SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Использование MITRE ATT&CK в Threat Intelligence Platform

Использование MITRE ATT&CK в Threat Intelligence Platform
24.07.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

 

Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE ATT&CK, что является большим упущением с точки зрения контекста обнаруженного индикатора. В этой статье мы выявим преимущества объединения решений Threat Intelligence Platform, CVE и MITRE ATT&CK для эффективного устранения угроз и улучшения киберзащиты.


Что такое фреймворк MITRE ATT&CK?

MITRE ATT&CK — это общедоступная база знаний, состоящая из 14-ти вероятных тактик злоумышленников, которые включают в себя более 500 методов информационных атак, основанных на реальных наблюдениях. Первая версия базы была представлена в 2013 году и опубликована для общего доступа в 2015 году. С тех пор она активно развивается, а интерес к ней с каждым годом только растет. Структура MITRE ATT&CK предоставляет ведущий в отрасли стандарт, помогающий организациям разрабатывать, организовывать и использовать стратегию защиты и эффективно оценивать риски на основе наблюдаемых инцидентов.


В прошлом команды, работающие над безопасностью систем, тратили очень много времени на отслеживание уведомлений об угрозах. Но, к сожалению, большая часть вредоносных активностей проникала в системы незамеченной. Организации становились жертвами кибератак из-за ложного чувства безопасности и чрезмерной уверенности в своей способности защититься от них. Целью проекта MITRE ATT&CK стало повышение осведомленности специалистов, отвечающих за информационную безопасность: база знаний предназначена для создания четкой структуры, в которой категоризированный список всех известных методов атаки сочетается с информацией об угрозах.


Кроме того, MITRE ATT&CK позволяет идентифицировать критическую информацию о программном обеспечении, которое хакеры будут рассматривать для реализации атаки, и дает указания относительно наиболее эффективных мер защиты для снижения этого риска. Фреймворк предоставляет постоянно актуализирующийся список методов, используемых злоумышленниками, которому можно доверять и который можно уверенно использовать для защиты собственной инфраструктуры.


Использование фреймворка MITRE ATT&CK совместно с аналитикой угроз в TIP

Организации могут использовать структуру MITRE ATT&CK для формирования выводов на основе проверенных данных и структуры killchain для улучшения стратегий приоритизации и исправления. Начать можно с изучения конкретных групп угроз, которые ранее были направлены на кражу данных или активов. После того, как группы угроз будут идентифицированы, можно использовать полученные из MITRE ATT&CK сведения для просмотра конкретных используемых TTP. Понимая общие TTP от групп, которые, по вашему мнению, будут атаковать организацию, можно начать формировать приоритетный список элементов управления обнаружением и предотвращением, которые специалисты по информационной безопасности должны внедрить, чтобы снизить риски.


Более зрелым организациям рекомендуется использовать TIP, которая позволяет проводить аналитику угроз для обогащения уже имеющейся информации. Платформа TI обладает удобным интерфейсом и необходимой автоматизацией для того, чтобы связать между собой модели атак и поведения из конкретных кампаний злоумышленников, инструменты и источники этой информации. Это в свою очередь позволят более детально видеть уникальный ландшафт угроз и эффективно противостоять атакам на инфраструктуру.


Работа с таким уровнем информации позволяет компаниям лучше понимать поведение и цели противника, включая запланированные атаки на конкретную компанию или сектор, а также передовые знания о том, что используют субъекты угроз TTP, для заблаговременного принятия защитных мер и стратегий превентивных действий в борьбе с потенциальными эксплойтами.


Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Индикаторы атаки связаны c индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.



Сопоставление данных MITRE ATT&CK с данными системы управления уязвимостями (CVE)

Работа со структурой MITRE ATT&CK и разведка угроз с помощью TIP — вполне понятные и хорошо изученные процессы, но можно ли их объединить с управлением уязвимостями? Исторически управление угрозами и управление уязвимостями рассматривались как отдельные дисциплины, но, поскольку достаточно часто реализация угрозы происходит через эксплуатацию уязвимости, есть веские основания для связывания эксплойтов CVE с тем, чего злоумышленник пытается достичь. Давайте рассмотрим, как можно улучшить традиционное управление уязвимостями с помощью аналитики угроз на базе Threat Intelligence Platform и TTP из структуры MITRE ATT&CK:


- «Найти и исправить» — традиционное управление уязвимостями использует подход «найти и исправить» путем сканирования инфраструктуры и оценки уязвимостей, а также использования показателя критичности CVSS для определения приоритетности исправления. Несмотря на то, что оценка CVSS является индикатором критичности, она статична и ограничена, поскольку не учитывает контекст внешней угрозы и не имеет ссылок на критически важные активы в вашем бизнесе, что означает, что вы можете тратить время на исправление уязвимостей, которые не представляют риска в первую очередь. Таким образом, это хорошо только для менее зрелых организаций с меньшими и статическими цифровыми активами.

- «Риск уязвимости» — это управление уязвимостями на основании рисков. Этот подход позволяет лучше понять уязвимость активов с помощью дополнительной информации об угрозах. Это может быть информация о том, часто ли эксплуатируется уязвимость в инфраструктуре или насколько вероятно, что она будет использоваться. Таким образом стимулируется упреждающее исправление путем выявления наиболее опасных и неизбежных рисков, в итоге правильная приоритизация уязвимости позволяет не допустить злонамеренного воздействия на инфраструктуру. Это идеально подходит для организаций с более крупными охватом и инфраструктурой, а также больших департаментов безопасности, перегруженных растущим числом CVE для исправления.

- «Вектор угрозы» — это понимание того, как злоумышленник использует уязвимости для достижения своих целей, и связывание уязвимостей с TTP из MITRE ATT&CK. Этот подход предлагает идти от злоумышленника, используя аналитику угроз для оценки того, кто может представлять больший риск для вашей организации. Дополнив эту информацию данными из MITRE ATT&CK, можно будет понять, как именно злоумышленники могут скомпрометировать вашу инфраструктуру, какие вероятней всего они будут использовать тактики и техники, а затем оценить, как уязвимость сможет повлиять на всем протяжении атаки. Этот продвинутый подход означает, что вы можете отображать и сужать риски по своему собственному списку критериев, ориентированных на хакеров. В этот список могут входить такие критерии, как географическое распространение, конкретные секторы экономики и типы организаций. Многие инструменты безопасности теперь поставляются с наборами сигнатур, уже классифицированными по категориям, с привязкой к соответствующим тактиками и техникам в MITRE ATT&CK. Эта классификация позволяет сразу же приступить к созданию метрик, тактической и стратегической атрибуции, сигнализирующей о серьёзности инцидента. Информация, полученная в результате фактических атак, которые уже произошли и классифицированы MITRE, может быть легко и автоматически включена в ваш процесс управления рисками уязвимостей, что позволяет структурам, отвечающим за информационную безопасность, действовать быстро и решительно. Такой подход, ориентированный на хакеров, помогает отсеять миллионы незначительных CVE и обеспечивает фокусировку на устранении критичных уязвимостей, что имеет решающее значение в гонке против ransomware и других различных направлений угроз.


Security Vision TIP и управление уязвимостями

Многие вендоры, как отечественные, так и зарубежные, предоставляют актуальную информацию о выявленных уязвимостях. Это могут быть уязвимости программного обеспечения, операционных систем и даже аппаратные уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например, NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.


 

Security Vision TIP может передавать информацию в Vulnerability Management в качестве дополнительной метрики скоринга и устранения уязвимости. Загружается не только сама информация о выявленной уязвимости, но и оценка критичности этой уязвимости, декомпозированный вектор и даже описательная часть, касающаяся митигирующих действий, со ссылками на внешние ресурсы. Такой подход позволяет вовремя среагировать и перепроверить наличие этой уязвимости у себя на периметре, выполнить действия по митигации, связать уязвимость с выявленными обнаружениями подозрительной активности в инфраструктуре. Исключение уязвимости уменьшает вероятность атаки и критичность угрозы. 


Из карточки уязвимости пользователь может выгрузить отчет в стандартном формате, содержащий всю существенную информацию по уязвимости.


Заключение

Для улучшения эффективности управления уязвимостями с помощью TIP важно рассматривать ситуацию как с точки зрения управления рисками, так и с точки зрения анализа угроз, чтобы понять, какие риски существуют и как злоумышленники могут скомпрометировать вашу организацию, чтобы прийти к «золотой середине» при формировании политики безопасности.


Эффективно сопоставлять информацию об уязвимостях с данными из платформы TI по обнаруженным индикаторам, когда эти индикаторы действительно релевантны для сектора, в котором работает предприятие. А значит, именно эти уязвимости надо закрывать, учитывая рекомендации MITRE ATT&CK по митигированию действий злоумышленников, при реализации этой угрозы, которая может привести к атакам злоумышленников и вредоносных программ на инфраструктуру предприятия.



Наконец, важно внедрять изменения таким образом, чтобы они соответствовали уровню зрелости вашей организации, размеру и склонности к риску. Затем подумайте о том, как вы можете использовать расширенную информацию из MITRE ATT&CK для анализа уязвимостей со всех сторон (векторы угроз и представления на основе рисков), чтобы обеспечить целевое исправление, которое не всегда так эффективно с традиционной моделью CVSS.


И самое главное, в Security Vision TIP уже есть весь необходимый для этого функционал.

MITRE TIP Управление ИБ Управление уязвимостями Угрозы ИБ Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют