Radość po wynikach testów MITRE ATT&CK APT29
Autor: Greg Young, Wiceprezes ds. Cyberbezpieczeństwa w Trend Micro
Od jakiegoś czasu o MITRE ATT&CK jest naprawdę głośno i podobnie, jak wielu z Was śledzę wydarzenia związane z MITRE ATT&CK Framework. W tym wpisie chcę Waszą uwagę zwrócić na niedawno opublikowaną przez MITRE ocenę skuteczności rozwiązań bezpieczeństwa bazującą na technikach wykorzystywanych przez grupę APT29 (znaną również, jako Cozy Bear, The Dukes oraz YTTRIUM).
Zanim przejdę do wyników testów kilka słów, czym jest MITRE ATT&CK i czym są testy, o których mowa.
MITRE ATT&CK jest publiczną, ogólnie dostępną bazą zawierającą informacje o taktykach, technikach i działaniach (ang. TTP – tactics, techniques, and procedures), jakie są podejmowane przez grupy cyberprzestępcze podczas ataków na organizacje – zarówno z sektora publicznego, jak i firm prywatnych. Dzięki usystematyzowaniu informacji w bazie, wprowadzeniu klasyfikacji oraz ujednoliceniu nazewnictwa, baza ATT&CK jest coraz częściej wykorzystywana przez działy bezpieczeństwa IT i zespoły SOC/IR jako narzędzie pozwalające na zrozumienie skuteczności systemów i procedur bezpieczeństwa w kontekście ataków, z jakimi mogą mieć do czynienia.
Jak się okazuje, MITRE ATT&CK może również służyć, jako doskonałe narzędzie do testowania systemów bezpieczeństwa pod kątem skuteczności wykrywania i reakcji na działania podejmowane przez cyberprzestępców podczas ataku. Ponieważ baza MITRE ATT&CK jest bardzo obszerna i zawiera charakterystyki taktyk, technik i działań (TTP) wielu różnych grup cyberprzestępczych, testy wykonywane są pod kątem detekcji i reakcji na działania jednej grupy. Ostanie testy dotyczą grupy APT29 znanej również, jako Cozy Bear, The Dukes oraz YTTRIUM.
Jak w tym teście wypadły rozwiązania Trend Micro? Poniżej przedstawiam sumaryczne wyniki:
91,79% w kategorii ogólnej wykrywalności. Wynik ten plasuje się w pierwszej dwójce na 21 dostawców.
91,04% w kategorii wykrywanie bez zmian konfiguracji testowanego systemu. Test pozwala na dokonanie zmian w konfiguracji po starcie, natomiast nie było to konieczne do osiągnięcia bardzo dobrych wyników ogólnych.
107 punktów w kategorii zebranych danych telemetrycznych. Telemetria dostarcza naszym klientom kontekstu oraz dodatkowych informacji związanych z działaniem cyberprzestępcy. Wynik ten wskazuje, że ta funkcjonalność w rozwiązaniach Trend Micro jest bardzo zaawansowana.
28 alertów. Co pokazuje, że testowane rozwiązania są w stanie dostarczać informacje o incydentach i aktywności cyberprzestępcy bez generowania dużego szumy informacyjnego.
Nasz produkt Apex One natknął się na wrednego i bezwzględnego misia (Cozy Bear) i wyszedł z tego spotkania bez szwanku. To podsumowanie jest uproszczeniem i nie obejmuje wszystkich niuansów testowania. Poniżej przedstawiam wnioski na temat tego, czym jest baza MITRE ATT&CK i jak interpretować otrzymane wyniki.
Wniosek nr 1 — test ATT&CK bazuje na scenariuszach
Testy i podejście MITRE ATT&CK jest bardzo interesujące, ponieważ łączy w sobie metody ataków stosowane w świecie rzeczywistym przez konkretne grupy przestępcze z modelem wykrywania stosowanym przez producentów i centra operacji bezpieczeństwa (SOC). Testy MITRE ATT&CK wykorzystują powyższy schemat działania, ale w środowisku laboratoryjnym. Określają, jak zabezpieczenia informatyczne prawdopodobnie poradzą sobie z atakiem konkretnego przeciwnika i metodami, jakie on zazwyczaj stosuje (w tym przypadku APT29). Zawsze istniał wyraźny podział na testy penetracyjne oraz testy laboratoryjne, natomiast w narzędziu testowym ATT&CK zastosowano kombinację obu metod testowych. Ocena dotycząca COZY BEAR jest bardzo interesująca, ponieważ było powszechnie wiadomo, że ataki te są dość wyrafinowane i sponsorowane przez państwa, a ich celem był Biały Dom i amerykańska Partia Demokratyczna. Ataki COZY BEAR oraz cała rodzina podobnych ataków wykorzystują furtki (ang. backdoor), oprogramowanie umożliwiające instalowanie złośliwych aplikacji bez wiedzy użytkownika (ang. dropper), zaciemnianie kodu programu (ang. obfuscation) oraz kradzież danych (ang. exfiltration).
Wniosek nr 2 — należy przyjrzeć się ocenom wszystkich grup zagrożeń, aby uzyskać najlepszy obraz sytuacji
Widzę kompromisy, ponieważ oceny ATT&CK dotyczą tylko tego jednego scenariusza, ale scenariusz ten jest oparty na rzeczywistości i przy odpowiedniej liczbie ocen w ramach wystarczającej liczby scenariuszy pomagają one lepiej zrozumieć dany produkt. Rozwiązania Trend Micro świetnie się sprawdziły w ostatnio opublikowanej ocenie APT/29/COZY BEAR, lecz zwracam uwagę na to, że każdy produkt jest tak naprawdę na tyle dobry, na ile wskazuje na to średnia ze wszystkich ocen. Zawsze doradzałem czytelnikom raportów Magic Quadrant lub NSS Value Map, aby przyjrzeli się starszym wersjom raportów, aby uzyskać pełny obraz rozwoju produktu w czasie.
Wniosek nr 3 — test jest ukierunkowany (tylko) na wykrywanie zagrożeń
Test APT29, podobnie jak większość ocen ATT&CK, sprawdza wykrywanie zagrożeń, a nie zapobieganie im. Nie obejmuje również innych elementów rozwiązań bezpieczeństwa (np. wsparcia). Minusem jest to, że zdolność produktu do blokowania ataków nie jest oceniana, przynajmniej jeszcze nie teraz. Funkcje blokujące muszą być wręcz wyłączone, aby można było wykonać różne części testu. Rozumiem to w ten sposób: „nie możesz testować alarmu na wyższych piętrach, gdy na parterze atakuje cię wściekły pies”. Rozpoczęcie ochrony systemu informatycznego od słabego wykrywania zagrożeń nigdy nie kończy się dobrze, więc metodologia testów wydaje się oparta na zasadzie: „jeśli możesz wykryć zagrożenie, to możesz je zablokować”. Niektóre testy penetracyjne są krytykowane z powodu tego, że wykorzystują określone scenariusze, które nie są realistyczne, ponieważ mechanizm A powstrzymałby zagrożenie, zanim mogłoby w ogóle dojść do zdarzenia B. Programiści odpowiedzialni za tworzenie zestawu reguł zapobiegających włamaniom do systemu na całym świecie powinni się zgodzić z powyższym twierdzeniem. Popieram MITRE w ramach opracowanej przez nich metodologii, ponieważ dla każdego testu laboratoryjnego muszą istnieć ograniczenia i zakres, natomiast czytelnicy muszą zrozumieć, z czego te ograniczenia i zakresy wynikają. Spodziewam się, że następna runda testów obejmie również ochronę (blokowanie zagrożeń), więc podoba mi się to podejście.
Wniosek nr 4 — wybierz swoją własną prognozę pogody
ATT&CK nie jest recenzją , jak te publikowane w czasopismach. Nie ma w niej końcowej oceny ani porównania produktów. Aby w pełni zrozumieć filozofię ATT&CK, należy spojrzeć na nią, jak na dziesiątki bardzo solidnych, aczkolwiek skomplikowanych pomiarów meteorologicznych, z których sami musimy określić, jaka będzie pogoda. Alternatywą jest dopuścić do głosu dostawców rozwiązań, którzy zasypią nas swoją interpretacją oceny. Poddałem dogłębnej analizie dane liczbowe najnowszych ocen i wynika z niej, że nie wszystkie zabezpieczenia informatyczne radzą sobie tak dobrze, jak piszą o nich producenci i przekonują na swoich blogach. Bardziej zrozumiałym podejściem byłoby wskazanie, że wyniki można interpretować na wiele sposobów, a niektóre z tych interpretacji są dość kreatywne. Przywodzi mi to na myśl świetny cytat z recenzji Lockpicking Lawyer: „model zagrożenia nie uwzględnia atakującego ze śrubokrętem”.
Wniosek nr 5 — dane są zawsze prawidłowe
Gdy pominiemy rozważania na temat testów bezpieczeństwa informatycznego, to pozostaje powiedzieć, że testy MITRE ATT&CK są świetne i dostarczają dużo bardzo cennych informacji. Dzięki tego rodzaju ocenom wybieramy lepsze produkty z zakresu bezpieczeństwa informatycznego i lepiej z nich korzystamy. Polecam więc zagłębienie się w lekturę ATT&CK, z uwzględnieniem nie tylko ocen produktów, lecz także tego, jak się mają sposoby wykrywania ataków i przetwarzania map ataków stosowane przez Twoją firmę do różnych kampanii cyberprzestępców. Bez wątpienia opublikujemy więcej postów na temat oceny APT29 i kolejnych ocen.