Повышаем кибербезопасность и при помощи MITRE ATT&CK
Одновременно с тем, как интернет-технологии оказывают влияние на жизнь современного человека все больше и больше, активируются и киберпреступники. Они постоянно совершенствуют свои тактики, разрабатывают новые методики, которые позволяют им обходить новые защитные меры. Они изучают причины своих неудач и находят способы, которые все же позволяют им достигать поставленной цели. Что мы получаем в результате? Хищение личных данных, нанесение материального и информационного ущерба бизнесу, проблема в работе критически важной инфраструктурой и не только. Да, специалисты в области кибербезопасности также многому учатся у таких злоумышленников, разрабатывают с каждым днем все больше продуктов, которые призваны повысить безопасность работы в сети и защитить его от любого несанкционированного доступа.
Одним из продуктов в данной категории, который позволит вам найти индивидуальное решение для обеспечения собственной безопасности в сети, подобрать наиболее эффективное решение для бизнеса, можно назвать MITRE ATT&CK. Речь идет об общедоступной базе знаний, в которой собрана информация о поведенческих особенностях киберпреступников, сформированная на основании реальных наблюдений. С ее помощью разрабатываются определенной модели угроз и методологии поставщиками услуг и продуктов в сфере кибербезопасности, в правительстве. Но еще ею могут воспользоваться и частные лица. В данной базе представлены общие техники, тактики, процедуры, которые специалист может изучить, выявить угрозу и разработать решение для защиты от нее.
Сейчас остановимся более подробно на том, о каком именно продукте идет речь. Расскажем, как устроена данная база, какие инструменты и ресурсы можно использовать при работе с ней.
Что представляет собой MITRE ATT&CK?
Adversarial Tactics, Techniques and Common Knowledge, она же ATT&CK (в переводе с английского (Тактики, Техники и Общие Знания Противника) — это база знаний от компании MITRE, в которой собрана информация о том, как злоумышленники атакуют свои цели, какие методы и инструменты они используют, признаки, по которым можно идентифицировать атаки. Также здесь содержатся рекомендации относительно того, как можно противостоять данным угрозам и обычному человеку, и специалисту по кибербезопасности.
Сразу оговоримся что MITRE – это некоммерческая организация. Она ведет работу еще с 1958 года. Специализируется на научно-исследовательской и консультационной деятельности. Изначально была создана для работы с проектами ВВС США, но постепенно ее сфера деятельности расширялась. И на сегодня одна из наиболее масштабных сфер ее деятельности — это кибербезопасность. Свою работу по созданию базы знаний ATT&CK компания начала в 2013 году. Изначально это был внутренний проект, направленный на анализ поведенческих факторов интернет злоумышленников. Первая версия базы появилась в свободном доступе уже через 2 года. Из того времени работы над ее дополнением и совершенствованием не прекращаются. В этой базе вы всегда найдете самую актуальную информацию. Также можно обратиться за консультациями в сообщество кибербезопасности, получив там компетентную помощь.
Архитектура MITRE ATT&CK
MITRE ATT&CK включает в себя несколько матриц, выполненных в виде таблиц. В них представлены тактики и техники, которые интернет-злоумышленники используют в той или иной среде. И здесь очень важно выбрать подходящую матрицу под свои рабочие условия: область применения, целевую аудиторию. Итак:
- Enterprise. Это кейс для предпринимателей, содержащий тактики и техники, которые киберпреступники используют при атаках на компании из разных отраслей и объемов. Здесь предусмотрена дополнительная разбивка в зависимости от того, с какой операционной системой предстоит работать (Windows, Linux, macOS), мобильными устройствами (Android, iOS), облачными площадками (AWS, Azure, GCP), а также ICS — промышленными системами управления.
- Cyber-Physical. В данной матрице собраны все те инструменты и техники, которые могут использоваться для атаки на киберфизические системы: все те сферы, которые контролируют либо же напрямую взаимодействуют с физическим миром. К этой категории относят самолеты, автомобили, медицинскую технику и пр.
- Containers. Если вы хотите познакомиться с технологиями киберпреступников, направленными на взлом контейнеризированной инфраструктуры и приложений (Docker, Kubernetes), то вам стоит искать их именно в этой матрице.
- PRE-ATT&CK. Здесь собраны тактики и техники, которые злоумышленники используют зачастую при подготовке к хакерской атаке. Так, они могут выполнять разведку, разрабатывать те или иные возможности, приобретать ресурсы, которые потребуются для реализации своей задумки.
В каждой из этих матриц вы найдете и столбцы, и строки. В столбцах представлены тактики, то есть стратегические цели злоумышленника на том или ином этапе хакерской атаки. В качестве примера можно привести тактику Initial Access (Начальный Доступ), где описывается, как злоумышленник пытался получить доступ к устройству жертвы или сети, через которую ведется работа. А вот в строках уже будут приведены конкретные методы и действия, которые будет совершать злоумышленник для того, чтобы достигнуть поставленной цели. Как вариант, это может быть фишинг, предполагающий отправку потенциальной жертве левых электронных писем либо же ссылок для того, чтобы заставить их как-то пройти по ним и открыть свои учетные данные либо же банально запустить вредоносный код.
Все техники, которые используются злоумышленниками, в MITRE ATT&CK строго классифицированы. У них есть специальный код-идентификатор, название, описание, примеры использования на практике, также сопутствующие данные и связанные инструменты либо же группы противников. Также здесь вы увидите способы и признаки идентификации угрозы, ее предотвращения. В большей части матриц есть еще и дополнительная полезная информация. Часть техник, в основном те, что можно назвать достаточно специфическими, дополнительно имеют подтехники, где описываются индивидуальные особенности того или иного способа воздействия на потенциальную жертву интернет-злоумышленников. Изучая информацию, приведенную в подтехниках, вы сможете максимально детализировать данные о поведении своего противника, что в результате значительно упростит последующий анализ и разработку стратегии для противостояния такому воздействию.
Используем данные MITRE ATT&CK для повышения собственной кибербезопасности
Воспользоваться данными, которые представлены на платформе MITRE ATT&CK может любой отдельно взятый специалист либо же компания, которая специализируется на кибербезопасности. В зависимости от того, какие конкретно задачи стоят перед вами в данный момент времени, вы можете выбрать разные способы для работы с этой базой. Наиболее востребованные на сегодня решения, которые вы можете использовать на практике:
- Анализировать угрозы. Используя платформу MITRE ATT&CK можно изучить профили той или иной группировки интернет-злоумышленников, включая их тактики, техники, те инструменты и программное обеспечение, которое используется при атаке. Благодаря этому вы сможете понять, какие именно угрозы актуальны для определенной сферы деятельности либо же отрасли выявить те уязвимости, на которые могут делать акцент киберпреступники. А еще вы сможете познакомиться с симптомами атак и тем, какие меры защиты можно предпринять в конкретном случае.
- Разрабатывать самостоятельно сценарий атак. При помощи данной базы вы можете сами сгенерировать несколько достаточно реалистичных атак на тех или иных тактиках злоумышленников. Такое решение будет удобно в случае, если вы хотите проверить, насколько ваша система защищена от несанкционированного стороннего доступа. Насколько слаженно работают механизмы обнаружения и реагирования на атаки. Выявив слабые места в системе защиты, вы сможете их усилить.
- Оценивать продукты и решения в сфере кибербезопасности. Используя инструменты MITRE ATT&CK можно выполнить сравнительный анализ тех инструментов из области кибербезопасности, которые предлагает современный рынок. Вы сможете протестировать их, проверить, насколько они эффективны при обнаружении киберугроз и в их предотвращении. Благодаря этому вы сможете подобрать такой вариант продукта, который окажется наиболее эффективным именно в вашем случае.
- Поведение обучения либо же повышения квалификации сотрудников, работающих в сфере кибербезопасности. Информация, которая представлена в данной базе всегда актуальна. Это позволит специалистам всегда быть в курсе актуальных тенденций, а именно информации о новых угрозах, а также технологиях позволяющих защититься от них. Также здесь найдутся инструменты для того, чтобы повысить ответственность и осведомленность рядовых пользователей.
Инструменты MITRE ATT&CK
В своей работе с площадкой MITRE ATT&CK пользователи могут использовать разные инструменты исходя из того, какие задачи и цели стоят перед ними в данный момент времени. Так, чтобы вам было легче сориентироваться в особенностях платформы, выделим ее основные блоки:
- Официальный сайт площадки. Это тот портал, где представлена вся информация о самой базе знаний, всех тех матрицах, которые она включает в себя, а также техниках, группах, программном обеспечении и многих других инструментах, параметрах. Также на сайте есть блог с полезной информацией, ознакомительная документация, видеоуроки, блок с наиболее популярными вопросами и ответами на них, а также прочие данные.
- Интерактивная матрица. Специалисты создали специальное интернет-приложение, которое позволяет визуализировать данные, представленные в этой базе, а также манипулировать ими. То есть вы сможете с их помощью создавать собственные варианты матриц, вносить в них корректировки, удалять лишнее, сохранять и экспортировать, накладывать дополнительные фильтры, прописывать аннотации, менять цветовое оформление и пр.
- Оценки. В данном блоке представлена сборка независимых оценок о тех продуктах и решениях из сферы кибербезопасности, которые были реализованы на практике специалистами MITRE в тесном сотрудничестве с собственным технологическим фондом компании, работающим непосредственно с частными лицами, выявляет их общественный интерес. Примечательно то, что оценки собираются на основании строгой и абсолютно прозрачной методики. Это позволяет оценивать реальную возможность и производительность решений, имеющихся сегодня на рынке непосредственно в контексте ATT&CK.
- Центр угрозоориентированной защиты. Это особый центр, созданный по инициативе самой компании MITRE. Здесь объединились опытные специалисты в сфере кибербезопасности, работающие в ведущих корпорациях мира. То есть они поставили перед собой одну основную цель — проведение исследований в области кибербезопасности и распространение их результатов в общество. Это те решения, которые способны в разы улучшить способность выявлять кибератаки и своевременно реагировать на них.
- Сертификация. Это совершенно уникальный подход к сертификации, как таковой. Подтверждает возможность пользоваться MITRE ATT&CK для улучшения собственной защиты от угроз из сети. При этом данная сертификация постоянно меняется, совершенствуется, требует регулярного обновления знаний, практических навыков. Чтобы получить подобный сертификат необходимо пройти обучение. Но оно бесплатное, то есть воспользоваться этим предложением может каждый желающий.
Подводим итоги
Как видите, MITRE ATT&CK — это действительно мощная и полезная в работе платформа для всех, кто работает в сфере кибербезопасности, а также тех, кто хотел бы обеспечить себе достаточно высокий уровень безопасной и стабильной работы в сети. При помощи инструментов данной платформы вы научитесь выявлять угрозы, понимать действия злоумышленников, анализировать текущую ситуацию и предпринимать шаги, направленные на противодействие киберпреступников. В базе знаний вы найдете единый язык и рамки для создания определенных моделей угроз, а также методик для защиты от них.
Примечательно то, что данная площадка постоянно развивается, совершенствуется, актуализируется. То есть на ней постоянно будет находиться наиболее важная на сегодня информация. Существенный вклад в это делают независимые сообщества кибербезопасности. На данной площадке вы найдете огромное количество инструментов, методик ресурсов, которые можете использовать для решения той задачи, которое актуально для вас именно в данный момент времени это. Также площадка предлагает оформить подписку, чтобы постоянно быть в курсе последних обновлений и дополнений. Также регулярно проводятся специальные тематические мероприятия, в том числе и в онлайн режиме. Принять участие в них может каждый желающий.
Да на изучение данной площадки, ее особенностей, инструментов, вам потребуется потратить достаточно много времени и усилий. Но все это оправдается на практике. А что делать сейчас, пока вы не особо вникли в тематику кибербезопасности? Одно из лучших решений на сегодня в сфере обеспечения собственной безопасности в сети – использование в работе мобильных прокси от сервиса MobileProxy.Space. Такие серверы-посредники будут подменять ваш IP-адрес и геолокацию на собственные технические параметры, тем самым обеспечивая:
- анонимность и конфиденциальность работы в сети;
- защиту от любого несанкционированного доступа, в том числе и хакерских атак;
- эффективное обхождение региональных блокировок, получение доступа к ресурсам из любого уголка планеты благодаря выбору подходящей геолокации;
- более высокую скорость интернета;
- удобную и простую работу, минимум настроек, возможность смены IP-адреса автоматически (по таймеру) или принудительно (по ссылке с личного кабинета).
Здесь вы сможете познакомиться более подробно с функциональными возможностями мобильных прокси от сервиса MobileProxy.Space, актуальными ценами и другой важной информацией. Также есть возможность воспользоваться бесплатно двухчасовым тестированием для проверки продукта. Можете быть уверены, что уровня защиты, который предоставит вам данный продукт будет более, чем достаточно для того, чтобы обеспечить себе максимально стабильную функциональную работу в интернете без рисков.