|
Приветствую участников форума!
Понимаю, что большинство присутствующих здесь знакомы с матрицей атак MITTRE ATT&CK и, может даже, пользуются ею, но эта статья должна помочь новичкам. Практика объяснения и написания статей, будет не лишней. Матрица ATT&CK является известной методологией для классификации техник злоумышленника. Короче говоря, в 2013 году ребята собрались и классифицировали поведение злоумышленника. Оказалось, что вариантов атаки не так уж и много. Матрица представлена в 2-х вариациях: Enterprise https://forum.antichat.xyz/attachmen...1572332151.png и Mobile https://forum.antichat.xyz/attachmen...1572380895.png Матрица обладает огромным потенциалом в качестве помощника любому специалисту по безопасности, но вот пользоваться ей в начале не так то и удобно. Это как c таблицей тригонометрических функций. Сначала вы тратите много времени на поиск нужной формулы и значения, но с каждым использованием вы делаете это все быстрее и быстрее. Поэтому, кажется, новичкам стоило бы начинать путь с нее, если только вы не Script Kiddy. Тогда, конечно, можно сразу переходить к инструментам, как когда-то сделал я сам. Итак, начнем с того, что существует 200+ техник, разделенных по 14 направлениям для Enterprise:
В левой панели представлено разделение по окружениям, в которых представлены техники атак: https://forum.antichat.xyz/attachmen...1572507558.png Давайте рассмотрим применение матрицы на примере направления Reconnaissance (Разведка). https://forum.antichat.xyz/attachmen...9031c903d5.png https://forum.antichat.xyz/attachmen...1a368b33be.png При переходе в любое из направлений мы получаем кучу информации - подробное описание каждой из техник представленных в этом направлении. Это общая информация для того, чтобы отличать каждый из шагов. Отделять, так сказать, мух от котлет и тех кто верит, от тех кто нет. https://forum.antichat.xyz/attachmen...f7dc99e56f.png ID техники Active Scanning - T1595, в нее входят два действия: Scanning IP Blocks и Vulnerability Scanning. Внимательно прочитав описание, некоторые из вас уже составили у себя в голове картину, чтобы при анализе логов заострить внимание на некоторые действия и классифицировать их как атаку. Для простых смертных типа меня, придумано правило 34. При переходе в Active Scanning видно, что все разложено по полочкам. Структура у любой техники одинакова: 1. Общее описание https://forum.antichat.xyz/attachmen...91ab51fd86.png 2. Кто применял или применяет https://forum.antichat.xyz/attachmen...63cb8618c2.png Здесь - это группировка TeamTNT. 3. Как предотвратить https://forum.antichat.xyz/attachmen...32e3b7f86b.png В данном случае сказано, что эффективных превентивных мер нет, и что единственный путь - минимизировать количество доступной информации. 4. Как обнаружить https://forum.antichat.xyz/attachmen...947a7c7e64.png Исследование сетевого трафика это универсальный способ обнаружения, но другого на этом этапе атаки и нет. Есть возможность рассмотреть более подробно историю применения, полезно, если там известная APT или вредоносная программа, ведь сразу можно выделить артефакты. Например, TeamTNT добавляет RSA-ключ в authorized_keys: https://forum.antichat.xyz/attachmen...ceef924f3d.png Эту информацию можно использовать для автоматизации своей защиты, написания правил IDS/IPS и т.д. Ну, а где искать уже известно из “Detection”. На этом все, дальше только скрупулезное изучение каждой техники и каждого направления, и, через 200+ техник вы уже будете разбираться в этапах вторжения и способах обнаружения. Для упрощения жизни, ребята из РТ сделали перевод. Но сильно на него не рассчитывайте, он служит в маркетинговых целях и не дает детального описания, а скорее показывает, что покрывается продуктом PT NAD. К тому же, переведены там только названия техник. Тем не менее, работа сделана немалая и обходить вниманием статью не стоит. Но лучше учите английский. |
Спасибо отличная статья
|
Спасибо, в полезности
|
Давно хотел научиться использовать митры и Ваша статья первый шаг для меня)
|
спасибо
|
| Время: 01:48 |