Алексей Пешик, инженер-эксперт Security Vision
Михаил Пименов, аналитик Security Vision
С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные, многоэтапные атаки. В связи с этим в методиках защиты информации за последние десять лет сильно возросла актуальность поведенческого анализа злоумышленников. Это, конечно, не означает, что поиск опасных сигнатур следует полностью списать со счетов — этот метод является прекрасной защитой от массовых и распространенных атак (когда, например, зараженное вирусом письмо рассылается по максимально большому количеству адресов), но в современных условиях это лишь первый барьер на пути злоумышленника. Если преступники будут достаточно мотивированы, настойчивы и изобретательны — они найдут способ проникнуть в вашу инфраструктуру, но даже в этом случае им можно помешать завладеть ценной информацией или уничтожить её.
Пирамида боли
Давайте взглянем на диаграмму, очень хорошо знакомую всем аналитикам в сфере информационной безопасности, — пирамиду боли (злоумышленника). Смысл в том, что чем выше злоумышленник поднимается по ней, тем ему труднее продолжать атаку.
Например, в код вируса достаточно внести малейшие модификации, чтобы изменился хэш. Нет никаких сложностей в том, чтобы поменять IP-адрес, а при использовании VPN это происходит автоматически. Доменное имя заменить чуть сложнее, но провайдеры чаще всего не контролируют, кто регистрирует доменные имена, не говоря о том, что есть масса способов получить домен и вовсе бесплатно. С артефактами сети и хоста всё немного сложнее: если жертва выявила триггеры атаки и заблокировала подозрительный процесс, command line или url (чаще всего автоматически, исходя из настроек политик безопасности ИБ-софта), то преступник не сможет продолжать атаку, пока не перенастроит инструменты. Когда же жертва выявила, каким именно инструментом пользуется атакующий, для возобновления атаки придется видоизменить поведение инструмента. Например, когда используется инструмент с настройками по умолчанию, поведенческие индикаторы которого хорошо известны, злоумышленнику придется внести изменения в конфигурацию инструмента. Однако самым болезненным для преступника является ситуация, в которой защищающийся распознал технику и тактику атаки (TTP).
В таком случае злоумышленнику придется в корне менять подход к атаке. Вот почему поведенческий анализ является наиболее эффективным средством защиты информации, а для эффективного анализа необходима глобальная база знаний, основанная на реальных наблюдениях, отражающая модели поведения злоумышленников, различные этапы жизненного цикла атаки. И, конечно, такая база в один прекрасный момент появилась.
MITRE ATT&CK
В 2013 году компания MITRE представила свой проект ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — структурированный справочник тактик, техник и процедур (TTP), используемых злоумышленниками. Анализируя подозрительную активность на различных участках инфраструктуры, можно сопоставить эти данные с разделами матрицы MITRE ATT&CK, что в свою очередь позволит не только с большой долей вероятности предположить, какую технику используют преступники, но и максимально быстро отреагировать на угрозу. В матрице MITRE ATT&CK техники сгруппированы в тактики, которые в свою очередь выстроены в последовательность развития атаки.
Вообще, выстроить последовательность атаки в единую связанную цепочку впервые предложила американская компания Lockheed-Martin в 2011 году. Там эту цепочку назвали The Cyber Kill Chain. Ни один перевод на русский язык нельзя считать общепринятым и устоявшимся, поэтому в отечественной среде ИБ эта цепочка чаще упоминается либо на английском, либо как сокращенная транслитерация оригинального названия — килчейн. Цепочка от Lockheed-Martin насчитывала всего семь звеньев: разведка, вооружение, доставка, эксплуатация, инсталляция, управление, действие.
MITRE развила мысль и увеличила количество звеньев вдвое, представив последовательность из 14 тактик, каждая из которых объединяет в себе от 7 до 42 техник. При этом одна техника может присутствовать в нескольких тактиках. Такой подход стал фактически «золотым стандартом». Многие производители систем классов TIP или SOAR (IRP) интегрируют матрицу MITRE ATT&CK со своими решениями и в этом безусловно есть смысл.
Если злоумышленник в процессе атаки использует инструменты, которые детектируются классическими СЗИ (антивирусами, межсетевыми экранами, песочницами), то есть неплохие шансы на обнаружение этих инструментов с помощью поведенческих индикаторов в логах сетевой и хостовой телеметрии. За счет удобства маппинга поведенческих индикаторов на техники MITRE ATT&CK, мы получаем возможность выстроить килчейн из выявленных техник.
MITRE CAR
MITRE CAR (Cyber Analytics Repository) — это база знаний по аналитике, разработанная MITRE на основе MITRE ATT&CK, в которой описаны правила детектирования поведенческих индикаторов. MITRE CAR содержит данные о популярных техниках атак, получаемые посредством Threat intelligence. Поведенческие индикаторы, описанные в MITRE CAR, могут использоваться при обогащении инцидента и ретро-поиске. Такой подход можно использовать для проактивного обнаружения угроз (Threat hunting), когда инцидент не зафиксирован. Также CAR включает в свою аналитику техники, ориентированные на конкретные инструменты (например, Splunk, EQL).
MITRE Shield
У компании MITRE есть и другая широко известная в мире ИБ матрица, агрегирующая информацию о тактиках и методах активной защиты, — Shield. Эта база знаний применяет технологию активной защиты — в первую очередь, обманки (обманные пользователи, процессы, креды), а также поведенческий анализ. MITRE Shield описывает ряд общих оборонительных тактик, а затем тактики сопоставляются с действиями, которые могут помочь данную тактику осуществить. В MITRE Shield предусмотрено сопоставление между техниками ATT&CK и Shield, чтобы иметь возможность наиболее эффективно выстроить оборону от определенных тактик, техник и процедур противника (TTP). Корпоративное направление компании MITRE уже более десяти лет накапливает реальный опыт по противодействию кибер-преступникам. Этот опыт в результате лег в основу матрицы Shield. База знаний активной защиты Shield была создана компанией MITRE в 2019 году. Была проделана громадная работа по унификации формата и документированию методов противостояния злоумышленникам, создана упорядоченная структура оборонительных техник и мапинг с техниками MITRE ATT&CK.
Сочетание различных средств защиты позволяет организации не только противостоять текущим атакам, но и узнать о противнике больше, чтобы лучше подготовиться к новым атакам в будущем. Справедливости ради нужно отметить, что с использованием этой матрицы в нашей стране есть некоторые сложности. Поскольку MITRE Shield была разработана совместно с силовыми ведомствами США, из-за сложной политической обстановки доступ к этой базе знаний в нашей стране возможен только через VPN.
MITRE D3FEND
Ещё одним продуктом компании MITRE является фреймворк D3FEND — это классическая защита, включающая в себя обнаружение, сдерживание, удаление и харденинг. Бытует мнение, что MITRE D3FEND — это упрощенная версия ATT&CK, но это не совсем так, а точнее совсем не так. Рекомендации базы знаний D3FEND сфокусированы на противодействии атаке и смягчении последствий от «удара», тогда как матрица ATT&CK нацелена больше на выявление самой атаки. Техники ATT&CK мапятся с рекомендациями D3FEND и для большей эффективности вы можете использовать обе матрицы, которые будут дополнять друг друга. MITRE D3FEND позволяет применять меры по предотвращению реализации техник атак (митигирование).
Пример из жизни
В качестве примера можно привести распространенный случай заражения вредоносным программным обеспечением (ВПО) типа CNC, которое в процессе выполнения использует встроенные утилиты ОС Windows (rundll32.exe, regsvr32.exe) для скрытного выполнения кода (техника T1059 — Command and Scripting Interpreter). После получения управления наиболее частой задачей ВПО является компрометация учетной записи посредством снятия дампа с системного процесса LSASS (техника T1003 — OS Credential Dumping). Затем ВПО осуществляет сетевую разведку, в процессе которой обнаруживает ресурсы, содержащие чувствительную информацию: почтовые сервера, расшаренные папки с файлами, базы данных (техника T1046 — Network Service Discovery). Далее ВПО выполняет горизонтальное перемещение с помощью удаленного создания служб (техника T1021 — Remote Services). И, наконец, ВПО начинает сбор чувствительной информации (техника T1039 — Data from Network Shared Drive) и осуществляет её утечку (техника T1041 — Exfiltration Over C2 Channel) с последующим шифрованием и требованиями выкупа (техника T1486 — Data Encrypted for Impact). Таким образом, применяя матрицу MITRE ATT&CK, мы получили логически выстроенный килчейн.
На примере одной из обнаруженных техник (T1003 — OS Credential Dumping) продемонстрируем применимость описанных выше матриц.
В матрице MITRE D3FEND техника OS Credential Dumping может быть использована злоумышленниками для получения учетных данных пользователей и администраторов системы. В матрице D3FEND представлены следующие рекомендации по защите от этой техники:
1. Защита учетных данных: используйте сильные пароли и многократную аутентификацию для защиты учетных данных. Также рекомендуется использовать управление доступом на основе ролей и привилегий.
2. Защита операционной системы: убедитесь, что операционная система и все установленные приложения имеют последние обновления и патчи безопасности. Также рекомендуется использовать антивирусное программное обеспечение и межсетевые экраны для защиты от вредоносных программ.
3. Ограничение доступа к системе: ограничьте доступ к системе только необходимым пользователям и администраторам. Также рекомендуется использовать механизмы мониторинга и аудита для отслеживания действий пользователей и обнаружения подозрительной активности.
4. Защита сети: используйте механизмы защиты сети, такие как брандмауэры, VPN и шифрование трафика, для защиты от атак из внешней сети.
5. Использование безопасных протоколов: используйте безопасные протоколы для удаленного доступа к системе, такие как SSH или VPN, вместо устаревших протоколов, таких как Telnet или RDP.
6. Обучение пользователей: обучайте пользователей безопасным практикам использования системы, таким как неоткладывание обновлений и неоткрытие подозрительных вложений в электронной почте.
Соблюдение этих рекомендаций поможет защитить систему от техники OS Credential Dumping и других атак, связанных с утечкой учетных данных.
В матрице MITRE Shield техника OS Credential Dumping: LSASS Memory относится к тактике "Credential Access" и сценарию "Memory Protection". Для защиты от этой техники MITRE Shield рекомендует использовать схожие с рекомендациями от матрицы D3FEND меры, дополненные рекомендациями с уклоном в активную защиту, например:
Защитник может создать учетные данные-приманку для целей активной защиты, введя в целевую систему учетные данные (такие как имя пользователя/пароль, токены браузера и другие формы аутентификационных данных) с целью взаимодействия. Учетные данные-приманки могут быть установлены во многих местах и использованы различными способами.
MITRE CAR предлагает обнаружение данной техники на примере следующего sigma-правила, используя штатное средство мониторинга MS Sysmon:
Чудеса автоматизации
Использование матриц MITRE в совокупности с собственным накопленным опытом противодействия атакам злоумышленников позволяет компаниям сделать свои подразделения, отвечающие за информационную безопасность, более эффективными. Ранее ИБ-аналитикам приходилось тратить уйму времени на ручное сопоставление выявленной в собственной инфраструктуре подозрительной активности с техниками и тактиками MITRE. Однако технологии не стоят на месте, и на рынке появились системы, отвечающие не только за автоматизацию отдельных процессов защиты, но и за оркестрацию всех средств защиты информации (СЗИ), используемых в инфраструктуре.
Подозрительная активность, зафиксированная SIEM и/или TIP, группируется, согласно заранее настроенным правилам корреляции и отправляется в системы класса SOAR/IRP, где система самостоятельно фиксирует инцидент, выстраивает последовательность атаки и сопоставляет её с рекомендациями из матриц MITRE. ИБ-аналитику остается только оценить ситуацию и предпринять необходимые действия по реагированию из единого удобного интерфейса (например, заблокировать учетную запись или внести IP-адрес в реестр неблагонадежных).
Такой подход позволяет в разы увеличить осведомленность ИБ-аналитиков о внешних и внутренних угрозах, а также существенно сократить время реакции на атаку, что в свою очередь снижает вероятный ущерб от действий злоумышленников. Ещё один плюс такого подхода заключается в том, что для организации эффективной защиты нужно меньше людей. Это не только существенно снижает затраты компании, но и упрощает задачу по набору специалистов, а как известно, на российском рынке наблюдается некоторый дефицит ИБ-аналитиков.
Заключение
Оценка покрытия техник MITRE в SOC (Security Operation Center) позволяет сделать выводы о том, насколько эффективно выстроены процессы, и спланировать дальнейшие работы по развитию SOC и закрытию «слепых зон» в обнаружении техник атакующего. Автоматизация сокращает время обработки инцидента аналитиком и предоставляет более подробную информацию, оставляя больше возможностей для реагирования. Появляется возможность настроить правила автоматического реагирования. Время в этом случае будет работать на вас, потому что длительное использование аналитиком системы класса SOAR/IRP позволит накопить собственный опыт и наиболее адекватно настроить правила автоматического реагирования, отвечающие уникальному ландшафту угроз именно вашего предприятия.
