Использование MITRE ATT&CK в Threat Intelligence Platform

Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE ATT&CK, что является большим упущением с точки зрения контекста обнаруженного индикатора. В этой статье мы выявим преимущества объединения решений Threat Intelligence Platform, CVE и MITRE ATT&CK для эффективного устранения угроз и улучшения киберзащиты.

MITRE ATT&CK — это общедоступная база знаний, состоящая из 14-ти вероятных тактик злоумышленников, которые включают в себя более 500 методов информационных атак, основанных на реальных наблюдениях. Первая версия базы была представлена в 2013 году и опубликована для общего доступа в 2015 году. С тех пор она активно развивается, а интерес к ней с каждым годом только растет. Структура MITRE ATT&CK предоставляет ведущий в отрасли стандарт, помогающий организациям разрабатывать, организовывать и использовать стратегию защиты и эффективно оценивать риски на основе наблюдаемых инцидентов.

В прошлом команды, работающие над безопасностью систем, тратили очень много времени на отслеживание уведомлений об угрозах. Но, к сожалению, большая часть вредоносных активностей проникала в системы незамеченной. Организации становились жертвами кибератак из-за ложного чувства безопасности и чрезмерной уверенности в своей способности защититься от них. Целью проекта MITRE ATT&CK стало повышение осведомленности специалистов, отвечающих за информационную безопасность: база знаний предназначена для создания четкой структуры, в которой категоризированный список всех известных методов атаки сочетается с информацией об угрозах.

Кроме того, MITRE ATT&CK позволяет идентифицировать критическую информацию о программном обеспечении, которое хакеры будут рассматривать для реализации атаки, и дает указания относительно наиболее эффективных мер защиты для снижения этого риска. Фреймворк предоставляет постоянно актуализирующийся список методов, используемых злоумышленниками, которому можно доверять и который можно уверенно использовать для защиты собственной инфраструктуры.

Организации могут использовать структуру MITRE ATT&CK для формирования выводов на основе проверенных данных и структуры killchain для улучшения стратегий приоритизации и исправления. Начать можно с изучения конкретных групп угроз, которые ранее были направлены на кражу данных или активов. После того, как группы угроз будут идентифицированы, можно использовать полученные из MITRE ATT&CK сведения для просмотра конкретных используемых TTP. Понимая общие TTP от групп, которые, по вашему мнению, будут атаковать организацию, можно начать формировать приоритетный список элементов управления обнаружением и предотвращением, которые специалисты по информационной безопасности должны внедрить, чтобы снизить риски.

Более зрелым организациям рекомендуется использовать TIP, которая позволяет проводить аналитику угроз для обогащения уже имеющейся информации. Платформа TI обладает удобным интерфейсом и необходимой автоматизацией для того, чтобы связать между собой модели атак и поведения из конкретных кампаний злоумышленников, инструменты и источники этой информации. Это в свою очередь позволят более детально видеть уникальный ландшафт угроз и эффективно противостоять атакам на инфраструктуру.

Работа с таким уровнем информации позволяет компаниям лучше понимать поведение и цели противника, включая запланированные атаки на конкретную компанию или сектор, а также передовые знания о том, что используют субъекты угроз TTP, для заблаговременного принятия защитных мер и стратегий превентивных действий в борьбе с потенциальными эксплойтами.

Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Индикаторы атаки связаны c индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.

Работа со структурой MITRE ATT&CK и разведка угроз с помощью TIP — вполне понятные и хорошо изученные процессы, но можно ли их объединить с управлением уязвимостями? Исторически управление угрозами и управление уязвимостями рассматривались как отдельные дисциплины, но, поскольку достаточно часто реализация угрозы происходит через эксплуатацию уязвимости, есть веские основания для связывания эксплойтов CVE с тем, чего злоумышленник пытается достичь. Давайте рассмотрим, как можно улучшить традиционное управление уязвимостями с помощью аналитики угроз на базе Threat Intelligence Platform и TTP из структуры MITRE ATT&CK:

- «Найти и исправить» — традиционное управление уязвимостями использует подход «найти и исправить» путем сканирования инфраструктуры и оценки уязвимостей, а также использования показателя критичности CVSS для определения приоритетности исправления. Несмотря на то, что оценка CVSS является индикатором критичности, она статична и ограничена, поскольку не учитывает контекст внешней угрозы и не имеет ссылок на критически важные активы в вашем бизнесе, что означает, что вы можете тратить время на исправление уязвимостей, которые не представляют риска в первую очередь. Таким образом, это хорошо только для менее зрелых организаций с меньшими и статическими цифровыми активами.

- «Риск уязвимости» — это управление уязвимостями на основании рисков. Этот подход позволяет лучше понять уязвимость активов с помощью дополнительной информации об угрозах. Это может быть информация о том, часто ли эксплуатируется уязвимость в инфраструктуре или насколько вероятно, что она будет использоваться. Таким образом стимулируется упреждающее исправление путем выявления наиболее опасных и неизбежных рисков, в итоге правильная приоритизация уязвимости позволяет не допустить злонамеренного воздействия на инфраструктуру. Это идеально подходит для организаций с более крупными охватом и инфраструктурой, а также больших департаментов безопасности, перегруженных растущим числом CVE для исправления.

- «Вектор угрозы» — это понимание того, как злоумышленник использует уязвимости для достижения своих целей, и связывание уязвимостей с TTP из MITRE ATT&CK. Этот подход предлагает идти от злоумышленника, используя аналитику угроз для оценки того, кто может представлять больший риск для вашей организации. Дополнив эту информацию данными из MITRE ATT&CK, можно будет понять, как именно злоумышленники могут скомпрометировать вашу инфраструктуру, какие вероятней всего они будут использовать тактики и техники, а затем оценить, как уязвимость сможет повлиять на всем протяжении атаки. Этот продвинутый подход означает, что вы можете отображать и сужать риски по своему собственному списку критериев, ориентированных на хакеров. В этот список могут входить такие критерии, как географическое распространение, конкретные секторы экономики и типы организаций. Многие инструменты безопасности теперь поставляются с наборами сигнатур, уже классифицированными по категориям, с привязкой к соответствующим тактиками и техникам в MITRE ATT&CK. Эта классификация позволяет сразу же приступить к созданию метрик, тактической и стратегической атрибуции, сигнализирующей о серьёзности инцидента. Информация, полученная в результате фактических атак, которые уже произошли и классифицированы MITRE, может быть легко и автоматически включена в ваш процесс управления рисками уязвимостей, что позволяет структурам, отвечающим за информационную безопасность, действовать быстро и решительно. Такой подход, ориентированный на хакеров, помогает отсеять миллионы незначительных CVE и обеспечивает фокусировку на устранении критичных уязвимостей, что имеет решающее значение в гонке против ransomware и других различных направлений угроз.

Многие вендоры, как отечественные, так и зарубежные, предоставляют актуальную информацию о выявленных уязвимостях. Это могут быть уязвимости программного обеспечения, операционных систем и даже аппаратные уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например, NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.

Security Vision TIP может передавать информацию в Vulnerability Management в качестве дополнительной метрики скоринга и устранения уязвимости. Загружается не только сама информация о выявленной уязвимости, но и оценка критичности этой уязвимости, декомпозированный вектор и даже описательная часть, касающаяся митигирующих действий, со ссылками на внешние ресурсы. Такой подход позволяет вовремя среагировать и перепроверить наличие этой уязвимости у себя на периметре, выполнить действия по митигации, связать уязвимость с выявленными обнаружениями подозрительной активности в инфраструктуре. Исключение уязвимости уменьшает вероятность атаки и критичность угрозы. 

Из карточки уязвимости пользователь может выгрузить отчет в стандартном формате, содержащий всю существенную информацию по уязвимости.

Для улучшения эффективности управления уязвимостями с помощью TIP важно рассматривать ситуацию как с точки зрения управления рисками, так и с точки зрения анализа угроз, чтобы понять, какие риски существуют и как злоумышленники могут скомпрометировать вашу организацию, чтобы прийти к «золотой середине» при формировании политики безопасности.

Эффективно сопоставлять информацию об уязвимостях с данными из платформы TI по обнаруженным индикаторам, когда эти индикаторы действительно релевантны для сектора, в котором работает предприятие. А значит, именно эти уязвимости надо закрывать, учитывая рекомендации MITRE ATT&CK по митигированию действий злоумышленников, при реализации этой угрозы, которая может привести к атакам злоумышленников и вредоносных программ на инфраструктуру предприятия.

Наконец, важно внедрять изменения таким образом, чтобы они соответствовали уровню зрелости вашей организации, размеру и склонности к риску. Затем подумайте о том, как вы можете использовать расширенную информацию из MITRE ATT&CK для анализа уязвимостей со всех сторон (векторы угроз и представления на основе рисков), чтобы обеспечить целевое исправление, которое не всегда так эффективно с традиционной моделью CVSS.

И самое главное, в Security Vision TIP уже есть весь необходимый для этого функционал.