SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Автоматизация безопасности с разнообразием матриц MITRE

Автоматизация безопасности с разнообразием матриц MITRE
11.09.2023

Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

 

С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные, многоэтапные атаки. В связи с этим в методиках защиты информации за последние десять лет сильно возросла актуальность поведенческого анализа злоумышленников. Это, конечно, не означает, что поиск опасных сигнатур следует полностью списать со счетов — этот метод является прекрасной защитой от массовых и распространенных атак (когда, например, зараженное вирусом письмо рассылается по максимально большому количеству адресов), но в современных условиях это лишь первый барьер на пути злоумышленника. Если преступники будут достаточно мотивированы, настойчивы и изобретательны — они найдут способ проникнуть в вашу инфраструктуру, но даже в этом случае им можно помешать завладеть ценной информацией или уничтожить её. 


Пирамида боли

Давайте взглянем на диаграмму, очень хорошо знакомую всем аналитикам в сфере информационной безопасности, — пирамиду боли (злоумышленника). Смысл в том, что чем выше злоумышленник поднимается по ней, тем ему труднее продолжать атаку.


Например, в код вируса достаточно внести малейшие модификации, чтобы изменился хэш. Нет никаких сложностей в том, чтобы поменять IP-адрес, а при использовании VPN это происходит автоматически. Доменное имя заменить чуть сложнее, но провайдеры чаще всего не контролируют, кто регистрирует доменные имена, не говоря о том, что есть масса способов получить домен и вовсе бесплатно. С артефактами сети и хоста всё немного сложнее: если жертва выявила триггеры атаки и заблокировала подозрительный процесс, command line или url (чаще всего автоматически, исходя из настроек политик безопасности ИБ-софта), то преступник не сможет продолжать атаку, пока не перенастроит инструменты. Когда же жертва выявила, каким именно инструментом пользуется атакующий, для возобновления атаки придется видоизменить поведение инструмента. Например, когда используется инструмент с настройками по умолчанию, поведенческие индикаторы которого хорошо известны, злоумышленнику придется внести изменения в конфигурацию инструмента. Однако самым болезненным для преступника является ситуация, в которой защищающийся распознал технику и тактику атаки (TTP). 



В таком случае злоумышленнику придется в корне менять подход к атаке. Вот почему поведенческий анализ является наиболее эффективным средством защиты информации, а для эффективного анализа необходима глобальная база знаний, основанная на реальных наблюдениях, отражающая модели поведения злоумышленников, различные этапы жизненного цикла атаки. И, конечно, такая база в один прекрасный момент появилась.


MITRE ATT&CK

В 2013 году компания MITRE представила свой проект ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — структурированный справочник тактик, техник и процедур (TTP), используемых злоумышленниками. Анализируя подозрительную активность на различных участках инфраструктуры, можно сопоставить эти данные с разделами матрицы MITRE ATT&CK, что в свою очередь позволит не только с большой долей вероятности предположить, какую технику используют преступники, но и максимально быстро отреагировать на угрозу. В матрице MITRE ATT&CK техники сгруппированы в тактики, которые в свою очередь выстроены в последовательность развития атаки. 



Вообще, выстроить последовательность атаки в единую связанную цепочку впервые предложила американская компания Lockheed-Martin в 2011 году. Там эту цепочку назвали The Cyber Kill Chain. Ни один перевод на русский язык нельзя считать общепринятым и устоявшимся, поэтому в отечественной среде ИБ эта цепочка чаще упоминается либо на английском, либо как сокращенная транслитерация оригинального названия — килчейн. Цепочка от Lockheed-Martin насчитывала всего семь звеньев: разведка, вооружение, доставка, эксплуатация, инсталляция, управление, действие.



MITRE развила мысль и увеличила количество звеньев вдвое, представив последовательность из 14 тактик, каждая из которых объединяет в себе от 7 до 42 техник. При этом одна техника может присутствовать в нескольких тактиках. Такой подход стал фактически «золотым стандартом». Многие производители систем классов TIP или SOAR (IRP) интегрируют матрицу MITRE ATT&CK со своими решениями и в этом безусловно есть смысл. 


Если злоумышленник в процессе атаки использует инструменты, которые детектируются классическими СЗИ (антивирусами, межсетевыми экранами, песочницами), то есть неплохие шансы на обнаружение этих инструментов с помощью поведенческих индикаторов в логах сетевой и хостовой телеметрии. За счет удобства маппинга поведенческих индикаторов на техники MITRE ATT&CK, мы получаем возможность выстроить килчейн из выявленных техник.


MITRE CAR

MITRE CAR (Cyber Analytics Repository) — это база знаний по аналитике, разработанная MITRE на основе MITRE ATT&CK, в которой описаны правила детектирования поведенческих индикаторов. MITRE CAR содержит данные о популярных техниках атак, получаемые посредством Threat intelligence. Поведенческие индикаторы, описанные в MITRE CAR, могут использоваться при обогащении инцидента и ретро-поиске. Такой подход можно использовать для проактивного обнаружения угроз (Threat hunting), когда инцидент не зафиксирован. Также CAR включает в свою аналитику техники, ориентированные на конкретные инструменты (например, Splunk, EQL).


MITRE Shield

У компании MITRE есть и другая широко известная в мире ИБ матрица, агрегирующая информацию о тактиках и методах активной защиты, — Shield. Эта база знаний применяет технологию активной защиты — в первую очередь, обманки (обманные пользователи, процессы, креды), а также поведенческий анализ. MITRE Shield описывает ряд общих оборонительных тактик, а затем тактики сопоставляются с действиями, которые могут помочь данную тактику осуществить. В MITRE Shield предусмотрено сопоставление между техниками ATT&CK и Shield, чтобы иметь возможность наиболее эффективно выстроить оборону от определенных тактик, техник и процедур противника (TTP). Корпоративное направление компании MITRE уже более десяти лет накапливает реальный опыт по противодействию кибер-преступникам. Этот опыт в результате лег в основу матрицы Shield. База знаний активной защиты Shield была создана компанией MITRE в 2019 году. Была проделана громадная работа по унификации формата и документированию методов противостояния злоумышленникам, создана упорядоченная структура оборонительных техник и мапинг с техниками MITRE ATT&CK.


Сочетание различных средств защиты позволяет организации не только противостоять текущим атакам, но и узнать о противнике больше, чтобы лучше подготовиться к новым атакам в будущем. Справедливости ради нужно отметить, что с использованием этой матрицы в нашей стране есть некоторые сложности. Поскольку MITRE Shield была разработана совместно с силовыми ведомствами США, из-за сложной политической обстановки доступ к этой базе знаний в нашей стране возможен только через VPN.


MITRE D3FEND

Ещё одним продуктом компании MITRE является фреймворк D3FEND — это классическая защита, включающая в себя обнаружение, сдерживание, удаление и харденинг. Бытует мнение, что MITRE D3FEND — это упрощенная версия ATT&CK, но это не совсем так, а точнее совсем не так. Рекомендации базы знаний D3FEND сфокусированы на противодействии атаке и смягчении последствий от «удара», тогда как матрица ATT&CK нацелена больше на выявление самой атаки. Техники ATT&CK мапятся с рекомендациями D3FEND и для большей эффективности вы можете использовать обе матрицы, которые будут дополнять друг друга. MITRE D3FEND позволяет применять меры по предотвращению реализации техник атак (митигирование).


Пример из жизни

В качестве примера можно привести распространенный случай заражения вредоносным программным обеспечением (ВПО) типа CNC, которое в процессе выполнения использует встроенные утилиты ОС Windows (rundll32.exe, regsvr32.exe) для скрытного выполнения кода (техника T1059 — Command and Scripting Interpreter). После получения управления наиболее частой задачей ВПО является компрометация учетной записи посредством снятия дампа с системного процесса LSASS (техника T1003 — OS Credential Dumping). Затем ВПО осуществляет сетевую разведку, в процессе которой обнаруживает ресурсы, содержащие чувствительную информацию: почтовые сервера, расшаренные папки с файлами, базы данных (техника T1046 — Network Service Discovery). Далее ВПО выполняет горизонтальное перемещение с помощью удаленного создания служб (техника T1021 — Remote Services). И, наконец, ВПО начинает сбор чувствительной информации (техника T1039 — Data from Network Shared Drive) и осуществляет её утечку (техника T1041 — Exfiltration Over C2 Channel) с последующим шифрованием и требованиями выкупа (техника T1486 — Data Encrypted for Impact). Таким образом, применяя матрицу MITRE ATT&CK, мы получили логически выстроенный килчейн.



 

На примере одной из обнаруженных техник (T1003 — OS Credential Dumping) продемонстрируем применимость описанных выше матриц.


В матрице MITRE D3FEND техника OS Credential Dumping может быть использована злоумышленниками для получения учетных данных пользователей и администраторов системы. В матрице D3FEND представлены следующие рекомендации по защите от этой техники:


1. Защита учетных данных: используйте сильные пароли и многократную аутентификацию для защиты учетных данных. Также рекомендуется использовать управление доступом на основе ролей и привилегий.

2. Защита операционной системы: убедитесь, что операционная система и все установленные приложения имеют последние обновления и патчи безопасности. Также рекомендуется использовать антивирусное программное обеспечение и межсетевые экраны для защиты от вредоносных программ.

3. Ограничение доступа к системе: ограничьте доступ к системе только необходимым пользователям и администраторам. Также рекомендуется использовать механизмы мониторинга и аудита для отслеживания действий пользователей и обнаружения подозрительной активности.

4. Защита сети: используйте механизмы защиты сети, такие как брандмауэры, VPN и шифрование трафика, для защиты от атак из внешней сети.

5. Использование безопасных протоколов: используйте безопасные протоколы для удаленного доступа к системе, такие как SSH или VPN, вместо устаревших протоколов, таких как Telnet или RDP.

6. Обучение пользователей: обучайте пользователей безопасным практикам использования системы, таким как неоткладывание обновлений и неоткрытие подозрительных вложений в электронной почте.


Соблюдение этих рекомендаций поможет защитить систему от техники OS Credential Dumping и других атак, связанных с утечкой учетных данных.


В матрице MITRE Shield техника OS Credential Dumping: LSASS Memory относится к тактике "Credential Access" и сценарию "Memory Protection". Для защиты от этой техники MITRE Shield рекомендует использовать схожие с рекомендациями от матрицы D3FEND меры, дополненные рекомендациями с уклоном в активную защиту, например:


Защитник может создать учетные данные-приманку для целей активной защиты, введя в целевую систему учетные данные (такие как имя пользователя/пароль, токены браузера и другие формы аутентификационных данных) с целью взаимодействия. Учетные данные-приманки могут быть установлены во многих местах и использованы различными способами.


MITRE CAR предлагает обнаружение данной техники на примере следующего sigma-правила, используя штатное средство мониторинга MS Sysmon:



Чудеса автоматизации

Использование матриц MITRE в совокупности с собственным накопленным опытом противодействия атакам злоумышленников позволяет компаниям сделать свои подразделения, отвечающие за информационную безопасность, более эффективными. Ранее ИБ-аналитикам приходилось тратить уйму времени на ручное сопоставление выявленной в собственной инфраструктуре подозрительной активности с техниками и тактиками MITRE. Однако технологии не стоят на месте, и на рынке появились системы, отвечающие не только за автоматизацию отдельных процессов защиты, но и за оркестрацию всех средств защиты информации (СЗИ), используемых в инфраструктуре. 


Подозрительная активность, зафиксированная SIEM и/или TIP, группируется, согласно заранее настроенным правилам корреляции и отправляется в системы класса SOAR/IRP, где система самостоятельно фиксирует инцидент, выстраивает последовательность атаки и сопоставляет её с рекомендациями из матриц MITRE. ИБ-аналитику остается только оценить ситуацию и предпринять необходимые действия по реагированию из единого удобного интерфейса (например, заблокировать учетную запись или внести IP-адрес в реестр неблагонадежных).



Такой подход позволяет в разы увеличить осведомленность ИБ-аналитиков о внешних и внутренних угрозах, а также существенно сократить время реакции на атаку, что в свою очередь снижает вероятный ущерб от действий злоумышленников. Ещё один плюс такого подхода заключается в том, что для организации эффективной защиты нужно меньше людей. Это не только существенно снижает затраты компании, но и упрощает задачу по набору специалистов, а как известно, на российском рынке наблюдается некоторый дефицит ИБ-аналитиков.


Заключение

Оценка покрытия техник MITRE в SOC (Security Operation Center) позволяет сделать выводы о том, насколько эффективно выстроены процессы, и спланировать дальнейшие работы по развитию SOC и закрытию «слепых зон» в обнаружении техник атакующего. Автоматизация сокращает время обработки инцидента аналитиком и предоставляет более подробную информацию, оставляя больше возможностей для реагирования. Появляется возможность настроить правила автоматического реагирования. Время в этом случае будет работать на вас, потому что длительное использование аналитиком системы класса SOAR/IRP позволит накопить собственный опыт и наиболее адекватно настроить правила автоматического реагирования, отвечающие уникальному ландшафту угроз именно вашего предприятия.

MITRE IRP SOAR SOC SIEM TIP Threat Hunting

Рекомендуем

SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс

Рекомендуем

SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс

Похожие статьи

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2

Похожие статьи

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2