Блог Ovodov CyberSecurity

Современная кибератака: Как защититься и какие инструменты использовать. Обзор матриц MITRE ATTCK. Часть 1

Данной статьей мы начинаем цикл материалов, в которых подробно опишем тактики и техники, применяемые злоумышленниками на каждом этапе кибератаки, а также приведем средства защиты, с помощью которых можно эффективно противодействовать последней.

По данным ежегодного исследования Актуальные киберугрозы: II квартал 2020 года, проводимого компанией Positive Technologies, количество кибератак стремительно растет. По итогам второго квартала 2020 года число кибератак увеличилось на 59% по сравнению с аналогичным периодам прошлого года. При этом больше всего подверглись атакам государственные учреждения, промышленные предприятия, медицинские организации, сфера науки и образования, а также финансовая отрасль.
Чтобы эффективно противодействовать киберугрозам, необходимо наряду с выстраиванием системы защиты понимать то, как будет действовать злоумышленник. Более того, необходимо понимать ход его мыслей, цепочку действий, применяемые инструменты и многое другое. 
В последнее время тренд в сфере исследования и описания техник злоумышленников задает компания MITRE с такими инициативами, как:
  • CVE (Common Vulnerabilities and Exposures) – база данных общеизвестных уязвимостей информационной безопасности.
  • Стандарт STIX (Structured Threat Information eXpression), представляющий собой язык и формат данных, используемый для обмена информацией о киберугрозах через протокол TAXII (Trusted Automated eXchange of Intelligence Information).
  • Матрицы MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), описывающие тактики, техники и общеизвестные факты о злоумышленниках. В ИБ-сообществе чаще используют сокращение TTPs (Tactics, Techniques and Procedures), означающее тактики, техники и процедуры, применяемые злоумышленниками. 
Матрицы MITRE ATT&CK в свою очередь объединены в три группы и описывают TTPs, которые злоумышленники используют:
  • в ходе кибератаки на корпоративные сети (Enterprise);
  • в ходе кибератаки на мобильные устройства под управлением iOS и Android (Mobile);
  • в атаках на промышленные системы управления (ATT&CK для ICS).
Для чего организациям следует использовать информацию из матриц MITRE ATT&CK?
Они предлагают ориентироваться не на индикаторы компрометации (Indicator of Compromise, IoC), которые свидетельствуют о случившемся факте нарушения безопасности, а на неизвестных злоумышленниках и атаках, для которых еще нет сигнатур и IoC, то есть на индикаторы атак (Indicator of Attack, IoA). Последние позволяют детектировать нелегитимное поведение в действиях злоумышленника посредством их изучения в реальном времени. Иными словами, индикатор атаки – это правило, которое содержит описание нелегитимного поведения в системе и может являться признаком кибератаки.
Таким образом, матрицы MITRE ATT&CK опираются на следующие принципы:
  • обнаружение компрометации – признание потенциального факта взлома, что требует оперативного обнаружения и локализации факта компрометации;
  • обнаружение нелегитимного поведения посредством изучения поведения злоумышленника;
  • моделирование угроз для построения такой модели, с помощью которой можно ответить на вопрос о том, что из себя представляет потенциальный злоумышленник;
  • динамичная и актуальная система защиты, которая подстраивается под постоянно меняющийся ландшафт угроз и разрабатывается с учетом реалистичного окружения.
Матрица Enterprise
Стоит отметить, что ранее (до 27 октября 2020 года) матрица PRE была отделена от Enterprise. Но ввиду того, что структура матрицы PRE так и не нашла должного внедрения или вклада, а также в связи с тем, что матрица Enterprise покрывала только поведение злоумышленника после компрометации и ограничивала возможность ее применения, специалисты MITRE решили объединить данные матрицы. В результате интеграции матрица Enterprise описывает тактики, используемые злоумышленниками в ходе подготовки к кибератаке (PRE) и для непосредственной кибератаки на следующие платформы: WindowsmacOSLinuxAWSGCPAzureAzure ADOffice 365SaaS и Network.
В результате вышеописанного слияния к 12 тактикам матрицы Enterprise добавилось еще две, что привело к следующей структуре:
  1. разведка,
  2. разработка ресурсов,
  3. получение первоначального доступа,
  4. выполнение,
  5. закрепление,
  6. повышение привилегий,
  7. обход защиты,
  8. получение учетных данных,
  9. обнаружение,
  10. боковое перемещение,
  11. сбор данных,
  12. исполнение команд,
  13. эксфильтрация данных,
  14. воздействие.
На текущий момент матрица Enterprise описывает полный цикл атаки злоумышленника: от разведки до вывода целевых данных из инфраструктуры жертвы. К слову, она ориентирована на общеизвестный жизненный цикл кибератаки (kill chain) и предназначена для более глубокой детализации действий злоумышленника.
Что касается каждой отдельной тактики, то она содержит список техник или методов, которые противник может использовать для реализации своих целей. Методы разбиты так, чтобы предоставить техническое описание, индикаторы, полезные данные для защитников инфраструктуры, аналитику обнаружения и возможные меры по снижению рисков. Практическую значимость составляют конкретные действия злоумышленников, которые получены на основании множественных исследований и анализа действий как отдельных киберпреступников, так и APT-групп.
Матрица Mobile
Разделение матриц на корпоративную и мобильную вполне обоснованно, ведь между корпоративными и мобильными устройствами существует множество различий в архитектуре безопасности, для которых требуется отдельный подход, в частности уникальные атрибуты и расширенные возможности мобильных устройств, включая их почти всегда включенное состояние, повсеместное сетевое подключение и многое другое, что создает новые угрозы. Кроме того, к мобильным устройствам мало применимы как традиционные, так и современные средства защиты, привычные нам в корпоративном сегменте. И самая главная проблема заключается в том, что мобильные устройства могут подключаться к корпоративной сети, в то время как одновременно с этим они могут быть подключены к сотовым сетям или общедоступным сетям Wi-Fi, которые не могут контролироваться организацией. 
Данная матрица включает аналогичные матрице Enterprise тактики, за исключением первых двух, но они ориентированы на получение доступа к мобильным устройствам и другим элементам мобильной экосистемы, или на возможность воспользоваться этим доступом для достижения целей кибератаки. Кроме того, матрица Mobile охватывает тактики, которые не подразумевают наличие физического доступа к мобильному устройству:
  1. Сетевые эффекты:
  • понижение уровня до небезопасных протоколов,
  • перехват небезопасной сетевой связи,
  • эксплуатация протокола SS7 для перенаправления телефонных звонков/SMS,
  • эксплуатация протокола SS7 для отслеживания местоположения устройства,
  • блокировка или отказ в обслуживании,
  • управление связью с устройством,
  • подмена базовой станции сотовой связи, 
  • подмена точки доступа Wi-Fi,
  • замена SIM-карты.
  1. Эффекты удаленного обслуживания:
  • получение резервных копий устройства в облаке,
  • удаленное отслеживание устройства без авторизации,
  • удаленное стирание данных без авторизации.
Матрица для промышленных систем управления (ICS)
Данная матрица представляет собой базу знаний, предназначенную для характеристики и описания действий, которые злоумышленник может предпринять после компрометации АСУ ТП. Особую актуальность представляет данная матрица в свете 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». 
АСУ ТП включают системы диспетчерского управления и сбора данных (SCADA) и другие конфигурации систем управления, которые используются в таких отраслях, как электроэнергетика, водоснабжение и водоотведение, нефть и природный газ, транспорт, химическая, фармацевтическая, целлюлозно-бумажная, пищевая промышленность и промышленное производство (автомобилестроение, авиакосмическая промышленность и товары длительного пользования).
Тактические категории, приведенные в матрице, ориентированы на злоумышленников, основной целью которых является нарушение процесса промышленного контроля, уничтожение собственности или причинение временного или постоянного вреда людям путем атаки на системы промышленного контроля. 
В связи с тем, что операторы АСУ ТП работают над поддержанием системы в безопасном и рабочем состоянии круглосуточно и без выходных, они являются ключевой целью для злоумышленников. 
Матрица для промышленных систем управления включает следующие тактики:
  1. получение первоначального доступа,
  2. выполнение,
  3. закрепление,
  4. уклонение от обнаружения,
  5. обнаружение целей,
  6. боковое перемещение,
  7. сбор данных,
  8. исполнение команд,
  9. нарушение функции реагирования на атаку,
  10. нарушение управления процессом,
  11. воздействие.
Стоит отметить, что названия тактик в данной матрице схожи с матрицей Enterprise, более того, корпоративные сети могут использоваться как точка входа для злоумышленников, нацеленных на сети АСУ ТП. 
В следующих статьях мы постараемся объяснить, как информация из матриц может помочь лучше понять поведение злоумышленника и применяемые им методы/инструменты с той целью, чтобы максимально эффективно противостоять кибератакам.

ИБ Кибератака