Leden van ESETs malwareonderzoekteam en securityanalyseteam bespreken hoe het “ATT&CK-effect” hun werk heeft beïnvloed. Laten we kijken naar hoe ATT&CK samenwerking, educatie en innovatie bij ESET bevordert.
Wat voor sommigen in de cybersecurityindustrie lijkt op gekte aan activiteit, communicaties en zelfs hype rondom de MITRE ATT&CK-kennisbank (KB), is voor anderen bijna vanzelfsprekend geworden. De kennisbank, zijn gemeenschappelijke taxonomie en zijn groeiende portfolio van goed in kaart gebrachte aanvalstechnieken hebben een goede basis gelegd voor verbeterde samenwerking binnen industrieën. Deze samenwerking is ook verbeterd tussen securityanalisten, onderzoekers en andere professionals die werken aan het vertalen van data naar acties bij het besturen van complexe endpoint detectie- en reactieproducten.
De malwareonderzoeker
Marc-Étienne Léveillé, Senior Malware Researcher, ontwikkelde Mac- en iOS-software voor hij bij ESET kwam. In die tijd was hij al erg gepassioneerd over computerbeveiliging en ambieerde hij een carrière in de industrie. “Ondanks veel technische kennis vergaard te hebben, was ik bang dat het jargon gebruikt door doorgewinterde onderzoekers zou verschillen van wat ik gebruikte. Ook wist ik niet zeker of de terminologie die ik van online blogs en artikelen had geleerd daadwerkelijk gebruikt werd door de organisaties waar ik wilde aansluiten,” herinnert Léveillé zich.
Die kenniskloof is iets dat de ATT&CK-KB probeert te dichten door het bieden van gemeenschappelijke taxonomie. Omdat de beschrijvingen van MITRE en zijn medewerkers accuraat en gerespecteerd zijn door seniors in de industrie zijn ze van grote waarde voor nieuwelingen in de onderzoeks- en analyseteams. Zelfs minder technisch aangelegde mensen kunnen er gebruik van maken en vervolgens met meer zelfvertrouwen meepraten over aanvalstechnieken. Daarbij helpt het verklaren van de taxonomie ook bij samenwerkingen tussen teams binnen dezelfde organisatie, zoals incident responder, onderzoekers, product-R&D, analisten van het Security Operations Center (SOC) en andere IT-securityprofessionals.
Nog een voordeel daarvan is, volgens Léveillé, dat “het een deel van onze output als malwareonderzoekers omzet naar iets verteerbaars voor anderen en zelfs geautomatiseerde systemen.” Nu, via ESETs onderzoek op WeLiveSecurity en TheNewFrontier, worden “ATT&CK”-technieken aangevuld door file hashes, domeinnamen, IP-adressen, YARA-handtekeningen en andere tekenen van compromittering in de documentatie. Dit geldt ook voor analyseerbare bestanden met klare tekst in de ESET GitHub repository. Dit heeft als gevolg dat delen beter te begrijpen zijn voor een groter publiek.
De securityanalist
Miroslav Babis, Senior Malware & Threat Analyst, werkt sinds eind 2016 met ATT&CK. “Ik was deel van het team dat de taak had een regelset voor onze EDR-oplossing, ESET Enterprise Inspector (EEI) op te stellen. We begonnen met het verwerken van interne bronnen en kennis – voornamelijk onze Host-based Intrusion en Prevention System (HIPS) regels en heuristische regels – en breidden dit uit met externe open-bron data,” zegt Babis. “Dat is wanneer ik ATT&CK tegenkwam en de KB (ook al noemen ze het een raamwerk) begon te gebruiken, omdat het – in tegenstelling tot andere bronnen – contextuele informatie biedt over wat de aanvallers in uw netwerk kunnen doen en hoe ze dat voor elkaar krijgen.”
Babis begon ATT&CK te gebruiken in 2016, “zo’n twee jaar voor het de huidige ‘hype’-status bereikte en serieuze aandacht kreeg in de cybersecurityindustrie,” denkt hij. “Dat kan geassocieerd worden met de groeiende trend van kennis delen in de industrie; een verandering in houding. Waar men eerst kennis niet graag deelde, is er nu een collaboratieve cultuur ontstaan waar we Indicators of Compromise delen. Of dit goed of slecht is, is nog een ander, complex onderwerp.”
Inmiddels werkt Babis niet alleen aan het updaten van de immer groeiende regelset voor ESET Enterprise Inspector, maar herziet hij ook de technische kant van potentiële bijdragen aan ATT&CK. Het eerste vindt hij waardevol vanwege “ATT&CKs uitgebreide beschrijvingen van technieken en voorbeelden van hoe ze in de praktijk worden gebruikt.”
“Intern reageerde ik door een soort ‘zichtbaarheid’-matrix te maken van dingen die EEI zou moeten detecteren. Vervolgens bracht ik in kaart wat EEI actief monitort en rapporteert. Door de twee te vergelijken, kon het team concluderen wat EEI daadwerkelijk kan zien en konden we identificeren op welke gebieden we verder kunnen verbeteren.”
Nu het ATT&CK-raamwerk van MITRE groeit, kan Babis nog steeds waarderen hoe het invloed heeft gehad op zijn referentiekader en hoe hij denkt over het creëren en recreëren van regels voor EEI. “De inzet (voor ATT&CK) van het securityanalyseteam resulteert in kleine innovaties: zo refereren we nu bijvoorbeeld aan ATT&CK-technieken in de regels van EEI.”
Deze verrijkte uitleg van EEI zal dankzij ATT&CK meer gerichte content en betere context bieden achter alle gecreëerde regels en de meldingen die ze veroorzaken. Uiteindelijk is het doel om klanten te helpen EEI effectiever en efficiënter te gebruiken. Dit verbetert ook het zicht op niveau door ‘context-risico kwantificatie’ voor alle potentiële dreigingen. Deze functies zouden betere resultaten moeten bieden, of ze nou gebruikt worden door goed getraind SOC-personeel of door een securityadmin in een onderbezet team die alle meldingen probeert te begrijpen.
Babis, die zijn regels direct levert aan product-R&D, benadrukt de voordelen van ATT&CK goed: “De grootste invloed die ik zie van werken met ATT&CK is dat het mensen van verschillende afdelingen leert beschrijvingen van dreigingen efficiënt in kaart te brengen en documenteren.”
Erg waardevol, maar niet zonder uitdagingen
De woorden van Babis en Léveillé bewijzen dat ATT&CK resultaten heeft geleverd voor zowel malwareonderzoekers als securityanalisten. Maar er blijven uitdagingen bestaan. Eén daarvan is het feit dat er “een beperkt aantal technieken beschikbaar zijn om de malware die we analyseren te beschrijven. Aan de andere kant zijn sommige technieken erg generiek en gelden ze voor elk stuk malware; dit kan de indruk wekken dat de informatie overbodig is. Sommige technieken ontbreken zelfs, wat het in kaart brengen in ATT&CK onmogelijk maakt,” legt Léveillé uit. “Maar uiteindelijk is ATT&CK een levend ding. Dat is waarom we hebben besloten de ATT&CK-matrix te steunen en bijdragen te leveren aan MITRE voor de verdere verbetering ervan. Laten we zien wat deze gemeenschap nog meer kan doen.”