотвращать, обнаруживать и реагировать на кибератаки.
• Сертификация MITRE ATT&CK Defender - это новый подход к сертификации, который подтверждает владение использованием MITRE ATT&CK для улучшения угрозоориентированной защиты. Сертификация является «живой», то есть требует постоянного обновления знаний и навыков. Обучение для сертификации бесплатное.

Заключение

MITRE ATT&CK - это мощный и полезный инструмент для кибербезопасности, который помогает понимать, анализировать и противодействовать поведению киберпротивников. База знаний ATT&CK предоставляет общий язык и рамки для разработки конкретных моделей угроз и методологий защиты. Платформа ATT&CK постоянно развивается и обновляется благодаря вкладу сообщества кибербезопасности. Для работы с платформой ATT&CK существует множество инструментов и ресурсов, которые можно использовать в зависимости от целей и задач.

Если вы хотите узнать больше о MITRE ATT&CK или присоединиться к сообществу, вы можете посетить официальный сайт , подписаться на блог или Twitter, а также принять участие в различных мероприятиях, таких как ATT&CKcon или ATT&CK Community Workshop.

Надеемся, что эта статья была полезна и интересна для вас. Спасибо за внимание!