Opis usługi modelowanie zagrożeń z wykorzystaniem frameworku MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) to baza wiedzy na temat sposobów ataków wykorzystywanych przez cyberprzestępców. ATT&CK zawiera 12 taktyk (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact), które są krokami, jakie atakujący może wykorzystać, aby zrealizować cel ataku. Z każdą taktyką powiązana jest pewna liczba technik. Techniki są to metody, za pomocą których atakujący realizują cele każdej taktyki. Taktyki i związane z nimi techniki tworzą szczegółową matrycę, dzięki której można ocenić, jak zdarzenia mogą zajść (jakie techniki mogą zostać wykorzystane) w danym środowisku. Modelowanie uwzględni również identyfikację powiązań i przepływów pomiędzy technikami.
Modelowanie zagrożeń z wykorzystaniem MITRE ATT&CK to usługa polegająca na identyfikacji technik ataku, które mogą zostać użyte przez atakujących w badanym środowisku.
Zespół ComCERT SA wraz z przedstawicielami Zamawiającego analizuje wybrane systemy pod kątem odpowiedzi na następujące pytania:
- Jakie techniki mogą zostać użyte wobec Zamawiającego (uwzględniając zastosowane rozwiązania technologiczne)?
- Jakie zabezpieczenia przed zidentyfikowanymi technikami są wdrożone?
- Jak możemy wykryć użycie zidentyfikowanych technik ataku (jakie logi są zbierane w badanym środowisku i czy są one wystarczające do wykrycia danej techniki)?
W wyniku modelowania Zamawiający otrzymuje informacje o:
- Technikach ataku możliwych do zastosowania w środowisku Zamawiającego z uwzględnieniem systemów ITSec.
- Sposobach zapobiegania w stosunku do zidentyfikowanych technik.
- Logowanych w środowisku zdarzeń i ich źródłach, pozwalających na wykrycie użycia danej techniki ataku.
- Określenie ewentualnych braków w zakresie logowanych w środowisku na potrzeby detekcji technik ataku.
- Określenie, które źródła logów można uruchomić (w tym ocena możliwość włączenia logowania dodatkowych zdarzeń), a które wymagają dodatkowych działań.
- Określenie możliwości wykorzystania alertów z systemów ITSec do detekcji i zapobiegania użyciu zidentyfikowanych technik ataku.
Przykład budowy potencjalnych scenariuszy ataku
Przykład wykorzystania informacji o technikach ataku do identyfikacji niezbędnych logów i budowy reguł korelacyjnych na potrzeby detekcji