MITRE ATT&CK™ là một cơ sở kiến thức toàn cầu về chiến thuật và kỹ thuật của kẻ tấn công dựa trên quan sát thực tế. Cơ sở kiến thức ATT&CK được sử dụng làm nền tảng để phát triển các mô hình và phương pháp luận về mối đe dọa cụ thể trong khu vực tư nhân, chính phủ và cộng đồng sản phẩm và dịch vụ an ninh mạng.

Tài liệu này hướng dẫn cách bắt đầu sử dụng ATT&CK cho 4 trường hợp sử dụng chính:

1. Thu thập thông tin tình báo về mối đe dọa
2. Phát hiện và phân tích
3. Mô phỏng kẻ tấn công và kiểm tra thâm nhập
4. Đánh giá và cải thiện hệ thống

Mỗi chương được chia thành 3 cấp độ:

• Cấp 1: Dành cho người mới bắt đầu, có ít tài nguyên
• Cấp 2: Dành cho đội ngũ trung cấp đang phát triển
• Cấp 3: Dành cho đội ngũ an ninh mạng nâng cao và có nhiều tài nguyên

APT19 là một nhóm tin tặc được cho là có liên quan đến Trung Quốc. Dưới đây là một số thông tin chính về APT19:

1. Định nghĩa: APT19 (Advanced Persistent Threat 19) là một nhóm tấn công mạng tiên tiến và dai dẳng, được các chuyên gia an ninh mạng theo dõi và đặt tên.
2. Nguồn gốc: Nhóm này được cho là có liên quan đến chính phủ Trung Quốc, mặc dù điều này không được xác nhận chính thức.
3. Hoạt động: APT19 chủ yếu nhắm vào các tổ chức tài chính, pháp lý và đầu tư, đặc biệt là ở Mỹ và châu Âu.
4. Phương pháp tấn công:

• Sử dụng kỹ thuật lừa đảo (phishing) tinh vi
• Khai thác các lỗ hổng bảo mật trong phần mềm
• Sử dụng malware tùy chỉnh
• Thực hiện các cuộc tấn công chuỗi cung ứng

1. Mục tiêu: Thường nhắm vào việc đánh cắp thông tin nhạy cảm, bí mật thương mại và dữ liệu trí tuệ.
2. Thời gian hoạt động: Được phát hiện từ khoảng năm 2013 và vẫn tiếp tục hoạt động.
3. Tên gọi khác: Nhóm này còn được biết đến với các tên gọi khác như Codoso Team, C0d0so Team, Sunshop Group.
4. Đặc điểm nhận dạng: APT19 thường sử dụng các công cụ và kỹ thuật độc đáo, giúp các chuyên gia an ninh mạng có thể nhận diện được hoạt động của họ.

Việc hiểu biết về các nhóm APT như APT19 rất quan trọng đối với các chuyên gia an ninh mạng để phát triển các chiến lược phòng thủ hiệu quả. Tuy nhiên, cần lưu ý rằng thông tin về các nhóm APT thường xuyên thay đổi và cập nhật.

Chương 1 – Thu thập thông tin tình báo về mối đe dọa

Cấp độ 1:

• Chọn một nhóm tấn công mà bạn quan tâm từ danh sách các nhóm được liệt kê trên trang web ATT&CK
• Xem xét các kỹ thuật mà nhóm đó đã sử dụng
• Chia sẻ thông tin với đội phòng thủ để họ có thể tăng cường phát hiện

Ví dụ: Nếu bạn là một công ty dược phẩm / PHARMACEUTICAL, bạn có thể tìm kiếm trong thanh Tìm kiếm của MITRE ATT&CK hoặc trên trang Nhóm của MITRE ATT&CK để xác định rằng APT19 là một nhóm đã nhắm mục tiêu vào lĩnh vực của bạn.

TÌM KIẾM “PHARMACEUTICAL“
MÔ TẢ VỀ NHÓM APT19

Tiếp theo, bạn có thể mở trang của nhóm đó để xem các kỹ thuật họ đã sử dụng (chỉ dựa trên báo cáo nguồn mở đã ánh xạ) để bạn có thể tìm hiểu thêm về chúng. Nếu bạn cần thêm thông tin về kỹ thuật vì bạn không quen thuộc thì cũng không vấn đề gì – chúng có ngay trên trang web ATT&CK. Bạn có thể lặp lại điều này cho mỗi mẫu phần mềm mà chúng tôi đã ánh xạ nhóm sử dụng, mà chúng tôi theo dõi riêng trên trang web ATT&CK.

Ví dụ: Một kỹ thuật được sử dụng bởi APT19 là Registry Run Keys/Startup Folder.

Vậy làm thế nào để chúng ta biến thông tin này thành hành động, đó là toàn bộ mục đích của tình báo về mối đe dọa?

Hãy chia sẻ chúng với người bảo vệ của chúng ta, vì đây là một nhóm đã nhắm mục tiêu vào lĩnh vực của chúng ta và chúng ta muốn phòng thủ chống lại họ. Khi bạn làm điều này, bạn có thể xem trang web ATT&CK để tìm một số ý tưởng để bắt đầu với Phát hiện và Giảm thiểu các kỹ thuật. Ví dụ: Hãy cho người bảo vệ của bạn biết về registry run key cụ thể mà APT19 đã sử dụng. Tuy nhiên, họ có thể thay đổi điều đó và sử dụng một run key khác. Nếu bạn xem lời khuyên Phát hiện cho kỹ thuật này, bạn sẽ thấy một khuyến nghị là giám sát Registry để tìm các run key mới mà bạn không mong đợi sẽ thấy trong môi trường của mình. Đây sẽ là một cuộc trò chuyện tuyệt vời để có với người bảo vệ hay nhóm của bạn.

Ý TƯỞNG PHÁT HIỆN CHO KỸ THUẬT REGISTRY RUN KEYS / STARTUP FOLDER

Tóm lại, một cách dễ dàng để bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa là xem xét một nhóm kẻ thù duy nhất mà bạn quan tâm. Xác định một số hành vi mà họ đã sử dụng giúp bạn thông báo cho người bảo vệ của bạn về cách họ có thể cố gắng phát hiện nhóm đó.

CẤP ĐỘ 2 Nếu bạn có một đội ngũ các nhà phân tích mối đe dọa thường xuyên xem xét thông tin về kẻ thù, một hành động cấp tiếp theo bạn có thể thực hiện là tự ánh xạ thông tin tình báo vào ATT&CK thay vì sử dụng những gì người khác đã ánh xạ. Nếu bạn có một báo cáo về một sự cố mà tổ chức của bạn đã làm việc, đây có thể là một nguồn nội bộ tuyệt vời để ánh xạ vào ATT&CK, hoặc bạn có thể sử dụng một báo cáo bên ngoài như một bài đăng trên blog. Để bắt đầu dễ dàng hơn, bạn có thể chỉ bắt đầu với một báo cáo .

Ví dụ: Đây là một đoạn trích từ một báo cáo của FireEye đã được ánh xạ vào ATT&CK. Chúng tôi nhận ra rằng có thể đáng sợ khi cố gắng ánh xạ vào ATT&CK khi bạn không biết tất cả các kỹ thuật hàng trăm. Đây là một quy trình bạn có thể làm theo để giúp với điều này.

1. Hiểu ATT&CK—Làm quen với cấu trúc tổng thể của ATT&CK: chiến thuật (mục tiêu kỹ thuật của kẻ tấn công), kỹ thuật (cách thức đạt được những mục tiêu đó),và thủ tục (cách thực hiện cụ thể của các kỹ thuật). Hãy xem trang Bắt đầu của chúng tôi và Tài liệu Triết lý.

2. Tìm hành vi—Suy nghĩ về hành động của kẻ tấn công theo cách rộng hơn chỉ là chỉ số nguyên tử (như một địa chỉ IP) mà họ đã sử dụng. Ví dụ, phần mềm độc hại trong báo cáo trên “thiết lập kết nối SOCKS5.” Hành động thiết lập kết nối là một hành vi mà kẻ tấn công đã thực hiện.
3. Nghiên cứu hành vi—Nếu bạn không quen thuộc với hành vi, bạn có thể cần phải làm thêm nghiên cứu. Trong ví dụ của chúng ta, một chút nghiên cứu sẽ cho thấy rằng SOCKS5 là một giao thức Layer 5 (lớp phiên).
4. Dịch hành vi thành một chiến thuật—Xem xét mục tiêu kỹ thuật của kẻ tấn công cho hành vi đó và chọn một chiến thuật phù hợp. Tin tốt là: chỉ có 12 chiến thuật để chọn trong ATT&CK Enterprise. Đối với ví dụ kết nối SOCKS5, thiết lập kết nối để giao tiếp sau này sẽ thuộc chiến thuật Điều khiển và Chỉ huy.

5. Tìm ra kỹ thuật nào áp dụng cho hành vi—Điều này có thể hơi khó khăn, nhưng với kỹ năng phân tích của bạn và các ví dụ trên trang web ATT&CK, nó là có thể làm được. Nếu bạn tìm kiếm SOCKS trên trang web của chúng tôi, kỹ thuật Giao thức lớp không phải ứng dụng tiêu chuẩn (T1095) xuất hiện. Nhìn vào mô tả kỹ thuật, bạn sẽ thấy đây có thể là nơi hành vi của chúng ta phù hợp.

6. So sánh kết quả của bạn với các nhà phân tích khác—Tất nhiên, bạn có thể có một diễn giải khác về hành vi so với một nhà phân tích khác. Điều này là bình thường, và nó xảy ra mọi lúc trong nhóm ATT&CK! Tôi khuyên bạn nên so sánh việc ánh xạ ATT&CK của bạn về thông tin với một nhà phân tích khác và thảo luận về bất kỳ sự khác biệt nào.

Đối với những đội CTI có một vài nhà phân tích, tự ánh xạ thông tin vào ATT&CK có thể là một cách tốt để đảm bảo bạn đang nhận được thông tin phù hợp nhất để đáp ứng yêu cầu của tổ chức bạn. Từ đó, bạn có thể chuyển thông tin về kẻ tấn công đã được ánh xạ ATT&CK cho người bảo vệ của bạn để thông báo cho họ về phòng thủ, như chúng ta đã thảo luận ở trên.

CẤP ĐỘ 3

Nếu đội CTI của bạn là nâng cao, bạn có thể bắt đầu ánh xạ nhiều thông tin hơn vào ATT&CK, và sau đó sử dụng thông tin đó để ưu tiên cách bạn phòng thủ. Sử dụng quy trình trên, bạn có thể ánh xạ cả thông tin nội bộ và bên ngoài vào ATT&CK, bao gồm dữ liệu ứng phó sự cố, báo cáo từ OSINT hoặc đăng ký tình báo về mối đe dọa, cảnh báo thời gian thực và thông tin lịch sử của tổ chức bạn.

Một khi bạn đã ánh xạ dữ liệu này, bạn có thể làm một số điều thú vị để so sánh các nhóm và ưu tiên các kỹ thuật thường được sử dụng. Ví dụ, hãy xem cái nhìn ma trận này từ ATT&CK Navigator mà tôi đã chia sẻ trước đó với các kỹ thuật chúng tôi đã ánh xạ trên trang web ATT&CK. Các kỹ thuật chỉ được sử dụng bởi APT3 được đánh dấu màu xanh dương; những kỹ thuật chỉ được sử dụng bởi APT29 được đánh dấu màu vàng, và những kỹ thuật được sử dụng bởi cả APT3 và APT29 được đánh dấu màu xanh lá. (Tất cả điều này chỉ dựa trên thông tin có sẵn công khai mà chúng tôi đã ánh xạ, chỉ là một tập con của những gì các nhóm đó đã làm.)

CÁC KỸ THUẬT CỦA APT3 + APT29

Bạn nên thay thế các nhóm và kỹ thuật mà bạn quan tâm dựa trên các mối đe dọa hàng đầu của tổ chức bạn. Để giúp bạn tạo các lớp Navigator của riêng bạn như tôi đã làm ở trên, đây là hướng dẫn từng bước về các bước bạn có thể thực hiện để tạo ra ma trận trên, cũng như một video hướng dẫn cũng cung cấp tổng quan về chức năng của Navigator.

HƯỚNG DẪN TỪNG BƯỚC VỀ CÁCH SO SÁNH CÁC LỚP

VIDEO GIỚI THIỆU NAVIGATOR VÀ GIẢI THÍCH CÁCH SO SÁNH CÁC LỚP

Sau đó chúng ta có thể tổng hợp thông tin để xác định các kỹ thuật thường được sử dụng, điều này có thể giúp người bảo vệ biết những gì họ nên ưu tiên để phát hiện và giảm thiểu. Trong ma trận của chúng ta ở trên, nếu APT3 và APT29 là hai nhóm mà một tổ chức coi là mối đe dọa cao đối với họ, các kỹ thuật màu xanh lá có thể là ưu tiên cao nhất để xác định cách giảm thiểu và phát hiện. Nếu người bảo vệ của chúng ta đã đưa ra yêu cầu cho đội CTI giúp tìm ra nơi họ nên ưu tiên nguồn lực cho phòng thủ, chúng ta có thể chia sẻ thông tin này với họ như một nơi để họ bắt đầu.

Nếu người bảo vệ của chúng ta đã thực hiện đánh giá về những gì họ có thể phát hiện (mà chúng ta sẽ đề cập trong các chương sau), bạn có thể chồng thông tin đó lên những gì bạn biết về các mối đe dọa của bạn. Đây là một nơi tuyệt vời để tập trung nguồn lực của bạn vì bạn biết các nhóm mà bạn quan tâm đã sử dụng những kỹ thuật đó và bạn không thể phát hiện chúng!

Bạn có thể tiếp tục thêm vào các kỹ thuật mà bạn đã quan sát thấy kẻ tấn công thực hiện dựa trên dữ liệu bạn có và phát triển một “bản đồ nhiệt” về các kỹ thuật thường được sử dụng. Brian Beyer và tôi đã nói tại Hội nghị thượng đỉnh SANS CTI về cách chúng tôi đã đưa ra các “top 20” kỹ thuật khác nhau dựa trên các bộ dữ liệu do MITRE và Red Canary tuyển chọn. Đội của bạn có thể làm theo quy trình tương tự để tạo “top 20” của riêng bạn.

Quá trình ánh xạ các kỹ thuật ATT&CK này không hoàn hảo và có thiên vị, nhưng thông tin này vẫn có thể giúp bạn bắt đầu có được bức tranh rõ ràng hơn về những gì kẻ tấn công đang làm. (Bạn có thể đọc thêm về thiên vị và hạn chế trong bài trình bày slide này, và chúng tôi hy vọng sẽ chia sẻ thêm suy nghĩ sớm.)

Đối với một đội nâng cao muốn sử dụng ATT&CK cho CTI, ánh xạ các nguồn khác nhau vào ATT&CK có thể giúp bạn xây dựng hiểu biết sâu sắc về hành vi của kẻ tấn công để giúp ưu tiên và thông báo về phòng thủ trong tổ chức của bạn.

TÓM TẮT

Trong chương đầu tiên của hướng dẫn Bắt đầu, chúng tôi đã hướng dẫn bạn qua ba cấp độ khác nhau về cách bắt đầu với ATT&CK và tình báo về mối đe dọa, tùy thuộc vào tài nguyên của đội bạn. Trong các chương tới, chúng tôi sẽ đi sâu vào cách bạn có thể bắt đầu với các trường hợp sử dụng khác, bao gồm phát hiện và phân tích, mô phỏng kẻ tấn công và kiểm tra thâm nhập, và đánh giá và kỹ thuật.