Hodnocení bezpečnostních řešení dle MITRE Engenuity ATT&CK

Tento článek se zamýšlí nad tím, jak přistoupit k hodnocení bezpečnostních řešení dle MITRE, a jak interpretovat výsledky hodnocení.

Na stránkách MITRE jsou uvedeny taktiky a techniky, které jsou zpravidla používány v rámci vedení kybernetických útoků. Ne každý útok však musí probíhat stejným způsobem a využívat i stejných technik. A zpravidla jsou v rámci konkrétního APT útoku použity jen určité techniky. A tím se i jednotlivé útoky a APT skupiny, které za nimi stojí, od sebe liší.

MITRE Adversarial Tactics, Techniques, & Common Knowledge framework, zkr. MITRE ATT&CK uvádí 14 taktik používaných běžně v rámci APT útoku jako je skenování cíle, doručení škodlivého kódu, exploitace, zajištění persistence, zvyšování privilegií, skrývání, vyhnutí se detekci, sbírání informací, šíření na další stroje, komunikace s řídícím serverem, vykopírování dat, smazání dat apod. V rámci těchto fází útoku se pak používají konkrétní techniky, kterých je něco přes 200.

V rámci hodnocení jednotlivých bezpečnostních řešení se pak vezme nějaký již proběhnuvší APT útok, který již byl dostatečně analyzován a popsán a ten se pak opětovně realizuje v kontrolovaném prostředí. Následně se pak vyhodnocuje, jak se s ním vypořádalo to či ono bezpečnostní řešení. Tedy nejen zda dané řešení detekovalo tuto hrozbu, ale i zda detekovalo opravdu všechny techniky, které by mělo v rámci daného útoku zaznamenat.

Pokud jde o samotné detekce, tak hodnocené řešení sice může danou bezpečnostní událost, která v souvislosti s útokem vznikla, detekovat, ale nemusí ji hned zpočátku označit jako podezřelou, ale jen ji zaloguje (tzv. telemetry) anebo ji může detekovat a označit jako podezřelou, ale bez bližších informací (tzv. general) a konečně ji může detekovat a přiřadit k ní i konkrétní techniku (tzv. technique) nebo taktiku (tzv. tactic) z MITRE ATT&CK.

A samozřejmě, čím více škodlivých událostí dané řešení detekuje a čím dříve na ně zareaguje, tím lépe. A lépe na tom samozřejmě bude řešení, které útok detekuje již v samotném počátku. Na tomto jednoduchém principu je pak postaveno i hodnocení jednotlivých řešení ze strany některých bezpečnostních expertů nebo vendorů, kteří výsledky seřadí podle kritéria, které jim vyhovuje, rozuměj, tak aby se jejich řešení dostalo na první místo. K dispozici jsou následující výsledky, které lze použít pro vlastní hodnocení:

  • telemetry (telemetrie) – je k dispozici nějaký prakticky využitelný záznam v logu, který může být později využit. Řešení může např. generovat výstrahu až v okamžiku, kdy zaznamená více po sobě jdoucích událostí.
  • analytics (analytika) – záznam v logu je mapován na konkrétní taktiku nebo techniku ATT&CK, takže již může být probíhající aktivita označena za útok. Analytika může být vyjádřena jako procentuální podíl z celkového počtu kroků.
  • visibility (viditelnost) – určuje, zda byla pro každý krok realizovaný útočníkem v rámci útoku k dispozici telemetrie nebo analytika, takže viditelnost může být vyjádřena procentuálním podílem, ovšem vyššího skóre může být dosaženo bez ohledu na poměr mezi telemetrií a analytikou.
  • detections (detekce) – počet všech telemetrií a analytik, takže toto číslo může být i vyšší než počet kroků, a také zpravidla bývá. Vysoký počet detekcí navíc nemusí znamenat, že je dané řešení lepší, protože může být z větší části založeno jen na telemetrii.
  • protection (ochrana) – zda dané řešení detekovalo a zastavilo útok. Zde záleží, v jaké fázi útoku došlo k jeho zastavení a zda vznikla nějaká škoda nebo nikoliv.

Ovšem pozor, to že dané řešení detekuje útok již v samotném počátku, ještě neznamená, že je dané řešení nutně lepší. Např. pokud by dané řešení nedetekovalo další techniky, tak by to mohlo znamenat, že umí detekovat jen některé z nich, a když pak jejich detekce z nějakého důvodu selže, např. v případě použití nové techniky, tak pak už takový útok nezaznamená vůbec.

Dále je potřeba si uvědomit, že techniky, které útočníci používají, se snaží co nejvíce maskovat a napodobovat běžné operace, jako je instalace aplikace či volání legitimních služeb v rámci běhu operačního systému. V praxi pak nastává problém s nastavením citlivosti daného bezpečnostního řešení.

Buď dané řešení může detekovat pouze naprosto průkazné či zcela nestandardní techniky průniku, a sofistikovanější techniky pak projdou bez povšimnutí, anebo bude detekovat jakýkoliv náznak dané techniky, ale za cenu vysoké míry false positive detekcí. To v konečném důsledku může znamenat vysoké kapacitní nároky na SOC tým a nezanedbatelnou pravděpodobnost, že v tak velkém množství detekcí něco přehlédne.

V neposlední řadě je nutné zmínit, že schopnosti řešení jsou, jak již bylo uvedeno, testovány na již proběhnuvším známém útoku. Což neznamená, že dané řešení bude stejně úspěšné i v případě zcela nového útoku. Byť by se dalo očekávat, že řešení, které dosáhlo nejlepších výsledků, by toho mělo být schopno.

Svou roli pak hraje i verze softwaru, konfigurace a prostředí, ve kterém bude dané řešení nasazeno. Jiných výsledků může být dosaženo v domácnosti, malé firmě, velké firmě, anebo korporaci, kde se můžeme setkat se značně heterogenním prostředím a obrovským množstvím uživatelů a s tím spojeným informačním šumem.

Hodně bude záležet i na tom, jaké jsou možnosti integrace daného řešení s ostatními technologiemi, nastavení vlastních pravidel, apod. Rozhodně to není celé jen o tom dané řešení koupit, nainstalovat, nechat běžet, a čekat, co dané řešení detekuje.

Nejrůznější žebříčky srovnávající jednotlivé bezpečnostní produkty výše popsaným způsobem, tedy jen podle telemetrie, analytik, viditelnosti nebo detekce jsou pak značně zavádějící a mohou vést i k chybným rozhodnutím ohledně volby vhodného bezpečnostního řešení.

Poznámka: Taktiky, techniky a postupy (tactics, techniques a procedures, zkr. TTP) popisují, jak probíhá kybernetický útok a jednotlivé kroky útočníka. Zatímco taktiky a techniky (včetně tzv subtechnik, což jsou třeba různé druhy phishingu) jsou obecné platné v dlouhodobém horizontu, tak postupy jsou pak zcela konkrétní a rychle se měnící.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: ,


K článku “Hodnocení bezpečnostních řešení dle MITRE Engenuity ATT&CK” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: