MITRE je nezisková organizace založená roku 1958, jejím cílem je „řešit problémy tak, aby byl svět bezpečnější“. Mimo jiné také pomocí znalostní databáze známe jako MITRE ATT&CK (zkratka slov Adversarial Tactics, Techniques, and Common Knowledge). Jedná se o platformu, která shromažďuje a kategorizuje různé typy strategií, technik a postupů, které používají kybernetičtí útočníci. Platforma pomáhá firmám najít slabiny v jejich vlastní kybernetické obraně.
![Ukázka matice MITRE ATTA&CK](/fileadmin/ESET/CZ/Blog/2019/Mitre_atta_ck/mitre-attack_ukazka_matice_2.png)
Ukázka matice MITRE ATTA&CK
Veškeré informace o útocích jsou rozřazené do matic, dle jejich zaměření na Enterprise, Mobile nebo Pre-attack. Kupříkladu matice Enterprise, v sobě zahrnuje následující kategorie:
- Prvotní přístup
- Exekuce
- Perzistence
- Eskalace privilegií
- Způsoby obejití obrany
- Přístup k citlivým datům
- Průzkum
- Sběr dat
- C&C
- Exfiltrace
- Následky
Každá uvedená kategorie je dále rozdělena do specifických podkategorií, které korespondují s konkrétním typem útoku. Matice také obsahují detaily o technice, příklady, reference (například napadených platforem a detekovaných incidentů) a návrhy, jak riziko zmírnit a odhalit tak napadení.
Například heslo Spearphishing Link obsahuje 19 příkladů s popisem, jakým způsobem útočníci tento postup využívají. Součástí popisu je i seznam doporučení, jakým způsobem lze minimalizovat rizika a jaké detekční techniky používat.
![Ukázka popisu útoku skupiny Ocean Lotus, známé také jako APT32.](/fileadmin/ESET/CZ/Blog/2019/Mitre_atta_ck/mitre-attack_utocici-skupiny.png)
Ukázka popisu útoku skupiny Ocean Lotus, známé také jako APT32.
Platforma nabízí velké množství informací, které poslouží při analýze životního cyklu kybernetických útoků, včetně průzkumu cíle, vektorů útoku, samotného průniku a chování kódu poté, co malware infiltruje systém.
Databáze obsahuje informace o APT skupinách
Podobné databáze jsou pro bezpečnostní experty velmi cenné. Pomáhají jim udržet si přehled o nových technikách útoků, díky čemuž jsou poté schopni útokům lépe předcházet.
Organizace mohou využít MITRE framework k vytvoření vlastních map svého obranného systému.
I když framework popisuje primárně jednání z pohledu útočníka, firmy si jej mohou upravit podle svých potřeb tak, aby reflektoval pro ně relevantní scénáře útoku včetně odpovídajícího vyškolení zaměstnanců.
ATT&CK poskytuje detailní informace o velkém množství útočníků a jejich skupin, včetně jimi používaných technik a nástrojů. Tím, že umožňuje popsání nepřátelského chování standardizovaným způsobem, může být framework užitečný i pro poskytování informací o kybernetických hrozbách.
Nástroj MITRA ATT&CK Navigator lze použít pro vizualizaci silných a slabých stránek analyzovaného prostředí, ve vztahu ke konkrétní skupině útočníků. Může být rovněž použit pro kategorizaci testů provedených na interních systémech organizace, spolu s jejich výsledky. Zmíněný nástroj lze použít v online režimu nebo ho lze rovněž stáhnout v podobě aplikace.
Testujte hrozby v simulovaném prostředí
Do projektu ATTA&CK jsou zapojené i další subjekty, které nabízejí mechanismy k testování technik útoků v simulovaném prostředí. Jde například o komerční společnosti Verodin, SafeBreach a AttackIQ. Existují ale také open-source varianty, které umožňují simulace útoků. Jmenujme například MITRE Caldera, Uber Metta, Red Team Automation (RTA) nebo Atomic Red Team.
V případě, že se podobné testy provádí přímo v produkčním prostředí je potřeba dbát zvýšené opatrnosti, protože rozsah a důsledky testů nejsou plně předvídatelné. Z tohoto důvodu se silně doporučuje provádět testy na neprodukčním prostředí, které je jeho kopií, ale je od něj oddělené a nehrozí tak poškození reálných dat společnosti.
Závěrem
MITRE ATT&CK Framework zahrnuje celou řadu nástrojů a zdrojů k doplnění jakékoli bezpečnostní strategie. Zároveň poskytuje organizacím informace o hrozbách a ukazuje jim, jak jsou připraveny na jejich detekci a jak zvládají následnou reakci na útok.
Principy popisu hrozeb dle MITRE ATT&CK začal během letošního roku používat tým ESET Research u většiny publikovaných analýz malware.