Приветствую участников форума!
Понимаю, что большинство присутствующих здесь знакомы с матрицей атак MITTRE ATT&CK и, может даже, пользуются ею, но эта статья должна помочь новичкам. Практика объяснения и написания статей, будет не лишней.
Матрица ATT&CK является известной методологией для классификации техник злоумышленника. Короче говоря, в 2013 году ребята собрались и классифицировали поведение злоумышленника. Оказалось, что вариантов атаки не так уж и много.
Матрица представлена в 2-х вариациях:
и
Матрица обладает огромным потенциалом в качестве помощника любому специалисту по безопасности, но вот пользоваться ей в начале не так то и удобно. Это как c таблицей тригонометрических функций. Сначала вы тратите много времени на поиск нужной формулы и значения, но с каждым использованием вы делаете это все быстрее и быстрее.
Поэтому, кажется, новичкам стоило бы начинать путь с нее, если только вы не Script Kiddy. Тогда, конечно, можно сразу переходить к инструментам, как когда-то сделал я сам.
Итак, начнем с того, что существует 200+ техник, разделенных по 14 направлениям для Enterprise:
И 91 техника в 9 направлениях для Mobile:
В левой панели представлено разделение по окружениям, в которых представлены техники атак:
Давайте рассмотрим применение матрицы на примере направления
При переходе в любое из направлений мы получаем кучу информации - подробное описание каждой из техник представленных в этом направлении.
Это общая информация для того, чтобы отличать каждый из шагов. Отделять, так сказать, мух от котлет и тех кто верит, от тех кто нет.
ID техники Active Scanning - T1595, в нее входят два действия: Scanning IP Blocks и Vulnerability Scanning. Внимательно прочитав описание, некоторые из вас уже составили у себя в голове картину, чтобы при анализе логов заострить внимание на некоторые действия и классифицировать их как атаку. Для простых смертных типа меня, придумано правило 34.
При переходе в Active Scanning видно, что все разложено по полочкам.
Структура у любой техники одинакова:
1. Общее описание
2. Кто применял или применяет
Здесь - это группировка
3. Как предотвратить
В данном случае сказано, что эффективных превентивных мер нет, и что единственный путь - минимизировать количество доступной информации.
4. Как обнаружить
Исследование сетевого трафика это универсальный способ обнаружения, но другого на этом этапе атаки и нет.
Есть возможность рассмотреть более подробно историю применения, полезно, если там известная APT или вредоносная программа, ведь сразу можно выделить артефакты. Например, TeamTNT добавляет RSA-ключ в authorized_keys:
Эту информацию можно использовать для автоматизации своей защиты, написания правил IDS/IPS и т.д.
Ну, а где искать уже известно из “Detection”.
На этом все, дальше только скрупулезное изучение каждой техники и каждого направления, и, через 200+ техник вы уже будете разбираться в этапах вторжения и способах обнаружения.
Для упрощения жизни, ребята из РТ сделали перевод. Но сильно на него не рассчитывайте, он служит в маркетинговых целях и не дает детального описания, а скорее показывает, что покрывается продуктом PT NAD. К тому же, переведены там только названия техник. Тем не менее, работа сделана немалая и обходить вниманием статью не стоит.
Но лучше учите английский.
Понимаю, что большинство присутствующих здесь знакомы с матрицей атак MITTRE ATT&CK и, может даже, пользуются ею, но эта статья должна помочь новичкам. Практика объяснения и написания статей, будет не лишней.
Матрица ATT&CK является известной методологией для классификации техник злоумышленника. Короче говоря, в 2013 году ребята собрались и классифицировали поведение злоумышленника. Оказалось, что вариантов атаки не так уж и много.
Матрица представлена в 2-х вариациях:
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
Матрица обладает огромным потенциалом в качестве помощника любому специалисту по безопасности, но вот пользоваться ей в начале не так то и удобно. Это как c таблицей тригонометрических функций. Сначала вы тратите много времени на поиск нужной формулы и значения, но с каждым использованием вы делаете это все быстрее и быстрее.
Поэтому, кажется, новичкам стоило бы начинать путь с нее, если только вы не Script Kiddy. Тогда, конечно, можно сразу переходить к инструментам, как когда-то сделал я сам.
Итак, начнем с того, что существует 200+ техник, разделенных по 14 направлениям для Enterprise:
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
И 91 техника в 9 направлениях для Mobile:
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
В левой панели представлено разделение по окружениям, в которых представлены техники атак:
Давайте рассмотрим применение матрицы на примере направления
Ссылка скрыта от гостей
(Разведка).
При переходе в любое из направлений мы получаем кучу информации - подробное описание каждой из техник представленных в этом направлении.
Это общая информация для того, чтобы отличать каждый из шагов. Отделять, так сказать, мух от котлет и тех кто верит, от тех кто нет.
ID техники Active Scanning - T1595, в нее входят два действия: Scanning IP Blocks и Vulnerability Scanning. Внимательно прочитав описание, некоторые из вас уже составили у себя в голове картину, чтобы при анализе логов заострить внимание на некоторые действия и классифицировать их как атаку. Для простых смертных типа меня, придумано правило 34.
При переходе в Active Scanning видно, что все разложено по полочкам.
Структура у любой техники одинакова:
1. Общее описание
2. Кто применял или применяет
Здесь - это группировка
Ссылка скрыта от гостей
.3. Как предотвратить
В данном случае сказано, что эффективных превентивных мер нет, и что единственный путь - минимизировать количество доступной информации.
4. Как обнаружить
Исследование сетевого трафика это универсальный способ обнаружения, но другого на этом этапе атаки и нет.
Есть возможность рассмотреть более подробно историю применения, полезно, если там известная APT или вредоносная программа, ведь сразу можно выделить артефакты. Например, TeamTNT добавляет RSA-ключ в authorized_keys:
Эту информацию можно использовать для автоматизации своей защиты, написания правил IDS/IPS и т.д.
Ну, а где искать уже известно из “Detection”.
На этом все, дальше только скрупулезное изучение каждой техники и каждого направления, и, через 200+ техник вы уже будете разбираться в этапах вторжения и способах обнаружения.
Для упрощения жизни, ребята из РТ сделали перевод. Но сильно на него не рассчитывайте, он служит в маркетинговых целях и не дает детального описания, а скорее показывает, что покрывается продуктом PT NAD. К тому же, переведены там только названия техник. Тем не менее, работа сделана немалая и обходить вниманием статью не стоит.
Но лучше учите английский.
Последнее редактирование модератором:
