Hodnocení bezpečnostních řešení dle MITRE Engenuity ATT&CK

Tento článek se zamýšlí nad tím, jak přistoupit k hodnocení bezpečnostních řešení dle MITRE, a jak interpretovat výsledky hodnocení.

Na stránkách MITRE jsou uvedeny taktiky a techniky, které jsou zpravidla používány v rámci vedení kybernetických útoků. Ne každý útok však musí probíhat stejným způsobem a využívat i stejných technik. A zpravidla jsou v rámci konkrétního APT útoku použity jen určité techniky. A tím se i jednotlivé útoky a APT skupiny, které za nimi stojí, od sebe liší.

MITRE Adversarial Tactics, Techniques, & Common Knowledge framework, zkr. MITRE ATT&CK uvádí 14 taktik používaných běžně v rámci APT útoku jako je skenování cíle, doručení škodlivého kódu, exploitace, zajištění persistence, zvyšování privilegií, skrývání, vyhnutí se detekci, sbírání informací, šíření na další stroje, komunikace s řídícím serverem, vykopírování dat, smazání dat apod. V rámci těchto fází útoku se pak používají konkrétní techniky, kterých je něco přes 200.

V rámci hodnocení jednotlivých bezpečnostních řešení se pak vezme nějaký již proběhnuvší APT útok, který již byl dostatečně analyzován a popsán a ten se pak opětovně realizuje v kontrolovaném prostředí. Následně se pak vyhodnocuje, jak se s ním vypořádalo to či ono bezpečnostní řešení. Tedy nejen zda dané řešení detekovalo tuto hrozbu, ale i zda detekovalo opravdu všechny techniky, které by mělo v rámci daného útoku zaznamenat.

Pokud jde o samotné detekce, tak hodnocené řešení sice může danou bezpečnostní událost, která v souvislosti s útokem vznikla, detekovat, ale nemusí ji hned zpočátku označit jako podezřelou, ale jen ji zaloguje (tzv. telemetry) anebo ji může detekovat a označit jako podezřelou, ale bez bližších informací (tzv. general) a konečně ji může detekovat a přiřadit k ní i konkrétní techniku (tzv. technique) nebo taktiku (tzv. tactic) z MITRE ATT&CK.

A samozřejmě, čím více škodlivých událostí dané řešení detekuje a čím dříve na ně zareaguje, tím lépe. A lépe na tom samozřejmě bude řešení, které útok detekuje již v samotném počátku. Na tomto jednoduchém principu je pak postaveno i hodnocení jednotlivých řešení ze strany některých bezpečnostních expertů nebo vendorů, kteří výsledky seřadí podle kritéria, které jim vyhovuje, rozuměj, tak aby se jejich řešení dostalo na první místo. K dispozici jsou následující výsledky, které lze použít pro vlastní hodnocení:

  • telemetry (telemetrie) – je k dispozici nějaký prakticky využitelný záznam v logu, který může být později využit. Řešení může např. generovat výstrahu až v okamžiku, kdy zaznamená více po sobě jdoucích událostí.
  • analytics (analytika) – záznam v logu je mapován na konkrétní taktiku nebo techniku ATT&CK, takže již může být probíhající aktivita označena za útok. Analytika může být vyjádřena jako procentuální podíl z celkového počtu kroků.
  • visibility (viditelnost) – určuje, zda byla pro každý krok realizovaný útočníkem v rámci útoku k dispozici telemetrie nebo analytika, takže viditelnost může být vyjádřena procentuálním podílem, ovšem vyššího skóre může být dosaženo bez ohledu na poměr mezi telemetrií a analytikou.
  • detections (detekce) – počet všech telemetrií a analytik, takže toto číslo může být i vyšší než počet kroků, a také zpravidla bývá. Vysoký počet detekcí navíc nemusí znamenat, že je dané řešení lepší, protože může být z větší části založeno jen na telemetrii.
  • protection (ochrana) – zda dané řešení detekovalo a zastavilo útok. Zde záleží, v jaké fázi útoku došlo k jeho zastavení a zda vznikla nějaká škoda nebo nikoliv.

Ovšem pozor, to že dané řešení detekuje útok již v samotném počátku, ještě neznamená, že je dané řešení nutně lepší. Např. pokud by dané řešení nedetekovalo další techniky, tak by to mohlo znamenat, že umí detekovat jen některé z nich, a když pak jejich detekce z nějakého důvodu selže, např. v případě použití nové techniky, tak pak už takový útok nezaznamená vůbec.

Dále je potřeba si uvědomit, že techniky, které útočníci používají, se snaží co nejvíce maskovat a napodobovat běžné operace, jako je instalace aplikace či volání legitimních služeb v rámci běhu operačního systému. V praxi pak nastává problém s nastavením citlivosti daného bezpečnostního řešení.

Buď dané řešení může detekovat pouze naprosto průkazné či zcela nestandardní techniky průniku, a sofistikovanější techniky pak projdou bez povšimnutí, anebo bude detekovat jakýkoliv náznak dané techniky, ale za cenu vysoké míry false positive detekcí. To v konečném důsledku může znamenat vysoké kapacitní nároky na SOC tým a nezanedbatelnou pravděpodobnost, že v tak velkém množství detekcí něco přehlédne.

V neposlední řadě je nutné zmínit, že schopnosti řešení jsou, jak již bylo uvedeno, testovány na již proběhnuvším známém útoku. Což neznamená, že dané řešení bude stejně úspěšné i v případě zcela nového útoku. Byť by se dalo očekávat, že řešení, které dosáhlo nejlepších výsledků, by toho mělo být schopno.

Svou roli pak hraje i verze softwaru, konfigurace a prostředí, ve kterém bude dané řešení nasazeno. Jiných výsledků může být dosaženo v domácnosti, malé firmě, velké firmě, anebo korporaci, kde se můžeme setkat se značně heterogenním prostředím a obrovským množstvím uživatelů a s tím spojeným informačním šumem.

Hodně bude záležet i na tom, jaké jsou možnosti integrace daného řešení s ostatními technologiemi, nastavení vlastních pravidel, apod. Rozhodně to není celé jen o tom dané řešení koupit, nainstalovat, nechat běžet, a čekat, co dané řešení detekuje.

Nejrůznější žebříčky srovnávající jednotlivé bezpečnostní produkty výše popsaným způsobem, tedy jen podle telemetrie, analytik, viditelnosti nebo detekce jsou pak značně zavádějící a mohou vést i k chybným rozhodnutím ohledně volby vhodného bezpečnostního řešení.

Poznámka: Taktiky, techniky a postupy (tactics, techniques a procedures, zkr. TTP) popisují, jak probíhá kybernetický útok a jednotlivé kroky útočníka. Zatímco taktiky a techniky (včetně tzv subtechnik, což jsou třeba různé druhy phishingu) jsou obecné platné v dlouhodobém horizontu, tak postupy jsou pak zcela konkrétní a rychle se měnící.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Hodnocení bezpečnostních řešení dle MITRE Engenuity ATT&CK” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: