Hiểu & Áp Dụng MITRE ATT&CK Trong CEH – CHFI – CPENT – LPT & SECURITY+ PENTEST+ CYSA+ CASP+ (P1 Tình báo về mối đe dọa)

Hiểu & Áp Dụng MITRE ATT&CK P2 Phát hiện và phân tích

Hiểu & Áp Dụng MITRE ATT&CK P3 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

Hiểu & Áp Dụng MITRE ATT&CK P4 Đánh giá và Kỹ thuật

Môt số tình huống áp dụng ATT&CK :

1. Tình báo mối đe dọa: Một công ty công nghệ phát hiện ra rằng nhóm APT41 đang nhắm mục tiêu vào ngành của họ. Họ sử dụng ATT&CK để xác định các kỹ thuật mà APT41 thường sử dụng, chẳng hạn như:

• T1566: Phishing
• T1059: Command and Scripting Interpreter
• T1053: Scheduled Task/Job

Công ty chia sẻ thông tin này với đội phòng thủ để ưu tiên phát triển các biện pháp phòng chống.

2. Phát hiện và phân tích: Dựa trên thông tin trên, đội phòng thủ xây dựng các quy tắc phát hiện như:

• Giám sát các tệp đính kèm email đáng ngờ (chống phishing)
• Phát hiện việc sử dụng PowerShell bất thường (Command and Scripting Interpreter)
• Theo dõi việc tạo các tác vụ lên lịch không xác định (Scheduled Task)

3. Mô phỏng kẻ tấn công: Đội đỏ thực hiện một cuộc tấn công mô phỏng sử dụng các kỹ thuật của APT41:

• Gửi email lừa đảo với tệp đính kèm độc hại
• Sử dụng PowerShell để tải xuống và thực thi mã độc
• Tạo tác vụ lên lịch để duy trì quyền truy cập

4. Đánh giá và cải tiến: Sau cuộc tấn công mô phỏng, công ty đánh giá hiệu quả của các biện pháp phòng thủ:

• Email lừa đảo bị chặn bởi bộ lọc spam nâng cao
• Việc sử dụng PowerShell bất thường được phát hiện nhưng có độ trễ
• Tác vụ lên lịch độc hại không bị phát hiện

Dựa trên kết quả này, họ cải thiện hệ thống giám sát PowerShell và triển khai giám sát tác vụ lên lịch.

Tình huống tổng quát áp dụng framework:

Một ngân hàng lớn quyết định áp dụng ATT&CK để cải thiện khả năng bảo mật:

1. Thu thập thông tin tình báo: Họ xác định các nhóm tấn công nhắm vào ngành tài chính như Carbanak và FIN7, nghiên cứu các kỹ thuật phổ biến được sử dụng.
2. Xây dựng hệ thống phát hiện: Dựa trên các kỹ thuật đã xác định, họ phát triển và triển khai các quy tắc phát hiện mới trong SIEM.
3. Mô phỏng kẻ tấn công: Đội đỏ thực hiện các cuộc tấn công mô phỏng dựa trên TTP của Carbanak và FIN7 để kiểm tra hiệu quả của hệ thống phòng thủ.
4. Đánh giá và cải tiến: Họ sử dụng ATT&CK Navigator để trực quan hóa phạm vi bao phủ hiện tại, xác định các khoảng trống, và ưu tiên các khoản đầu tư an ninh trong tương lai.
5. Lặp lại quy trình: Định kỳ, họ cập nhật thông tin tình báo, điều chỉnh hệ thống phát hiện, thực hiện các cuộc tấn công mô phỏng mới, và tiếp tục cải thiện khả năng phòng thủ.

Bằng cách áp dụng framework ATT&CK một cách có hệ thống, ngân hàng có thể liên tục cải thiện tư thế bảo mật của mình trước các mối đe dọa đang phát triển.

Có nhiều tổ chức và công ty đã áp dụng framework MITRE ATT&CK trong thực tế. Dưới đây là một số ví dụ cụ thể:

1. Microsoft: Microsoft đã tích hợp ATT&CK vào nhiều sản phẩm bảo mật của họ, bao gồm Microsoft Defender for Endpoint. Họ sử dụng ATT&CK để phân loại các mối đe dọa và cung cấp thông tin chi tiết về các cuộc tấn công cho khách hàng của mình.

Ví dụ: Trong báo cáo về một cuộc tấn công, Microsoft Defender for Endpoint sẽ hiển thị các kỹ thuật ATT&CK được sử dụng, giúp các đội bảo mật hiểu rõ hơn về phương pháp tấn công và cách phòng chống.

2. IBM: IBM đã tích hợp ATT&CK vào nền tảng IBM QRadar SIEM của họ. Họ sử dụng ATT&CK để cung cấp bối cảnh cho các cảnh báo bảo mật và giúp các nhà phân tích hiểu rõ hơn về các mối đe dọa.

Ví dụ: Khi QRadar phát hiện một hoạt động đáng ngờ, nó sẽ liên kết hoạt động đó với các kỹ thuật ATT&CK tương ứng, giúp các nhà phân tích nhanh chóng hiểu được ý nghĩa và mức độ nghiêm trọng của mối đe dọa.

3. Splunk: Splunk đã tích hợp ATT&CK vào nền tảng Splunk Enterprise Security của họ. Họ sử dụng ATT&CK để cung cấp khung tham chiếu cho việc phát hiện mối đe dọa và ứng phó sự cố.

Ví dụ: Splunk cung cấp các bảng điều khiển và báo cáo dựa trên ATT&CK, cho phép các đội bảo mật dễ dàng theo dõi phạm vi bao phủ của họ đối với các kỹ thuật tấn công khác nhau.

4. Red Canary: Red Canary, một công ty cung cấp dịch vụ phát hiện và ứng phó mối đe dọa, đã áp dụng ATT&CK rộng rãi trong các hoạt động của họ. Họ sử dụng ATT&CK để phân loại các mối đe dọa, cung cấp bối cảnh cho các cảnh báo, và hướng dẫn các nỗ lực săn tìm mối đe dọa.

Ví dụ: Trong báo cáo hàng năm về mối đe dọa, Red Canary sử dụng ATT&CK để phân tích và trình bày các xu hướng tấn công mà họ quan sát được trong suốt năm.

5. US Department of Defense (DoD): Bộ Quốc phòng Hoa Kỳ đã áp dụng ATT&CK trong các hoạt động an ninh mạng của họ. Họ sử dụng ATT&CK để chuẩn hóa ngôn ngữ về các mối đe dọa mạng và cải thiện khả năng phòng thủ.

Ví dụ: DoD đã sử dụng ATT&CK trong các cuộc diễn tập mạng để mô phỏng các cuộc tấn công thực tế và đánh giá khả năng phòng thủ của họ.

6. Bank of America: Bank of America đã áp dụng ATT&CK trong chiến lược bảo mật của họ. Họ sử dụng nó để cải thiện khả năng phát hiện mối đe dọa và hướng dẫn các nỗ lực săn tìm mối đe dọa.

Ví dụ: Ngân hàng sử dụng ATT&CK để đào tạo các nhà phân tích bảo mật của họ, giúp họ hiểu rõ hơn về các kỹ thuật tấn công và cách phát hiện chúng.

Những ví dụ này cho thấy ATT&CK đã được áp dụng rộng rãi trong nhiều lĩnh vực và tổ chức khác nhau, từ các công ty công nghệ lớn đến các cơ quan chính phủ và tổ chức tài chính. Framework này đã trở thành một công cụ quan trọng trong việc cải thiện khả năng phòng thủ mạng và ứng phó với các mối đe dọa.

Các ví dụ minh họa áp dụng ATT&CK theo các Chương 1 -2-3-4 và Cấp độ 1-2-3

Chương 1 về Tình báo mối đe dọa:

Cấp độ 1:

Ví dụ: Một công ty khởi nghiệp trong lĩnh vực fintech với đội ngũ an ninh mạng nhỏ.

1. Họ chọn nhóm APT38, một nhóm được biết đến với việc nhắm mục tiêu vào các tổ chức tài chính.
2. Sử dụng trang web ATT&CK, họ xác định một số kỹ thuật mà APT38 thường sử dụng:
   • T1133: External Remote Services
   • T1078: Valid Accounts
   • T1486: Data Encrypted for Impact
3. Họ chia sẻ thông tin này với đội phòng thủ, khuyến nghị:
   • Tăng cường giám sát các dịch vụ từ xa
   • Triển khai xác thực đa yếu tố
   • Cải thiện chiến lược sao lưu dữ liệu

Cấp độ 2:

Ví dụ: Một công ty bảo hiểm trung bình với đội tình báo mối đe dọa 3-4 người.

1. Họ quyết định tự ánh xạ một báo cáo mới về chiến dịch tấn công nhắm vào ngành bảo hiểm.
2. Sử dụng quy trình 6 bước, họ xác định các kỹ thuật như:
   • T1566.001: Phishing: Spearphishing Attachment
   • T1204.002: User Execution: Malicious File
   • T1027: Obfuscated Files or Information
3. Họ so sánh kết quả ánh xạ với các đồng nghiệp để đảm bảo tính nhất quán.
4. Thông tin này được chia sẻ với đội phòng thủ để cập nhật các quy tắc phát hiện và chính sách bảo mật.

Cấp độ 3:

Ví dụ: Một ngân hàng lớn với đội tình báo mối đe dọa tiên tiến.

1. Họ thu thập và ánh xạ thông tin từ nhiều nguồn:
   • Dữ liệu nội bộ từ các sự cố trước đây
   • Báo cáo từ các nhà cung cấp tình báo mối đe dọa
   • Thông tin chia sẻ từ FS-ISAC (Financial Services Information Sharing and Analysis Center)
2. Sử dụng ATT&CK Navigator, họ tạo các bản đồ nhiệt cho:
   • Các kỹ thuật được sử dụng bởi các nhóm tấn công nhắm vào ngành tài chính (ví dụ: FIN7, Carbanak)
   • Các kỹ thuật đã quan sát được trong môi trường của họ
   • Khả năng phát hiện hiện tại của họ
3. Từ phân tích này, họ xác định:
   • Top 20 kỹ thuật phổ biến nhất đối với ngành của họ
   • Các khoảng trống trong khả năng phát hiện
   • Các ưu tiên cho việc cải thiện phòng thủ
4. Họ sử dụng thông tin này để:
   • Hướng dẫn đầu tư vào công nghệ bảo mật mới
   • Cập nhật kế hoạch đào tạo cho nhân viên
   • Điều chỉnh chiến lược săn tìm mối đe dọa chủ động
5. Định kỳ, họ cập nhật phân tích này để đảm bảo chiến lược phòng thủ luôn phù hợp với các mối đe dọa mới nổi.

Những ví dụ này minh họa cách các tổ chức ở các cấp độ trưởng thành khác nhau có thể áp dụng ATT&CK cho tình báo mối đe dọa, từ cách tiếp cận cơ bản đến phân tích toàn diện và chiến lược.

Chương 2 về Phát hiện và phân tích:

Cấp độ 1:

Ví dụ: Một công ty công nghệ nhỏ với nguồn lực an ninh hạn chế.

1. Xác định nguồn dữ liệu: Họ có Windows Event Logs và một SIEM cơ bản.
2. Chọn một phân tích có sẵn: Họ quyết định triển khai CAR-2016-03-002 để phát hiện việc sử dụng WMI từ xa.
3. Triển khai phân tích:
   • Họ dịch mã giả từ CAR thành truy vấn SIEM của họ.
   • Truy vấn: event_id=4688 AND process_name=”wmic.exe” AND command_line CONTAINS “node”
4. Kiểm tra và tinh chỉnh:
   • Ban đầu, họ nhận được nhiều cảnh báo sai.
   • Họ tinh chỉnh truy vấn để loại trừ các hoạt động WMI hợp pháp từ các máy quản trị.
5. Tự động hóa:
   • Họ thiết lập cảnh báo tự động trong SIEM khi phát hiện hoạt động WMI từ xa đáng ngờ.

Cấp độ 2:

Ví dụ: Một công ty tài chính trung bình với đội SOC chuyên dụng.

1. Phát triển phân tích tùy chỉnh: Họ quyết định viết phân tích cho kỹ thuật “Regsvr32” (T1218.010).
2. Nghiên cứu kỹ thuật:
   • Họ xem xét mô tả ATT&CK và các báo cáo liên quan.
   • Họ sử dụng Atomic Red Team để thực hiện các bài kiểm tra Regsvr32 trong môi trường lab.
3. Xây dựng phân tích:
   • Họ tạo một truy vấn SIEM để phát hiện việc sử dụng Regsvr32 đáng ngờ: process_name=”regsvr32.exe” AND (command_line CONTAINS “/i:http” OR command_line CONTAINS “/i:https”)
4. Kiểm tra và tinh chỉnh:
   • Họ chạy phân tích trên dữ liệu lịch sử và điều chỉnh để giảm cảnh báo sai.
   • Họ thực hiện các bài kiểm tra Atomic Red Team bổ sung để xác nhận hiệu quả.
5. Tích hợp với quy trình:
   • Họ thêm phân tích mới vào thư viện săn tìm mối đe dọa của họ.
   • Họ cập nhật playbook ứng phó sự cố để bao gồm các bước điều tra cho cảnh báo Regsvr32.

Cấp độ 3:

Ví dụ: Một tập đoàn đa quốc gia với đội an ninh mạng tiên tiến.

1. Phát triển phân tích toàn diện:
   • Họ tạo một bộ phân tích cho toàn bộ chiến thuật “Defense Evasion”.
2. Áp dụng “purple teaming”:
   • Đội đỏ thực hiện các kỹ thuật né tránh phòng thủ phức tạp.
   • Đội xanh liên tục điều chỉnh phân tích để phát hiện các biến thể mới.
3. Tự động hóa và cải tiến:
   • Họ xây dựng một pipeline CI/CD để tự động triển khai và kiểm tra các phân tích mới.
   • Họ sử dụng học máy để cải thiện phát hiện bất thường và giảm cảnh báo sai.
4. Tích hợp với SOAR (Security Orchestration, Automation and Response):
   • Các phân tích kích hoạt quy trình tự động để thu thập thêm bối cảnh và thực hiện các bước ứng phó ban đầu.
5. Đánh giá và cải tiến liên tục:
   • Họ sử dụng ATT&CK Navigator để theo dõi phạm vi bao phủ phát hiện.
   • Họ thực hiện đánh giá hàng quý để xác định và ưu tiên các khoảng trống trong phát hiện.
6. Chia sẻ thông tin:
   • Họ đóng góp các phân tích mới vào các kho lưu trữ cộng đồng như Sigma.
   • Họ tham gia vào các nhóm chia sẻ thông tin ngành để trao đổi về các kỹ thuật phát hiện mới.

Những ví dụ này minh họa cách các tổ chức ở các cấp độ trưởng thành khác nhau có thể áp dụng ATT&CK cho phát hiện và phân tích, từ việc triển khai các phân tích cơ bản đến phát triển một chương trình phát hiện toàn diện và tiên tiến.

Chương 3 về Mô phỏng kẻ tấn công và Kiểm tra thâm nhập:

Cấp độ 1:

Ví dụ: Một doanh nghiệp vừa và nhỏ trong lĩnh vực bán lẻ, không có đội đỏ chuyên dụng.

1. Chọn một kỹ thuật để kiểm tra: Họ quyết định tập trung vào “T1566 – Phishing”.
2. Sử dụng Atomic Red Team:
   • Họ tải xuống và cài đặt Atomic Red Team trên một máy thử nghiệm.
   • Họ chọn bài kiểm tra “T1566.001 – Spearphishing Attachment”.
3. Thực hiện kiểm tra:
   • Họ chạy bài kiểm tra, tạo ra một email lừa đảo giả với tệp đính kèm độc hại.
4. Đánh giá kết quả:
   • Họ kiểm tra xem hệ thống email security có phát hiện và chặn email không.
   • Họ xem xét các logs để xác định liệu có bất kỳ cảnh báo nào được tạo ra không.
5. Cải thiện:
   • Dựa trên kết quả, họ điều chỉnh cấu hình bộ lọc email và cập nhật các quy tắc phát hiện.

Cấp độ 2:

Ví dụ: Một công ty công nghệ trung bình với một đội đỏ nhỏ.

1. Ánh xạ hoạt động đội đỏ hiện tại vào ATT&CK:
   • Họ xem xét các chiến dịch đội đỏ trước đây và ánh xạ các kỹ thuật đã sử dụng vào ATT&CK.
2. Sử dụng ATT&CK Navigator:
   • Họ tạo một layer Navigator cho các kỹ thuật mà đội đỏ của họ thường sử dụng.
   • Họ tạo một layer khác cho các kỹ thuật được sử dụng bởi nhóm APT mà họ quan tâm (ví dụ: APT29).
3. So sánh và lập kế hoạch:
   • Họ so sánh hai layer để xác định sự chồng chéo và khoảng trống.
   • Họ lập kế hoạch một chiến dịch mới tập trung vào các kỹ thuật của APT29 mà họ chưa thử trước đây.
4. Thực hiện chiến dịch:
   • Đội đỏ thực hiện một chiến dịch sử dụng các kỹ thuật đã chọn.
   • Họ ghi lại chi tiết về cách họ thực hiện mỗi kỹ thuật.
5. Báo cáo và cải thiện:
   • Họ tạo một báo cáo sử dụng ngôn ngữ ATT&CK để mô tả chiến dịch.
   • Họ làm việc với đội xanh để xác định và khắc phục các khoảng trống trong phát hiện.

Cấp độ 3:

Ví dụ: Một tổ chức tài chính lớn với đội an ninh mạng tiên tiến.

1. Xây dựng kế hoạch mô phỏng kẻ tấn công tùy chỉnh:
   • Họ làm việc với đội CTI để xác định một nhóm tấn công cụ thể nhắm vào ngành tài chính (ví dụ: FIN7).
   • Họ thu thập thông tin chi tiết về TTP của FIN7 từ nhiều nguồn.
2. Trích xuất và tổ chức kỹ thuật:
   • Họ ánh xạ tất cả các kỹ thuật đã biết của FIN7 vào ATT&CK.
   • Họ tạo một sơ đồ luồng hoạt động chi tiết cho FIN7.
3. Phát triển công cụ và thủ tục:
   • Đội đỏ phát triển các công cụ tùy chỉnh để bắt chước các công cụ đã biết của FIN7.
   • Họ tạo các script để tự động hóa một số phần của cuộc tấn công.
4. Thực hiện mô phỏng:
   • Họ tiến hành một chiến dịch mô phỏng kéo dài nhiều tuần, bắt chước hành vi của FIN7.
   • Họ sử dụng các kỹ thuật né tránh phòng thủ tiên tiến và thay đổi TTP khi cần.
5. Đánh giá và cải thiện:
   • Họ tạo một báo cáo chi tiết so sánh hiệu suất của đội xanh với một cuộc tấn công FIN7 thực tế.
   • Họ xác định các khoảng trống trong phát hiện, ứng phó và khả năng phục hồi.
6. Lặp lại và mở rộng:
   • Họ lập kế hoạch cho các chiến dịch mô phỏng trong tương lai tập trung vào các nhóm tấn công khác.
   • Họ tích hợp các bài học từ mô phỏng vào chương trình đào tạo an ninh mạng của tổ chức.

Những ví dụ này minh họa cách các tổ chức ở các cấp độ trưởng thành khác nhau có thể áp dụng ATT&CK cho mô phỏng kẻ tấn công và kiểm tra thâm nhập, từ việc thực hiện các bài kiểm tra đơn giản đến tiến hành các chiến dịch mô phỏng phức tạp và toàn diện.

Chương 4 về Đánh giá và Kỹ thuật:

Cấp độ 1:

Ví dụ: Một công ty khởi nghiệp trong lĩnh vực phần mềm với đội bảo mật nhỏ.

1. Chọn một kỹ thuật: Họ quyết định tập trung vào “T1059 – Command and Scripting Interpreter”.
2. Đánh giá phạm vi bao phủ hiện tại:
   • Họ xem xét các log và cảnh báo hiện có.
   • Họ nhận ra rằng họ có một số cảnh báo cho việc sử dụng PowerShell, nhưng không có gì cho các interpreters khác.
3. Xác định nguồn dữ liệu:
   • Họ kiểm tra ATT&CK và thấy rằng Process Monitoring là một nguồn dữ liệu quan trọng.
   • Họ xác nhận rằng họ đang thu thập dữ liệu này thông qua Windows Event Logs.
4. Cải thiện phát hiện:
   • Họ tạo một quy tắc SIEM đơn giản để phát hiện việc sử dụng các command interpreters phổ biến (cmd.exe, powershell.exe, bash, python, etc.)
   • Họ thiết lập cảnh báo cho các lệnh đáng ngờ hoặc không phổ biến.
5. Kiểm tra:
   • Họ chạy một số lệnh hợp pháp và độc hại để kiểm tra quy tắc mới.
   • Họ tinh chỉnh quy tắc để giảm cảnh báo sai.

Cấp độ 2:

Ví dụ: Một công ty bảo hiểm trung bình với đội SOC chuyên dụng.

1. Mở rộng phạm vi đánh giá:
   • Họ quyết định đánh giá toàn bộ chiến thuật “Execution” trong ATT&CK.
2. Phân tích công cụ và phân tích hiện có:
   • Họ xem xét các công cụ EDR, SIEM và các quy tắc phát hiện hiện có.
   • Họ tạo một bản đồ nhiệt ATT&CK cho phạm vi bao phủ hiện tại, sử dụng mức độ tin cậy thấp/trung bình/cao.
3. Xác định khoảng trống:
   • Họ nhận ra rằng họ có phạm vi bao phủ tốt cho các kỹ thuật phổ biến như Script Execution, nhưng thiếu phát hiện cho các kỹ thuật như CMSTP.
4. Phát triển phân tích mới:
   • Họ tạo các quy tắc phát hiện mới cho các kỹ thuật chưa được bao phủ.
   • Họ sử dụng Atomic Red Team để kiểm tra các phát hiện mới.
5. Cập nhật quy trình:
   • Họ cập nhật playbooks ứng phó sự cố để bao gồm các kỹ thuật mới được phát hiện.
   • Họ thiết lập một quy trình để định kỳ đánh giá lại phạm vi bao phủ.

Cấp độ 3:

Ví dụ: Một ngân hàng đa quốc gia lớn với đội an ninh mạng tiên tiến.

1. Đánh giá toàn diện:
   • Họ thực hiện đánh giá toàn diện trên toàn bộ ma trận ATT&CK.
   • Họ tích hợp dữ liệu từ nhiều nguồn: công cụ, phân tích, và biện pháp giảm thiểu.
2. Phân tích sâu về công cụ:
   • Họ đánh giá chi tiết khả năng của mỗi công cụ bảo mật.
   • Họ tạo các bản đồ nhiệt riêng cho từng công cụ và so sánh chúng.
3. Tích hợp biện pháp giảm thiểu:
   • Họ ánh xạ các chính sách và kiểm soát hiện có vào các kỹ thuật ATT&CK.
   • Họ đánh giá hiệu quả của các biện pháp giảm thiểu thông qua mô phỏng kẻ tấn công.
4. Phỏng vấn và đánh giá quy trình:
   • Họ phỏng vấn các nhân viên SOC để hiểu cách các công cụ được sử dụng trong thực tế.
   • Họ xem xét các quy trình ứng phó sự cố và săn tìm mối đe dọa.
5. Phân tích khoảng trống và ưu tiên:
   • Họ sử dụng ATT&CK Navigator để trực quan hóa phạm vi bao phủ tổng thể.
   • Họ ưu tiên các khoảng trống dựa trên mối đe dọa cụ thể đối với ngành tài chính.
6. Kế hoạch cải thiện toàn diện:
   • Họ phát triển một lộ trình dài hạn để cải thiện khả năng phát hiện và ứng phó.
   • Họ cân nhắc giữa đầu tư vào công cụ mới và cải thiện quy trình hiện có.
7. Tự động hóa và liên tục cải thiện:
   • Họ triển khai một hệ thống tự động để cập nhật đánh giá phạm vi bao phủ.
   • Họ thiết lập một quy trình “purple teaming” liên tục để kiểm tra và cải thiện khả năng phòng thủ.

Những ví dụ này minh họa cách các tổ chức ở các cấp độ trưởng thành khác nhau có thể áp dụng ATT&CK cho đánh giá và kỹ thuật, từ việc tập trung vào một kỹ thuật đơn lẻ đến thực hiện đánh giá toàn diện và liên tục cải thiện khả năng phòng thủ của tổ chức.

Các khóa học Chất Lượng tại CEH VIETNAM

Huấn Luyện 100 Chiến Binh CEH Master