Что такое MITER ATT & CK ®? Для чего используется?

MITER ATT & CK ® - это глобально доступная база знаний о тактике и

технике противника, основанная на реальных наблюдениях. База знаний ATT
& CK используется в качестве основы для разработки конкретных моделей и
методологий угроз в частном секторе, в правительстве и в сообществе
продуктов и услуг кибербезопасности.

В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK

(Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и
общеизвестные знания о злоумышленниках) как способ описания и
категоризации поведения злоумышленников, основанный на анализе
реальных атак. ATT&CK представляет собой структурированный список
известных поведений злоумышленников, скомпилированый в тактики и
методы, и выраженный в виде таблиц, а также доступный в формате STIX /
TAXII. Поскольку этот список представляет собой довольно полное
представление о поведении злоумышленников при компрометации сетей,
он полезен для различных наступательных и защитных измерений,
представлений и других механизмов.

В частности, ATT&CK может быть полезен в киберразведке, поскольку

он позволяет стандартизированно описывать поведение злоумышленников.
Акторы могут отслеживаться с помощью ассоциаций с методами и тактиками
в ATT&CK, используемыми ими. Специалистам по ИБ это позволяет
анализировать защищенность в соответствии с имеющимися СЗИ, оценивая
свои сильные и слабые стороны против определенных злоумышленников.

Поскольку злоумышленники находят способы быть более скрытными и

избегают обнаружения традиционными инструментами безопасности,
специалисты по ИБ вынуждены менять подходы к обнаружению и защите от
атак. База знаний ATT&CK меняет восприятие, абстрагируясь от индикаторов
низкого уровня, таких как IP-адреса и доменные имена, и заставляет видеть
злоумышленников и нашу защиту через линзу поведения. ATT&CK позволяет
описывать любые новые методы, которые будут использовать
злоумышленники.
 Приведите примеры тактик и техник, которые могут
использоваться злоумышленниками без доступа к мобильным
устройствам для платформы: Android (не менее 5).
1. Тактика «Эффекты удаленного обслуживания» (Remote Service Effects) –
относится к методам, включающим облачные службы (например, Google
Drive, Google Find My Device или Apple iCloud), или службы управления
мобильностью предприятия (EMM) / управления мобильными устройствами
(MDM), которые могут быть использованы злоумышленником
осуществления своих целей без доступа к самому мобильному устройству.

Техники:

ID Название Описание

Получение Злоумышленник может несанкционированно получить доступ к

доступа к облачным службам резервного копирования и использовать его
облачным не по назначению (например, сервис резервного копирования
T1470 службам Google Android), он может воспользоваться им для получения
резервного конфиденциальных данных, хранящихся в службах резервного
копирования копирования.
(Obtain Device
Cloud Backups)
Удаленное Злоумышленник может получить доступ несанкционированно
отслеживание или он может неправомерно использовать санкционированный
устройства без доступ к облачным службам (например, Google Android
T1468 авторизации Manager) или к консоли сервера управления мобильностью
(Remotely Track предприятия (EMM) / управления мобильными устройствами
Device Without (MDM). Используется для отслеживания мобильных устройств.
Authorization)
Удаленное Злоумышленник может получить доступ несанкционированно
стирание или он может неправомерно использовать санкционированный
данных без доступ к облачным службам (например, Google Android Device
T1469 авторизации Manager) или к консоли сервера управления мобильностью
Remotely Wipe предприятия (EMM) может использовать этот доступ для
Data Without очистки зарегистрированных устройств.
Authorization
2. Тактика «Сетевые эффекты» (Network Effects) – относится к сетевым
методам, которые злоумышленник может использовать для достижения
своих целей без доступа к самому мобильному устройству. К ним относятся
методы перехвата или манипулирования сетевым трафиком с мобильного
устройства.

ID Название Описание

Переход на Злоумышленник может заставить мобильное устройство

небезопасные использовать менее защищенные протоколы, например, путем
протоколы подавления частот, используемых более новыми протоколами,
T1466
(Downgrade to такими как LTE, позволяя обмениваться данными только
Insecure посредством использования более старых протоколов, такими
Protocols) как GSM.

Подслушивание Если сетевой трафик между мобильным устройством и

незащищенных удаленными серверами не зашифрован или зашифрован
сетевых небезопасным способом, то злоумышленник, находящийся в
T1439 коммуникаций сети, может перехватить связь.
(Eavesdrop on
Insecure
Network
Communication)

Приведите примеры тактик и техник для предприятия,

охватывающего облачные технологии, платформа на ваш выбор
(не менее 5).
1. Тактика «Сбор данных» (Collection) – включает способы идентификации,
локализации и непосредственно сбора целевой информации (например,
конфиденциальных файлов) с целью её подготовки к дальнейшей
эксфильтрации.

ID Название Описание

Данные из Злоумышленники могут получить доступ к объектам данных из

объекта неправильно защищенного облачного хранилища. Платформы:
T1530 облачного AWS, GCP, Azure.
хранилища
(Data from Cloud
Storage Object)
2. Тактика «Эксфильтрация или утечка данных» (Exfiltration).
 ID Название Описание

Перенос данных Злоумышленник может выполнить фильтрацию данных,

в облачный передав данные, включая резервные копии облачных сред, в
аккаунт другую облачную учетную запись, которой он управляет в одной
T1537
(Transfer Data to и той же службе, чтобы избежать типичных передач / загрузок
Cloud Account) файлов и обнаружения сетевых эксфильтраций. Платформы:
Azure, AWS, GCP

3. Тактика «Обнаружение» (Discovery).

ID Название Описание

Панель Злоумышленник может использовать графический интерфейс

управления облачной службы с украденными учетными данными для
T1538 облачным получения информации из операционной облачной среды,
сервисом (Cloud такой как конкретные службы, ресурсы и функции. Платформы:
Service AWS, GCP, Azure, Azure AD, Office 365
Dashboard)
Обнаружение Злоумышленник может попытаться перечислить облачные
облачного службы, работающие в системе, после получения доступа.
T1526 сервиса (Cloud Злоумышленники могут попытаться найти информацию о
Service сервисах, включенных во всей среде. Платформы: AWS, GCP,
Discovery) Azure, Azure AD, Office 365, SaaS

4. Тактика «Обход защиты» (Defense Evasion).

ID Название Описание

Возвращение Злоумышленник может отменить изменения, внесенные в

облачного облачный экземпляр после того, как он совершил
экземпляра злонамеренную деятельность, пытаясь уклониться от
(Revert Cloud обнаружения и удалить доказательства своего присутствия. В
T1536 Instance) средах с высокой степенью виртуализации, таких как облачная
инфраструктура, это можно легко совершить, используя
восстановление из виртуальной машины или моментальные
снимки хранилища данных через панель управления облаком.
Платформы: AWS, GCP, Azure