13.4.21

Моделирование угроз по ФСТЭК - лайфхак

Одним из камней преткновения в новой методике оценки угроз является пункт о необходимости составления перечня возможных сценариев реализации угроз, который нереализуем сегодня. Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно. Во-вторых, вы должны досконально знать все методы злоумышленников, чтобы составить такой список, а у нас этому нигде особо и не учат. Да, кто-то может быть имеет то, что иностранцы называют "Attacker mindset" ("мышление хакера"), но мне кажется, что 97% специалистов по ИБ знают только одну сторону - оборонительную, защитную. В-третьих, само по себе это занятие не имеет большого смысла, так как у вас в природе не существует средств или мер защиты, которые бы помогали бороться именно со сценариями реализации угроз. А это значит, что смаппить сценарии в защитные меры по 17/21/31/31v2017/239-м приказам ФСТЭК будет нельзя.

Я пытался, но с ходу так и не вспомнил ни одного проекта, где кто-либо пытался составить перечень возможных сценариев. Все ограничиваются именно техниками. Такая-то группа использует такие-то техники. Об этом пишут Cisco. Fireeye, Crowdstrike, Касперский и множество других компаний по ИБ. Возьмем, к примеру, китайскую группировку APT41 (она же Double Dragon, она же Winnti Group, она же Barium, она же Axiom). Согласно исследовательским отчетам она использует не менее 40 различных техник MITRE ATT&CK. Например, Информзащита недавно опубликовала отчет об обнаружении Winnti на ряде промышленных предприятий России (перед этим, правда, долго пыталась доказать, что публикация TTP может нанести ущерб Российской Федерации и должна быть согласована с ФСБ :-)


А вот пример отчета другого лицензиата ФСТЭК, компании Positive Technologies, которая, как считают многие, приложила руку к разработке методики оценки угроз ФСТЭК. Они обнаружили группировку, названную ими Calypso:


Обратите внимание, лицензиаты ФСТЭК не занимаются задачей из области комбинаторики, а просто указывают, какие техники использует та или иная группировка при реализации своих угроз. Почему они идут наперекор регулятору? На мой взгляд объяснение этому простое - гораздо проще (и это не значит хуже) бороться с конкретными техниками, коих число ограничено. 

Ведь какие бы сценарии вы не напридумывали (имеет ли вы такой опыт или нет), они все будут ограничены комбинациями из 145 техник ФСТЭК или 200+ техник ATT&CK. Ну, возможно, вы придумаете еще какие-то свои техники. Но врядли их будут тысячи или даже сотни. Скорее всего вы не выйдете за рамках ТТУ ФСТЭК или TTP ATT&CK. И средства защиты вы будете искать те, которые будут закрывать не сценарии реализации угроз, а техники. 

Привязка конкретных проявлений атаки к ATT&CK в Cisco Secure Malware Analytics

Более того. Чем еще интересен проект MITRE ATT&CK? У них есть не только матрица тактик и техник атак. И не только список APT-групп с присущими ими TTP (у нас эту задачу должна была бы решать ГосСОПКА или ФинЦЕРТ, но будут ли они описывать действия нарушителей по методике ФСТЭК, - большой вопрос). Есть у них еще и список защитных мер, которые связаны с нейтрализуемыми тактиками и техниками. И многие производители средств защиты внутри своих продуктах не только делают отсылки на TTP, но и предоставляют своим заказчикам матрицы соответствия своих решений защитным мерам по ATT&CK. Например, вот так это выглядит у нас в Cisco: 

То есть упомянутый выше лайфхак будет звучать как "фокусируйтесь на определении техник реализации угроз, а не их сценариях". Это без снижения качества результата (все равно нейтрализовывать мы будем техники) позволит существенно сэкономить по времени и усилиям. Определить же нужные вам техники вы можете либо по отчетам различных ИБ-компаний, либо по сайту MITRE ATT&CK (по списку группировок/нарушителей или используемому ими инструментарию), либо с помощью инструмента CARET.

Фрагмент работы CARET для группировки Winnti (красным подсвечены актуальные техники)

Так мы же работаем не по MITRE ATT&CK! Мы же должны по ТТУ от ФСТЭК строить систему защиты! И да, и нет. В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе. Так используйте. А вот будет ли регулятор обращать внимание, что сделанный вами перевод TTP немного отличается от названий ТТУ, вопрос не такой уж и важный. Суть методики вы же уловили верно и я не думаю, что регулятор будет лезть в бутылку и настаивать на слепом соблюдении буквы документа, который реализовать в текущем виде нельзя.

2 коммент.:

Евгений комментирует...

Я вот только не понял, а какой смысл защищаться только от техник одной группировки? А остальных попросим подождать?

Алексей Лукацкий комментирует...

Почему только одной? Группировок более 900 - по каждой есть свои техники, но они часто пересекаются. Техник вообще всего 145 у ФСТЭК и около 400 у MITRE