Главная » Угрозы

Проект Unfetter — open source, который автоматизирует применение ATT&CK и CAR в вашей сети

Угрозы
На чтение 4 мин Просмотров 35 Опубликовано
Ну и дабы завершить триптих про ATT&CK, давайте поговорим про то, как автоматизировать задачу использования ATT&CK и CAR в своем собственном окружении. Ведь задача это будет нужно реализовывать регулярно и хотелось бы иметь некий инструмент, позволяющий вам «по-быстрому» ответить на ряд наводящих вопросов и получить в ответ готовый отчет, который укажет все ваши слабые места (например, незакрытые техники и тактики хакеров согласно ATT&CK) и еще неплохо бы, чтобы он порекомендовал вам и способы решения проблемы, то есть как и чем прикрыть имеющиеся у вас проблемы. И такой инструмент есть; более того, это open source, разработанный корпорацией MITRE и Агентством национальной безопасности (АНБ). Если вам претит использовать любой инструментарий, сделанный АНБ (даже open source), то можете сразу закрыть эту страницу и не читать дальше.

Проект называется Unfetter и состоит он из двух компонентов — Discover и Analytic. Первый, как видно из названия, позволяет оценить ваш текущий уровень защиты. Путем опроса через Web-формы, система «изучает» используемые вами меры и технологии защиты, сопоставляя их затем с базой знаний ATT&CK.

Вот так выглядит опрос чуть более детально. Обратите внимание, что оценка ваших защитных мер идет на базе классического списка SANS Top20 Critical Security Controls (точнее уже не SANS, а CIS), который давно уже стал стандартом де-факто в части рекомендуемых защитных мер, позволяющих бороться с самыми распространенными атаками (первоначальный Топ20 создавался специалистами АНБ и МинЭнерго США).
Обратите внимание, оценка каждой защитной меры (увы, ни новый ГОСТ ЦБ, ни приказы ФСТЭК не поддерживаются) осуществляется по ряду понятных параметров (мера есть в политике ИБ, мера реализована, мера автоматизирована и т.д.). По итогам система сопоставляет ваши ответы про ваши защитные меры с базой знаний ATT&CK и показывает вам ваш текущий уровень риска.

По каждому пункту вы можете получить более детальную информацию:

Дальше вы можете изучить методы атак и занесенные в систему хакерские группировки. По сути это немного переделанный CARET, описанный в предыдущей заметке, но установленный на локальной машине и сохраняющий ваши ответы, чтобы с ними можно было «играться» исходя из ваших нужд. Например, вы можете посмотреть тактики и техники хакеров:

 сравнить их и попробовать «натянуть» на ваше сетевое окружение:

и разобраться, какие из защитных мер помогают нейтрализовывать какие тактики и техники злоумышленников.

В принципе, для большинства задач достаточно только компонента Unfetter Discover. Он проанализирует вашу системы защиты и даст ответы о ее болевых точках. Второй компонент — Unfetter Analytic. Данный пока еще прототип предназначен для разработчиков, которые хотят ознакомиться с подходом MITRE в части моделирования угроз и атак и разработать и оценить эффективность своих защитных методов. Архитектура Unfetter Analytic, построенная на известных компонентах (Spark, Elastic, Kibana, NXLog и др.), позволяет генерить события безопасности из целевой системы на базе Windows (попытка входа в системе, запуск процесса, сетевое соединение и т.п.), которые затем уходят на сервер Analytic, который генерит уже события, связанные с обнаружением (или необнаружением) ваших «атак». Обнаружение осуществляется как раз вашими детекторами, которые вы пишете сами на Python. Analytic позволяет вам визуализировать то, что происходит и в контексте атаки, и в контексте ее обнаружения и проанализировать эффективность вашего метода обнаружения (а точнее прототипа метода обнаружения), который затем может быть уже реализован в более серьезном, боевом варианте. Ваши «детекторы» могут повторять то, что уже находится в реестре CAR, описанном вчера, а могут быть уникальными решениями. Задача Unfetter Analytic проанализировать эффективность вашего «детектора» с привязкой к CAR и ATT&CK.

Проект Unfetter развивается и у авторов достаточно амбициозные планы по его развитию:

  • автоматическая выгрузка и анализ данных из различных отчетов Threat Intelligence с последующей их загрузкой в базу знаний Unfetter
  • использование псевдокода для методов обнаружения для их последующего распространения в сообществе
  • загрузка и оценка данных об угрозах в формате TAXII 2.0 от доверенных краудсорсинговых партнеров
  • Purple Team Operation Planner для эффективности работы Red и Blue Team.
ATT&CK open source SOC
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.