Mỗi tuần chúng tôi đọc về những kẻ thù tấn công các mục tiêu của họ như là một phần của chiến dịch hình sự trực tuyến. Thu thập thông tin, lợi thế chiến lược và trộm cắp tài sản trí tuệ là một số động lực. Bên cạnh đó, chúng ta đã thấy trong hai năm qua, sự gia tăng các cuộc tấn công trong đó các đối thủ không nhút nhát để lại một dấu vết hủy diệt. Người ta có thể tự hỏi làm thế nào để đối phó với các loại mối đe dọa và bắt đầu từ đâu.

Sun Tzu Nghệ thuật chiến tranh chứa đựng một số trí tuệ vĩ đại về chiến lược chiến tranh. Một trong những phổ biến nhất là lời khuyên “Nếu bạn biết kẻ thù và biết chính mình, bạn không cần phải sợ kết quả của một trăm trận chiến. Nếu bạn biết chính mình nhưng không phải là kẻ thù, cho mỗi chiến thắng đạt được bạn cũng sẽ phải chịu một thất bại. Nếu bạn không biết kẻ thù cũng không phải là chính mình, bạn sẽ thua trong mỗi trận chiến. ”

Áp dụng lời khuyên này để bảo mật thông tin, trước tiên hãy tập trung vào việc biết chính mình. Biết mình có thể được chia thành hai phần:

  • Tôi có cái gì có giá trị cho kẻ tấn công?
  • Làm cách nào để phát hiện, bảo vệ và sửa chữa bất kỳ mối đe dọa nào đối với giá trị đã xác định của tôi?

Mọi công ti đều có giá trị, chỉ mất một tâm trí hình sự để thấy điều đó và cố gắng khai thác nó. Hãy tự hỏi cốt lõi của doanh nghiệp của bạn là gì, nước sốt bí mật mà mọi người có thể làm sau, điều gì sẽ đưa bạn ra khỏi kinh doanh, người mà bạn đang kinh doanh, khách hàng của bạn, vv

Một khi bạn đã xác định được giá trị của tổ chức của bạn, phần thứ hai của việc tự biết mình đi vào hoạt động. Bạn phải hiểu nơi bạn tập trung phòng thủ của mình và đầu tư vào công nghệ để phát hiện và bảo vệ chống lại các mối đe dọa.

Sau khi kết thúc phần hiểu biết của mình, chúng ta có thể học được gì từ kẻ thù? Hãy tự hỏi mình “Ai có thể quan tâm đến việc tấn công tôi?” Bằng cách xem qua danh sách những kẻ thù và nhóm tội phạm, bạn có thể tạo danh sách dựa trên địa lý và vectơ nào họ nhắm mục tiêu và phân loại chúng theo rủi ro. Đây là một ví dụ đơn giản:

Một khi bạn đã có danh sách và phân loại nguy cơ của bạn đã sẵn sàng, bạn phải nghiên cứu tiếp theo các chiến thuật, kỹ thuật và thủ tục được sử dụng bởi những kẻ thù này. Để lập bản đồ các kỹ thuật và chiến dịch liên quan của chúng, chúng tôi sử dụng các kỹ thuật, kỹ thuật và mô hình kiến ​​thức phổ biến của MITER (ATT & CK). Ma trận bao gồm hàng trăm kỹ thuật và có thể được áp dụng cho các mục đích khác nhau. Trong trường hợp này, chúng tôi sẽ tập trung vào rủi ro so với bản đồ kiến ​​trúc phòng thủ.

Trong quý 1 năm 2018, chúng tôi lập bản đồ các cuộc tấn công nhắm mục tiêu được phát hiện bởi chính chúng ta và các đồng nghiệp trong ngành. Ví dụ sau đây xuất phát từ một đối thủ mà chúng tôi theo dõi, hiển thị các kỹ thuật mà họ đã sử dụng:

Với công cụ Điều hướng của MITRE, bạn có thể chọn một diễn viên hoặc gia đình phần mềm độc hại. Sau khi thực hiện lựa chọn, các hộp trong ma trận hiển thị các kỹ thuật mà diễn viên hoặc phần mềm độc hại đã sử dụng.

Từ những kỹ thuật này, chúng ta có thể học cách môi trường của chúng ta bảo vệ chống lại những kỹ thuật này và nơi chúng ta có những khoảng trống. Mục tiêu không phải là tạo ra mức độ phù hợp hoặc chữ ký cho mỗi kỹ thuật; ma trận giúp các tổ chức hiểu cách thức hành vi của kẻ tấn công. Việc có nhiều khả năng hiển thị hơn trong các phương pháp của họ sẽ đưa chúng ta đến những câu trả lời đúng và giúp chúng ta chứa và loại bỏ các cuộc tấn công theo cách phối hợp. Bằng cách so sánh nhiều diễn viên từ đánh giá rủi ro ban đầu của bạn, bạn có thể xây dựng ma trận từ quan điểm của rủi ro cao / trung bình / thấp và lập bản đồ nó chống lại phòng thủ của bạn.

Mặc dù một số đối thủ có thể không có lịch sử tấn công bạn và khu vực của bạn, bạn vẫn nên tự hỏi “Nếu chúng ta là mục tiêu?” Môi trường của bạn có đủ khả năng hiển thị để phát hiện và xử lý các kỹ thuật này không?

Số liệu thống kê

Khi chúng tôi nhìn vào quý đầu tiên, chúng tôi nhận thấy rằng ba kỹ thuật là phổ biến nhất trong danh mục Đặc quyền Escalation:

  • Khai thác lỗ hổng
  • Quá trình tiêm
  • Tài khoản hợp lệ

Để xác định phạm vi phủ sóng và khả năng phát hiện của bạn, bạn nên hỏi xem các khai thác có sử dụng các lỗ hổng hoàn toàn mới không (không có bản vá) hoặc nếu chúng tồn tại trong một thời gian. Môi trường của bạn có cài đặt các bản vá đúng hay bạn đang thiếu chúng và phải hành động?

Khi chúng tôi xem xét các loại Exfiltration và Command and Control, hầu hết các chiến dịch đã lọc dữ liệu của họ qua kênh máy chủ điều khiển bằng cách sử dụng một cổng chung. Điều đó chuyển sang cổng TCP 80 (HTTP) hoặc cổng TCP 443 (HTTPS). Tất cả chúng ta đều sử dụng các cổng này từ bên trong mạng để giao tiếp với internet. Điều gì sẽ xảy ra nếu tất cả các phòng thủ khác của tôi không phát hiện được hoạt động đáng ngờ? Những thành phần phòng thủ nào trong mạng của tôi có thể kiểm tra lưu lượng gửi đi và chặn hoặc gắn cờ các nỗ lực exfiltration?

Kết luận

Trong bài này, chúng tôi nhấn mạnh một cách tiếp cận và áp dụng mô hình ATT & CK. Có rất nhiều cách để áp dụng nó cho đội đỏ, săn bắt mối đe dọa và các nhiệm vụ khác. Tại McAfee, chúng tôi nắm lấy mô hình và áp dụng nó cho các cấp độ và mục đích khác nhau trong tổ chức của chúng tôi. Chúng tôi không chỉ sử dụng nó mà còn đóng góp cho mô hình bằng cách mô tả các kỹ thuật mới được phát hiện được sử dụng bởi các đối thủ.

 



Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây