Согласно опубликованному в июле 2024 году отчету IBM средний объем финансовых потерь организаций из-за инцидента компрометации данных вырос на 10% по сравнению с прошлым годом и достиг рекордных $4,88 млн. Это подчеркивает важность серьезного отношения к информационной безопасности и внедрения передовых практик.

Одной из таких практик является использование фреймворка MITRE ATT&CK для эффективного и систематизированного улучшения защиты цифровой инфраструктуры компании. Однако самого по себе фреймворка недостаточно — необходимы также специальные инструменты, которые помогут автоматизировать этот процесс.

Особенности фреймворка MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это всеобъемлющая база знаний о тактиках и техниках, используемых киберпреступниками при атаках на организации. В отличие от других попыток систематизировать информацию об угрозах, в ATT&CK внимание сфокусировано не на используемых атакующими инструментах и вредоносных программах, а на том, как и зачем нападающие взаимодействуют с системами во время атаки.

В рамках фреймворка действия нападающих разделяются на тактики и техники:
  • Тактики в ATT&CK отвечают на вопрос «зачем?» — то есть описывают верхнеуровневую причину, по которой противник выполняет те или иные действия. Примеры тактик — разведка, подготовка ресурсов, первоначальный доступ и так далее.
  • Техники отвечают на вопрос «как?», то есть показывают те способы, которыми атакующие достигают тактических целей. Каждая тактика включает в себя несколько техник. Примеры техник, которые относятся к тактике «разведка» — сбор информации об атакуемых пользователях, поиск на общедоступных сайтах, активное сканирование и так далее.

Наиболее известной частью MITRE ATT&CK являются матрицы, которые визуализируют взаимосвязь между тактиками и техниками злоумышленников при атаке на инфраструктуру предприятия (Enterprise), а также отдельно на мобильные устройства (Mobile) и на автоматизированные системы управления (ICS).

Матрица Enterprise, в свою очередь, включает в себя целый набор матриц. В частности внутри нее есть отдельный массив матриц, подробно разбирающих возможные действия злоумышленников при атаке на облачную составляющую внешнего периметра организации (Cloud).
Матрицы MITRE ATT&CK известны своей полнотой и подробностью. Это является одновременно и их сильной стороной, и недостатком: из-за огромного количества описанных техник и тактик на исчерпывающий анализ может уйти значительное количество усилий и времени.
Закрыть каждую ячейку в каждой матрице, применимой к инфраструктуре компании — задача непростая. Чтобы приблизиться к ее решению, необходимо выбрать эффективные инструменты. Сегодня мы сконцентрируемся на том, как сканирование CICADA8 ETM помогают ИБ специалистам покрыть несколько тактик в двух матрицах — Enterprise и Cloud.

Что представляет собой CICADA8 ETM
CICADA8 ETM — это платформа централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени. Для выявления угроз решение позволяет использовать целый диапазон инструментов — в том числе сканеры, а также внутреннее и внешнее тестирование на проникновение. Таким образом, CICADA8 позволяет посмотреть на инфраструктуру компании с точки зрения атакующего.

Подобный подход гармонично сочетается с философией фреймворка MITRE ATT&CK, который основан на реальных наблюдениях за поведением злоумышленников и моделировании их действий.
Решение по управлению уязвимостями внешнего периметра дает специалистам по кибербезопасности эффективную основу для работы с матрицей ATT&CK Enterprise. В частности, сканеры CICADA8 помогают покрыть две тактики этой матрицы: разведку и первоначальный доступ. Обсудим каждую из них подробнее.

Какие техники из тактики «разведка» в матрице Enterprise покрывают сканеры CICADA8 ETM
Разведка — это первая тактика матрицы Enterprise. Все связанные с этой тактикой техники показывают, как именно киберпреступники могут собирать информацию об инфраструктуре организации перед атакой. Эти техники включают (жирным выделены техники, которые покрывают сканеры CICADA8):
  • Активное сканирование (сканирование IP-блоков, уязвимостей и списков слов) (T1595)
  • Сбор информации об атакуемых узлах (о программном обеспечении и конфигурациях клиента) (T1592)
  • Сбор информации об атакуемых пользователях (T1589)
  • Сбор информации об атакуемой сетевой инфраструктуре (T1590)
  • Сбор бизнес-информации об атакуемой организации (T1591)
  • Фишинг с целью сбора сведений (T1598)
  • Поиск в закрытых источниках (T1597)
  • Поиск технической информации в общедоступных источниках (T1596)
  • Поиск на открытых веб-сайтах и доменах (T1593)
  • Поиск на сайтах атакуемой организации (T1594)

Сервисы управления уязвимостями внешнего периметра позволяют ИБ специалистам провести собственную разведку и собрать информацию об инфраструктуре организации с точки зрения злоумышленника. Это отличает их от большинства других решений для обеспечения кибербезопасности, которые устанавливаются непосредственно в инфраструктуре компании и смотрят на нее изнутри.

Сканирование портов, сканирование веб-приложений и инвентаризация активов с помощью CICADA8 ETM помогают получить четкое представление о защищенных и уязвимых частях внешнего периметра организации. Это позволяет защитникам нарушить фазу планирования потенциального злоумышленника и предотвратить реализацию дальнейших этапов атаки.

Какие техники из тактики «первоначальный доступ» в матрице Enterprise покрывают сканеры CICADA8
Инструменты управления уязвимостями внешнего периметра также играют важную роль в работе с первоначальным доступом — третьей тактикой в матрице Enterprise ATT&CK матрице. В ней описываются техники, с помощью которых злоумышленники могут непосредственно получить доступ к инфраструктуре организации:
  • Инъекция вредоносного контента (T1659)
  • Теневая (drive-by) компрометация (T1189)
  • Эксплуатация общедоступного приложения (T1190)
  • Эксплуатация внешних служб удаленного доступа (T1133)
  • Подключение дополнительных устройств (T1200)
  • Фишинг (T1566)
  • Распространение через съемные носители (T1091)
  • Компрометация цепочки поставок (T1195)
  • Получение доступа через доверительные отношения со сторонними решениями (T1199)
  • Компрометация существующих учетных записей (T1078)

Сканеры сервиса CICADA8 помогают выявить и закрыть возможные точки входа злоумышленников в инфраструктуру организации, в том числе уязвимости в используемых приложениях, неправильно настроенные веб-серверы и незащищенные порты. Постоянный мониторинг внешнего периметра позволяет ИБ специалистам быть уверенными, что все новые уязвимости будут вовремя замечены.

Инструменты сканирования внешнего периметра и матрица MITRE ATT&CK Cloud
В фреймворке MITRE ATT&CK существуют также отдельные матрицы, разработанные специально для анализа защиты внешнего периметра организации. Основная из них — Cloud, которая, в свою очередь, включает в себя отдельные матрицы для Office 365, Azure AD (Microsoft Entra ID), Google Workspace, SaaS и IaaS.
Современная реальность такова, что специалисты по кибербезопасности редко знают обо всех облачных сервисах, используемых в организации. Платформа CICADA8 поможет собрать и систематизировать недостающую информацию, провести полную инвентаризацию всех внешних активов организации и выявить в них уязвимости.
После этого ИБ команда компании может применить матрицу ATT&CK Cloud к получившейся карте внешних активов компании, чтобы заранее проанализировать возможные действия потенциальных злоумышленников. Собранная информация в сочетании с подходом Risk-Based Vulnerability Management позволит эффективно работать над улучшением защищенности организации даже при ограниченных ресурсах.
Какие тактики фреймворка MITRE ATT&CK покрывает платформа CICADA8 ETM?
23 января 2025