Tabela przedstawia listę taktyk w wersji 8 ATT&CK. Jak widać, platforma MITRE ATT&CK zawiera mnóstwo przydatnych informacji, które można zastosować w całej dziedzinie cyberbezpieczeństwa. Podkreślimy tylko kilka zastosowań.
Tabela przedstawia listę taktyk w wersji 8 ATT&CK. Jak widać, platforma MITRE ATT&CK zawiera mnóstwo przydatnych informacji, które można zastosować w całej dziedzinie cyberbezpieczeństwa. Podkreślimy tylko kilka zastosowań.
Teraz, gdy masz już podstawową wiedzę na temat ataków APT i łańcucha cyberzabójstw, czas omówić strukturę MITRE ATT&CK. Struktura MITRE ATT&CK sięga głębiej niż Cyber Kill Chain i pozwala nam dotrzeć do podstawowych taktyk, technik i procedur (TTP) atakującego, a tym samym uzyskać bardziej szczegółowe podejście do udaremnienia atakującego na poziomie TTP. Jak stwierdziła Katie Nickels, kierownik ds. analizy zagrożeń w MITRE32, ramy te stanowią „bazę wiedzy na temat zachowań przeciwnika”. Struktura jest zorganizowana z taktyką u góry, która, jak możesz zauważyć, zawiera niektóre etapy łańcucha Cyber Kill Chain, ale wiele innych. Następnie techniki są przedstawione w ramach każdej taktyki i zostały skrócone dla zwięzłości na pokazanej tutaj ilustracji.
UWAGA : Chociaż przykładowe procedury są powiązane z podtechnikami, ramy ATT&CK nie zawierają wyczerpującej listy procedur i nie są takie zamierzone. Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące witryny. Procedury przedstawiają odmiany technik znanych ze stosowania APT i są powiązane ze stronami poświęconymi technikom. Na przykład w przypadku techniki Spear Phishing załączników (T1566.001) grupa APT19 wysyła formaty RTF i XLSM w celu dostarczenia początkowych exploitów. Framework jest często aktualizowany i udostępniane są nowe wersje. Aktualną listę znajdziesz na stronie internetowej.
W każdej fazie łańcucha cyberzabijania istnieją metody radzenia sobie z aktywnym atakiem i przerywania łańcucha cyberzabijania przeciwnika, co omówiono poniżej.
Wykrycie
W każdej fazie możesz wykryć atakującego, ale często łatwiej jest wykryć atak w jego początkowej fazie. Im dalej atakujący wnika w sieć, tym bardziej zaczyna wyglądać jak zwykły użytkownik i tym trudniej go wykryć. Jest tu jeden znaczący wyjątek – metoda „oszukiwania”, którą omówimy za chwilę.
Zaprzeczenie
Skuteczną metodą rozprawienia się z atakującym jest „odmowa” mu dostępu do wrażliwych zasobów. Okazuje się to jednak trudniejsze, niż się wydaje. Ponownie, jeśli osoba atakująca po prostu wykorzystuje odkrytą lukę, która na przykład omija wbudowane mechanizmy kontroli dostępu, odmowa dostępu do tego systemu może nie być możliwa, szczególnie jeśli jest on podłączony do Internetu. Jednak w przypadku systemów wtórnych dalsza segmentacja sieci i dostęp należy zastosować mechanizmy kontrolne, aby odeprzeć atakującego. Na skrajnym krańcu tej obrony znajduje się rozwiązanie Zero Trust, które staje się popularne i, jeśli zostanie właściwie wdrożone, znacznie ulepszy tę metodę.
Zakłócanie
Zakłócenie działania atakującego wiąże się ze zwiększeniem jego kosztów poprzez nowe formy programów antywirusowych lub aktualizacje systemu operacyjnego, które wprowadzają nowe formy ochrony pamięci, takie jak zapobieganie wykonywaniu danych (DEP), randomizacja układu przestrzeni adresowej (ASLR) i Stack Canaries. Wraz z ewolucją atakującego powinniśmy ewoluować także my, obrońcy. Jest to szczególnie ważne w przypadku systemów zewnętrznych, ale nie możemy na tym poprzestać: wszystkie systemy i wewnętrzne segmenty sieci należy uznać za podatne na ataki i zastosować metody zakłócające działanie atakującego, spowalniając go i kupując cenny czas na ich wykrycie.
Degradowanie
Zdegradowanie atakującego oznacza ograniczenie jego możliwości odniesienia sukcesu. Na przykład możesz ograniczyć dane wychodzące powyżej pewnego progu, aby ograniczyć eksfiltrację. Co więcej, możesz blokować cały ruch wychodzący, z wyjątkiem zatwierdzonych i uwierzytelnionych serwerów proxy, co może dać ci czas na wykrycie takich prób, zanim osoba atakująca to wykryje i użyje tych serwerów proxy.
Zwodzenie
Oszukiwanie wroga jest znowu tak stare jak sama wojna. Jest to podstawowy element operacji cybernetycznych i jest najskuteczniejszy dla atakującego, który przedarł się przez wszystkie inne zabezpieczenia, ale czai się i węszy w sieci wewnętrznej. Istnieje nadzieja, że osoba atakująca nadepnie na jedną z cyfrowych pułapek na myszy (tj. Honeypotów), które uruchomiłeś w celu wykrycia tego właśnie działania.
Zniszczenie
Jeśli nie pracujesz dla sił cybernetycznych na poziomie państwa, prawdopodobnie nie będziesz w stanie „włamać się”. Możesz jednak zniszczyć przyczółek atakującego we własnej sieci, gdy zostanie on wykryty. W tym miejscu mała uwaga: będziesz musiał dokładnie zaplanować i upewnić się, że wyciągniesz atakującego z korzeniami; w przeciwnym razie możesz rozpocząć niebezpieczną grę w chowanego, co rozgniewa atakującego, który może znajdować się w Twojej sieci głębiej, niż początkowo sądziłeś.
Wreszcie, po całym tym wysiłku, który może zająć tylko sekundy, przeciwnik wykona działania na celach, co jest również wyrażeniem ilitarycznym, co oznacza: ukończ misję, ukończ zadanie, które miałeś do wykonania. Często wiąże się to z poruszaniem się po całej organizacji, odkrywaniem poufnych informacji, zdobywaniem przywilejów administracyjnych przedsiębiorstwa, ustanawianiem większej liczby form trwałości i dostępu, a ostatecznie eksfiltracją wrażliwych danych, wymuszeniami za pomocą oprogramowania ransomware, wydobywaniem bitcoinów lub innym motywem zysku
Po wykonaniu dodatkowego ładunku osoba atakująca zwykle będzie dysponować jakąś formą dowodzenia i kontroli (C2), co jest wojskowym zwrotem, dzięki któremu atakujący może kierować działaniami narzędzia zdalnego dostępu (RAT) lub struktury ataku. Może to być prosta forma komunikacji, która może spać przez jeden dzień (lub dłużej), a następnie budzi się i dzwoni do domu, sprawdzając polecenia do wykonania. Co więcej, ten C2 może wykorzystywać bardziej wyrafinowany schemat tunelowania przez typowy ruch, niestandardowe szyfrowanie lub protokoły komunikacyjne.
Podczas tej fazy cyberbroń zostaje zdetonowana i w jakiś sposób wykonywana przez „pomocnego” użytkownika lub automatycznie przez aplikację, taką jak klient poczty e-mail lub wtyczka do przeglądarki internetowej. W tym momencie kod atakującego jest wykonywany na hoście docelowym. W przypadku bezpośredniego ataku na port lub usługę faza dostawy i eksploatacji jest taka sama. Instalacja Podczas tej fazy osoba atakująca zwykle wykonuje dwie akcje (1) zyskuje trwałość oraz (2) pobiera i wykonuje dodatkowy ładunek. Jeśli chodzi o trwałość, najgorszą rzeczą, jaka może przytrafić się atakującemu na tym etapie, jest zamknięcie przez użytkownika aplikacji, w której działa złośliwy kod, lub w najgorszym przypadku ponowne uruchomienie komputera, zrywając wszystkie połączenia. Dlatego pierwszą intencją przeciwnika jest szybkie zdobycie jakiejś formy wytrwałości. Ten dodatkowy ładunek jest zwykle wymagany, ponieważ główny ładunek musi być mały, unikać działania programów antywirusowych i często musi mieścić się w dokumencie przewoźnika lub pliku. Jednakże ten dodatkowy ładunek może mieć znacznie większy rozmiar i może być wykonywany w całości w pamięci, co dodatkowo omija wiele technologii antywirusowych. Dodatkowy ładunek może zawierać standardową i łatwo dostępną platformę ataku, taką jak trojan dostępu zdalnego (RAT). Niektórzy napastnicy zaczęli nawet wykorzystywać przeciwko nam nasze własne narzędzia, takie jak Metasploit.
Na tej fazie ataku osoba atakująca wysyła exploit i ładunek do celu, aby wykorzystać wykrytą lukę. Może to obejmować wykorzystanie wykrytej luki w zabezpieczeniach sieci lub poczty e-mail lub być może otwartego interfejsu API. Niestety często istnieją prostsze sposoby na dostanie się do przedsiębiorstwa, takie jak prosty atak phishingowy, który mimo miliardów dolarów na szkolenia i podnoszenie świadomości nadal jest skuteczny. Można tu również zastosować inne formy ataków socjotechnicznych.
Uzbrojenie polega na tworzeniu lub selekcji istniejących exploitów w celu wykorzystania luk w zabezpieczeniach wykrytych podczas fazy rozpoznania. Zwykle APT nie musi robić nic nadzwyczajnego ani używać wartości 0-day na tym etapie ataku. Zwykle istnieją niezałatane, publicznie znane luki, które można wykorzystać. Jednak w rzadkich przypadkach przeciwnik może stworzyć specjalny exploit dla niestandardowego ładunku zawierającego trojana lub inne tylne drzwi, który zapewnia polecenie i kontrolę oraz dalsze funkcjonalności, zgodnie z potrzebami.
Rekonesans to kroki podejmowane przez przeciwnika przed atakiem. Często obejmują techniki zarówno pasywne, jak i aktywne. Techniki pasywne są stosowane bez wysyłania pakietu do celu ataku, zamiast tego metadane są gromadzone pośrednio, za pośrednictwem dokumentów publicznych, źródeł publicznych, wyszukiwarek i buforowanych archiwów internetowych. Z drugiej strony aktywny rekonesans obejmuje interakcję ze stroną internetową celu, otwartymi interfejsami i może nawet obejmować skanowanie (wyliczanie) portów i usług oraz interfejsów API oraz skanowanie podatności na zagrożenia.
Omawiając trwały charakter APT, Lockheed Martin opracował w 2011 roku model zwany łańcuchem cyberzabijania, jak pokazano tutaj:
dostosowane, aby pokazać koszty środków zaradczych. Model został opracowany poprzez rozszerzenie doktryny celowniczej Departamentu Obrony (DoD) o wykorzystanie wywiadu, którego głównym elementem są wskaźniki, które jak sama nazwa wskazuje, dają wskaźnik zachowania wroga. Następnie w swoim przełomowym artykule Hutchins i in. wyjaśnił typowy schemat atakujących, jak pokazano na ilustracji. Kluczową ideą jest to, że przeciwnicy często mają powtarzalne procesy, którym, jeśli zostaną wcześnie wykryte, można przeciwdziałać na wiele sposobów. Im szybciej odkryjesz oznaki ataku i „przerwiesz” łańcuch zabijania, tym tańsze będzie odzyskanie sił. Odwrotność jest również prawdą. Poszczególne etapy łańcucha cyberzabójstw omówiono w poniższych sekcjach.