Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE ATT&CK, что является большим упущением с точки зрения контекста обнаруженного индикатора. В этой статье мы выявим преимущества объединения решений Threat Intelligence Platform, CVE и MITRE ATT&CK для эффективного устранения угроз и улучшения киберзащиты.
Что такое фреймворк MITRE ATT&CK?
MITRE ATT&CK — это общедоступная база знаний, состоящая из 14-ти вероятных тактик злоумышленников, которые включают в себя более 500 методов информационных атак, основанных на реальных наблюдениях. Первая версия базы была представлена в 2013 году и опубликована для общего доступа в 2015 году. С тех пор она активно развивается, а интерес к ней с каждым годом только растет. Структура MITRE ATT&CK предоставляет ведущий в отрасли стандарт, помогающий организациям разрабатывать, организовывать и использовать стратегию защиты и эффективно оценивать риски на основе наблюдаемых инцидентов.
В прошлом команды, работающие над безопасностью систем, тратили очень много времени на отслеживание уведомлений об угрозах. Но, к сожалению, большая часть вредоносных активностей проникала в системы незамеченной. Организации становились жертвами кибератак из‑за ложного чувства безопасности и чрезмерной уверенности в своей способности защититься от них. Целью проекта MITRE ATT&CK стало повышение осведомленности специалистов, отвечающих за информационную безопасность: база знаний предназначена для создания четкой структуры, в которой категоризированный список всех известных методов атаки сочетается с информацией об угрозах.
Кроме того, MITRE ATT&CK позволяет идентифицировать критическую информацию о программном обеспечении, которое хакеры будут рассматривать для реализации атаки, и дает указания относительно наиболее эффективных мер защиты для снижения этого риска. Фреймворк предоставляет постоянно актуализирующийся список методов, используемых злоумышленниками, которому можно доверять и который можно уверенно использовать для защиты собственной инфраструктуры.
Использование фреймворка MITRE ATT&CK совместно с аналитикой угроз в TIP
Организации могут использовать структуру MITRE ATT&CK для формирования выводов на основе проверенных данных и структуры killchain для улучшения стратегий приоритизации и исправления. Начать можно с изучения конкретных групп угроз, которые ранее были направлены на кражу данных или активов. После того, как группы угроз будут идентифицированы, можно использовать полученные из MITRE ATT&CK сведения для просмотра конкретных используемых TTP. Понимая общие TTP от групп, которые, по вашему мнению, будут атаковать организацию, можно начать формировать приоритетный список элементов управления обнаружением и предотвращением, которые специалисты по информационной безопасности должны внедрить, чтобы снизить риски.
Более зрелым организациям рекоме��дуется использовать TIP, которая позволяет проводить аналитику угроз для обогащения уже имеющейся информации. Платформа TI обладает удобным интерфейсом и необходимой автоматизацией для того, чтобы связать между собой модели атак и поведения из конкретных кампаний злоумышленников, инструменты и источники этой информации. Это в свою очередь позволят более детально видеть уникальный ландшафт угроз и эффективно противостоять атакам на инфраструктуру.
Работа с таким уровнем информации позволяет компаниям лучше понимать поведение и цели противника, включая запланированные атаки на конкретную компанию или сектор, а также передовые знания о том, что используют субъекты угроз TTP, для заблаговременного принятия защитных мер и стратегий превентивных действий в борьбе с потенциальными эксплойтами.
Функционал SecurityVision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Индикаторы атаки связаны c индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.
Сопоставление данных MITRE ATT&CK с данными системы управления уязвимостями (CVE)
Работа со структурой MITRE ATT&CK и разведка угроз с помощью TIP — вполне понятные и хорошо изученные процессы, но можно ли их объединить с управлением уязвимостями? Исторически управление угрозами и управление уязвимостями рассматривались как отдельные дисциплины, но, поскольку достаточно часто реализация угрозы происходит через эксплуатацию уязвимости, есть веские основания для связывания эксплойтов CVE с тем, чего злоумышленник пытается достичь. Давайте рассмотрим, как можно улучшить традиционное управление уязвимостями с помощью аналитики угроз на базе Threat Intelligence Platform и TTP из структуры MITRE ATT&CK:
«Найти и исправить» — традиционное управление уязвимостями использует подход «найти и исправить» путем сканирования инфраструктуры и оценки уязвимостей, а также использования показателя критичности CVSS для определения приоритетности исправления. Несмотря на то, что оценка CVSS является индикатором критичности, она статична и ограничена, поскольку не учитывает контекст внешней угрозы и не имеет ссылок на критически важные активы в вашем бизнесе, что означает, что вы можете тратить время на исправление уязвимостей, которые не представляют риска в первую очередь. Таким образом, это хорошо только для менее зрелых организаций с меньшими и статическими цифровыми активами.
«Риск уязвимости» — это управление уязвимостями на основании рисков. Этот подход позволяет лучше понять уязвимость активов с помощью дополнительной информации об угрозах. Это может быть информация о том, часто ли эксплуатируется уязвимость в инфраструктуре или насколько вероятно, что она будет использоваться. Таким образом стимулируется упреждающее исправление путем выявления наиболее опасных и неизбежных рисков, в итоге правильная приоритизация уязвимости позволяет не допустить злонамеренного воздействия на инфраструктуру. Это идеально подходит для организаций с более крупными охватом и инфраструктурой, а также больших департаментов безопасности, перегруженных растущим числом CVE для исправления.
«Вектор угрозы» — это понимание того, как злоумышленник использует уязвимости для достижения своих целей, и связывание уязвимостей с TTP из MITRE ATT&CK. Этот подход предлагает идти от злоумышленника, используя аналитику угроз для оценки того, кто может представлять больший риск для вашей организации. Дополнив эту информацию данными из MITRE ATT&CK, можно будет понять, как именно злоумышленники могут скомпрометировать вашу инфраструктуру, какие вероятней всего они будут использовать тактики и техники, а затем оценить, как уязвимость сможет повлиять на всем протяжении атаки. Этот продвинутый подход означает, что вы можете отображать и сужать риски по своему собственному списку критериев, ориентированных на хакеров. В этот список могут входить такие критерии, как географическое распространение, конкретные секторы экономики и типы организаций. Многие инструменты безопасности теперь поставляются с наборами сигнатур, уже классифицированными по категориям, с привязкой к соответствующим тактиками и техникам в MITRE ATT&CK. Эта классификация позволяет сразу же приступить к созданию метрик, тактической и стратегической атрибуции, сигнализирующей о серьёзности инцидента. Информация, полученная в результате фактических атак, которые уже произошли и классифицированы MITRE, может быть легко и автоматически включена в ваш процесс управления рисками уязвимостей, что позволяет структурам, отвечающим за информационную безопасность, действовать быстро и решительно. Такой подход, ориентированный на хакеров, помогает отсеять миллионы незначительных CVE и обеспечивает фокусировку на устранении критичных уязвимостей, что имеет решающее значение в гонке против ransomware и других различных направлений угроз.
Security Vision TIP и управление уязвимостями
Многие вендоры, как отечественные, так и зарубежные, предоставляют актуальную информацию о выявленных уязвимостях. Это могут быть уязвимости программного обеспечения, операционных систем и даже аппаратные уязвимости. В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например, NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.
Security Vision TIP может передавать информацию в VulnerabilityManagement в качестве дополнительной метрики скоринга и устранения уязвимости. Загружается не только сама информация о выявленной уязвимости, но и оценка критичности этой уязвимости, декомпозированный вектор и даже описательная часть, касающаяся митигирующих действий, со ссылками на внешние ресурсы. Такой подход позволяет вовремя среагировать и перепроверить наличие этой уязвимости у себя на периметре, выполнить действия по митигации, связать уязвимость с выявленными обнаружениями подозрительной активности в инфраструктуре. Исключение уязвимости уменьшает вероятность атаки и критичность угрозы.
Из карточки уязвимости пользователь может выгрузить отчет в стандартном формате, содержащий всю существенную информацию по уязвимости.
Заключение
Для улучшения эффективности управления уязвимостями с помощью TIP важно рассматривать ситуацию как с точки зрения управления рисками, так и с точки зрения анализа угроз, чтобы понять, какие риски существуют и как злоумышленники могут скомпрометировать вашу организацию, чтобы прийти к «золотой середине» при формировании политики безопасности.
Эффективно сопоставлять информацию об уязвимостях с данными из платформы TI по обнаруженным индикаторам, когда эти индикаторы действительно релевантны для сектора, в котором работает предприятие. А значит, именно эти уязвимости надо закрывать, учитывая рекомендации MITRE ATT&CK по митигированию действий злоумышленников, при реализации этой угрозы, которая может привести к атакам злоумышленников и вредоносных программ на инфраструктуру предприятия.
Наконец, важно внедрять изменения таким образом, чтобы они соответствовали уровню зрелости вашей организации, размеру и склонности к риску. Затем подумайте о том, как вы можете использовать расширенную информацию из MITRE ATT&CK для анализа уязвимостей со всех сторон (векторы угроз и представления на основе рисков), чтобы обеспечить целевое исправление, которое не всегда так эффективно с традиционной моделью CVSS.
И самое главное, в Security Vision TIP уже есть весь необходимый для этого функционал.
Авторы: Алексей Пешик @portland144 инженер-эксперт Security Vision
Михаил Пименов @MichaelPimenov, аналитик Security Vision
