Przedsiębiorstwa posiadają szeroki arsenał rodzajów broni cyberbezpieczeństwa do walki przeciw włamaniom do systemów. Stosowane często narzędzia EDR, NDR, NIDS i SIEM ciągle rejestrują działania systemu i generują alerty dla analityków bezpieczeństwa, na które mogą reagować. Narzędzia te mają kluczowe znaczenie dla bezpieczeństwa przedsiębiorstwa.
Jednak kilka wyzwań podważa ich użyteczność w praktyce. Często słyszymy o problemie "zmęczenia alertem zagrożeń" (ang. Alert Fatigue). Jest to zjawisko, w którym analitycy bezpieczeństwa otrzymują tak wiele alertów każdego dnia, że nie są w stanie wyłapać informacji kontekstowych i dowodów potwierdzających dla każdego alertu. Prawdziwe alerty o zagrożeniach często gubią się w dużej ilości niesprecyzowanych i fałszywych alarmów.
Istnieje wiele przyczyn problemu zmęczenia alertami o zagrożeniu, jednak dwie główne przyczyny to:
- Narzędzia cyberbezpieczeństwa w ogóle podatne są na duże ilości fałszywych alarmów. Wykrywanie prawdziwego ataku staje się problemem szukania "igły w stogu siana". Dzisiejsze systemy wykorzystują szeroką gamę IOC (wskaźników kompromitacji systemu), które przechwytują pojedyncze wskaźniki, takie jak sygnatury złośliwego oprogramowania, nieprawidłowy ruch lub adresy IP oraz domeny na czarnej liście. Wskaźniki są jedynie dowodami zaobserwowanym w sieci lub systemie, które wskazują na pewien poziom włamań. Są one odizolowane, nie zawierają informacji kontekstowych i często mają wiele fałszywych alarmów.
- Niewystarczająca korelacja zdarzeń ataku jest kolejną główną przyczyną braku wykrywania i reagowania w odpowiednim czasie. Dzisiejsze włamania do systemów są bardziej subtelne i wyrafinowane. Często wiążą się one z wielopłaszczyznowymi działaniami i długim czasem lokowania w sieci przedsiębiorstw. Wymaga to korelacji w czasie i przestrzeni do zbudowania prawdziwej sekwencji ataku. Bez odpowiedniego poziomu abstrakcji istnieją ogromne luki semantyczne między logami na poziomie systemu a zachowaniami ataków wysokiego poziomu. Obserwacje na poziomie systemu trudno połączyć ze sobą, aby mieć cały obraz celów napastnika i wszystkich etapów działania.
W związku z tym jakie rozwiązania należy stosować, które mogą ułatwić życie analitykom bezpieczeństwa? W celu lepszej ochrony sieci, ich obrońcy muszą uczyć się od swoich przeciwników: Co atakujący chcą osiągnąć? Jakie są metody, których używają do osiągnięcia swoich celów? Do znalezienia "igły w stogu siana", obrońcy potrzebują szerokiego obrazu wysokiego poziomu, aby połączyć kropki ze sobą. Uzyskanie holistycznego obrazu danego ataku wymaga przejścia od zmiany paradygmatu z wykrywania opartego na IOC do bardziej opartej na metodologii TTP, bazującej na Threat Hunting i kryminalistyce (Forensic).
Czym jest TTP i platforma MITRE ATT&CK?
TTP oznacza Taktykę, Techniki i Procedury, które zawierają opis operacji przeciwnika. Taktyka wyjaśnia "co" atakujący próbuje osiągnąć, podczas gdy techniki i procedury określają "jak" przeciwnik osiąga cele taktyczne, takie jak eskalacja uprawnień lub eksfiltracji plików. Korzystanie z TTP umożliwia analitykom bezpieczeństwa wyszukiwanie wzorców ataków zamiast wskaźników po ataku.
MITRE ATT&CK mapuje TTP używane przez przeciwników, katalogując tysiące ataków na wspólnej platformie. Zapewnia to zbiorową kategoryzację i wyselekcjonowaną wiedzę. Struktura może pomóc w projektowaniu narzędzi do Threat Hunting i metod wykrywania w celu zidentyfikowania konkretnych taktyk i technik.
Mitre ATT&CK Matrix wizualizuje wszystkie znane TTP w łatwy do zrozumienia format macierzy. Taktyki są wymienione u góry, a poszczególne techniki wyświetlane są w każdej kolumnie. Taktyka prezentowana jest od lewej do prawej w kolejności sekwencji ataku. Niektóre techniki podzielone są na podtechniki, które opisane są bardziej szczegółowo.
Wiele technik może być użytych do taktyki jednego konkretnego przeciwnika. Na przykład osoba atakująca może wypróbować zarówno załącznik (T1566.001), jak i link (T1566.002) w technikach Phishing, aby osiągnąć taktykę Initial Access. Ponadto niektóre techniki są skatalogowane w wielu taktykach, ponieważ mogą być używane do różnych celów.
Korzystanie z MITRE ATT&CK w celu zrozumienia alertów o zagrożeniach
TTP-y w ATT&CK są cennym narzędziem dla analityków bezpieczeństwa, ponieważ ilustrują jak doszło do ataku. Jednakże, od kiedy framework przeznaczony jest do odwoływania, TTP sam nie może odpowiedzieć, czy akcje związane są ze złośliwą aktywnością, czy normalną operacją biznesową.
Na przykład narzędzie dostępu zdalnego (RAT) "3PARA RAT" posiada zachowania:
- Używa protokołu HTTP do C&C (T1071.001 Application Layer Protocol: Web Protocols).
- Jego polecenia command-and-control są szyfrowane (T1573.001 Encrypted Channel: Symmetric Cryptography) w kanale HTTP C2 przy użyciu algorytmu DES w trybie CBC z kluczem pochodzącym z hash MD5 niektórych ciągów znaków.
- Posiada polecenie pobierania metadanych dla plików na dysku, a także polecenie do listowania bieżącego katalogu roboczego (T1083 File and Directory Discovery).
- Zawiera polecenie, aby ustawić pewne atrybuty, takie jak tworzenie/modyfikowanie sygnatur czasowych na plikach (T1070.006 Indicator Removal on Host: Timestomp).
Większość z tych działań jest normalna w sieci i systemach przedsiębiorstwa, jednak połączone razem mogą wskazywać na poważne zagrożenie sieciowe. W związku z tym TTP są znacznie lepsze niż IOC w identyfikacji zagrożeń.
Niemniej jednak, to samo w sobie nie rozwiązuje problemu zmęczenia fałszywymi alarmami o zagrożeniach. Administratorzy zabezpieczeń nadal muszą stosować TTP oparte na analizie zachowania i korelacji, aby pokonać wyczerpanie alarmami. Specyfikacja TTP zdefiniowana w MITRE ATT&CK jest cennym sprzymierzeńcem w oznaczaniu anomalii i korelowaniu wydarzeń w czasie w celu polowania na zagrożenia.
MITRE ATT&CK to świetne ramy wiedzy ogólnej do uczenia się i komunikowania na temat niekorzystnych zachowań. Może być używany do kierowania wykrywaniem zagrożeń, dochodzeń i reagowania na nie przez zespoły ds. cyberbezpieczeństwa. Jednak nadal należy stosować analizy, aby odróżnić działania związane z rzeczywistym zagrożeniem od normalnych zachowań.
Ponadto skorelowanie działań związanych z zagrożeniami w celu wygenerowania wykresu ataku czasowego i przestrzennego pozostaje dużym wyzwaniem dla społeczności zajmującej się cyberbezpieczeństwem. Także sama liczba alertów bezpieczeństwa - prawdziwych lub fałszywych - może przytłoczyć zespoły ds. cyberbezpieczeństwa i doprowadzić do zmęczenia alertami o zagrożeniach.
Analiza behawioralna i wyzwania związane z korelacją
Tradycyjne narzędzia bezpieczeństwa mogą tworzyć alerty TTP (taktyki, techniki i procedury) przy użyciu statycznego zestawu reguł. Jednak reguły te zwykle nie mają świadomości środowiska przedsiębiorstwa, w którym działają. Nie potrafią rozpoznać, czy zachowanie jest normalne, czy złośliwe, dlatego często generują dużą liczbę fałszywych alarmów.
Narzędzia do analizy zachowań mogą korzystać z modeli uczenia maszynowego w celu ustalenia linii bazowej normalnego zachowania i algorytmicznego wykrywania odchyleń od linii bazowej. Analiza behawioralna może znacznie zmniejszyć liczbę fałszywych alarmów w porównaniu z poziomem bazowym, ale na analityku bezpieczeństwa nadal spoczywa ciężar ręcznego zestawiania łańcucha zdarzeń ataków. Jeśli zachowanie jest naprawdę złośliwe, analityk musi skorelować różne etapy ataku w ogromnej liczbie dzienników systemowych.
Sekwencje technik i taktyk użytych do ataku nazywamy łańcuchem TTP. Korzystając z typowych specyfikacji cyklu życia APT, na wysokim poziomie łańcuch ataków może obejmować wstępne naruszenie, eskalację uprawnień, rozpoznanie wewnętrzne, ruch boczny, eksfiltrację i czyszczenie, itp.
Rozstrzygnięta sekwencja ataku ze wszystkimi połączonymi nietypowymi TTP dałaby analitykom dużą przewagę w radzeniu sobie z zachowaniami, które z dużym prawdopodobieństwem są prawdziwymi atakami. Wcześniej wypróbowano kilka podejść, takich jak etapy łańcucha eliminacji cyberataków (ang. cyber kill chain) . Sukces tych podejść jest ograniczony z powodu dwóch głównych problemów:
- Brak informacji o śledzeniu związku przyczynowego. Obecne narzędzia nie mają kontekstu niezbędnego do zrozumienia współzależności między powiązanymi alertami o zagrożeniach. Oś czasu wydarzeń może pomóc, ale sama kolejność wydarzeń w czasie nie gwarantuje, że mają one związek przyczynowy. Graf zależności (lub wykres pochodzenia) jest potrzebny do stworzenia struktury kontroli systemu i określenia zależności przyczynowej między podmiotami systemu a obiektami.
- Semantyczna luka między niskopoziomowymi zdarzeniami systemowymi a wysokopoziomowym podejściem do łańcucha eliminacji cyberataków. Aby wypełnić lukę semantyczną, potrzebna jest warstwa pośrednia opisująca wzorce ataków behawioralnych. Do generowania reguł odwzorowujących zdarzenia na poziomie systemu na zachowania TTP wymagana jest wiedza ekspercka. Tworzenie własnych reguł TTP może być trudnym zadaniem.
Alternatywa: MITRE ATT&CK
Platforma MITRE ATT&CK jest publiczną bazą wiedzy TTP. Wielu czołowych dostawców zabezpieczeń już używa struktury MITRE ATT&CK do opisywania wykrytych zagrożeń. TTP w ramach MITRE ATT&CK oferują bardziej pragmatyczne i reprezentatywne podejście do budowania modelu korelacji zagrożeń.
Model ATT&CK opisuje działania, które przeciwnik podejmuje w sieci przedsiębiorstwa. Model charakteryzuje niekorzystne zachowania, aby stworzyć wiedzę na temat wspólnych zachowań we wszystkich znanych atakach. Ramy opisują pojedyncze lub kombinacje działań, które strona przeciwna może podjąć, aby osiągnąć swoje cele.
TTP opisane w ATT&CK zostały wybrane na podstawie zaobserwowanych włamań APT z raportów publicznych i są uwzględnione w modelu na poziomie abstrakcji niezbędnym do skutecznego zrozumienia celów i zamiarów atakującego oraz ustalenia priorytetów strategii obronnych.
Korzystając z wykresu zależności niskiego poziomu i mapując zdarzenia zagrożeń na TTP ATT&CK, możemy budować łańcuchy TTP dla sieci i systemów przedsiębiorstwa. Ponadto połączenie technik w łańcuchu TTP reprezentuje różne scenariusze ataków, które można ułożyć na wykresie ataku.
Wykresy ataków zapewniają zwartą wizualizację wieloetapowych ataków skierowanych do analityków, przyspieszając dochodzenie i reagowanie. Podobnie jak w przypadku układania puzzli, gdy łączy się ze sobą miliony pojedynczych elementów, ujawnia się zamiar atakującego i można podjąć odpowiednie działania w celu ochrony sieci i jej zasobów.
Wnioski
Starsze narzędzia zabezpieczające dla przedsiębiorstw, wykorzystujące podejścia oparte na IOC utrudniają analitykom bezpieczeństwa pełne zrozumienie zakresu ataku. Korzystanie z podejścia opartego na TTP i mapowanie tych zdarzeń w ramach ATT&CK może pomóc zmniejszyć zmęczenie alertami o zagrożeniach i przyczynić się do wzmocnienia pozycji w zakresie bezpieczeństwa.
Ponadto MITRE ATT&CK może być używane do ulepszania wykrywania zagrożeń poprzez dodawanie wyższego poziomu abstrakcji do analizy behawioralnej. ATT&CK to doskonała platforma do komunikacji i współpracy przy wykrywaniu zagrożeń, dochodzeniach i reagowaniu na incydenty. Będziemy mieć więcej blogów o różnych scenariuszach wykorzystania tej wspaniałej bazy wiedzy.
Treść oryginalnych artykułów Hillstone Networks:
https://www.hillstonenet.com/blog/fighting-alert-fatigue-how-attck-can-help/
https://www.hillstonenet.com/blog/alert-fatigue-and-attck-part-2/
__________________________________________________
Zainteresowały Cię rozwiązania Hillstone?
Zapraszam do kontaktu
Marceli Matczak
Security / SDN Business Development Manager
+48 785 051 978
marceli.matczak@s4e.pl