Привет, Хабр! Меня зовут Гриша. В компании R-Vision я занимаюсь внедрением наших продуктов, которые, как правило, сопровождаются созданием сопутствующих процессов. Достаточно часто в своей практике я пользуюсь MITRE. В этой статье хочу поделиться своими размышлениями на тему этих самых матриц MITRE и их прикладного использования.
В последнее время мы всё чаще слышим о том, что при создании того или иного ИБ-продукта разработчики активно используют методологию MITRE – базы знаний, которые описывают всё то, что может делать киберпреступник. В терминах MITRE эти базы называются матрицами и число проектов, где они применяются постоянно растет.
Вместе с тем, уже достаточно долгое время меня не покидают мысли: а что в итоге дает поддержка MITRE вендорам и конечным пользователям? Зачем это все нужно, если у нас уже есть, допустим, какой-нибудь «умный» SIEM или специалист, который с ним постоянно работает?
Моя статья предназначена для того, чтобы разобраться в этих вопросах. И для начала я предлагаю вспомнить, кто же такие MITRE.
MITRE – американская некоммерческая организация, которая управляет центрами исследований и разработок в области системной инженерии на уровне федерального правительства и местного самоуправления США.
А еще есть MITRE производитель спортинвентаря
Hidden text
![](https://habrastorage.org/getpro/habr/upload_files/ae1/aa1/cf1/ae1aa1cf15ae41f6bf6c852b66154076.jpg)
Чем знаменита MITRE?
MITRE ATT&CK
Во-первых, конечно же, своей матрицей MITRE ATT&CK — одной из популярнейших методологий среди специалистов по информационной безопасности и одновременно публичной базой знаний, в которой собраны общеизвестные данные о злоумышленниках, тактиках, техниках целевых атак, применяемых различными кибергруппировками. Эти данные представлены в виде матрицы, с помощью которой можно посмотреть, как атакующие проникают в инфраструктуру компаний, как закрепляются в ней, какие уловки предпринимают для того, чтобы их не обнаружили и так далее.
Вот так выглядит матрица MITRE ATT&CK: тактики, из которых следуют техники, а дальше уточнение, каким именно образом злоумышленники будут достигать своих целей.
![](https://habrastorage.org/getpro/habr/upload_files/d50/ecd/0fd/d50ecd0fd0babc6c3738077d80960011.png)
Этапы развития атак и тактики их реализации – это то, какие цели злоумышленник преследует на данный момент.
![](https://habrastorage.org/getpro/habr/upload_files/8a1/763/c05/8a1763c0519ae69779933a8d211b7b25.png)
В свою очередь, тактики делятся на техники, т.е. на уточнение способов – как злоумышленник добивается этих целей.
![](https://habrastorage.org/getpro/habr/upload_files/ad2/b40/34b/ad2b4034bd7b6dc6bea5ec935ed06c1c.png)
Здесь, например, видно, что на входе мы имеем тактику эскалации привилегий (privilege escalation) через запланированные задачи (scheduled).
MITRE D3FEND
Теперь давайте освежим знания по MITRE D3FEND – еще одной публичной базе знаний (матрице), которая содержит структурированный набор техник – контрмер.
MITRE D3FEND состоит из тактик, категорий и техник.
![](https://habrastorage.org/getpro/habr/upload_files/198/c6b/bf5/198c6bbf5fbaac50c9eb9d27c835cf9d.png)
На верхнем уровне матрицы, в тактиках, содержатся домены контрмер, которых всего пять:
![](https://habrastorage.org/getpro/habr/upload_files/b31/3f3/e07/b313f3e07ab59fd750e5d1c7a6fbaf33.png)
Домены делятся на уточняющие их категории. Например, если стоит задача изолировать или сдерживать злоумышленника, то для этого нам необходимо либо изолировать среду исполнения, либо изолировать сеть.
![](https://habrastorage.org/getpro/habr/upload_files/6c0/2c0/3bb/6c02c03bb21dd0630b722c191fc81dc2.png)
Техники в D3FEND, как и в ATT&CK – это способ достижения цели. Но здесь очень важную роль играет детализация техники (subclasses), т. е. ее уточнение.
![](https://habrastorage.org/getpro/habr/upload_files/948/731/154/948731154ef43eabdaa26dc0d837c905.png)
Допустим, мы хотим внедрить контрмеру обнаружение (detect), а конкретнее – провести мониторинг платформы. Делать это будем за счет мониторинга операционной системы. Что именно при этом мониторим? – Локальные аккаунты.
MITRE ENGAGE
Перейдем к свежеобновившейся матрице – MITRE ENGAGE, духовной наследницы MITRE SHIELD.
MITRE ENGAGE была создана для того, чтобы помогать коммерческим компаниям, правительствам, вендорам, сообществам и др. договариваться для достижения определенных стратегических целей.
MITRE ENGAGE состоит из 5-ти больших целей:
![](https://habrastorage.org/getpro/habr/upload_files/f4a/c9e/66c/f4ac9e66cce158236c1d6f150bcfc08f.png)
Большие цели в свою очередь делятся на 2 группы:
Цели для управления информационной безопасностью внутри организации - Подготовка и Контроли;
Цели, направленные на противодействие злоумышленнику – Выявление, Влияние и Изучение.
Чтобы достичь одну из стратегических целей, нам на помощь приходит следующий уровень матрицы – методы (approaches).
![](https://habrastorage.org/getpro/habr/upload_files/fc2/abf/e89/fc2abfe89bad274c0f538158c9373450.png)
Предположим, что наша цель – изучить злоумышленника. Среди имеющихся методов, в качестве примера, остановимся на варианте убеждение (reassurance). Для этого можно завлечь злоумышленника с помощью приманок в заранее развернутую фейковую инфраструктуру. Используя реалистичные ловушки, мы попытаемся убедить его в том, что эта инфраструктура настоящая. И в конечном итоге вынудим злоумышленника оставить в ней как можно больше следов. Ну а дальше осталось лишь хорошо изучить его поведение. Собственно, по-моему, это описание любой Deception-платформы и ее цели внедрения.
С методами разобрались. За ними следуют мероприятия, то есть конкретные действия, используемые для достижения цели в рамках поставленного подхода или метода.
![](https://habrastorage.org/getpro/habr/upload_files/058/7f5/dac/0587f5dac62d2d43edd2317679f3ab72.png)
Для наглядности опять вернемся к нашему злоумышленнику – изучив его поведение, нам нужно как-то ему помешать. Каким образом? Изолировать. Для этого можно, например, воспользоваться связкой с D3FEND.
![](https://habrastorage.org/getpro/habr/upload_files/9a5/092/9cb/9a50929cbdf82686434d98347638aed2.png)
MITRE RAMPAGE: БУЙСТВО MITRE
Теперь, когда мы вспомнили базовые матрицы, давайте устроим БУЙСТВО MITRE и рассмотрим, как все элементы этого пазла собираются в единую картину:
![](https://habrastorage.org/getpro/habr/upload_files/046/ea9/435/046ea9435d60d08954ef33933e23c322.png)
Начнем с ENGAGE.
Представим, что перед нами стоит цель противодействие злоумышленникам – выявление (expose), путем сбора информации активности системы. Сбор необходим для того, чтобы обнаружить злоумышленника в момент его уязвимости. Многие знают, что киберпреступник наиболее уязвим во время совершения каких-либо действий, так как оставляет артефакты. Именно их и можно обнаружить при мониторинге активностей: некоторые изменения в системе, дернутые триггеры во время этих изменений и так далее по списку.
Теперь с помощью MITRE ATT&CK через ту самую уязвимость, отслеживаем злоумышленника во время закрепления.
Каким образом происходит закрепление? Путем создания задачи в планировщике задач, после чего идет логическая связь с MITRE D3FEND. Проще говоря, есть цифровой артефакт: имя созданной задачи и лог задачи. А дальше можно зафиксировать активность злоумышленника через процессы обнаружения. Соответственно, мы анализируем запланированные задачи на уровне мониторинга платформы и пытаемся их обнаружить.
Далее я расскажу, как пользоваться матрицами MITRE.
Пример обнаружения
Перенесёмся ненадолго в мир розовых пони, где все друг с другом договорились, вендоры добавили в свои продукты поддержку MITRE, а за контентом систем защиты постоянно следят и поддерживают сопоставление правил обнаружения и техник ATT&CK.
![](https://habrastorage.org/getpro/habr/upload_files/e7c/c8b/947/e7cc8b94762796f5265ddbc3faca09f8.png)
На картинке всё выглядит очень классно. Здесь вся информация об обнаружении передается на уровень реагирования в SOAR-систему. Далее происходит обогащение тактиками, чтобы на следующем этапе было проще найти подходящие контрмеры из D3FEND, раздела Mitigation матрицы ATT&CK, или из других источников внешней экспертизы, например, ATC RE&CT. Вроде все хорошо, идиллия.
А теперь вернёмся в реальный мир.
![](https://habrastorage.org/getpro/habr/upload_files/c05/d7f/048/c05d7f0484987506c42f3e419cf52e1e.png)
Что мы имеем на самом деле?
Далеко не все средства обнаружения умеют обогащаться техниками в рамках сработки. Еще на этапе SOAR поступившее событие ИБ нужно дообогатить на уровне агрегированного объекта, в котором уже присутствуют множество событий и несколько техник, но нет исходных событий. Есть только конечное правило корреляции. Да, это несколько больно, местами противоестественно и не надо так делать. Но имеем то, что имеем. И как в прошлый раз по процессу: применяем контрмеры и отправляем их на реагирование.
Ниже я надеваю кепку вендора и привожу пример из нашей практики, который в том числе позволяет ответить на возникающий вопрос “ зачем использовать MITRE, если у нас есть SIEM?
Hidden text
У нас в R-Vision был проект, когда SIEM заказчика не смог. Тогда нам пришлось сделать такую таблицу соответствий, где мы притянули тактики и техники на определенные правила корреляции, потратив на это приличное количество времени.
![](https://habrastorage.org/getpro/habr/upload_files/f34/962/93a/f3496293ab4ec2795050ccb36ddd5737.png)
Раз уже зашла речь про наши продукты, расскажу немного о R-Vision SENSE – аналитической платформе кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий.
На скриншоте показано, что было обнаружено и чем обогащено. В командной строке также видно, что мы обнаружили сработку на кобальт (cobalt strike).
![](https://habrastorage.org/getpro/habr/upload_files/7d5/042/cad/7d5042cad3851fccb769aa9e56f77832.png)
После обнаружения, благодаря интеграции с R-Vision TIP (Threat Intelligence Platform) – другой нашей системой, позволяющей анализировать информацию о киберугрозах, нам удалось не только подцепить технику T1134 и тактику повышения привилегий (privilege escalation), но и теоретически выявить, что атака произведена APT28.
Почему мы так решили?
Потому что в R-Vision TIP есть информация по взаимосвязям и то, что теоретически, это могла быть эта группировка.
Для наглядности работы платформы R-Vision TIP ниже на скриншоте показан пример отчета другой вредоносной активности: техник, которые использовались во время наполнения отчета и которые его описывают, какая была группировка, и еще за компанию дроппер.
![](https://habrastorage.org/getpro/habr/upload_files/5a1/671/328/5a1671328387a20c42fafa78b02d6be8.png)
А вот так была реализована поддержка в R-Vision SOAR – платформе, которая агрегирует данные по инцидентам из множества различных источников, автоматизирует внедрение мер и координацию совместной работы команды.
Ниже пример карточки инцидента, как один из способов «прикрутить» тактику на тип инцидента, технику на способ реализации, а после сабтехнику (subtechniques), чтобы дальше детализировать конкретную технику и применить дальнейшие меры.
![](https://habrastorage.org/getpro/habr/upload_files/d52/b48/57e/d52b4857e17290f625fe7b176c8f69db.png)
Кто-то спросит: для чего это нужно? И какая польза от того, что мы накладываем сабтехнику или технику на способы реализации?
Думаю, не сложно догадаться, что это способ реализации предпосылки. А предпосылки – самая верная дорога к рискам и угрозам.
![](https://habrastorage.org/getpro/habr/upload_files/1ee/3bb/73e/1ee3bb73e2f7a78cf22ed414c31562c6.png)
Снимаю кепку вендора и теперь давайте вернёмся к главному вопросу, заданному мною в начале статьи: зачем же вендоры поддерживают MITRE?
Ответ прост: для того, чтобы разговаривать на одном языке со всеми участниками ИБ-рынка. Есть ли от этого толк? На мой взгляд, да. Поскольку такой подход позволяет относительно бескровно внедрить мировую экспертизу в процессы локального SOC и общаться с этой глобальной экспертизой на одном языке.
А если мы уже «говорим на одном языке» со всем сообществом кибербезопасности, то, вероятнее всего, у нас получится формализовать как свои внутренние подходы к созданию и совершенствованию как методик детектирования, так и реагирования.
Ну и куда же без ложки дегтя?
Как и любая другая внешняя экспертиза, матрицы MITRE – это не панацея, а только способ договориться. А чтобы эта экспертиза начала приносить вам пользу, потребуется еще и «напильник», и приличное количество времени для адаптации к вашим процессам и внутренним системам.
В общем, выводы такие:
Поддержка вендорами MITRE - это классно и позволяет SOC’у достаточно легко внедрить в свои процессы огромный пласт экспертизы;
MITRE позволяет формализовать подходы к созданию/ совершенствованию методик детектирования/ реагирования;
MITRE помогает сделать процессы SOC более зрелыми;
Матрицы MITRE, как и любая внешняя экспертиза, требует адаптации и не является панацеей.
Спасибо большое за уделенное время. Если у вас есть вопросы – буду рад ответить на них в комментариях!