Pages - Menu

Страницы

19.4.21

Моделирование нарушителей по методике ФСТЭК: теория и реальность

В последнее время, либо готовясь к выступлению на различных мероприятиях, либо помогая нашим заказчикам в понимании методики оценки угроз ФСТЭК, я в очередной раз убеждаюсь, что регулятор сам так и не попробовал незамутненным взглядом пройтись по своему документу и никак не учитывал, что компании и производители средства защиты уже не первый год занимаются моделированием угроз немного не так, как это написал регулятор. Например, многие давно используют матрицу MITRE ATT&CK, которая стала стандартом де-факто в мире, но наш регулятор, позаимствовав идею с kill chain, не подумал (или не захотел, что еще хуже) синхронизировать свои техники с техниками ATT&CK. Например, когда я попробовал Топ10 техник ATT&CK, использованных шифровальщиками в 2020-м году, наложить на техники ФСТЭК, у меня получилось так, что совпадение между ними всего на 80%. Да, мы можем добавить к 145 техникам ФСТЭК техники ATT&CK (методика это позволяет), но в условиях их несовпадения придется потратить немало времени на сопоставление.

Но сегодня речь не об этом. Я бы хотел коснуться одного из этапов построения модели угроз -  определение актуальных нарушителей. Согласно методики актуальными считаются те нарушители, когда их цели могут привести к негативным последствиям и рискам, которые (имеется ввиду риски) почему-то приравнены к понятию ущерба (при таком вольном трактовании термина "риск" становится понятно, почему по словам руководства ФСТЭК никто не следуют риск-ориентированному подходу). Вроде бы логично - цель есть, нарушитель актуален; цели нет - нарушитель неактуален. Но дальше начинаются нюансы.

Например, если посмотреть приложение 6, которое связывает нарушителей с их целями, то мы увидим  среди целей "непреднамеренные, неосторожные или неквалифицированные действия". Вдумайтесь! Вы когда-либо видели нарушителя, который ставит перед собой цель "накосячить"? Когда среди целей есть "получение конкурентных преимуществ", "получение финансовой или иной материальной выгоды", "совершение террористических актов" или "нанесение ущерба государству", то это понятно и вопросов не вызывает. Но "непреднамеренные действия"? Даже не могу себе предположить, чем руководствовались авторы, когда включали эту цель в список возможных? Интересно, что страх среди целей не указан (а именно эту цель преследуют те же террористы). А deface сайта, выполняемый религиозно настроенными хакерами? Ну не будем же мы относить это к дестабилизации  деятельности организации? Кстати, такое явление как хактивизм (Сноуден или Ассанж - яркие его представители) тоже не нашло своего отражения в методике (хотя их можно добавить - методика это допускает).

Но вернемся к перечню актуальных нарушителей. Если отбросить "непреднамеренные, неосторожные или неквалифицированные действия" в качестве цели, а мы можем это сделать без проблем, так как в здравом уме как цель мы это не укажем, то у нас остается в 95% случае всего 5 актуальных нарушителей:

  • преступные группы
  • хакеры-одиночки
  • авторизованные пользователи
  • системные администраторы
  • бывшие работники.
Последние три категории признаются актуальными, потому что среди целей ФСТЭК упоминает любопытство или месть, что вполне реально. Первых два типа актуальны потому, что их цель получение финансовой или иной материальной выгоды, а также любопытство или желание самореализации. Если бы ФСТЭК убрала слово "материальная", то у нас в эти категории попали бы хакеры, преследующие идеологические (хактивисты) или религиозные цели. Но нет...   

У отдельных организаций могут быть также включены конкуренты в список нарушителей. Госорганам в этом плане повезло - у них нет конкурентов (кто захочет с ними конкурировать?). А что с разработчиками ПО? Среди предлагаемых регулятором целей мы видим следующие. "Накосячить" - отбрасываем. Получение конкурентных преимуществ или финансовой выгоды. Тоже отбрасываем - ну не интересны мы компании Microsoft или Google или Apple ни с точки зрения конкуренции, ни с точки зрения денег. Есть еще одна странная цель - "внедрение дополнительных функциональных возможностей в ПО на этапе разработки", но что это, я не совсем понял. Речь о закладках? Или о том, что программисты напишут код и забудут его задокументировать (а иначе какой же он дополнительный?)? Тоже самое и остальных категорий нарушителей - они если и встречаются в реальной жизни, то достаточно редко. В итоге мы имеем на выходе всего 5 помеченных на картинке выше типов актуальных нарушителей.

Расслабились? Подождите. Это еще не все. Посмотрите на свою текущую инфраструктуру. Я подозреваю, что она не полностью изолирована от внешнего мира. Более того, я на 100% уверен, что она задействует внешние сервисы. Да хотя бы тот же DNS. А еще есть файловые хранилища, системы групповой работы, видеоконференции, CRM-системы и т.п. Да много чего еще. И все это принадлежит не вам, а кому-то. Согласно же методике, если поставщики таких систем, не оценили или предоставили вам свои оценки угроз, то вы должны исходить из того, что против вас действует нарушитель с максимальным уровнем возможностей (п.2.11), то есть спецслужба иностранного государства.

То есть, чтобы вы ни делали, уровень возможностей нарушителя, с которым вам придется бороться, будет все равно максимальным и большого смысла в сокращении числа актуальных нарушителей нет :-(

13.4.21

Моделирование угроз по ФСТЭК - лайфхак

Одним из камней преткновения в новой методике оценки угроз является пункт о необходимости составления перечня возможных сценариев реализации угроз, который нереализуем сегодня. Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно. Во-вторых, вы должны досконально знать все методы злоумышленников, чтобы составить такой список, а у нас этому нигде особо и не учат. Да, кто-то может быть имеет то, что иностранцы называют "Attacker mindset" ("мышление хакера"), но мне кажется, что 97% специалистов по ИБ знают только одну сторону - оборонительную, защитную. В-третьих, само по себе это занятие не имеет большого смысла, так как у вас в природе не существует средств или мер защиты, которые бы помогали бороться именно со сценариями реализации угроз. А это значит, что смаппить сценарии в защитные меры по 17/21/31/31v2017/239-м приказам ФСТЭК будет нельзя.

Я пытался, но с ходу так и не вспомнил ни одного проекта, где кто-либо пытался составить перечень возможных сценариев. Все ограничиваются именно техниками. Такая-то группа использует такие-то техники. Об этом пишут Cisco. Fireeye, Crowdstrike, Касперский и множество других компаний по ИБ. Возьмем, к примеру, китайскую группировку APT41 (она же Double Dragon, она же Winnti Group, она же Barium, она же Axiom). Согласно исследовательским отчетам она использует не менее 40 различных техник MITRE ATT&CK. Например, Информзащита недавно опубликовала отчет об обнаружении Winnti на ряде промышленных предприятий России (перед этим, правда, долго пыталась доказать, что публикация TTP может нанести ущерб Российской Федерации и должна быть согласована с ФСБ :-)


А вот пример отчета другого лицензиата ФСТЭК, компании Positive Technologies, которая, как считают многие, приложила руку к разработке методики оценки угроз ФСТЭК. Они обнаружили группировку, названную ими Calypso:


Обратите внимание, лицензиаты ФСТЭК не занимаются задачей из области комбинаторики, а просто указывают, какие техники использует та или иная группировка при реализации своих угроз. Почему они идут наперекор регулятору? На мой взгляд объяснение этому простое - гораздо проще (и это не значит хуже) бороться с конкретными техниками, коих число ограничено. 

Ведь какие бы сценарии вы не напридумывали (имеет ли вы такой опыт или нет), они все будут ограничены комбинациями из 145 техник ФСТЭК или 200+ техник ATT&CK. Ну, возможно, вы придумаете еще какие-то свои техники. Но врядли их будут тысячи или даже сотни. Скорее всего вы не выйдете за рамках ТТУ ФСТЭК или TTP ATT&CK. И средства защиты вы будете искать те, которые будут закрывать не сценарии реализации угроз, а техники. 

Привязка конкретных проявлений атаки к ATT&CK в Cisco Secure Malware Analytics

Более того. Чем еще интересен проект MITRE ATT&CK? У них есть не только матрица тактик и техник атак. И не только список APT-групп с присущими ими TTP (у нас эту задачу должна была бы решать ГосСОПКА или ФинЦЕРТ, но будут ли они описывать действия нарушителей по методике ФСТЭК, - большой вопрос). Есть у них еще и список защитных мер, которые связаны с нейтрализуемыми тактиками и техниками. И многие производители средств защиты внутри своих продуктах не только делают отсылки на TTP, но и предоставляют своим заказчикам матрицы соответствия своих решений защитным мерам по ATT&CK. Например, вот так это выглядит у нас в Cisco: 

То есть упомянутый выше лайфхак будет звучать как "фокусируйтесь на определении техник реализации угроз, а не их сценариях". Это без снижения качества результата (все равно нейтрализовывать мы будем техники) позволит существенно сэкономить по времени и усилиям. Определить же нужные вам техники вы можете либо по отчетам различных ИБ-компаний, либо по сайту MITRE ATT&CK (по списку группировок/нарушителей или используемому ими инструментарию), либо с помощью инструмента CARET.

Фрагмент работы CARET для группировки Winnti (красным подсвечены актуальные техники)

Так мы же работаем не по MITRE ATT&CK! Мы же должны по ТТУ от ФСТЭК строить систему защиты! И да, и нет. В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе. Так используйте. А вот будет ли регулятор обращать внимание, что сделанный вами перевод TTP немного отличается от названий ТТУ, вопрос не такой уж и важный. Суть методики вы же уловили верно и я не думаю, что регулятор будет лезть в бутылку и настаивать на слепом соблюдении буквы документа, который реализовать в текущем виде нельзя.

12.4.21

Методика оценки угроз ФСТЭК: первая попытка применить ее на практике

Для курса по моделированию угроз, который я читаю в Информзащите, и курса по методике оценки угроз именно ФСТЭК, который я читаю в Аста74, в последнее время я стал глубже копать то, что сотворил наш регулятор, чтобы попробовать сделать что-то практичное и практически полезное. Учитывая, что ключевой проблемой всей методики является ее последняя часть, посвященная составлению списка возможных сценариев реализации угроз, я попробовал применить опыт, имеющийся при использовании матрицы MITRE ATT&CK. Начал я с трансляции 11-го приложения документа ФСТЭК в более привычный по ATT&CK и более удобный Excel-формат для работы с таблицами (результат выложил у себя в Telegram-канале).

Дальше у меня была 2 простых идеи; раз уж я не участвовал в работе над последней редакцией методики. Во-первых, я подумал смаппировать ТТУ (тактики и техники угроз) по методике ФСТЭК с TTP (tactics, technics and procedures) по MITRE. А, во-вторых, подумалось мне, что сделать версию ATT&CK Navigator на базе отечественных техник и тактик было бы неплохим подспорьем для автоматизации (а там можно было бы и над переводом Unfetter подумать). Но когда я стал сравнивать ТТУ и TTP меня ждало разочарование.

Оказалось, что они плохо соотносятся друг с другом. 10 тактик ФСТЭК являются результатом объединения ряда тактик MITRE. Но если это еще можно как-то объяснить, то вот техники там уже перемешаны более сильно. Например, техника Т1.7 у ФСТЭК описывает сбор данных, предоставляемых DNS-сервисами. В ATT&CK это уже две техники - T1590.002 (сбор сетевой информации о цели - DNS) и T1596.001 (поиск в открытых базах данных - DNS/Passive DNS).     

А, например, техника Т4.1 описывает несанкционированное создание или кражу учетных записей. У MITRE это вообще отдельная тактика "доступ к учетным записям" (Credential Access), в которой 15 основных и 52 второстепенных техники. И как их соотносить?

Разумеется, если постараться, то соотнести можно, но вот смысл теряется. Если бы ТТУ ФСТЭК были простым переводом TTP, то маппинг бы имел смысл, так как тогда можно было бы легко задействовать все базирующиеся на MITRE ATT&CK инструменты. Например, тот же ATT&CK Navigator. Простой open source инструмент, который облегчает работу с тактиками и техниками, позволяя легко описывать сценарии атак (если не брать в расчет их возможное количество), описывать те сценарии, которые не закрываются текущими мерами защиты, проводить тесты средств защиты и проводить кучу иных мероприятий.

Кроме того, техники и тактики матрицы ATT&CK сегодня поддерживаются многими производителями средств защиты, что позволяет достаточно быстро понять, способно ли решение по ИБ нейтрализовывать те угрозы, которые мы намоделировали.

Поддержка ATT&CK в подсистеме threat hunting в Cisco Secure Endpoint (бывший AMP4E) 

Возможно, у ФСТЭК есть идея сделать схожую штуку и для отечественных производителей. Правда, что делать российским вендорам, которые активно работают на зарубежных рынках и которые поддерживают в своих решениях именно  MITRE ATT&CK? В том же Kaspersky EDR (версия Expert) это есть. В своей аналитике "Касперский" тоже привязывает обнаруживаемую вредоносную активность к ATT&CK. Теперь им делать двойную работу?

Отчет Kaspersky MDR с привязкой к ATT&CK

PT NAD с поддержкой ATT&CK

Вот пытаюсь я понять, в чем был смысл городить огород с собственной, нестыкуемой с ATT&CK, матрицей ТТУ и не могут понять :-( Возможно регулятор повторит путь MITRE и сообщества, которое участвует в работе над ATT&CK, и не ограничится одной таблицей в Word, а создаст реальный фреймворк с автоматизацией, API, поддержкой в российских продуктах (которые никто не поймет за пределами РФ, так как там все пользуются ATT&CK - привет, декларируемый Президентом страны экспорт российских ИТ). Но верю я в это пока с трудом - у ФСТЭК нет для этого ни денег, ни людей. Да и от краудсорсинга регулятор в последнее время отказался - делая все свои активности закрытыми и ограниченными только отдельными лицензиатами.  

Сводная аналитика по вредоносному коду с привязкой к ATT&CK в Cisco Secure Malware Analytics 

Но даже если все это будет создано, то возникает вопрос, как пользоваться результатами труда сотен зарубежных компаний, которые в своих отчетах используют привязку именно к ATT&CK? Кто будет сопоставлять TTP с ТТУ? Закроемся от всего мира и опустим железный занавес на отрасль ИБ? Ну тоже вариант. Правда, что делать с киберпреступниками, которые границ не признают, и данные по которым, присутствуют, например, в сервисе CARET, построенном на базе ATT&CK? Сейчас я могу ввести в него набор выявленных мной техник и инструмент подскажет мне группировки, которые могут стоять за атаками. И наоборот. Если в процессе моделирования нарушителей, я определился с актуальными для меня, CARET поможет мне определить, какие техники они используют, сильно сократив время на анализ.  

Пример описания техник, используемых одним из нарушителей с помощью ATT&CK

Но увы, ничего этого не получится, так как ФСТЭК зачем-то решила уйти от общепринятой в мире систематизации и создать что-то свое. Посмотрим, что из этого выйдет. Пока ничего хорошего я в этом не вижу. Уж с практической точки зрения, как минимум.

ЗЫ. Кстати, за основу средства автоматизации моделирования угроз и определения тактик и техник на базе MITRE ATT&CK, которое могло бы лечь в основу инструментария ФСТЭК, обещанного в этом году, можно взять Unfetter, который я уже описывал три года назад. Оно доступно в формате open source. Правда, его делало Агентство национальный безопасности и это может стать камнем преткновения для наших регуляторов :-(