Tài liệu này được biên soạn dựa trên tài liệu của Katie Nickels và các đồng sự của anh ấy. Mục tiêu của tài liệu là giúp cho mọi người có cái nhìn rõ ràng hơn về Mitre ATT&CK Framework và cách ứng dụng vào tổ chức của mình như thế nào ?

Đây là tài liệu được biên soạn dành tặng cho các bạn đã tham gia Chương trình học Hacker Mũ Xám (khóa học qua video và có nhóm hỗ trợ). Vì một Hacker Mũ Xám ngoài những kỹ năng tấn công cần biết cách phòng thủ, và đặc biệt là cách thu thập thông tin tình bào mối đe dọa mạng để ngăn chặn các rũi rõ có thể xảy ra.

Ngoài ra, để có thể hiểu hơn về các mối đe dọa mạng, những rủi ro mà chúng đem đến trong vấn đề an toàn thông tin, hay quy trình kiểm thử bảo mật , ehacking … các bạn có thể truy cập vào Kho Sách An Toàn Thông Tin của Security365.

Tình báo về mối đe dọa mạng là biết những gì đối thủ của bạn đang làm và sử dụng thông tin đó để cải thiện việc ra quyết định trong vấn đề an toàn thông tin !

Tủ Sách An Toàn Thông Tin

ATT&CK  hữu ích cho bất kỳ tổ chức nào muốn phòng thủ trước mối đe dọa bất kể quy mô nhóm hay tổ chức của bạn như thế nào. Chúng ta sẽ chia  bài đăng này thành các cấp độ khác nhau:

­ Cấp độ 1 dành cho những người mới bắt đầu và có thể không có nhiều tài nguyên

­ Cấp độ 2 dành cho các đội cấp trung và đang phát triển

­ Cấp độ 3 dành cho các nhóm nâng cao và có nhiều tài nguyên an nnh mạng hơn

Chúng ta hãy bắt đầu  này bằng cách nói về thông tin tình báo về mối đe dọa vì đó là trường hợp sử dụng tốt nhất (mặc dù tôi chắc chắn rằng các đồng nghiệp của tôi có thể không đồng ý với điều đó!).

Vào năm 2018, tôi đã cung cấp thông tin tổng quan cấp cao về cách bạn có thể sử dụng ATT&CK để nâng cao thông tin tình báo về mối đe dọa mạng (CTI). Trong chương này, ta sẽ xây dựng dựa trên điều đó và chia sẻ những lời khuyên thiết thực nhất để có thể bắt đầu.

CẤP ĐỘ 1

Tình báo về mối đe dọa mạng là biết những gì đối thủ của bạn làm và sử dụng thông tin đó để cải thiện việc ra quyết định. Đối với một tổ chức chỉ có một vài nhà phân tích bảo mật mạng muốn bắt đầu sử dụng ATT&CK để thu thập thông tin về mối đe dọa, hãy bắt đầu bằng cách chọn một nhóm mà bạn quan tâm và xem xét hành vi của họ theo cấu trúc trong ATT&CK.

Bạn có thể chọn một nhóm từ những nhóm mà chúng tôi đã lập bản đồ trên trang web của mình dựa trên những tổ chức mà họ đã nhắm mục tiêu trước đó. Ngoài ra, nhiều nhà cung cấp dịch vụ đăng ký thông tin tình báo về mối đe dọa cũng ánh xạ tới ATT&CK, vì vậy bạn có thể sử dụng thông tin của họ làm tài liệu tham khảo.

Ví dụ: Nếu bạn là một công ty dược phẩm (pharmaceutical), bạn có thể tìm kiếm trong thanh Tìm kiếm hoặc trên trang Nhóm như hình minh họa để xác định rằng APT19 là một nhóm đã nhắm mục tiêu vào lĩnh vực của bạn.

(SECURITY365.VN)   DESCRIPTION OF APT19 GROUP

Và, bạn có thể mở trang của nhóm đó để xem các kỹ thuật họ đã sử dụng (dựa trên báo cáo nguồn mở mà chúng tôi đã lập bản đồ) để bạn có thể tìm hiểu thêm về hành vi cua họ. Nếu bạn cần thêm thông tin về kỹ thuật này vì bạn không quen thuộc với nó, không vấn đề gì—chúng  có ngay trên trang web ATT&CK.  

Vậy, làm thế nào để chúng tôi làm cho thông tin này có thể hành động được, đó chính là toàn bộ quan điểm của thông tin tình báo về mối đe dọa dựa trên ATT&CK Freamwork? Hãy chia sẻ điều đó với những người tong đội bảo vệ an toàn thông tin của tổ chức, vì đây là nhóm hay đối thủ đã nhắm mục tiêu vào khu vực của chúng ta và chúng ta muốn bảo vệ chống lại chúng. Khi  thực hiện điều này, bạn hãy xem trang web ATT&CK để biết một số ý tưởng giúp bạn bắt đầu với các kỹ thuật Phát hiện và Giảm nhẹ.

Ví dụ: Cho những người bảo vệ an toàn thông tin của bạn biết về khóa chạy Registry cụ thể mà APT19 đã sử dụng. Tuy nhiên, họ có thể thay đổi điều đó và Sử dụng một run key khác. Nếu bạn xem lời khuyên Phát hiện cho kỹ thuật, bạn sẽ thấy khuyến nghị là giám sát Registry để tìm các khóa chạy (run key) mới mà bạn không muốn thấy trong môi trường của mình.

Tóm lại, một cách dễ dàng để bắt đầu sử dụng ATT&CK cho thông tin tình báo về mối đe dọa là xem xét một nhóm đối thủ duy nhất mà bạn quan tâm. Xác định một số hành vi mà họ đã sử dụng giúp bạn thông báo cho những người bảo vệ của bạn về cách họ có thể cố gắng phát hiện nhóm đó.

CẤP ĐỘ 2

Nếu bạn có một đội nhóm các nhà phân tích mối đe dọa thường xuyên xem xét thông tin về đối thủ, hành động cấp độ tiếp theo mà bạn có thể thực hiện là tự mình lập bản đồ thông tin tình báo cho ATT&CK thay vì sử dụng những gì người khác đã lập bản đồ. Nếu bạn có báo cáo về một sự cố mà tổ chức của bạn đã thực hiện, thì đây có thể là nguồn nội bộ tuyệt vời để ánh xạ tới ATT&CK hoặc bạn có thể sử dụng báo cáo bên ngoài như bài đăng trên blog. Để làm điều này, bạn chỉ cân bắt đầu với một báo cáo.

Chúng tôi biết rằng việc cố gắng ánh xạ hay đưa các thông tin tình báo của mình tới ATT&CK có thể rất đáng ngại khi bạn không biết tất cả hàng trăm kỹ thuật. Vì vậy, sau đây là một quy trình giúp bạn có thể làm việc này một cách tự tin.

  1. Hiểu ATT&CK—Làm quen với cấu trúc tổng thể của ATT&CK: chiến thuật (mục tiêu kỹ thuật của đối thủ), kỹ thuật (cách đạt được các mục tiêu đó) và thủ tục (việc triển khai kỹ thuật cụ thể). Hãy xem trang Bắt đầu của chúng tôi.
  2. Tìm hành vi—Hãy nghĩ về hành động của đối thủ theo cách rộng hơn chứ không chỉ là chỉ báo nhỏ (chẳng hạn như địa chỉ IP) mà họ đã sử dụng. Ví dụ: phần mềm độc hại trong báo cáo ở trên “thiết lập kết nối SOCKS5”. Hành động thiết lập kết nối là hành vi mà đối thủ đã thực hiện.
  3. Nghiên cứu hành vi—Nếu chưa quen với hành vi đó, bạn có thể cần nghiên cứu thêm. Trong ví dụ của chúng ta, một nghiên cứu nhỏ sẽ chỉ ra rằng SOCKS5 là giao thức Lớp 5 (lớp phiên).
  4. Biến hành vi thành một chiến thuật—Xem xét mục tiêu kỹ thuật của đối thủ cho hành vi đó và chọn một chiến thuật phù hợp. Tin vui: chỉ có 12 chiến thuật để lựa chọn trong Enterprise ATT&CK. Đối với ví dụ kết nối SOCKS5, việc thiết lập kết nối để giao tiếp sau này sẽ thuộc chiến thuật Chỉ huy và Kiểm soát. (hiện nay có thể mở rộng hơn về mặt chiến thuật)
  5. Tìm ra kỹ thuật nào áp dụng cho hành vi—Điều này có thể hơi phức tạp, nhưng với kỹ năng phân tích của bạn và các ví dụ về trang web ATT&CK, bạn có thể thực hiện được điều này. Nếu bạn tìm kiếm SOCKS trên trang web sẽ thấ  kỹ thuật Giao thức lớp không ứng dụng tiêu chuẩn (T1095) sẽ nêu bật lên.  
  6. So sánh kết quả của bạn với các nhà phân tích khác—Tất nhiên, bạn có thể có cách hiểu khác về một hành vi so với nhà phân tích khác. Điều này là bình thường và nó luôn xảy ra với nhóm ATT&CK! Chúng tôi thực sự khuyên bạn nên so sánh ánh xạ thông tin ATT&CK của mình với nhà phân tích khác và thảo luận về bất kỳ sự khác biệt nào.

Đối với những nhóm CTI có một vài nhà phân tích, việc tự ánh xạ thông tin tới ATT&CK có thể là một cách hay để đảm bảo bạn nhận được thông tin phù hợp nhất để đáp ứng các yêu cầu của tổ chức mình. Từ đó, bạn có thể chuyển thông tin đối thủ được lập bản đồ ATT&CK cho hệ thống phòng thủ của mình để thông báo cho nhóm phòng thủ của đối tác, như chúng ta đã thảo luận ở trên.

CẤP 3

Nếu nhóm CTI của bạn tiên tiến hơn, bạn có thể bắt đầu lập bản đồ thêm thông tin cho ATT&CK, sau đó sử dụng thông tin đó để ưu tiên cách bạn phòng thủ. Thực hiện quy trình trên, bạn có thể ánh xạ cả thông tin bên trong và bên ngoài tới ATT&CK, bao gồm dữ liệu phản hồi sự cố, báo cáo từ OSINT hoặc đăng ký intel về mối đe dọa, cảnh báo thời gian thực và thông tin lịch sử của tổ chức bạn.

Khi bạn đã lập bản đồ dữ liệu này, bạn có thể thực hiện một số điều thú vị để so sánh các nhóm và ưu tiên các kỹ thuật thường được sử dụng. Ví dụ: lấy chế độ xem ma trận này từ Bộ điều hướng ATT&CK mà trước đây tôi đã chia sẻ với các kỹ thuật mà chúng tôi đã ánh xạ trên trang web ATT&CK. Các kỹ thuật chỉ được sử dụng bởi APT3 được đánh dấu bằng màu xanh lam; những kỹ thuật được sử dụng bởi APT29 được đánh dấu bằng màu vàng và những kỹ thuật được cả APT3 và APT29 sử dụng được đánh dấu bằng màu xanh lá cây. (Tất cả điều này chỉ dựa trên thông tin có sẵn công khai mà chúng tôi đã lập bản đồ, đây chỉ là một tập hợp con của những gì các nhóm đó đã làm.)

Các Kỹ Thuật của APT3 + APT29

Bạn nên thay thế các nhóm và kỹ thuật mà bạn quan tâm dựa trên các mối đe dọa hàng đầu của tổ chức bạn. Để giúp bạn tạo các lớp Bộ điều hướng của riêng mình như tôi đã làm ở trên, đây là hướng dẫn từng bước về các bước bạn có thể thực hiện để tạo ma trận như  trên, cũng như video hướng dẫn cũng cung cấp tổng quan về chức năng Bộ điều hướng.

Sau đó, ta có thể tổng hợp thông tin để xác định các kỹ thuật thường được sử dụng, điều này có thể giúp các thành phần trong nhóm phòng thủ biết ưu tiên điều gì. Cho phép chúng ta ưu tiên các kỹ thuật tấn  có thể ảnh hưởng tổ chức của mình và chia sẻ với những người bảo vệ những gì họ nên tập trung vào việc phát hiện và giảm thiểu. Trong ma trận của chúng ta ở trên, nếu APT3 và APT29 là hai nhóm mà một tổ chức hay doanh nghiệp coi là mối đe dọa cao đối với họ, thì các kỹ thuật màu xanh lục có thể là ưu tiên cao nhất để xác định cách giảm thiểu và phát hiện. Nếu những người bảo vệ của chúng ta đã đưa ra yêu cầu cho nhóm CTI để giúp tìm ra nơi họ nên ưu tiên các nguồn lực cho an toàn thông tin, chúng ta có thể chia sẻ thông tin này với họ như một nơi để bắt đầu.

Nếu những người bảo vệ và phân tích an ninh mạng của bạn đã thực hiện đánh giá về những gì họ có thể phát hiện (mà chúng ta sẽ đề cập trong các chương sau), bạn có thể phủ thông tin đó lên những gì bạn biết về các mối đe dọa của mình. Đây là một nơi tuyệt vời để tập trung các nguồn lực của bạn vì bạn biết các nhóm mà bạn quan tâm đã sử dụng các kỹ thuật đó và bạn không thể phát hiện ra chúng.

Quá trình lập bản đồ các kỹ thuật ATT&CK này không hoàn hảo và có sự sai lệch, nhưng các thông tin vẫn có thể giúp bạn bắt đầu hiểu rõ hơn về những gì đối thủ đang làm.  

Đối với nhóm nâng cao đang tìm cách sử dụng ATT&CK cho CTI, việc ánh xạ nhiều nguồn khác nhau tới ATT&CK có thể giúp xây dựng hiểu biết sâu sắc về hành vi của đối thủ để giúp ưu tiên và cung cấp thông tin phòng thủ trong tổ chức của bạn.

TÓM TẮT

Trong chương đầu tiên  chúng tôi đã hướng dẫn bạn qua ba cấp độ khác nhau về cách bắt đầu với ATT&CK và thông tin tình báo về mối đe dọa, tùy thuộc vào nguồn lực của nhóm bạn. Trong các chương sau,   ta sẽ đi sâu vào cách bạn có thể bắt đầu với các trường hợp sử dụng khác, bao gồm phát hiện và phân tích, mô phỏng đối thủ và lập nhóm đỏ cũng như đánh giá và kỹ thuật.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending