Согласно опубликованному в июле 2024 году отчету IBM средний объем финансовых потерь организаций из-за инцидента компрометации данных вырос на 10% по сравнению с прошлым годом и достиг рекордных $4,88 млн. Это подчеркивает важность серьезного отношения к информационной безопасности и внедрения передовых практик.

Одной из таких практик является использование фреймворка MITRE ATT&CK для эффективного и систематизированного улучшения защиты цифровой инфраструктуры компании. Однако самого по себе фреймворка недостаточно — необходимы также специальные инструменты, которые помогут автоматизировать этот процесс.

Особенности фреймворка MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это всеобъемлющая база знаний о тактиках и техниках, используемых киберпреступниками при атаках на организации. В отличие от других попыток систематизировать информацию об угрозах, в ATT&CK внимание сфокусировано не на используемых атакующими инструментах и вредоносных программах, а на том, как и зачем нападающие взаимодействуют с системами во время атаки.

В рамках фреймворка действия нападающих разделяются на тактики и техники:

• Тактики в ATT&CK отвечают на вопрос «зачем?» — то есть описывают верхнеуровневую причину, по которой противник выполняет те или иные действия. Примеры тактик — разведка, подготовка ресурсов, первоначальный доступ и так далее.
• Техники отвечают на вопрос «как?», то есть показывают те способы, которыми атакующие достигают тактических целей. Каждая тактика включает в себя несколько техник. Примеры техник, которые относятся к тактике «разведка» — сбор информации об атакуемых пользователях, поиск на общедоступных сайтах, активное сканирование и так далее.

Наиболее известной частью MITRE ATT&CK являются матрицы, которые визуализируют взаимосвязь между тактиками и техниками злоумышленников при атаке на инфраструктуру предприятия (Enterprise), а также отдельно на мобильные устройства (Mobile) и на автоматизированные системы управления (ICS).

Матрица Enterprise, в свою очередь, включает в себя целый набор матриц. В частности внутри нее есть отдельный массив матриц, подробно разбирающих возможные действия злоумышленников при атаке на облачную составляющую внешнего периметра организации (Cloud).
Матрицы MITRE ATT&CK известны своей полнотой и подробностью. Это является одновременно и их сильной стороной, и недостатком: из-за огромного количества описанных техник и тактик на исчерпывающий анализ может уйти значительное количество усилий и времени.
Закрыть каждую ячейку в каждой матрице, применимой к инфраструктуре компании — задача непростая. Чтобы приблизиться к ее решению, необходимо выбрать эффективные инструменты. Сегодня мы сконцентрируемся на том, как сканирование CICADA8 ETM помогают ИБ специалистам покрыть несколько тактик в двух матрицах — Enterprise и Cloud.

Что представляет собой CICADA8 ETM
CICADA8 ETM — это платформа централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени. Для выявления угроз решение позволяет использовать целый диапазон инструментов — в том числе сканеры, а также внутреннее и внешнее тестирование на проникновение. Таким образом, CICADA8 позволяет посмотреть на инфраструктуру компании с точки зрения атакующего.

Подобный подход гармонично сочетается с философией фреймворка MITRE ATT&CK, который основан на реальных наблюдениях за поведением злоумышленников и моделировании их действий.
Решение по управлению уязвимостями внешнего периметра дает специалистам по кибербезопасности эффективную основу для работы с матрицей ATT&CK Enterprise. В частности, сканеры CICADA8 помогают покрыть две тактики этой матрицы: разведку и первоначальный доступ. Обсудим каждую из них подробнее.

Какие техники из тактики «разведка» в матрице Enterprise покрывают сканеры CICADA8 ETM
Разведка — это первая тактика матрицы Enterprise. Все связанные с этой тактикой техники показывают, как именно киберпреступники могут собирать информацию об инфраструктуре организации перед атакой. Эти техники включают (жирным выделены техники, которые покрывают сканеры CICADA8):

• Активное сканирование (сканирование IP-блоков, уязвимостей и списков слов) (T1595)
• Сбор информации об атакуемых узлах (о программном обеспечении и конфигурациях клиента) (T1592)
• Сбор информации об атакуемых пользователях (T1589)
• Сбор информации об атакуемой сетевой инфраструктуре (T1590)
• Сбор бизнес-информации об атакуемой организации (T1591)
• Фишинг с целью сбора сведений (T1598)
• Поиск в закрытых источниках (T1597)
• Поиск технической информации в общедоступных источниках (T1596)
• Поиск на открытых веб-сайтах и доменах (T1593)
• Поиск на сайтах атакуемой организации (T1594)

Сервисы управления уязвимостями внешнего периметра позволяют ИБ специалистам провести собственную разведку и собрать информацию об инфраструктуре организации с точки зрения злоумышленника. Это отличает их от большинства других решений для обеспечения кибербезопасности, которые устанавливаются непосредственно в инфраструктуре компании и смотрят на нее изнутри.

Сканирование портов, сканирование веб-приложений и инвентаризация активов с помощью CICADA8 ETM помогают получить четкое представление о защищенных и уязвимых частях внешнего периметра организации. Это позволяет защитникам нарушить фазу планирования потенциального злоумышленника и предотвратить реализацию дальнейших этапов атаки.

Какие техники из тактики «первоначальный доступ» в матрице Enterprise покрывают сканеры CICADA8
Инструменты управления уязвимостями внешнего периметра также играют важную роль в работе с первоначальным доступом — третьей тактикой в матрице Enterprise ATT&CK матрице. В ней описываются техники, с помощью которых злоумышленники могут непосредственно получить доступ к инфраструктуре организации:

• Инъекция вредоносного контента (T1659)
• Теневая (drive-by) компрометация (T1189)
• Эксплуатация общедоступного приложения (T1190)
• Эксплуатация внешних служб удаленного доступа (T1133)
• Подключение дополнительных устройств (T1200)
• Фишинг (T1566)
• Распространение через съемные носители (T1091)
• Компрометация цепочки поставок (T1195)
• Получение доступа через доверительные отношения со сторонними решениями (T1199)
• Компрометация существующих учетных записей (T1078)

Сканеры сервиса CICADA8 помогают выявить и закрыть возможные точки входа злоумышленников в инфраструктуру организации, в том числе уязвимости в используемых приложениях, неправильно настроенные веб-серверы и незащищенные порты. Постоянный мониторинг внешнего периметра позволяет ИБ специалистам быть уверенными, что все новые уязвимости будут вовремя замечены.

Инструменты сканирования внешнего периметра и матрица MITRE ATT&CK Cloud
В фреймворке MITRE ATT&CK существуют также отдельные матрицы, разработанные специально для анализа защиты внешнего периметра организации. Основная из них — Cloud, которая, в свою очередь, включает в себя отдельные матрицы для Office 365, Azure AD (Microsoft Entra ID), Google Workspace, SaaS и IaaS.
Современная реальность такова, что специалисты по кибербезопасности редко знают обо всех облачных сервисах, используемых в организации. Платформа CICADA8 поможет собрать и систематизировать недостающую информацию, провести полную инвентаризацию всех внешних активов организации и выявить в них уязвимости.
После этого ИБ команда компании может применить матрицу ATT&CK Cloud к получившейся карте внешних активов компании, чтобы заранее проанализировать возможные действия потенциальных злоумышленников. Собранная информация в сочетании с подходом Risk-Based Vulnerability Management позволит эффективно работать над улучшением защищенности организации даже при ограниченных ресурсах.
матрица mitre att ck. mitre att ck framework. что представляет собой матрица mitre att ck. mitre att ck enterprise

23 января 2025