CEH v13 AI – CEH VIETNAM

Hiểu & Áp Dụng MITRE ATT&CK P3 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

Hiểu & Áp Dụng MITRE ATT&CK P3.1 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập bạn đã dành thời gian để đọc cả Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa và Chương 2 về sử dụng ATT&CK cho phát hiện và phân tích! Chúng…

IT-PRO

Hiểu & Áp Dụng MITRE ATT&CK P3.1 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

bạn đã dành thời gian để đọc cả Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa và Chương 2 về sử dụng ATT&CK cho phát hiện và phân tích! Chúng tôi ở đây để mang đến cho bạn chương thứ ba, lần này đề cập đến mô phỏng kẻ tấn công và kiểm tra thâm nhập với ATT&CK để chứng minh cách chúng ta có thể kiểm tra những phân tích mới mà John đã chỉ cho chúng ta cách xây dựng.

Tiếp tục chủ đề của các chương trước, phần này sẽ được chia thành các cấp độ dựa trên mức độ phức tạp của đội bạn và những tài nguyên bạn có thể tiếp cận:

Cấp độ 1 dành cho những người mới bắt đầu có thể không có nhiều tài nguyên Cấp độ 2 dành cho những đội cấp trung bắt đầu trưđng thành Cấp độ 3 dành cho những đội an ninh mạng tiên tiến hơn và có nhiều tài nguyên

Đối với những người không quen thuộc với nó, mô phỏng kẻ tấn công là một loại hoạt động đội đỏ bắt chước một mối đe dọa đã biết đối với một tổ chức bằng cách kết hợp tình báo về mối đe dọa để xác định những hành động và hành vi mà đội đỏ sử dụng. Đây là điều làm cho mô phỏng kẻ tấn công khác với kiểm tra thâm nhập và các hình thức kiểm tra thâm nhập khác.

Những người mô phỏng kẻ tấn công xây dựng một kịch bản để kiểm tra một số khía cạnh nhất định của chiến thuật, kỹ thuật và thủ tục (TTPs) của kẻ tấn công. Sau đó, đội đỏ thực hiện theo kịch bản trong khi hoạt động trên một mạng mục tiêu để kiểm tra cách các biện pháp phòng thủ có thể chống lại kẻ tấn công được mô phỏng.

Vì ATT&CK là một cơ sở kiến thức lớn về các hành vi kẻ tấn công trong thế giới thực, nên không cần nhiều trí tưởng tượng để thấy mối liên hệ giữa hành vi của kẻ tấn công hoặc đội đỏ và ATT&CK. Hãy cùng khám phá cách các đội bảo mật có thể sử dụng ATT&CK để mô phỏng kẻ tấn công nhằm giúp cải thiện tổ chức của họ.

CẤP ĐỘ 1

Các đội nhỏ và những đội chủ yếu tập trung vào phòng thủ có thể nhận được rất nhiều lợi ích từ việc mô phỏng kẻ tấn công ngay cả khi họ không có quyền truy cập vào đội đỏ, vì vậy đừng lo lắng! Có khá nhiều tài nguyên có sẵn để giúp bắt đầu kiểm tra khả năng phòng thủ của bạn với các kỹ thuật phù hợp với ATT&CK. Chúng tôi sẽ nêu bật cách bạn có thể bắt đầu mô phỏng kẻ tấn công bằng cách thử các bài kiểm tra đơn giản.

Atomic Red Team, một dự án mã nguồn mở được duy trì bởi Red Canary, là một bộ sưu tập các tập lệnh có thể được sử dụng để kiểm tra cách bạn có thể phát hiện các kỹ thuật và thủ tục nhất định được ánh xạ tới các kỹ thuật ATT&CK. Ví dụ, có thể bạn đã làm theo lời khuyên trong Chương 1 và xem xét các kỹ thuật được sử dụng bởi APT3 như Network Share Discovery (T1135). Đội tình báo của bạn đã chuyển điều này cho đội phát hiện của bạn và, tuân theo hướng dẫn trong Chương 2, họ đã viết một phân tích hành vi để cố gắng phát hiện nếu một kẻ tấn công thực hiện kỹ thuật này. Nhưng làm thế nào bạn biết liệu bạn có thực sự phát hiện được kỹ thuật đó không?

Atomic Red Team có thể được sử dụng để kiểm tra các kỹ thuật và thủ tục riêng lẻ để xác minh rằng các phân tích hành vi và khả năng giám sát đang hoạt động như mong đợi.

Kho lưu trữ Atomic Red Team có nhiều bài kiểm tra nguyên tử, mỗi bài có một thư mục dành riêng cho kỹ thuật ATT&CK được kiểm tra. Bạn có thể xem toàn bộ kho lưu trữ ở định dạng Ma trận ATT&CK.

Để bắt đầu kiểm tra, hãy chọn trang T1135 để xem chi tiết và các loại bài kiểm tra nguyên tử khác nhau được ghi lại. Mỗi bài kiểm tra này chứa thông tin về kỹ thuật là gì, các nền tảng được hỗ trợ và cách thực hiện bài kiểm tra.

CHI TIẾT BÀI KIỂM TRA NGUYÊN TỬ T1135

Chúng ta thấy có ba tùy chọn kiểm tra và quyết định chọn #2 để kiểm tra bằng dòng lệnh. Vì vậy, chúng ta mở dòng lệnh, sao chép và dán lệnh, thêm vào tên máy tính và thực thi lệnh.

Chúng ta vừa thực hiện bài kiểm tra nguyên tử đầu tiên của mình! Khi thực hiện xong, chúng ta có thể xem xét để xem liệu những gì chúng ta mong đợi phát hiện có phải là những gì chúng ta thực sự phát hiện không. Ví dụ, có thể chúng ta có một phân tích hành vi trong công cụ SIEM của mình lẽ ra phải cảnh báo khi “net view” được thực thi, nhưng chúng ta thấy nó không kích hoạt, vì vậy chúng ta tìm ra rằng nhật ký không được xuất chính xác từ máy chủ của chúng ta. Bạn khắc phục sự cố và sửa vấn đề, và giờ đây bạn đã có một cải tiến đo lường được để giúp bạn có cơ hội tốt hơn để bắt được một kẻ tấn công sử dụng thủ tục này trong tương lai.

Những bài kiểm tra đơn lẻ này cho phép tập trung chính xác vào các kỹ thuật ATT&CK riêng lẻ, điều này làm cho việc xây dựng phạm vi bao phủ phòng thủ dựa trên ATT&CK dễ tiếp cận hơn vì bạn có thể bắt đầu với một bài kiểm tra duy nhất cho một kỹ thuật duy nhất và mở rộng từ đó.

CHU TRÌNH KIỂM TRA NGUYÊN TỬ VỚI ATT&CK

Nội dung Cấp độ 1.5 bổ sung: Đã có quy trình sử dụng Atomic Red Team để thực hiện kiểm tra mô phỏng kẻ tấn công và sẵn sàng cho thứ gì đó có thể giúp kết nối chuỗi chuỗi hành vi? Hãy xem CALDERA tiếp theo! CALDERA là một hệ thống mô phỏng kẻ tấn công tự động được tạo ra bởi MITRE có nhiều hành vi tích hợp được ánh xạ tới các kỹ thuật ATT&CK. Nó cho phép người vận hành chọn một kỹ thuật hoặc kết nối nhiều kỹ thuật lại với nhau khi xây dựng bài kiểm tra, điều này cho phép bạn bắt đầu tự động hóa chuỗi hành vi cho việc kiểm tra của bạn thay vì thực thi thủ công từng Bài kiểm tra nguyên tử đơn lẻ. Bạn có thể sử dụng một trong các kịch bản được tích hợp sẵn hoặc xác định một kịch bản cụ thể hơn bằng cách chọn các thủ tục (được gọi là khả năng trong CALDERA) ánh xạ tới các kỹ thuật ATT&CK nhất định mà bạn muốn kiểm tra.

CẤP ĐỘ 2

Đối với những người trong số các bạn đã có khả năng đội đỏ, bạn có thể nhận được rất nhiều bằng cách tích hợp ATT&CK vào các hoạt động hiện có của mình. Ánh xạ các kỹ thuật được sử dụng trong một hoạt động đội đỏ tới ATT&CK cung cấp một khuôn khổ chung khi viết báo cáo và thảo luận về các biện pháp giảm thiểu.

Để bắt đầu, bạn có thể lấy một hoạt động đã lên kế hoạch hoặc công cụ bạn sử dụng và ánh xạ nó vào ATT&CK. Ánh xạ các thủ tục đội đỏ vào ATT&CK tương tự như ánh xạ tình báo về mối đe dọa vào ATT&CK, vì vậy bạn có thể muốn xem các khuyến nghị của Katie cho một quy trình sáu bước được nêu trong Chương 1.

May mắn thay, đôi khi việc ánh xạ các kỹ thuật có thể đơn giản như tìm kiếm lệnh được sử dụng trên trang web ATT&CK. Ví dụ, nếu chúng ta đã sử dụng lệnh “whoami” trong hoạt động đội đỏ của chúng ta, chúng ta có thể tìm kiếm điều đó trên trang web ATT&CK và thấy rằng hai kỹ thuật có thể áp dụng: System Owner/User Discovery (T1033) và Command-Line Interface (T1059).

CHỨC NĂNG TÌM KIẾM TRÊN HTTPS://ATTACK.MITRE.ORG

Một tài nguyên hữu ích khác để giúp bạn bắt đầu ánh xạ các thủ tục đội đỏ vào ATT&CK là Sổ tay thực địa mô phỏng kẻ tấn công APT3, chia nhỏ các hành động lệnh-theo-lệnh mà APT3 đã sử dụng, tất cả được ánh xạ vào ATT&CK.

| 23 |

BẮT ĐẦU VỚI ATT&CK: Mô phỏng kẻ tấn công và Kiểm tra thâm nhập | Blake Strom, Tim Schulz, và Katie Nickels

TRÍCH ĐOẠN TỪ “SỔ TAY THỰC ĐỊA MÔ PHỎNG KẺ TẤN CÔNG APT3” CỦA CHÚNG TÔI

Nếu đội đỏ của bạn đang sử dụng các công cụ như Cobalt Strike hoặc Empire, tin tốt là—những công cụ này đã được ánh xạ vào ATT&CK. Được trang bị với các lệnh, tập lệnh và công cụ riêng lẻ của bạn được ánh xạ vào ATT&CK, giờ đây bạn có thể lập kế hoạch cho hoạt động của mình.

Một số đội đỏ có bộ công cụ và phương pháp hoạt động đã được thử nghiệm và tin cậy. Họ biết những gì hiệu quả vì nó luôn hiệu quả. Nhưng điều họ không phải lúc nào cũng biết là bao nhiêu TTP đã thử nghiệm và tin cậy của họ trùng lặp (hoặc không!) với các mối đe dọa đã biết có thể nhắm mục tiêu vào tổ chức. Điều đó dẫn đến một khoảng trống trong việc hiểu mức độ hoạt động tốt của các biện pháp phòng thủ để chống lại những gì bạn thực sự đang cố gắng phòng thủ – những kẻ tấn công nhắm mục tiêu vào môi trường của bạn và không nhất thiết phải là chính đội đỏ.

Chúng ta muốn đảm bảo rằng chúng ta không chỉ thực hiện các kỹ thuật vì công cụ của chúng ta có thể thực hiện chúng – chúng ta muốn mô phỏng một kẻ tấn công thực sự mà chúng ta quan tâm để cung cấp giá trị hơn. Ví dụ, chúng ta có thể nói chuyện với đội CTI của mình và họ nói với chúng ta rằng họ lo ngại về việc bị nhắm mục tiêu từ nhóm Iran được biết đến với tên OilRig.

Vì mọi thứ đều được cấu trúc trong ATT&CK, chúng ta có thể sử dụng ATT&CK Navigator để so sánh các kỹ thuật mà chúng ta có thể thực hiện với một công cụ chúng ta đã có, như Cobalt Strike, với các kỹ thuật mà chúng ta biết OilRig đã làm dựa trên báo cáo nguồn mở. (Bạn có thể xem bản demo của Navigator cho thấy cách thực hiện điều này.) Trong hình đồ họa tiếp theo, các kỹ thuật của Cobalt Strike được tô màu đỏ, các kỹ thuật của OilRig được tô màu xanh dương, và các kỹ thuật mà Cobalt Strike có thể thực hiện và OilRig đã sử dụng được tô màu tím.

Những kỹ thuật màu tím này cho chúng ta một điểm khởi đầu để sử dụng một công cụ chúng ta đã có và thực hiện các kỹ thuật là ưu tiên cho tổ chức của chúng ta.

MA TRẬN ATT&CK HIỂN THỊ SỰ TRÙNG LẶP KỸ THUẬT CỦA COBALT STRIKE VÀ OILRIG

Ngoài việc xác định sự trùng lặp giữa Cobalt Strike và OilRig, phân tích này cũng có thể cho thấy những cơ hội để thay đổi hành vi của đội đỏ ngoài những gì họ thường sử dụng xuống đến cấp độ thủ tục.

Có thể có những trường hợp mà một kỹ thuật được triển khai theo một cách cụ thể trong các công cụ mà đội đỏ sử dụng, nhưng một kẻ tấn công không được biết là thực hiện nó theo cách đó. Có kiến thức đó giúp đội đỏ sử dụng các hành vi khác nhau giữa các bài kiểm tra để bao quát tốt hơn những gì các mối đe dọa được biết là làm như một phần của quá trình mô phỏng kẻ tấn công.

Ở thời điểm này, chúng ta cũng có thể thêm vào các kỹ thuật mà chúng ta muốn thực hiện thủ công bằng các lệnh hoặc tập lệnh. Sau đó chúng ta có thể thêm nhận xét vào Navigator về thứ tự chúng ta sẽ thực thi các kỹ thuật và cách chúng ta sẽ thực hiện chúng.

Mặc dù có những lợi ích khi ánh xạ vào ATT&CK khi chúng ta lập kế hoạch cho các hoạt động đội đỏ, chúng ta cũng thu được phần thưởng sau khi đã thực hiện hoạt động của mình khi chúng ta giao tiếp lại với đội xanh của chúng ta. Nếu họ đang ánh xạ phân tích, phát hiện và kiểm soát trở lại ATT&CK, bạn có thể dễ dàng giao tiếp với họ bằng một ngôn ngữ chung về những gì bạn đã làm và những gì họ đã thành công. Đưa một hình ảnh ATT&CK Navigator (và thậm chí một lớp Navigator đã lưu) vào một báo cáo có thể giúp quá trình này và cung cấp cho họ một mẫu để cải thiện.

Nội dung Cấp độ 2.5 bổ sung: Sau khi sử dụng ATT&CK để lập kế hoạch cho các hoạt động và báo cáo kết quả, hãy thử sử dụng Kế hoạch mô phỏng APT3 hoặc kịch bản Đánh giá ATT&CK Vòng 1 dựa trên kế hoạch đó để tiến hành một hoạt động mô phỏng APT3 để cho thấy một bài kiểm tra cơ sở chống lại một nhóm kẻ tấn công cụ thể.

CẤP ĐỘ 3

Đến lúc này, đội đỏ của bạn đang tích hợp ATT&CK vào các hoạt động và tìm thấy giá trị trong việc giao tiếp lại với đội xanh. Để nâng cao hơn nữa các đội của bạn và tác động mà họ đang tạo ra, bạn có thể hợp tác với đội CTI của tổ chức để điều chỉnh các hoạt động hướng tới một kẻ tấn công cụ thể bằng cách sử dụng dữ liệu họ thu thập bằng cách tạo kế hoạch mô phỏng kẻ tấn công của riêng bạn.

Việc tạo kế hoạch mô phỏng kẻ tấn công của riêng bạn dựa vào điểm mạnh nhất của việc kết hợp kiểm tra thâm nhập với tình báo về mối đe dọa của riêng bạn: các hành vi được nhìn thấy từ những kẻ tấn công trong thế giới thực nhắm mục tiêu vào bạn! Đội đỏ có thể biến thông tin tình báo đó thành các bài kiểm tra hiệu quả để cho thấy những biện pháp phòng thủ nào hoạt động tốt và cần nguồn lực ở đâu để cải thiện.

Có một mức độ tác động cao hơn nhiều khi các lỗ hổng về khả năng hiển thị và kiểm soát được phát hiện bởi kiểm tra bảo mật khi bạn có thể cho thấy khả năng cao rằng chúng đã được tận dụng bởi một kẻ tấn công đã biết. Liên kết CTI của riêng bạn với các nỗ lực mô phỏng kẻ tấn công sẽ tăng cả hiệu quả của việc kiểm tra và đầu ra cho lãnh đạo cấp cao để thực hiện thay đổi.

Chúng tôi khuyến nghị một quy trình năm bước được mô tả trong sơ đồ dưới đây để tạo kế hoạch mô phỏng kẻ tấn công, thực hiện hoạt động và thúc đẩy cải tiến phòng thủ. (Để có một phác thảo chi tiết hơn về quy trình, hãy xem bài thuyết trình của Katie Nickels và Cody Thomas về Mô phỏng kẻ tấn công dựa trên mối đe dọa với ATT&CK.)

Hiểu & Áp Dụng MITRE ATT&CK P3.2 Mô phỏng kẻ tấn công và Kiểm tra thâm nhập

BẮT ĐẦU VỚI ATT&CK: Mô phỏng kẻ tấn công và Kiểm tra thâm nhập | Blake Strom, Tim Schulz, và Katie Nickels

  1. Thu thập thông tin tình báo—Chọn một kẻ tấn công dựa trên các mối đe dọa đối với tổ chức của bạn và làm việc với đội CTI để phân tích thông tin tình báo về những gì kẻ tấn công đã làm. Kết hợp những gì dựa trên những gì tổ chức của bạn biết ngoài thông tin tình báo có sẵn công khai để ghi lại các hành vi của kẻ tấn công, những gì họ nhắm mục tiêu, liệu họ thực hiện tấn công nhanh chóng hay từ từ và kín đáo.
  2. Trích xuất kỹ thuật—Theo cách tương tự như bạn đã ánh xạ các hoạt động đội đỏ của mình vào các kỹ thuật ATT&CK, hãy ánh xạ thông tin tình báo bạn có vào các kỹ thuật cụ thể cùng với đội tình báo của bạn. Bạn có thể chỉ cho đội CTI của mình xem Chương 1 để giúp họ học cách làm điều này.
  3. Phân tích & tổ chức—Bây giờ bạn đã có một lượng lớn thông tin tình báo về kẻ tấn công và cách họ hoạt động, hãy vẽ sơ đồ thông tin đó thành luồng hoạt động của họ theo cách dễ dàng để tạo các kế hoạch cụ thể từ đó. Ví dụ, dưới đây là luồng hoạt động mà đội MITRE đã tạo ra cho Kế hoạch mô phỏng kẻ tấn công APT3.

LUỒNG HOẠT ĐỘNG CỦA APT3

  1. Phát triển công cụ và thủ tục—Bây giờ bạn đã biết những gì bạn muốn đội đỏ làm, hãy tìm ra cách triển khai hành vi. Xem xét: Nhóm đe dọa đã sử dụng kỹ thuật này như thế nào? Nhóm có thay đổi kỹ thuật được sử dụng dựa trên bối cảnh môi trường không? Chúng ta có thể sử dụng những công cụ nào để sao chép các TTP này?
  2. Mô phỏng kẻ tấn công—Với một kế hoạch đã có, đội đỏ bây giờ có khả năng thực thi và thực hiện một hoạt động mô phỏng. Như chúng tôi đã khuyến nghị cho tất cả các hoạt động đội đỏ sử dụng ATT&CK, đội đỏ nên làm việc chặt chẽ với đội xanh để có được hiểu biết sâu sắc về những lỗ hổng trong khả năng hiển thị của đội xanh và tại sao chúng tồn tại.

Khi toàn bộ quá trình này diễn ra, các đội đỏ và xanh có thể làm việc với đội CTI để xác định mối đe dọa tiếp theo để lặp lại quy trình, tạo ra một hoạt động liên tục kiểm tra khả năng phòng thủ chống lại các hành vi trong thế giới thực.

TÓM TẮT

Chương này đã cho bạn thấy cách sử dụng ATT&CK cho kiểm tra thâm nhập và mô phỏng kẻ tấn công, bất kể bạn có những tài nguyên gì (kể cả khi bạn chưa có đội đỏ). Chúng tôi hy vọng bạn đã quan sát thấy trong suốt cuốn sách này rằng mỗi chủ đề này xây dựng trên chủ đề khác, với tình báo về mối đe dọa thông báo việc tạo ra các phân tích có thể được xác thực và cải thiện thông qua mô phỏng kẻ tấn công—tất cả trong khi sử dụng ngôn ngữ chung của ATT&CK. Chương tiếp theo (và cuối cùng) sẽ nói về việc thực hiện đánh giá và kỹ thuật với ATT&CK, hoàn thành loạt bài Bắt đầu với ATT&CK của chúng tôi.

Bình luận về bài viết này

Thịnh hành