MITRE ATT&CK — одна из популярнейших методологий среди специалистов по информационной безопасности. В этой статье мы расскажем, как создавалась и как устроена база знаний, при помощи которой описывают возможности малвари, составляют профили APT-группировок и пишут правила для автоматизации расследований.
Итак, что такое MITRE и что за атаки? MITRE — это некоммерческая организация, которая работает в США и управляет центрами исследований и разработок на уровне федерального правительства и местного самоуправления. В зону интересов MITRE входят: искусственный интеллект, квантовая информатика, информатика в области здравоохранения, космическая безопасность, обмен данными о киберугрозах и средствах защиты и так далее.
В сфере информационной безопасности корпорация MITRE известна благодаря списку CVE (Common Vulnerabilities and Exposures) cve.mitre.org. Это база общеизвестных уязвимостей, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, где структурируют и хранят данные по багам в ПО. Именно эти базы используют злоумышленники при первой попытке проникнуть в инфраструктуру жертвы после сканирования сети.
CVE — не единственный проект MITRE, связанный с защитой информации. Существуют и активно развиваются также такие направления:
Отечественные регуляторы, кстати, тоже занимаются подобными исследованиями — 5 февраля 2021 года ФСТЭК России выпустил методическое пособие по оценке угроз безопасности информации. На тридцатой странице показан пример сценария атаки.
В народе эту таблицу уже прозвали FST&CK, но это уже совсем другая история...
MITRE представил матрицу ATT&CK в 2013 году как способ описания и категоризации поведения злоумышленников (составления паттернов поведения) на основе реальных наблюдений. Прежде чем начать разбирать, как пользоваться матрицей, давай пройдемся по основным понятиям (не переживай, их всего три).
APT (Advanced Persistent Threat) — это группа злоумышленников или даже страна, которые участвуют в продолжительных кибератаках на организации или страны. Дословный перевод термина — продвинутая постоянная угроза. Прочитав всю статью, ты поймешь, что особо продвинутого ничего нет.
Большой список известных APT-групп, который ведут фанаты информационной безопасности.
Наборы TTP (техники, тактики и процедуры), расшифровываются следующим образом:
Как вообще действует атакующий? Он открывает свой учебник для мамкиных хакеров, где на второй странице знакомится с понятием Kill Chain. Kill Chain, то есть «цепочка убийства», — модель, определяющая последовательность действий, ведущих нарушителя к цели. Она состоит из ряда обычно последовательных этапов:
Матрица MITRE ATT&CK началась с внутреннего проекта, известного как FMX (Fort Meade Experiment). В рамках его специалистам по безопасности поставили задачу имитировать враждебные TTP против сети, а данные об атаках на эту сеть затем собирали и анализировали. Именно эти данные потом легли в основу ATT&CK. Поскольку матрица ATT&CK представляет собой довольно полное описание поведения, которое злоумышленники используют при взломе сетей, матрица полезна для различных наступательных и защитных измерений, представлений и других механизмов (например, моделирования угроз по ФСТЭК).
MITRE разбил ATT&CK на несколько сводных матриц:
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
1 год9300 р. |
1 месяц870 р. |
Я уже участник «Xakep.ru»
Читайте также
Последние новости