SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Автоматизация безопасности с разнообразием матриц MITRE

Автоматизация безопасности с разнообразием матриц MITRE
11.09.2023

Security Vision

 

С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные, многоэтапные атаки. В связи с этим в методиках защиты информации за последние десять лет сильно возросла актуальность поведенческого анализа злоумышленников. Это, конечно, не означает, что поиск опасных сигнатур следует полностью списать со счетов — этот метод является прекрасной защитой от массовых и распространенных атак (когда, например, зараженное вирусом письмо рассылается по максимально большому количеству адресов), но в современных условиях это лишь первый барьер на пути злоумышленника. Если преступники будут достаточно мотивированы, настойчивы и изобретательны — они найдут способ проникнуть в вашу инфраструктуру, но даже в этом случае им можно помешать завладеть ценной информацией или уничтожить её. 


Пирамида боли

Давайте взглянем на диаграмму, очень хорошо знакомую всем аналитикам в сфере информационной безопасности, — пирамиду боли (злоумышленника). Смысл в том, что чем выше злоумышленник поднимается по ней, тем ему труднее продолжать атаку.


Например, в код вируса достаточно внести малейшие модификации, чтобы изменился хэш. Нет никаких сложностей в том, чтобы поменять IP-адрес, а при использовании VPN это происходит автоматически. Доменное имя заменить чуть сложнее, но провайдеры чаще всего не контролируют, кто регистрирует доменные имена, не говоря о том, что есть масса способов получить домен и вовсе бесплатно. С артефактами сети и хоста всё немного сложнее: если жертва выявила триггеры атаки и заблокировала подозрительный процесс, command line или url (чаще всего автоматически, исходя из настроек политик безопасности ИБ-софта), то преступник не сможет продолжать атаку, пока не перенастроит инструменты. Когда же жертва выявила, каким именно инструментом пользуется атакующий, для возобновления атаки придется видоизменить поведение инструмента. Например, когда используется инструмент с настройками по умолчанию, поведенческие индикаторы которого хорошо известны, злоумышленнику придется внести изменения в конфигурацию инструмента. Однако самым болезненным для преступника является ситуация, в которой защищающийся распознал технику и тактику атаки (TTP). 



В таком случае злоумышленнику придется в корне менять подход к атаке. Вот почему поведенческий анализ является наиболее эффективным средством защиты информации, а для эффективного анализа необходима глобальная база знаний, основанная на реальных наблюдениях, отражающая модели поведения злоумышленников, различные этапы жизненного цикла атаки. И, конечно, такая база в один прекрасный момент появилась.


MITRE ATT&CK

В 2013 году компания MITRE представила свой проект ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — структурированный справочник тактик, техник и процедур (TTP), используемых злоумышленниками. Анализируя подозрительную активность на различных участках инфраструктуры, можно сопоставить эти данные с разделами матрицы MITRE ATT&CK, что в свою очередь позволит не только с большой долей вероятности предположить, какую технику используют преступники, но и максимально быстро отреагировать на угрозу. В матрице MITRE ATT&CK техники сгруппированы в тактики, которые в свою очередь выстроены в последовательность развития атаки. 



Вообще, выстроить последовательность атаки в единую связанную цепочку впервые предложила американская компания Lockheed-Martin в 2011 году. Там эту цепочку назвали The Cyber Kill Chain. Ни один перевод на русский язык нельзя считать общепринятым и устоявшимся, поэтому в отечественной среде ИБ эта цепочка чаще упоминается либо на английском, либо как сокращенная транслитерация оригинального названия — килчейн. Цепочка от Lockheed-Martin насчитывала всего семь звеньев: разведка, вооружение, доставка, эксплуатация, инсталляция, управление, действие.



MITRE развила мысль и увеличила количество звеньев вдвое, представив последовательность из 14 тактик, каждая из которых объединяет в себе от 7 до 42 техник. При этом одна техника может присутствовать в нескольких тактиках. Такой подход стал фактически «золотым стандартом». Многие производители систем классов TIP или SOAR (IRP) интегрируют матрицу MITRE ATT&CK со своими решениями и в этом безусловно есть смысл. 


Если злоумышленник в процессе атаки использует инструменты, которые детектируются классическими СЗИ (антивирусами, межсетевыми экранами, песочницами), то есть неплохие шансы на обнаружение этих инструментов с помощью поведенческих индикаторов в логах сетевой и хостовой телеметрии. За счет удобства маппинга поведенческих индикаторов на техники MITRE ATT&CK, мы получаем возможность выстроить килчейн из выявленных техник.


MITRE CAR

MITRE CAR (Cyber Analytics Repository) — это база знаний по аналитике, разработанная MITRE на основе MITRE ATT&CK, в которой описаны правила детектирования поведенческих индикаторов. MITRE CAR содержит данные о популярных техниках атак, получаемые посредством Threat intelligence. Поведенческие индикаторы, описанные в MITRE CAR, могут использоваться при обогащении инцидента и ретро-поиске. Такой подход можно использовать для проактивного обнаружения угроз (Threat hunting), когда инцидент не зафиксирован. Также CAR включает в свою аналитику техники, ориентированные на конкретные инструменты (например, Splunk, EQL).


MITRE Shield

У компании MITRE есть и другая широко известная в мире ИБ матрица, агрегирующая информацию о тактиках и методах активной защиты, — Shield. Эта база знаний применяет технологию активной защиты — в первую очередь, обманки (обманные пользователи, процессы, креды), а также поведенческий анализ. MITRE Shield описывает ряд общих оборонительных тактик, а затем тактики сопоставляются с действиями, которые могут помочь данную тактику осуществить. В MITRE Shield предусмотрено сопоставление между техниками ATT&CK и Shield, чтобы иметь возможность наиболее эффективно выстроить оборону от определенных тактик, техник и процедур противника (TTP). Корпоративное направление компании MITRE уже более десяти лет накапливает реальный опыт по противодействию кибер-преступникам. Этот опыт в результате лег в основу матрицы Shield. База знаний активной защиты Shield была создана компанией MITRE в 2019 году. Была проделана громадная работа по унификации формата и документированию методов противостояния злоумышленникам, создана упорядоченная структура оборонительных техник и мапинг с техниками MITRE ATT&CK.


Сочетание различных средств защиты позволяет организации не только противостоять текущим атакам, но и узнать о противнике больше, чтобы лучше подготовиться к новым атакам в будущем. Справедливости ради нужно отметить, что с использованием этой матрицы в нашей стране есть некоторые сложности. Поскольку MITRE Shield была разработана совместно с силовыми ведомствами США, из-за сложной политической обстановки доступ к этой базе знаний в нашей стране возможен только через VPN.


MITRE D3FEND

Ещё одним продуктом компании MITRE является фреймворк D3FEND — это классическая защита, включающая в себя обнаружение, сдерживание, удаление и харденинг. Бытует мнение, что MITRE D3FEND — это упрощенная версия ATT&CK, но это не совсем так, а точнее совсем не так. Рекомендации базы знаний D3FEND сфокусированы на противодействии атаке и смягчении последствий от «удара», тогда как матрица ATT&CK нацелена больше на выявление самой атаки. Техники ATT&CK мапятся с рекомендациями D3FEND и для большей эффективности вы можете использовать обе матрицы, которые будут дополнять друг друга. MITRE D3FEND позволяет применять меры по предотвращению реализации техник атак (митигирование).


Пример из жизни

В качестве примера можно привести распространенный случай заражения вредоносным программным обеспечением (ВПО) типа CNC, которое в процессе выполнения использует встроенные утилиты ОС Windows (rundll32.exe, regsvr32.exe) для скрытного выполнения кода (техника T1059 — Command and Scripting Interpreter). После получения управления наиболее частой задачей ВПО является компрометация учетной записи посредством снятия дампа с системного процесса LSASS (техника T1003 — OS Credential Dumping). Затем ВПО осуществляет сетевую разведку, в процессе которой обнаруживает ресурсы, содержащие чувствительную информацию: почтовые сервера, расшаренные папки с файлами, базы данных (техника T1046 — Network Service Discovery). Далее ВПО выполняет горизонтальное перемещение с помощью удаленного создания служб (техника T1021 — Remote Services). И, наконец, ВПО начинает сбор чувствительной информации (техника T1039 — Data from Network Shared Drive) и осуществляет её утечку (техника T1041 — Exfiltration Over C2 Channel) с последующим шифрованием и требованиями выкупа (техника T1486 — Data Encrypted for Impact). Таким образом, применяя матрицу MITRE ATT&CK, мы получили логически выстроенный килчейн.



 

На примере одной из обнаруженных техник (T1003 — OS Credential Dumping) продемонстрируем применимость описанных выше матриц.


В матрице MITRE D3FEND техника OS Credential Dumping может быть использована злоумышленниками для получения учетных данных пользователей и администраторов системы. В матрице D3FEND представлены следующие рекомендации по защите от этой техники:


1. Защита учетных данных: используйте сильные пароли и многократную аутентификацию для защиты учетных данных. Также рекомендуется использовать управление доступом на основе ролей и привилегий.

2. Защита операционной системы: убедитесь, что операционная система и все установленные приложения имеют последние обновления и патчи безопасности. Также рекомендуется использовать антивирусное программное обеспечение и межсетевые экраны для защиты от вредоносных программ.

3. Ограничение доступа к системе: ограничьте доступ к системе только необходимым пользователям и администраторам. Также рекомендуется использовать механизмы мониторинга и аудита для отслеживания действий пользователей и обнаружения подозрительной активности.

4. Защита сети: используйте механизмы защиты сети, такие как брандмауэры, VPN и шифрование трафика, для защиты от атак из внешней сети.

5. Использование безопасных протоколов: используйте безопасные протоколы для удаленного доступа к системе, такие как SSH или VPN, вместо устаревших протоколов, таких как Telnet или RDP.

6. Обучение пользователей: обучайте пользователей безопасным практикам использования системы, таким как неоткладывание обновлений и неоткрытие подозрительных вложений в электронной почте.


Соблюдение этих рекомендаций поможет защитить систему от техники OS Credential Dumping и других атак, связанных с утечкой учетных данных.


В матрице MITRE Shield техника OS Credential Dumping: LSASS Memory относится к тактике "Credential Access" и сценарию "Memory Protection". Для защиты от этой техники MITRE Shield рекомендует использовать схожие с рекомендациями от матрицы D3FEND меры, дополненные рекомендациями с уклоном в активную защиту, например:


Защитник может создать учетные данные-приманку для целей активной защиты, введя в целевую систему учетные данные (такие как имя пользователя/пароль, токены браузера и другие формы аутентификационных данных) с целью взаимодействия. Учетные данные-приманки могут быть установлены во многих местах и использованы различными способами.


MITRE CAR предлагает обнаружение данной техники на примере следующего sigma-правила, используя штатное средство мониторинга MS Sysmon:



Чудеса автоматизации

Использование матриц MITRE в совокупности с собственным накопленным опытом противодействия атакам злоумышленников позволяет компаниям сделать свои подразделения, отвечающие за информационную безопасность, более эффективными. Ранее ИБ-аналитикам приходилось тратить уйму времени на ручное сопоставление выявленной в собственной инфраструктуре подозрительной активности с техниками и тактиками MITRE. Однако технологии не стоят на месте, и на рынке появились системы, отвечающие не только за автоматизацию отдельных процессов защиты, но и за оркестрацию всех средств защиты информации (СЗИ), используемых в инфраструктуре. 


Подозрительная активность, зафиксированная SIEM и/или TIP, группируется, согласно заранее настроенным правилам корреляции и отправляется в системы класса SOAR/IRP, где система самостоятельно фиксирует инцидент, выстраивает последовательность атаки и сопоставляет её с рекомендациями из матриц MITRE. ИБ-аналитику остается только оценить ситуацию и предпринять необходимые действия по реагированию из единого удобного интерфейса (например, заблокировать учетную запись или внести IP-адрес в реестр неблагонадежных).



Такой подход позволяет в разы увеличить осведомленность ИБ-аналитиков о внешних и внутренних угрозах, а также существенно сократить время реакции на атаку, что в свою очередь снижает вероятный ущерб от действий злоумышленников. Ещё один плюс такого подхода заключается в том, что для организации эффективной защиты нужно меньше людей. Это не только существенно снижает затраты компании, но и упрощает задачу по набору специалистов, а как известно, на российском рынке наблюдается некоторый дефицит ИБ-аналитиков.


Заключение

Оценка покрытия техник MITRE в SOC (Security Operation Center) позволяет сделать выводы о том, насколько эффективно выстроены процессы, и спланировать дальнейшие работы по развитию SOC и закрытию «слепых зон» в обнаружении техник атакующего. Автоматизация сокращает время обработки инцидента аналитиком и предоставляет более подробную информацию, оставляя больше возможностей для реагирования. Появляется возможность настроить правила автоматического реагирования. Время в этом случае будет работать на вас, потому что длительное использование аналитиком системы класса SOAR/IRP позволит накопить собственный опыт и наиболее адекватно настроить правила автоматического реагирования, отвечающие уникальному ландшафту угроз именно вашего предприятия.

MITRE IRP SOAR SOC SIEM TIP Threat Hunting

Рекомендуем

Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки