דעה | מסגרת MITRE ATT&CK ותרומתה להגנה בסייבר של ארגונים עסקיים
ה- MITRE ATT&CK הינה מתודולוגיה פתוחה ושקופה, המאפשרת לבצע הערכה מעמיקה ומדויקת של כלל יצרני פתרונות אבטחת המידע לתחנות קצה בארגונים
ישראל דיפנס
| 27/04/2021
מתן בסל. צילום: סייבריזן
2020 היתה שנה רוויות תקיפות סייבר מתוחכמות שתקפו ארגונים קטנים וגדולים כאחד והותירה רבים עם השאלה כיצד אפשר להתגונן מול תקיפות אלו? האם פתרון אבטחת המידע המותקן לי בארגון אכן יגן עלי ברגע האמת? הערכת MITRE ATT&CK לשנת 2020 פורסמה השבוע והיא עונה בדיוק על השאלות הללו. מאמר זה בא לסקור מדוע הערכת הביצועים של MITRE (בעברית ״מיי-טר״) נחשבת ומדורגת כחשובה ביותר בשוק הסייבר העולמי.
ארגון MITRE הוא ארגון אמריקאי ללא מטרות רווח אשר השיק בשנת 2013 את ה- MITRE ATT&CK (ובראשי תיבות: Adversarial Tactics, Techniques and Common Knowledge) - מתודולוגיה פתוחה ושקופה, המאפשרת לבצע הערכה מעמיקה ומדויקת של כלל יצרני פתרונות אבטחת המידע לתחנות קצה בארגונים, אל מול תרחישי תקיפה המבוססים על אירועים אמיתיים. המתודולוגיה מונה למעלה מ- 200 טכניקות תקיפה שונות ומאפשרת לארגונים לבדוק את כיסוי יכולות ההגנה שלהם למול שיטות התקיפה השונות.
מאז שנוסדה, MITRE ATT&CK הפכה לאחד ממקורות המידע המכובדים ביותר בתחום, ובכל שנה מתבצעת הערכה קפדנית הבודקת את יכולתם של פתרונות האבטחה הקיימים בשוק (במיוחד בשוק ה EDR) לזהות ולחסום במהירות את הטכניקות השונות. המרכיב העיקרי אשר העלה את חשיבותה של הערכה זו, היא העובדה כי הבדיקה מבוססת על קבוצות תקיפה או איומים מתקדמים (APT) הפעילים בעולם האמיתי.
מה מסגרת MITRE ATT&CK בודקת ומדוע היא חשובה?
אחד הדברים החשובים ביותר ש- MITRE ATT&CK העניקה לתעשיית אבטחת המידע היא שפה ומסגרת משותפת לדיון וניתוח של טקטיקות, טכניקות ונהלים (TTPs) של התוקפים. המסגרת מעניקה לארגונים הבנה טובה יותר של התנהגויות התוקפים, כך שהם לא צריכים לנתח אינסוף תוכנות זדוניות בעצמם.
במהלך שנת 2020, ביצע צוות החדשנות של MITRE את סבב הערכות המוצרים השנתית ובחן כ- 30 חברות אבטחת מידע שונות, כדי להעריך ולדווח אודות מידת יעילות הזיהוי והחסימה של המוצרים שלהן. ההערכה בוצעה על בסיס טכניקות תקיפה המשמשות את קבוצות התקיפה Carbanak ו- FIN7, קבוצות תקיפה אמיתיות אשר הסבו נזק רב לארגונים שונים בשנים האחרונות.
דבר נוסף המייחד את מסגרת ההערכה של MITRE היא העובדה כי תוצאות הבדיקה מתפרסמות ללא ציונים או השוואות, אלא מציגות את רמת הכיסוי של כל מוצר אבטחה בהתבסס על מספר קטגוריות המוגדרות מראש, כגון הצגת מידע בלבד, זיהוי התנהגותי, חסימה. בכך, מנסה MITRE לאפשר לצוותי אבטחה שונים בכל ארגון, יכולת להשתמש בתוצאות המתפרסמות בצורה הטובה ביותר עבורם, על מנת להשוות בין פתרונות האבטחה המתאים ביותר לארגון שלהם.
מה מייצגות הטכניקות והטקטיקות של מסגרת MITRE ATT&CK
כאמור, מסגרת ה- MITRE ATT&CK מבוססת על יותר מ-200 טכניקות תקיפה שונות הממופות על גבי 12 טקטיקות שונות: טקטיקה - מהווה את השלב בתקיפה ומיוחסת לשאלה "למה"? לאיזו מטרה ביצעו התוקפים את הטכניקה הספציפית? טכניקה - מהווה את הטכניקה עצמה ומיוחסת לשאלה "איך"? כיצד התוקף מבצע את הפעולה הזדונית?
לדוגמא, טכניקה לעקיפת מנגנון ה- UAC (בקרת חשבון משתמש), תמופה תחת הטקטיקה Privilege escalation (הסלמת הרשאות). התוקף משיג הרשאות גבוהות (עונה על השאלה למה), באמצעות טכניקה ספציפית לעקיפת הרשאות (עונה על השאלה כיצד).
כיצד הערכות האיומים של קבוצות התקיפה Carbanak + FIN7 (סבב 3) שונות מהסבבים הקודמים?
בעוד הסבב הקודם של הערכות ה- MITRE ATT&CK התבסס על סט טכניקות המבוססות על קבוצת התקיפה APT 29 (Cozy Bear), הסבב השלישי התבסס על טכניקות וטקטיקות (TTPs) של קבוצות התקיפה Carbanak ו- FIN7. קבוצת Carbanak היא קבוצת תקיפה הפועלת נגד בנקים ומוסדות פיננסים, וקבוצת FIN7 תוקפת בעיקר חברות קמעונאות, מוסדות אירוח ומסעדות.
לשתי הקבוצות נקשר השימוש בתוכנה הזדוניות של Carbanak - תוכנה אשר משמשת כ"דלת אחורית", המאפשרת שליטה מרחוק בתחנות קצה נגועות ומיועדת בעיקר לצרכי ריגול והדלפת נתונים. קבוצות אלה נושאות מוניטין של סחר במידע רגיש וחדשני להשגת רווח. טכניקות התקיפה שלהן ידועות ביכולותיהן לחמוק מתחת לרדאר של פתרונות אבטחה רבים תוך שימוש לרעה בפלטפורמות לגיטימיות (Windows ו- Linux, וניצול של נקודת מכירה פשוטות).
בסבב הנוכחי, מבחני ההערכה כללו כ- 65 טכניקות שונות המשתייכות ל- 11 טקטיקות המאופיינות על ידי קבוצות התקיפה הנ"ל ומהוות את בסיס הבדיקה. כמו כן, הערכה בוצעה גם על מערכות Linux תוך כדי בדיקה הן של יכולות הזיהוי והן של יכולות החסימה של היצרנים השונים.
מתודולוגית הערכה של MITRE ATT&CK וקטגוריות הבדיקה השונות
שיטת ההערכה של MITRE מבוססת על תרגיל red-team vs blue-team, כאשר כל חברה מוערכת באמצעות שישה סוגי זיהוי שונים (ראו תמונה). כאשר צוות ההגנה (ה- blue team) מזהה או חוסם טכניקת תקיפה, צוות התקיפה של MITRE מתעד ומקטלג את רמת הזיהוי, על סמך כמות המידע הרלוונטי שצוות ה-blue team מסוגל היה להציג וכמה מהיר הזיהוי או החסימה התבצעו.
לעיתים טכניקה יכולה להיות מזוהה יותר מפעם אחת אם מוצר האבטחה זיהה את הטכניקה במספר דרכים שונות, כאשר כל פעולת זיהוי מנוקדת על-בסיס הקטגוריה של המידע המסופק לאנאליסט, ובמקרים הרלוונטיים תוך שקלול זמן התגובה בו המידע מסופק. קטגוריות הזיהוי:
· לא ישים (n/a) - המוצר נעדר יכולות לזהות או להציג נתונים אודות הטכניקה שנבדקה.
· אף אחד (None) - המוצר לא סיפק נתונים זמינים הקשורים להתנהגות או הטכניקה שנבדקה.
· טלמטריה (Telemetry) - המוצר סיפק נתונים מעובדים מינימליים שנאספו על ידי המערכת ומראים כי אירעו אירועים הקשורים לטכניקה שנבדקה, ללא תיוג מדויק.
· כללי (General) - המוצר סיפק נתונים מעובדים המציינים כי אירוע(ים) זדוניים/חריגים קרו, ביחס לטכניקה שנבדקה.
· טקטיקה - המוצר סיפק נתונים מעובדים המציינים התנהגות זדונית המתויגת עם ה- ATT&CK Tactic שנבדקה.
· טכניקה - המוצר סיפק נתונים מעובדים המציינים התנהגות זדונית המתויגת עם ה- ATT&CK Technique שנבדקה.
קטגוריות שקלול זמן התגובה:
· שינוי תצורה (Configuration Change) - יכולת הזיהוי במערכת שונתה מאז תחילת ההערכה בצורה יזומה.
· מושהה (Delayed) - המוצר לא זיהה את המתקפה באופן מיידי (בזמן אמת), עקב עיבוד נוסף של המידע והצגתו לאחר מספר דקות. ייתכן כי נדרשה עבודת אדם והמוצר לא ביצע את הפעולה בצורה אוטומטית.
כיצד מסגרת MITRE ATT&CK יכולה לעזור לצוותי אבטחה בארגונים?
בעוד התוקפים ממשיכים למצוא דרכים כדי לחמוק מתחת לרדאר של כלי אבטחה מסורתיים, צוותי האבטחה נדרשים לשנות את גישתם מול איומי סייבר מתקדמים וכפועל יוצא גם את אסטרטגיית ההגנה שלהם. מסגרת ה- MITRE ATT&CK עוזרת לארגונים להעריך את כיסוי ההגנה שלהם החל מזיהוי פשוט של כתובות ip או שמות מתחם (domain names), וכלה באבחון טכניקות תקיפה מתקדמות על פי זיהוי התנהגותי.
הצוות העומד מאחורי מבחני ההערכה של MITRE ATT&CK מכיר בכך שאיומים בעולם האמיתי מתקדמים ומתפתחים באופן תמידי, ושיטות הערכה הקיימות בשוק פשוט אינן מעניקות לרוכשי פתרונות אבטחת המידע ומנהלי אבטחת המידע בארגונים, הבנה ברורה כיצד המוצרים השונים הקיימים כיום יכולים לספק מעטפת הגנה הולמת עבור ארגוניהם.
בהשוואה להערכות צד שלישי אחרות, הנוטות להתמקד ביכולות מניעה בלבד, MITRE ATT&CK מודדת את כמות וסוגי יכולות הזיהוי השונות כאשר נראות התקיפה היא קריטריון מפתח מתוך ההבנה כי אי אפשר למנוע או להגיב למתקפה שלא ניתן לראות, כפי שהרבה ארגונים חוו מניסיונם בשנה האחרונה.
כותב: מתן בסל, מוביל תחום מחקר סקיוריטי בסייבריזן
ה- MITRE ATT&CK הינה מתודולוגיה פתוחה ושקופה, המאפשרת לבצע הערכה מעמיקה ומדויקת של כלל יצרני פתרונות אבטחת המידע לתחנות קצה בארגונים
מתן בסל. צילום: סייבריזן
2020 היתה שנה רוויות תקיפות סייבר מתוחכמות שתקפו ארגונים קטנים וגדולים כאחד והותירה רבים עם השאלה כיצד אפשר להתגונן מול תקיפות אלו? האם פתרון אבטחת המידע המותקן לי בארגון אכן יגן עלי ברגע האמת? הערכת MITRE ATT&CK לשנת 2020 פורסמה השבוע והיא עונה בדיוק על השאלות הללו. מאמר זה בא לסקור מדוע הערכת הביצועים של MITRE (בעברית ״מיי-טר״) נחשבת ומדורגת כחשובה ביותר בשוק הסייבר העולמי.
ארגון MITRE הוא ארגון אמריקאי ללא מטרות רווח אשר השיק בשנת 2013 את ה- MITRE ATT&CK (ובראשי תיבות: Adversarial Tactics, Techniques and Common Knowledge) - מתודולוגיה פתוחה ושקופה, המאפשרת לבצע הערכה מעמיקה ומדויקת של כלל יצרני פתרונות אבטחת המידע לתחנות קצה בארגונים, אל מול תרחישי תקיפה המבוססים על אירועים אמיתיים. המתודולוגיה מונה למעלה מ- 200 טכניקות תקיפה שונות ומאפשרת לארגונים לבדוק את כיסוי יכולות ההגנה שלהם למול שיטות התקיפה השונות.
מאז שנוסדה, MITRE ATT&CK הפכה לאחד ממקורות המידע המכובדים ביותר בתחום, ובכל שנה מתבצעת הערכה קפדנית הבודקת את יכולתם של פתרונות האבטחה הקיימים בשוק (במיוחד בשוק ה EDR) לזהות ולחסום במהירות את הטכניקות השונות. המרכיב העיקרי אשר העלה את חשיבותה של הערכה זו, היא העובדה כי הבדיקה מבוססת על קבוצות תקיפה או איומים מתקדמים (APT) הפעילים בעולם האמיתי.
מה מסגרת MITRE ATT&CK בודקת ומדוע היא חשובה?
אחד הדברים החשובים ביותר ש- MITRE ATT&CK העניקה לתעשיית אבטחת המידע היא שפה ומסגרת משותפת לדיון וניתוח של טקטיקות, טכניקות ונהלים (TTPs) של התוקפים. המסגרת מעניקה לארגונים הבנה טובה יותר של התנהגויות התוקפים, כך שהם לא צריכים לנתח אינסוף תוכנות זדוניות בעצמם.
במהלך שנת 2020, ביצע צוות החדשנות של MITRE את סבב הערכות המוצרים השנתית ובחן כ- 30 חברות אבטחת מידע שונות, כדי להעריך ולדווח אודות מידת יעילות הזיהוי והחסימה של המוצרים שלהן. ההערכה בוצעה על בסיס טכניקות תקיפה המשמשות את קבוצות התקיפה Carbanak ו- FIN7, קבוצות תקיפה אמיתיות אשר הסבו נזק רב לארגונים שונים בשנים האחרונות.
דבר נוסף המייחד את מסגרת ההערכה של MITRE היא העובדה כי תוצאות הבדיקה מתפרסמות ללא ציונים או השוואות, אלא מציגות את רמת הכיסוי של כל מוצר אבטחה בהתבסס על מספר קטגוריות המוגדרות מראש, כגון הצגת מידע בלבד, זיהוי התנהגותי, חסימה. בכך, מנסה MITRE לאפשר לצוותי אבטחה שונים בכל ארגון, יכולת להשתמש בתוצאות המתפרסמות בצורה הטובה ביותר עבורם, על מנת להשוות בין פתרונות האבטחה המתאים ביותר לארגון שלהם.
מה מייצגות הטכניקות והטקטיקות של מסגרת MITRE ATT&CK
כאמור, מסגרת ה- MITRE ATT&CK מבוססת על יותר מ-200 טכניקות תקיפה שונות הממופות על גבי 12 טקטיקות שונות: טקטיקה - מהווה את השלב בתקיפה ומיוחסת לשאלה "למה"? לאיזו מטרה ביצעו התוקפים את הטכניקה הספציפית? טכניקה - מהווה את הטכניקה עצמה ומיוחסת לשאלה "איך"? כיצד התוקף מבצע את הפעולה הזדונית?
לדוגמא, טכניקה לעקיפת מנגנון ה- UAC (בקרת חשבון משתמש), תמופה תחת הטקטיקה Privilege escalation (הסלמת הרשאות). התוקף משיג הרשאות גבוהות (עונה על השאלה למה), באמצעות טכניקה ספציפית לעקיפת הרשאות (עונה על השאלה כיצד).
כיצד הערכות האיומים של קבוצות התקיפה Carbanak + FIN7 (סבב 3) שונות מהסבבים הקודמים?
בעוד הסבב הקודם של הערכות ה- MITRE ATT&CK התבסס על סט טכניקות המבוססות על קבוצת התקיפה APT 29 (Cozy Bear), הסבב השלישי התבסס על טכניקות וטקטיקות (TTPs) של קבוצות התקיפה Carbanak ו- FIN7. קבוצת Carbanak היא קבוצת תקיפה הפועלת נגד בנקים ומוסדות פיננסים, וקבוצת FIN7 תוקפת בעיקר חברות קמעונאות, מוסדות אירוח ומסעדות.
לשתי הקבוצות נקשר השימוש בתוכנה הזדוניות של Carbanak - תוכנה אשר משמשת כ"דלת אחורית", המאפשרת שליטה מרחוק בתחנות קצה נגועות ומיועדת בעיקר לצרכי ריגול והדלפת נתונים. קבוצות אלה נושאות מוניטין של סחר במידע רגיש וחדשני להשגת רווח. טכניקות התקיפה שלהן ידועות ביכולותיהן לחמוק מתחת לרדאר של פתרונות אבטחה רבים תוך שימוש לרעה בפלטפורמות לגיטימיות (Windows ו- Linux, וניצול של נקודת מכירה פשוטות).
בסבב הנוכחי, מבחני ההערכה כללו כ- 65 טכניקות שונות המשתייכות ל- 11 טקטיקות המאופיינות על ידי קבוצות התקיפה הנ"ל ומהוות את בסיס הבדיקה. כמו כן, הערכה בוצעה גם על מערכות Linux תוך כדי בדיקה הן של יכולות הזיהוי והן של יכולות החסימה של היצרנים השונים.
מתודולוגית הערכה של MITRE ATT&CK וקטגוריות הבדיקה השונות
שיטת ההערכה של MITRE מבוססת על תרגיל red-team vs blue-team, כאשר כל חברה מוערכת באמצעות שישה סוגי זיהוי שונים (ראו תמונה). כאשר צוות ההגנה (ה- blue team) מזהה או חוסם טכניקת תקיפה, צוות התקיפה של MITRE מתעד ומקטלג את רמת הזיהוי, על סמך כמות המידע הרלוונטי שצוות ה-blue team מסוגל היה להציג וכמה מהיר הזיהוי או החסימה התבצעו.
לעיתים טכניקה יכולה להיות מזוהה יותר מפעם אחת אם מוצר האבטחה זיהה את הטכניקה במספר דרכים שונות, כאשר כל פעולת זיהוי מנוקדת על-בסיס הקטגוריה של המידע המסופק לאנאליסט, ובמקרים הרלוונטיים תוך שקלול זמן התגובה בו המידע מסופק. קטגוריות הזיהוי:
· לא ישים (n/a) - המוצר נעדר יכולות לזהות או להציג נתונים אודות הטכניקה שנבדקה.
· אף אחד (None) - המוצר לא סיפק נתונים זמינים הקשורים להתנהגות או הטכניקה שנבדקה.
· טלמטריה (Telemetry) - המוצר סיפק נתונים מעובדים מינימליים שנאספו על ידי המערכת ומראים כי אירעו אירועים הקשורים לטכניקה שנבדקה, ללא תיוג מדויק.
· כללי (General) - המוצר סיפק נתונים מעובדים המציינים כי אירוע(ים) זדוניים/חריגים קרו, ביחס לטכניקה שנבדקה.
· טקטיקה - המוצר סיפק נתונים מעובדים המציינים התנהגות זדונית המתויגת עם ה- ATT&CK Tactic שנבדקה.
· טכניקה - המוצר סיפק נתונים מעובדים המציינים התנהגות זדונית המתויגת עם ה- ATT&CK Technique שנבדקה.
קטגוריות שקלול זמן התגובה:
· שינוי תצורה (Configuration Change) - יכולת הזיהוי במערכת שונתה מאז תחילת ההערכה בצורה יזומה.
· מושהה (Delayed) - המוצר לא זיהה את המתקפה באופן מיידי (בזמן אמת), עקב עיבוד נוסף של המידע והצגתו לאחר מספר דקות. ייתכן כי נדרשה עבודת אדם והמוצר לא ביצע את הפעולה בצורה אוטומטית.
כיצד מסגרת MITRE ATT&CK יכולה לעזור לצוותי אבטחה בארגונים?
בעוד התוקפים ממשיכים למצוא דרכים כדי לחמוק מתחת לרדאר של כלי אבטחה מסורתיים, צוותי האבטחה נדרשים לשנות את גישתם מול איומי סייבר מתקדמים וכפועל יוצא גם את אסטרטגיית ההגנה שלהם. מסגרת ה- MITRE ATT&CK עוזרת לארגונים להעריך את כיסוי ההגנה שלהם החל מזיהוי פשוט של כתובות ip או שמות מתחם (domain names), וכלה באבחון טכניקות תקיפה מתקדמות על פי זיהוי התנהגותי.
הצוות העומד מאחורי מבחני ההערכה של MITRE ATT&CK מכיר בכך שאיומים בעולם האמיתי מתקדמים ומתפתחים באופן תמידי, ושיטות הערכה הקיימות בשוק פשוט אינן מעניקות לרוכשי פתרונות אבטחת המידע ומנהלי אבטחת המידע בארגונים, הבנה ברורה כיצד המוצרים השונים הקיימים כיום יכולים לספק מעטפת הגנה הולמת עבור ארגוניהם.
בהשוואה להערכות צד שלישי אחרות, הנוטות להתמקד ביכולות מניעה בלבד, MITRE ATT&CK מודדת את כמות וסוגי יכולות הזיהוי השונות כאשר נראות התקיפה היא קריטריון מפתח מתוך ההבנה כי אי אפשר למנוע או להגיב למתקפה שלא ניתן לראות, כפי שהרבה ארגונים חוו מניסיונם בשנה האחרונה.
כותב: מתן בסל, מוביל תחום מחקר סקיוריטי בסייבריזן
