Вчера был на мероприятии, где с коллегой рассказывали о сценариях использования MITRE ATT&CK на практике. Мероприятие транслировалось и имеется запись. Мы немного коснулись технических внутренностей инфраструктуры сервиса KMP, поэтому доклад может быть полезен для практиков, решающих схожие задачи.
Вопрос практического применения ATT&CK раскрыт и в оригинальных документах MITRE, например, здесь, поэтому отмечу кратко лишь несколько моментов.
Во-первых, это вопрос покрытия: какие техники способно обнаружить то или иное решение. Достоверно и объективно оценить это на уровне техники крайне проблематично по этой причине: под каждую технику можно придумать очень много конкретных реализаций (процедур) и продетектить их все сложно, как минимум, потому что нет гарантии, что на данный момент они известны все. Оценивать покрытие можно только в рамках какого-то конкретного сценария (набора процедур), так же можно и сравнивать решения, что и сделала MITRE. Сравнивать решения по плотности закрашивания клеточек в табличке MITRE ATT&CK, без понимания на каких сценариях проводилось закрашивание и как классифицировались детекты, - некорректно и необъективно.
Во-вторых, хочется отметить вариант использования ATT&CK для классификации детекторов. Когда их несколько десятков и работает один человек, их еще можно все удержать в памяти, но когда их несколько сотен и работает целая команда без классификации уже не обойтись. Сценарий очевиден: когда есть необходимость продетектить очередную активность, и нужно решать задачу писать ли новый детектор или обновить существующий (а может, и несколько существующих), классификация сузит область для анализа имеющегося до уровня техники: существующие детекторы или их отсутствие можно будет быстрее найти, без необходимости анализа многих сотен прежде созданных детекторов, которые помнить все невозможно, тем более, если они были созданы другим аналитиком.
Последнее, на что хочется обратить внимание - это использование ATT&CK как базы знаний для аналитиков. Не раз отмечалась высокая эффективность Threat Intelligence-а из Operations-а, так вот ATT&CK - это не что иное, как аккумулированные, более или менее классифицированные, знания о реальных атаках, применяемых ими техниках и процедурах. Любому аналитику SOC будет крайне полезно внимательно ознакомиться с этой базой знаний.
Вопрос практического применения ATT&CK раскрыт и в оригинальных документах MITRE, например, здесь, поэтому отмечу кратко лишь несколько моментов.
Во-первых, это вопрос покрытия: какие техники способно обнаружить то или иное решение. Достоверно и объективно оценить это на уровне техники крайне проблематично по этой причине: под каждую технику можно придумать очень много конкретных реализаций (процедур) и продетектить их все сложно, как минимум, потому что нет гарантии, что на данный момент они известны все. Оценивать покрытие можно только в рамках какого-то конкретного сценария (набора процедур), так же можно и сравнивать решения, что и сделала MITRE. Сравнивать решения по плотности закрашивания клеточек в табличке MITRE ATT&CK, без понимания на каких сценариях проводилось закрашивание и как классифицировались детекты, - некорректно и необъективно.
Во-вторых, хочется отметить вариант использования ATT&CK для классификации детекторов. Когда их несколько десятков и работает один человек, их еще можно все удержать в памяти, но когда их несколько сотен и работает целая команда без классификации уже не обойтись. Сценарий очевиден: когда есть необходимость продетектить очередную активность, и нужно решать задачу писать ли новый детектор или обновить существующий (а может, и несколько существующих), классификация сузит область для анализа имеющегося до уровня техники: существующие детекторы или их отсутствие можно будет быстрее найти, без необходимости анализа многих сотен прежде созданных детекторов, которые помнить все невозможно, тем более, если они были созданы другим аналитиком.
Последнее, на что хочется обратить внимание - это использование ATT&CK как базы знаний для аналитиков. Не раз отмечалась высокая эффективность Threat Intelligence-а из Operations-а, так вот ATT&CK - это не что иное, как аккумулированные, более или менее классифицированные, знания о реальных атаках, применяемых ими техниках и процедурах. Любому аналитику SOC будет крайне полезно внимательно ознакомиться с этой базой знаний.
1 comment:
Организаторы выложили презентацию: ссылка на презентацию
Post a Comment