Sadržaj

Video zapis prezentacije: https://ferhr-my.sharepoint.com/:v:/g/personal/nm36233_fer_hr/EUZLQ-iBJsJPkSKhRo65isABWmTzc_dFRQrQTaz_EYh_Vw?e=yc3Wfa

Sažetak

MITRE ATT&CK okvir je vrlo popularna baza znanja o sigurnosti koju koriste i napadački i obrambeni timovi (red and blue teams). MITRE pomaže organizacijama da utvrde vlastit stupanj sigurnosti, kao i potencijalne ranjivosti koje napadači mogu iskoristiti. A napadačima, pen testerima, hakerima omogućuje da efikasno i strukturirano pripreme svoje napade (testiranja sustava).

Uvod

MITRE ATT&CK je besplatna baza znanja prvenstveno temeljan na ponašanju napadača koji žele neovlašteno pristupiti informacijskom sustavu. Okvir se fokusira na to kako vanjski napadači prolaze kroz različite faze pripreme i izvršavanja napada, a obrambenim timovima daje smjernice kako uočiti neovlašteni pristup i maliciozno ponašanje unutar računalne mreže. Sam MITRE ATT&CK je u početku bio temeljen na Windows operativnom sustavu, ali je kasnije, kroz razvoj, uključio i ostale enterprise sustave (Linux, macOS, cloud based sustave, mreže, kontejnere), mobilne usstave (Android i iOS), kao i industrijske sustave. Unuta Poznavanje MITRE ATT&CK okvira omogućuje timovima zaduženima za sigurnost informacijskog sustava razumijevanje logike, ciljeva i tehnika koje koriste napadači, tj. stavljanje u „um“ napadača.

Komponente MITRE ATT&CK okvira

MITRE ATT&CK sastoji se od 4 glavne komponente:

Komponente su prikazane u ATT&CK matrici (Matrix) na slici

Slika prikazuje dio taktika, a ukoliko se uključi prikaz i pod tehnika, onda matrica izgleda:

Detaljan prikaz MITRE ATT&CK

U nastavku teksta će se opisati sustav MITRE ATT&CK okvira na temelju tehnike napada Brute Force. Svaka taktika ima više ili mane tehnika i pod tehnika koje se mogu istraživati kroz ATT&CK matricu. Primjerice, ukoliko napadača (ili tim zadužen za obranu) zanima napad na Windows sustav, odabrat će Windows matricu. U toj matrici postoji 12 taktika ili ciljeva, od koji je jedan pristup korisničkim podacima za prijavu (credential access). U korisničkim podacima za prijavu, napadač može iskoristiti 16 tehnika za pristup korisničkim podacima za prijavu (Adversary-in-the-Middle, Brute Force, Credentials from Password Stores, Exploitation for Credential Access, Forced Authentication, Forge Web Credentials, Input Capture, Modify Authentication Process, Multi-Factor Authentication Interception itd). Odabirom jedne tehnike (primjerice Brute Force), prikazuju se svi podaci o toj tehnici. Osnovni podaci o tehnici su:

Na gornjoj slici može se uočiti da postoje 4 pod tehnike koje detaljnije objašnjavaju brute force napad, platforme na koje se tehnika odnosi, verzija itd… Dodatno, važne informacije su:

Odabirom jedne od pod tehnika, prikazuju se kako izvršiti bure force napad koristeći pod tehniku primjerice „Password Spraying). Prikazan je opis pod tehnike: Adversaries may use a single or small list of commonly used passwords against many different accounts to attempt to acquire valid account credentials. Password spraying uses one password (e.g. 'Password01'), or a small list of commonly used passwords, that may match the complexity policy of the domain. Logins are attempted with that password against many different accounts on a network to avoid account lockouts that would normally occur when brute forcing a single account with many passwords. Također, slično kao i za tehnike dan je opis procedura gdje se opisuju na koji način su poznate hakerske grupe izvršile napad, načina mitigacije i tehnika detekcije. Za pojedine napade naveden je i softver koji se može koristiti u svrhu napada.

Zaključak

MITRE ATT&CK okvir je izuzetno korisna baza znanja za svakoga tko je bavi sigurnosti informacijskih sustava. Baza znanja je besplatna, stalno se nadopunjuje, i na jednostavan način kategorizira znanje i omogućuje istraživanje informacijske sigurnosti iz bilo kojeg smjera: napadi, mitigacijske tehnike, grupe, softveri na napada i slično. MITRE nije jedini cyber security okvir, primjerice postoje bolji okviri za sigurnost aplikacija, ali prednost MITRE okvira je što se fokusira na napadača i ulazi dublje u tehniku od većine ostalih okvira.

Literatura

[1] https://attack.mitre.org/