Co je to MITRE ATT&CK a jak jej využít?

MITRE je nezisková organizace založená roku 1958, jejím cílem je „řešit problémy tak, aby byl svět bezpečnější“. Mimo jiné také pomocí znalostní databáze známe jako MITRE ATT&CK (zkratka slov Adversarial Tactics, Techniques, and Common Knowledge). Jedná se o platformu, která shromažďuje a kategorizuje různé typy strategií, technik a postupů, které používají kybernetičtí útočníci. Platforma pomáhá firmám najít slabiny v jejich vlastní kybernetické obraně.

Ukázka matice MITRE ATTA&CK
Ukázka matice MITRE ATTA&CK

Veškeré informace o útocích jsou rozřazené do matic, dle jejich zaměření na Enterprise, Mobile nebo Pre-attack. Kupříkladu matice Enterprise, v sobě zahrnuje následující kategorie:

  • Prvotní přístup
  • Exekuce
  • Perzistence
  • Eskalace privilegií
  • Způsoby obejití obrany
  • Přístup k citlivým datům
  • Průzkum
  • Sběr dat
  • C&C
  • Exfiltrace
  • Následky

Každá uvedená kategorie je dále rozdělena do specifických podkategorií, které korespondují s konkrétním typem útoku. Matice také obsahují detaily o technice, příklady, reference (například napadených platforem a detekovaných incidentů) a návrhy, jak riziko zmírnit a odhalit tak napadení.

Například heslo Spearphishing Link obsahuje 19 příkladů s popisem, jakým způsobem útočníci tento postup využívají. Součástí popisu je i seznam doporučení, jakým způsobem lze minimalizovat rizika a jaké detekční techniky používat.

Ukázka popisu útoku skupiny Ocean Lotus, známé také jako APT32.
Ukázka popisu útoku skupiny Ocean Lotus, známé také jako APT32.

Platforma nabízí velké množství informací, které poslouží při analýze životního cyklu kybernetických útoků, včetně průzkumu cíle, vektorů útoku, samotného průniku a chování kódu poté, co malware infiltruje systém.

Databáze obsahuje informace o APT skupinách

Podobné databáze jsou pro bezpečnostní experty velmi cenné. Pomáhají jim udržet si přehled o nových technikách útoků, díky čemuž jsou poté schopni útokům lépe předcházet.

Organizace mohou využít MITRE framework k vytvoření vlastních map svého obranného systému.

I když framework popisuje primárně jednání z pohledu útočníka, firmy si jej mohou upravit podle svých potřeb tak, aby reflektoval pro ně relevantní scénáře útoku včetně odpovídajícího vyškolení zaměstnanců.

ATT&CK poskytuje detailní informace o velkém množství útočníků a jejich skupin, včetně jimi používaných technik a nástrojů. Tím, že umožňuje popsání nepřátelského chování standardizovaným způsobem, může být framework užitečný i pro poskytování informací o kybernetických hrozbách.

Nástroj MITRA ATT&CK Navigator lze použít pro vizualizaci silných a slabých stránek analyzovaného prostředí, ve vztahu ke konkrétní skupině útočníků. Může být rovněž použit pro kategorizaci testů provedených na interních systémech organizace, spolu s jejich výsledky. Zmíněný nástroj lze použít v online režimu nebo ho lze rovněž stáhnout v podobě aplikace.

Testujte hrozby v simulovaném prostředí

Do projektu ATTA&CK jsou zapojené i další subjekty, které nabízejí mechanismy k testování technik útoků v simulovaném prostředí. Jde například o komerční společnosti VerodinSafeBreach a AttackIQ. Existují ale také open-source varianty, které umožňují simulace útoků. Jmenujme například MITRE CalderaUber MettaRed Team Automation (RTA) nebo Atomic Red Team
V případě, že se podobné testy provádí přímo v produkčním prostředí je potřeba dbát zvýšené opatrnosti, protože rozsah a důsledky testů nejsou plně předvídatelné. Z tohoto důvodu se silně doporučuje provádět testy na neprodukčním prostředí, které je jeho kopií, ale je od něj oddělené a nehrozí tak poškození reálných dat společnosti.

Závěrem

MITRE ATT&CK Framework zahrnuje celou řadu nástrojů a zdrojů k doplnění jakékoli bezpečnostní strategie. Zároveň poskytuje organizacím informace o hrozbách a ukazuje jim, jak jsou připraveny na jejich detekci a jak zvládají následnou reakci na útok. 

Principy popisu hrozeb dle MITRE ATT&CK začal během letošního roku používat tým ESET Research u většiny publikovaných analýz malware.