Статья Обзор матрицы MITTRE ATT&CK

Приветствую участников форума!

Понимаю, что большинство присутствующих здесь знакомы с матрицей атак MITTRE ATT&CK и, может даже, пользуются ею, но эта статья должна помочь новичкам. Практика объяснения и написания статей, будет не лишней.

Матрица ATT&CK является известной методологией для классификации техник злоумышленника. Короче говоря, в 2013 году ребята собрались и классифицировали поведение злоумышленника. Оказалось, что вариантов атаки не так уж и много.

Матрица представлена в 2-х вариациях:

1641572332151.png


и

1641572380895.png


Матрица обладает огромным потенциалом в качестве помощника любому специалисту по безопасности, но вот пользоваться ей в начале не так то и удобно. Это как c таблицей тригонометрических функций. Сначала вы тратите много времени на поиск нужной формулы и значения, но с каждым использованием вы делаете это все быстрее и быстрее.

Поэтому, кажется, новичкам стоило бы начинать путь с нее, если только вы не Script Kiddy. Тогда, конечно, можно сразу переходить к инструментам, как когда-то сделал я сам.

Итак, начнем с того, что существует 200+ техник, разделенных по 14 направлениям для Enterprise:

И 91 техника в 9 направлениях для Mobile:
Конечно же не стану рассказывать о каждой из них сейчас - это тема для цикла статей. А это проба пера, так сказать демо-версия.

В левой панели представлено разделение по окружениям, в которых представлены техники атак:

1641572507558.png


Давайте рассмотрим применение матрицы на примере направления (Разведка).

recon.png


mitre.png


При переходе в любое из направлений мы получаем кучу информации - подробное описание каждой из техник представленных в этом направлении.


Это общая информация для того, чтобы отличать каждый из шагов. Отделять, так сказать, мух от котлет и тех кто верит, от тех кто нет.

info.png

ID техники Active Scanning - T1595, в нее входят два действия: Scanning IP Blocks и Vulnerability Scanning. Внимательно прочитав описание, некоторые из вас уже составили у себя в голове картину, чтобы при анализе логов заострить внимание на некоторые действия и классифицировать их как атаку. Для простых смертных типа меня, придумано правило 34.

При переходе в Active Scanning видно, что все разложено по полочкам.
Структура у любой техники одинакова:

1. Общее описание

description.png


2. Кто применял или применяет

example.png


Здесь - это группировка .

3. Как предотвратить

mitigations.png


В данном случае сказано, что эффективных превентивных мер нет, и что единственный путь - минимизировать количество доступной информации.

4. Как обнаружить

detection.png


Исследование сетевого трафика это универсальный способ обнаружения, но другого на этом этапе атаки и нет.

Есть возможность рассмотреть более подробно историю применения, полезно, если там известная APT или вредоносная программа, ведь сразу можно выделить артефакты. Например, TeamTNT добавляет RSA-ключ в authorized_keys:

teamtnt.png


Эту информацию можно использовать для автоматизации своей защиты, написания правил IDS/IPS и т.д.
Ну, а где искать уже известно из “Detection”.

На этом все, дальше только скрупулезное изучение каждой техники и каждого направления, и, через 200+ техник вы уже будете разбираться в этапах вторжения и способах обнаружения.

Для упрощения жизни, ребята из РТ сделали перевод. Но сильно на него не рассчитывайте, он служит в маркетинговых целях и не дает детального описания, а скорее показывает, что покрывается продуктом PT NAD. К тому же, переведены там только названия техник. Тем не менее, работа сделана немалая и обходить вниманием статью не стоит.

Но лучше учите английский.
 
Последнее редактирование модератором:

d_s_1998

Green Team
02.02.2018
2
1
BIT
0
Давно хотел научиться использовать митры и Ваша статья первый шаг для меня)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!