Má test MITRE ATT&CK APT 29 nějakého vítěze?

7. 10. 2020

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Poslední dobou je jméno MITRE, popřípadě MITRE ATT&CK framework, skloňováno ve všech pádech, a pokud jste přesto o této organizaci ještě neslyšeli, doporučuji se na její činnost podívat.

Ve zkratce je jejím hlavním cílem sjednotit „názvosloví“ v informační bezpečnosti, a umožnit tak pracovníkům v bezpečnosti mluvit stejnou řečí. Na jaře tohoto roku zveřejnila organizace MITRE výsledky testování EDR (Endpoint Detection & Rensponse) řešení od 21 výrobců na to, jak dokážou odhalit a správně kategorizovat útočné techniky používané skupinou APT 29 alias Cozy Bear.

APT29 je skupina působící od roku 2008 a její založení a financování je přisuzováno ruské vládě (viz. https://us-cert.cisa.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf).

Testováno bylo přesně 58 technik napříč deseti taktikami. Mnoho výrobců testovaných řešení se prakticky ihned prohlašovalo za vítěze navzdory tomu, že sama organizace MITRE uvádí pouze empirická data, která nejsou nijak interpretována a jsou otevřena diskuzi.

 

Je tedy někdo jednoznačným vítězem?

Ne. Jednoznačného vítěze nelze vyhlásit, jelikož každé řešení má jinou filozofii přístupu k detekcím i k nápravě. Lze pouze vyhlásit, které řešení je vhodné pro konkrétní nasazení/účel.

Účelem testu nebylo vytvořit žebříček, ale dodat CIO a CISO organizací relevantní kvalitativní informace o tom, které EDR řešení se pro jejich organizaci nejvíce hodí. V čem však selhává, je dodat jasný návod, jak získaná data interpretovat a nespoléhat se na fantastické titulky sdílené na LinkedInu či v jiných sociálních médiích.

 

Kdo se v tom tedy má vyznat?

Základní částí výsledků u každého výrobce je tabulka s rozdělením detekcí podle jednotlivých kroků útoku (viz tabulku 1).

Detekce jsou zde u jednotlivých kroků útoku rozděleny podle šesti kategorií a každá kategorie detekcí je pak dále rozdělena tzv. modifikátory (viz tabulku 2).

 

Z modifikátorů jsou nejdůležitější Alerts a Correlated. None = krok nebyl detekován, nebo byla vyvolána detekce, avšak nesouvisející s daným krokem útoku; Telemetry = informace byly EDR řešením zaznamenány, avšak nevytvořily bezpečnostní výstrahu (alespoň ne samy o sobě); MSSP = manuální detekce na základě analýzy dat bezpečnostními experty výrobce; General = běžné varování bez bližšího určení taktiky či techniky – např. detekce procesu „cmd.exe/c copy cmd.exe sethc.exe“ bez informace, co bylo cílem tohoto skriptu; Tactic = detekce určila přesně MITRE ATT&CK taktiku, avšak nedošlo k jasnému určení techniky – např. informace, že se útočník pokoušel detekovanou akcí zajistit perzistenci v systému, avšak nedošlo k určení, jakou technikou; Technique = nejjemnější a nejpřesnější typ detekce – např. „Credential dumping“ s jasným popisem, který proces byl strůjcem závadného chování vůči lsass.exe a/nebo detailní popis, o jaký typ získání přístupových práv se jedná. Oficiální popis kategorií najdete na https://attackevals.mitre.org/APT29/detection-categories.html.

 

Jak výsledky číst?

Ať jste z jakékoli organizace, jednoznačně hledáte řešení, které dokázalo kategorizovat nejvíce technik a které umožnilo odhalit a zastavit všechny kroky útoku.

Zde se ale řešení člení podle toho, která vyžadují mnoho manuální práce bezpečnostních analytiků, a na ta, jež analýzu získaných informací maximálně automatizují, a tudíž „response“ je proveden rychleji.

Pokud nemáte čas ani prostředky na to platit IT experty, aby se pročítali stovkami záznamů o dění na stanicích místo toho, aby se věnovali rozvoji a optimalizaci infrastruktury, pak rovnou ve výsledcích zapomeňte na detekce typu None, Telemetry a z nich vycházející detekce typu MSSP.

Hledáte řešení výrobce, které každý krok dokázalo detekovat alespoň detekcí typu „General“ a nejlépe detekcemi typu „Tactic“ a „Technique“, protože analýzu telemetrických dat dokáže řešení udělat samo místo toho, aby ji musel dělat bezpečnostní expert.

Na tomto poli „září“ Bitdefender, který detekoval všechny kroky útoku alespoň pomocí detekcí typu „Tactic“ a „Technique“, kromě kroku exfiltrace dat, kterou detekoval pomocí detekce typu „General“.

Všechny kroky útoku tedy bylo možné automatizovaně zastavit bez zásahu bezpečnostního experta. Nutno podotknout, že Bitdefender své technologii tak věří, že pro samotný test ani nevyužil své bezpečnostní experty pro manuální detekce (MSSP) na základě telemetrických dat.

Pokud bychom mohli vyhlásit vítěze testu podle automatizace, pak by jím byl naprosto a bezpochyby Bitdefender se svým řešením GravityZone Ultra Security (tabulky 3 a 4).

 

 

ICTS24