Почему так важно понимать поведение и методы киберпреступников

0
42

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Масштабы атак продолжают стремительно расти, однако наряду с этим ростом возникает сложная задача отслеживания тактик, техник и процедур (TTPs), используемых различными злоумышленниками («акторами»). Лаборатория информационных технологий CSRC (Computer Security Resource Center) Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) разделяет поведение злоумышленников на уровни тактик, техник и процедур. Отслеживание такого поведения стало основополагающей концепцией для специалистов по анализу киберугроз. Классификация и документирование тактик, техник и процедур злоумышленников позволяет специалистам по ИБ лучше понять их поведение и принципы организации конкретных атак и, следовательно, подготовиться к эффективному реагированию и отражению текущих и будущих угроз.

Определение тактик, техник и процедур (TTPs)

Тактика в аббревиатуре TTP означает обобщенное описание поведения или действий злоумышленника. Например, первоначальный доступ — это тактика, которую будет использовать злоумышленник для проникновения в вашу сеть.

Техника — это подробное описание ожидаемого поведения или действий для конкретной тактики. Например, техника получения первоначального доступа к сети может предполагать фишинговую атаку.

Процедура — это технические подробности или способы использования злоумышленником выбранной техники для достижения своей цели. Например, процедуры для фишинговой атаки будут включать в себя порядок проведения или этапы кампании. К ним будут относиться сбор сведений об инфраструктуре для отправки вредоносного электронного письма, выбор целевых пользователей и планирование способов проникновения на их компьютеры.

К сожалению, отслеживание поведения злоумышленников всегда было сложной задачей, во многом из-за отсутствия единого, повсеместно применяемого, стандартизированного подхода, которого можно было бы придерживаться. Показательный пример мы приводили в первом выпуске справочника Hacker’s Almanac, когда одна и та же группа злоумышленников была известна под множеством имен в зависимости от организации из сферы безопасности, раскрывшей и описавшей кибератаку: APT10 (раскрыта компанией Mandiant) также упоминается как menuPass (раскрыта компанией Fireeye), Stone Panda (раскрыта компанией Crowdstrike) или Red Apollo, Cloud Hopper и POTASSIUM (раскрыты корпорацией Microsoft). Такая ситуация чрезвычайно осложняет процесс обсуждения, документирования и информирования о действующих злоумышленниках или группировках.

К счастью, за последние несколько лет в отрасли началось повсеместное внедрение платформы MITRE ATT&CK для корпоративной среды, которая призвана обеспечить стандартизацию и содержит каталог тактик, техник и процедур (TTPs), используемых злоумышленниками, а также их имена и псевдонимы.

Une image contenant texte, équipement électronique, CD, périphérique

Description générée automatiquement

Что такое MITRE ATT&CK?

Платформа MITRE ATT&CK — это открытая и актуальная база знаний, которая содержит описание тактик и техник злоумышленников на основе анализа реальных атак. Корпорация MITRE, разработавшая платформу, — некоммерческая организация, которая управляет научно-исследовательскими центрами, финансируемыми из федерального бюджета (FFRDC) и поддерживаемыми правительством США. За годы своего существования платформа MITRE ATT&CK превратилась в ценный ресурс для организаций по всему миру, стремящихся лучше понять угрозы, с которыми они могут столкнуться.

Платформа MITRE ATT&CK для корпоративной среды отслеживает и классифицирует угрозы в удобном для просмотра формате. Классификация содержит подробные сведения о возможных действиях злоумышленников для атаки на вашу корпоративную сеть. Платформа MITRE ATT&CK предлагает исчерпывающий перечень известных техник атак, упорядоченных по 14 категориям тактик от этапа разведки до воздействия.

MITRE ATT&CK

MITRE ATT&CK

[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.]

База знаний непрерывно обновляется для контроля актуальности данных и уточнения структуры политик защиты и методов обнаружения киберугроз. Платформа MITRE ATT&CK также предлагает единый для всех отраслей подход и терминологию. Внедрение принятых в таблице (матрице) MITRE ATT&CK структуры и наименований в политику безопасности компаний поможет обеспечить использование единой терминологии среди организаций и во всей отрасли, упрощая процесс обсуждения, документирования и информировать об угрозах и группах злоумышленников.

MITRE ATT&CK — нативные средства безопасности платформы Azure 

В июне корпорация Microsoft при содействии Центра защиты на основе информирования об угрозах (CTID) в составе MITRE выпустила таблицу (матрицу), сопоставляющую нативные элементы безопасности платформы Azure с классификацией платформы MITRE ATT&CK. Azure Security Stack — первая в своем роде платформа, которая связывает средства безопасности продукта, Azure, с платформой ATT&CK для корпоративной среды и создает основу для широкой отраслевой кооперации. Кроме того, по сообщениям в блоге MITRE Engenuity, следующей платформой, которая в сотрудничестве с MITRE сопоставит средства безопасности с платформой ATT&CK, станет облачная служба Amazon Web Services (AWS).

[Также вам может быть интересно. Безопасность при непрерывным развертывании в Azure]

Платформа Microsoft Azure Security Stack устанавливает соответствие нативных элементов безопасности с матрицами тактик и методов, описанными в MITRE ATT&CK, и предлагает специалистам по ИБ определенные ресурсы платформы Azure. Специалистам по ИБ это дает возможность подготовиться к реагированию и отражению текущих и будущих угроз в среде Azure. Например, рассмотрим случай с фишинговой атакой применительно к Microsoft Azure Security Stack: для обеспечения минимально необходимого уровня обнаружения и защиты от этого вектора атак пользователям предлагается использовать инструменты Azure DNS Analytics, Azure Defender для служб приложений и Microsoft Anti-Malware для Azure, чтобы обеспечить необходимый уровень защиты и обнаруживать попытки проникновения методом фишинга.

Stack Mapping for Azure

Microsoft Security Stack Mapping для Azure

За счет сопоставления средств безопасности своих продуктов с классификацией MITRE ATT&CK организации имеют возможность оценить эффективность имеющихся механизмов защиты в противостоянии реальным тактикам, техникам и процедурам (TTPs) злоумышленников. Это именно то, что сейчас требуется отрасли. Однако, как отмечается в блоге MITRE Engenuity, для установки соответствия средств безопасности с платформой MITRE ATT&CK требуется много усилий с учетом постоянно эволюционирующего характера угроз. Независимо от сложностей, я предполагаю, отрасль будет быстро переходить к связыванию средств безопасности с классификацией MITRE ATT&CK для корпоративной среды. Совместные проекты подобного рода позволяют отраслевым экспертам говорить на одном языке, документировать информацию об атаках и обсуждать специфичные для продуктов угрозы.

Почему важно понимать ландшафт угроз

Современные угрозы, без сомнения, требуют не только комплексных решений, но и глубокого понимания ландшафта угроз. Для эффективной борьбы с постоянно эволюционирующими угрозами необходимо их изучать и вносить свой вклад в стандартизацию базы знаний. Анализируя и классифицируя повторяющиеся сценарии действий злоумышленников, а также обеспечив обмен этими знаниями, мы можем лучше понять их поведение и принципы организации атак. Углубленное понимание методов и тактик злоумышленников поможет сообществу и организациям подготовиться к эффективному обнаружению и отражению атак.

Получив представление о тактиках и методах атакующих, вы сможете соотнести их со своим комплексом средств безопасности. Пользователям это позволяет повысить защищенность своей среды, эффективно обнаруживать, изолировать и отражать угрозы и блокировать методы и тактики злоумышленников.

Une image contenant texte, extérieur, signe, jour

Description générée automatiquement

Загрузите первый выпуск альманаха Radware Hacker’s Almanac за 2021 год.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here