целевые атаки
MITRE — не просто компания, которая занимается сравнением защитных решений. Это некоммерческая организация, декларирующая своей целью создание более безопасного мира. Всем, кто хоть как-то соприкасается с миром киберебезопасности, она известна в первую очередь как корпорация, собирающая и поддерживающая базу данных общеизвестных уязвимостей (Common Vulnerabilities and Exposures, CVE). Некоторое время назад ее эксперты продолжили работать в том же направлении и создали матрицу угроз MITRE ATT&CK.
Что такое MITRE ATT&CK
По большому счету MITRE ATT&CK — это публичная база знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Данные представлены в виде матрицы, по которой можно посмотреть, как атакующие проникают в инфраструктуру компаний, как закрепляются в ней, какие уловки предпринимают для того, чтобы их не обнаружили, и так далее. Тут надо заметить, что мы сейчас говорим о матрице угроз для информационных инфраструктур enterprise-компаний, но вообще MITRE работает еще над несколькими матрицами, в том числе — с угрозами для промышленных объектов и мобильных устройств.
Однако смысл MITRE ATT&CK не сводится к простому сбору информации ради знаний. База знаний позволяет строить модели угроз для различных отраслей промышленности и, что более важно, показывать, какие из известных угроз могут быть закрыты конкретными решениями и их комбинацией. В теории это происходит так: компания, выбирающая решения для защиты своей инфраструктуры, проецирует возможности «кандидата» на матрицу ATT&CK и смотрит, какие актуальные угрозы остались «незакрытыми». Как в Bingo. На практике для того, чтобы понять, какие из угроз выявляются конкретным защитным продуктом, MITRE проводит регулярные тесты, которые называются ATT&CK Evaluations.
Что такое ATT&CK Evaluations и как они проходят
Исследователи из MITRE выбирают некий прототип злоумышленника и в течение нескольких дней эмулируют его активность в тестовом пространстве, где работают испытываемые решения. Разумеется, они не копируют атаки прошлого один в один — это было бы слишком просто. Конкретные инструменты атакующих изменяются. Цель этого теста — понять, как решение детектирует различные фазы атаки, поэтому все защитные механизмы отключаются (в противном случае некоторые фазы было бы невозможно проверить). Подробную статью о процессе ATT&CK Evaluation и о том, как интерпретировать результаты теста, можно найти в разделе нашего корпоративного сайта, посвященном MITRE ATT&CK.
Какие продукты тестировались и каковы результаты?
Современная фаза теста называется APT29 Evaluation: исследователи эмулируют усилия APT29 — группы, также известной под именами CozyDuke, Cozy Bear и The Dukes. В этой фазе испытывалось наше решение Kaspersky Endpoint Detection and Response, а также сервис Kaspersky Managed Protection. Если вам интересно, какова была конфигурация решений, то о конкретных настройках можно прочитать в этой статье.
В целом наши решения показали себя хорошо — они выявили большую часть техник, эмулированных исследователями. Ключевые уловки киберпреступников (в фазах исполнения вредоносного кода, закрепления в системе, повышения привилегий и распространения по сети) были выявлены с высокой степенью точности. Более подробные результаты и их толкование читайте в разделе нашего корпоративного сайта, посвященного MITRE.
Советы