SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Использование MITRE ATT&CK в Threat Intelligence Platform

Использование MITRE ATT&CK в Threat Intelligence Platform
24.07.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Security Vision

 

Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE ATT&CK, что является большим упущением с точки зрения контекста обнаруженного индикатора. В этой статье мы выявим преимущества объединения решений Threat Intelligence Platform, CVE и MITRE ATT&CK для эффективного устранения угроз и улучшения киберзащиты.


Что такое фреймворк MITRE ATT&CK?

MITRE ATT&CK — это общедоступная база знаний, состоящая из 14-ти вероятных тактик злоумышленников, которые включают в себя более 500 методов информационных атак, основанных на реальных наблюдениях. Первая версия базы была представлена в 2013 году и опубликована для общего доступа в 2015 году. С тех пор она активно развивается, а интерес к ней с каждым годом только растет. Структура MITRE ATT&CK предоставляет ведущий в отрасли стандарт, помогающий организациям разрабатывать, организовывать и использовать стратегию защиты и эффективно оценивать риски на основе наблюдаемых инцидентов.


В прошлом команды, работающие над безопасностью систем, тратили очень много времени на отслеживание уведомлений об угрозах. Но, к сожалению, большая часть вредоносных активностей проникала в системы незамеченной. Организации становились жертвами кибератак из-за ложного чувства безопасности и чрезмерной уверенности в своей способности защититься от них. Целью проекта MITRE ATT&CK стало повышение осведомленности специалистов, отвечающих за информационную безопасность: база знаний предназначена для создания четкой структуры, в которой категоризированный список всех известных методов атаки сочетается с информацией об угрозах.


Кроме того, MITRE ATT&CK позволяет идентифицировать критическую информацию о программном обеспечении, которое хакеры будут рассматривать для реализации атаки, и дает указания относительно наиболее эффективных мер защиты для снижения этого риска. Фреймворк предоставляет постоянно актуализирующийся список методов, используемых злоумышленниками, которому можно доверять и который можно уверенно использовать для защиты собственной инфраструктуры.


Использование фреймворка MITRE ATT&CK совместно с аналитикой угроз в TIP

Организации могут использовать структуру MITRE ATT&CK для формирования выводов на основе проверенных данных и структуры killchain для улучшения стратегий приоритизации и исправления. Начать можно с изучения конкретных групп угроз, которые ранее были направлены на кражу данных или активов. После того, как группы угроз будут идентифицированы, можно использовать полученные из MITRE ATT&CK сведения для просмотра конкретных используемых TTP. Понимая общие TTP от групп, которые, по вашему мнению, будут атаковать организацию, можно начать формировать приоритетный список элементов управления обнаружением и предотвращением, которые специалисты по информационной безопасности должны внедрить, чтобы снизить риски.


Более зрелым организациям рекомендуется использовать TIP, которая позволяет проводить аналитику угроз для обогащения уже имеющейся информации. Платформа TI обладает удобным интерфейсом и необходимой автоматизацией для того, чтобы связать между собой модели атак и поведения из конкретных кампаний злоумышленников, инструменты и источники этой информации. Это в свою очередь позволят более детально видеть уникальный ландшафт угроз и эффективно противостоять атакам на инфраструктуру.


Работа с таким уровнем информации позволяет компаниям лучше понимать поведение и цели противника, включая запланированные атаки на конкретную компанию или сектор, а также передовые знания о том, что используют субъекты угроз TTP, для заблаговременного принятия защитных мер и стратегий превентивных действий в борьбе с потенциальными эксплойтами.


Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Индикаторы атаки связаны c индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.



Сопоставление данных MITRE ATT&CK с данными системы управления уязвимостями (CVE)

Работа со структурой MITRE ATT&CK и разведка угроз с помощью TIP — вполне понятные и хорошо изученные процессы, но можно ли их объединить с управлением уязвимостями? Исторически управление угрозами и управление уязвимостями рассматривались как отдельные дисциплины, но, поскольку достаточно часто реализация угрозы происходит через эксплуатацию уязвимости, есть веские основания для связывания эксплойтов CVE с тем, чего злоумышленник пытается достичь. Давайте рассмотрим, как можно улучшить традиционное управление уязвимостями с помощью аналитики угроз на базе Threat Intelligence Platform и TTP из структуры MITRE ATT&CK:


- «Найти и исправить» — традиционное управление уязвимостями использует подход «найти и исправить» путем сканирования инфраструктуры и оценки уязвимостей, а также использования показателя критичности CVSS для определения приоритетности исправления. Несмотря на то, что оценка CVSS является индикатором критичности, она статична и ограничена, поскольку не учитывает контекст внешней угрозы и не имеет ссылок на критически важные активы в вашем бизнесе, что означает, что вы можете тратить время на исправление уязвимостей, которые не представляют риска в первую очередь. Таким образом, это хорошо только для менее зрелых организаций с меньшими и статическими цифровыми активами.

- «Риск уязвимости» — это управление уязвимостями на основании рисков. Этот подход позволяет лучше понять уязвимость активов с помощью дополнительной информации об угрозах. Это может быть информация о том, часто ли эксплуатируется уязвимость в инфраструктуре или насколько вероятно, что она будет использоваться. Таким образом стимулируется упреждающее исправление путем выявления наиболее опасных и неизбежных рисков, в итоге правильная приоритизация уязвимости позволяет не допустить злонамеренного воздействия на инфраструктуру. Это идеально подходит для организаций с более крупными охватом и инфраструктурой, а также больших департаментов безопасности, перегруженных растущим числом CVE для исправления.

- «Вектор угрозы» — это понимание того, как злоумышленник использует уязвимости для достижения своих целей, и связывание уязвимостей с TTP из MITRE ATT&CK. Этот подход предлагает идти от злоумышленника, используя аналитику угроз для оценки того, кто может представлять больший риск для вашей организации. Дополнив эту информацию данными из MITRE ATT&CK, можно будет понять, как именно злоумышленники могут скомпрометировать вашу инфраструктуру, какие вероятней всего они будут использовать тактики и техники, а затем оценить, как уязвимость сможет повлиять на всем протяжении атаки. Этот продвинутый подход означает, что вы можете отображать и сужать риски по своему собственному списку критериев, ориентированных на хакеров. В этот список могут входить такие критерии, как географическое распространение, конкретные секторы экономики и типы организаций. Многие инструменты безопасности теперь поставляются с наборами сигнатур, уже классифицированными по категориям, с привязкой к соответствующим тактиками и техникам в MITRE ATT&CK. Эта классификация позволяет сразу же приступить к созданию метрик, тактической и стратегической атрибуции, сигнализирующей о серьёзности инцидента. Информация, полученная в результате фактических атак, которые уже произошли и классифицированы MITRE, может быть легко и автоматически включена в ваш процесс управления рисками уязвимостей, что позволяет структурам, отвечающим за информационную безопасность, действовать быстро и решительно. Такой подход, ориентированный на хакеров, помогает отсеять миллионы незначительных CVE и обеспечивает фокусировку на устранении критичных уязвимостей, что имеет решающее значение в гонке против ransomware и других различных направлений угроз.


Security Vision TIP и управление уязвимостями

Многие вендоры, как отечественные, так и зарубежные, предоставляют актуальную информацию о выявленных уязвимостях. Это могут быть уязвимости программного обеспечения, операционных систем и даже аппаратные уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например, NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.


 

Security Vision TIP может передавать информацию в Vulnerability Management в качестве дополнительной метрики скоринга и устранения уязвимости. Загружается не только сама информация о выявленной уязвимости, но и оценка критичности этой уязвимости, декомпозированный вектор и даже описательная часть, касающаяся митигирующих действий, со ссылками на внешние ресурсы. Такой подход позволяет вовремя среагировать и перепроверить наличие этой уязвимости у себя на периметре, выполнить действия по митигации, связать уязвимость с выявленными обнаружениями подозрительной активности в инфраструктуре. Исключение уязвимости уменьшает вероятность атаки и критичность угрозы. 


Из карточки уязвимости пользователь может выгрузить отчет в стандартном формате, содержащий всю существенную информацию по уязвимости.


Заключение

Для улучшения эффективности управления уязвимостями с помощью TIP важно рассматривать ситуацию как с точки зрения управления рисками, так и с точки зрения анализа угроз, чтобы понять, какие риски существуют и как злоумышленники могут скомпрометировать вашу организацию, чтобы прийти к «золотой середине» при формировании политики безопасности.


Эффективно сопоставлять информацию об уязвимостях с данными из платформы TI по обнаруженным индикаторам, когда эти индикаторы действительно релевантны для сектора, в котором работает предприятие. А значит, именно эти уязвимости надо закрывать, учитывая рекомендации MITRE ATT&CK по митигированию действий злоумышленников, при реализации этой угрозы, которая может привести к атакам злоумышленников и вредоносных программ на инфраструктуру предприятия.



Наконец, важно внедрять изменения таким образом, чтобы они соответствовали уровню зрелости вашей организации, размеру и склонности к риску. Затем подумайте о том, как вы можете использовать расширенную информацию из MITRE ATT&CK для анализа уязвимостей со всех сторон (векторы угроз и представления на основе рисков), чтобы обеспечить целевое исправление, которое не всегда так эффективно с традиционной моделью CVSS.


И самое главное, в Security Vision TIP уже есть весь необходимый для этого функционал.

MITRE TIP Управление ИБ Управление уязвимостями Угрозы ИБ Подкасты ИБ

Рекомендуем

Security Vision SGRC 2.0, или Новые горизонты автоматизации процессов
Security Vision SGRC 2.0, или Новые горизонты автоматизации процессов
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции

Рекомендуем

Security Vision SGRC 2.0, или Новые горизонты автоматизации процессов
Security Vision SGRC 2.0, или Новые горизонты автоматизации процессов
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Динамические плейбуки
Динамические плейбуки
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Тестирование на проникновение
Тестирование на проникновение

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Динамические плейбуки
Динамические плейбуки
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Тестирование на проникновение
Тестирование на проникновение