31.10.2016

0-Day не так важны или почему знать TTP важнее

Цель безопасника не предотвратить все, что может плохого произойти в его владениях, но помешать хакеру быть успешным. 8 с половиной лет назад я подхватил на свой компьютер троянца и это несмотря на наличие у меня постоянно обновляемого антивируса. Только установленный у меня Cisco Security Agent смог зафиксировать и заблокировать непонятное сетевое соединение с компа с внешним узлом в Украине. Я так и не понял, как и где я подцепил заразу и проведенное расследование не смогло ответить на этот вопрос. Но!.. И ущерба мне нанесено никакого не было, так как вредоносная программа не смогла соединиться с внешним миром для передачи данных. Если обратиться к убийственной цепочке Kill Chain, то последний этап реализации атаки не сработал и можно считать ее всю неуспешной для злоумышленника.

К чему этот исторический экскурс? 0-Day существовали, существуют и будут существовать всегда. Все равно ни рядовой, ни корпоративный пользователь ничего не может с этим поделать - это прерогатива производителя, который в меру своих знаний и ресурсов оперативно устранит обнаруженную проблему; или не устранит. Устранив один 0-Day, появится второй, потом третий... Это гонка бесконечна. Постоянно появляется что-то новое, что может помочь злоумышленнику заразить ваши компьютеры. То есть 4-й этап Kill Chain может случиться все равно. Но вот техники, используемые злоумышленниками после заражения и компрометации, практически не меняются. Вспомним матрицу ATT&CK - она очень хорошо это иллюстрирует. И поэтому с точки зрения обеспечения кибербезопасности разумнее было бы сфокусироваться на том, что мы можем обнаружить и блокировать.

А для этого необходимо то, что на Западе емко называют TTP (tactics, techniques, and procedures), то есть тактика, техники и процедуры злоумышленников. Но важно не просто понимать, что могут сделать плохие парни; важно знать, что этому противопоставить каждой технике. Просто знать о том, что можно сломать сетевое оборудование через буткит мало - гораздо важнее с точки зрения кибербезопасности знать, что этому можно противопоставить. Без этой информации рассказы о том, как сломать, - это не более чем помощь настоящим злоумышленникам. Пользы в этом и уж тем более развития ИБ нет. Скорее наоборот. Такая информация способствует росту киберпреступности. Поэтому описанная ранее матрица ATT&CK связана с шаблонами атак CAPEC и для каждой техники предложен набор защитных мер. Это позволяет быстро понять, как выстроить систему защиту, а не только подивиться хитрому мозговыверту злоумышленников, которые нашли очередной способ обойти защитные механизмы вендора, даже несмотря на внедренный SDLC.