- PVSM.RU - https://www.pvsm.ru -
На пути к открытой, независимой от производителя и приветствующей вклад сообщества модели для ускорения обучения в сфере Информационной Безопасности
8 декабря 2019 года
Джон Ламберт (John Lambert), JohnLaTwC [1], Distinguished Engineer, Microsoft Threat Intelligence Center
Объединение специалистов по Информационной Безопасности в рамках глобального сообщества позволяет ускорить обучение в предметной области.
Знания об атаках, собираемые в рамках MITRE ATT&CK, совместно с логикой обнаружения угроз, описанной правилами Sigma и воспроизводимым анализом, описанным в Jupyter Notebooks, образуют упорядоченный набор практик. Эти практики связывают знания с аналитикой и анализом.
Если бы организации вносили свой вклад и делились своим уникальным опытом, а также опирались на опыт других членов сообщества, используя вышеперечисленные инструменты, то специалисты ИБ в каждой организации могли бы воспользоваться преимуществами лучших методов защиты.
"Если хочешь идти быстро — иди один, если хочешь идти далеко — идите вместе." — Африканская пословица
Никогда еще так остро не ощущалась необходимость в опытных специалистах информационной безопасности. Каждая организация стремится самостоятельно защититься от целенаправленных атак, вспышек криптовымогателей и других угроз. Считается что, требуется 10 000 часов для того, чтобы стать экспертом. И никуда не деться от того факта, что информационная безопасность — это профессия, в которой мастерство достигается за счет времени, потраченного на обработку алертов, изучение угроз и реагирование на инциденты. Если и есть отрасль, которая может выиграть от резкого сокращения времени, необходимого для овладения мастерством, то это — информационная безопасность.
Возможно ли это в условиях постоянной конкуренции коммерческих решений, разнородных и возрастающих по сложности технологий и коммерческих тайн? В настоящее время в индустрии информационной безопасности становится все более распространенным открытый подход, который может дать специалистами ИБ необходимое ускорение.
В данной статье описывается, как специалисты ИБ могут учиться вместе и выигрывать время, расширяя свои навыки. Таким образом, каждый специалист может быть настолько хорош, насколько хороши лучшие специалисты. Я называю этот подход "Гитхабификация Информационной безопасности". Он состоит из трех компонентов: знание, аналитика и анализ. Давайте рассмотрим каждый из них и разберем их ценность на конкретных примерах.
"Глаз не может видеть то, чего не знает разум" — многие
Защита начинается с осведомленности. В сфере информационной безопасности принято распространять информацию о новых угрозах и техниках проведения атак. Но отсутствие организованности превращает попытки сообщить что-то новое в информационный шум. Следить за трендами, отсеивать лишнее и выбирать то что действительно важно — это очень серьезная задача. На текущий момент каждому специалисту приходится решать эту задачу самостоятельно.
Одним из наиболее существенных вкладов в информационную безопасность, с целью изменить сложившуюся ситуацию, вносит фреймворк MITRE ATT&CK. Он представляет собой классификацию тактик и техник атак, которые используют злоумышленники. Рассмотрим технику "Специальные возможности Windows" с идентификатором T1015 [2]. Она включает в себя общее описание, примеры использования преступными группировками, способы обнаружения и предотвращения вредоносной активности с использованием данной техники, а также ссылки на публикации с дополнительной информацией.
MITRE ATT&CK позволяет упростить распространение знаний посредством следующих принципов:
Многие исследователи и большинство ведущих производителей систем информационной безопасности уже взяли на вооружение этот фреймворк. Вот несколько способов его использования:
Таким образом, MITRE ATT&CK — это хранилище информации о техниках атакующих, которое помогает специалистам ИБ повысить уровень готовности к противодействию реальным, релевантным угрозам.
"Каждый контакт оставляет след" — принцип обмена Локарда.
Знания — это здорово, но это только первый шаг. Специалистам ИБ нужно уметь превращать эти знания в защитные меры. Одним из примеров является поиск следов вредоносной активности в логах различных систем. Специалисты выстраивают системы мониторинга, изучая основные модели данных и способы превращения идей по обнаружению угроз в конкретные поисковые запросы или "правила корреляции". Давайте рассмотрим данный процесс на примере одной из техник MITRE ATT&CK.
Техника T1015, к которой мы обращались ранее, включает в себя установку ключей реестра для утилит специальных возможностей, которые изменяют штатное исполнение на запуск этих утилит под отладчиком. Данные ключи позволяют установить на место отладчика утилиту cmd.exe, таким образом, вместо запуска отладчика, winlogon.exe запустит терминал с привилегиями SYSTEM на экране приветствия (входа). После этого злоумышленник сможет сбросить пароль и получить полный доступ к системе.
После того, как специалист ИБ изучит теорию об этой технике, ему необходимо будет определить способ ее обнаружения на практике, в реальной инфраструктуре. Обычно для этого нужно написать правило обнаружения на языке используемого инструмента для анализа логов (SIEM/LM системы) в соответствии с используемой в нем моделью данных.
Каждый инструмент имеет свой собственный язык: Splunk использует Search Processing Language (SPL), ElasticSearch — Domain Specific Language (DSL), а Microsoft Defender ATP — Keyword Query Language (KQL). Если бы только существовал универсальный язык для поиска в логах, такой как Yara для файлов и Snort для сетевого трафика...
Проект Sigma [6], нацеленный на решение данной задачи, стал популярным в последние годы. Sigma — это проект с открытым исходным кодом, созданный Флорианом Ротом (@cyb3rops [7]) и Томасом Патцке (@blubbfiction [8]), который представляет собой общий формат правил обнаружения угроз ("корреляции") с помощью логов. Он включает в себя набор конвертеров, которые переводят правила обнаружения на языке Sigma в языки популярных инструментов для анализа логов, таких как Splunk, ElasticSearch, QRadar и многие другие. Команда SOC Prime [9] также выпустила онлайн-инструмент https://uncoder.io/ [10], который представляет собой графический интерфейс к конверторам Sigma, упрощающий конвертацию правил. Правила Sigma можно применять даже если инструмент для анализа логов не поддерживает Sigma напрямую. Это делает Sigma универсальным инструментом для работы с логами.
Как выглядит правило Sigma для обнаружения техники ATT&CK T1015, конвертируемое в различные языки запросов? Вот один из вариантов [11] правила для обнаружения изменения ключей реестра и непосредственного выполнения атаки:
Зачем специалисту ИБ писать запрос в формате Sigma, а не на языке своей системы анализа логов? Есть несколько причин:
В то время как MITRE ATT&CK предоставляет знания о техниках, применяемых злоумышленниками, Sigma позволяет превратить эти знания в защитные меры, предоставляя способ создания конкретной, само-документированной логики обнаружения атак. Таким образом, эти знания становятся практической, действенной аналитикой.
"Вы же знакомы с моим методом. Попробуйте применить его." — Артур Конан Дойл, "Знак четырёх"
Независимо от того, как начинаются расследования, все они включают в себя поиск по данным. Именно поиск является частью анализа, обеспечивающего решение самых сложных задач. Анализ требует ответов на многие вопросы. Какие опорные точки используют для разработки новых версий расследования? Как обогатить данные, чтобы можно было отфильтровать лишнее? Если кто-то исследовал угрозу и описал свои выводы о ней, каковы были его шаги? Как другой исследователь может повторить анализ, проведенный экспертом на аналогичном наборе данных?
Одним из способов повышения доступности анализа может стать раскрытие его сущности и повышение его воспроизводимости. Представьте себе, что лучший в мире специалист по наступательной безопасности мог бы воплотить свои исследовательские ноу-хау таким образом, чтобы другие могли повторить их в своем окружении. Эту задачу нам поможет решить Jupyter Notebook.
Jupyter — это набор взаимодополняющих технологий с открытым исходным кодом, который возник в научных кругах, специализирующихся на научных вычислениях и науке о данных. Вот что нужно знать о нем практикующим специалистам по информационной безопасности:
Notebook состоит из ячеек. Входная ячейка — это ячейка, в которой вводятся команды, а выходная ячейка выдает результат. Давайте рассмотрим конкретный сценарий: Специалист ИБ обнаружил обфусцированную команду PowerShell, посредством сработавшего правила обнаружения. Злоумышленники используют инструменты обфускации, такие как Magic Unicorn [13], чтобы скрыть вредоносную активность и обойти механизмы обнаружения. Данный Notebook [14] показывает обработку обфусцированной командной строки, извлечение кодированной Base64 командной строки, ее декодирование и нахождение встроенного шеллкода. Затем он ищет сетевые индикаторы и использует функцию дизассемблирования утилиты CyberChef [15] для описания функциональности шеллкода:
Обфусцированная команда PowerShell [16], обнаруженная правилом:
После декодирования команды Base64, будет найден следующий шеллкод:
Производим поиск строк, чтобы найти командный домен:
Дизассемблируем шеллкод и описываем API, чтобы выяснить его функциональность:
Итак, шеллкод использует Windows API для подключения к домену (InternetConnectA, HttpSendRequestA, и т.д.) и загрузки команд, которые он запускает напрямую в памяти (VirtualAlloc), что соответствует описанию [13]: "Magic Unicorn — это простой инструмент для использования PowerShell Downgrade Attack и внедрения шеллкода напрямую в память". — Дэйв Кеннеди (Dave Kennedy, @HackingDave [17]).
Это показывает, что опыт может быть инкапсулирован в Notebook, чтобы другие специалисты могли запускать его на своих данных. Если вы новичок в этом, Роберто Родригез (Roberto Rodriguez) выпустил серию блогов [18] о том, как использовать Jupyter Notebook для этих целей. Проект ThreatHunterPlaybook Project [19] помогает начать работу с Jupyter с использованием предварительно подготовленных данных. У Netscylla также есть блог [20], в котором описано использование Notebook для реагирования на инциденты. Есть несколько Notebook, которые можно запустить через браузер в этом репозитории [21] на GitHub, на что указывает иконка binder:
Jupyter поддерживается живой экосистемой профессионалов, работающих в области науки о данных, научных вычислений, машинного обучения, визуализации данных и других областях. Специалисты по информационной безопасности могут опираться на их опыт, адаптируя Jupyter к своим задачам. Jupyter Notebook представляет собой мощный инструмент для инкапсуляции анализа и упрощения его распространения среди других специалистов ИБ.
Каждый ключевой элемент упомянутый в этой статье существует благодаря сообществу. Технологии необходимы, но обучение не может происходить без преподавания, а преподавание построено на сотрудничестве. MITRE ATT&CK принимает вклад сообщества, и недавнее обновление, в котором были представлены облачные технологии (включая Office 365 [22]), было практически полностью получено от сообщества.
Матрица для Office 365 [23] включенная в MITRE ATT&CK:
Пример облачной техники [24], разработанной Швета Прабакаран (Swetha Prabakaran).
Флориан Рот (Florian Roth, @cyb3rops [7]) создал репозиторий с открытым исходным кодом [25] для правил Sigma на GitHub. Внести свой вклад в них так же просто, как создать "Pull request" — запрос на включение изменений в репозиторий. Вот пример Pull Request [26] нового правила Sigma:
Еще одна активность сообщества — Open Security Collaborative Development (OSCD) [27] — открытая международная инициатива специалистов по компьютерной безопасности. Осенью 2019 года прошел двухнедельный спринт, посвященный разработке правил проекта Sigma с целью улучшения покрытия MITRE ATT&CK. Исследователи со всего мира увеличили набор правил репозитория Sigma более чем на 40%:
Подробнее об инициативе и прошедшем спринте можно прочитать в статье на Хабре [28].
Слишком часто мы обнаруживаем атаки одновременно, но учимся защищаться в одиночку. В данной статье показано, как подходы к информационной безопасности в рамках глобального сообщества могут ускорить обучение для всех. Представьте себе мир, в котором знания об угрозах хранятся в MITRE ATT&CK. Под каждый сценарий реализации угроз разрабатываются правила Sigma. Срабатывания этих правил обнаружения запускают процесс расследования с применением специально подготовленных Jupyter Notebook.
Если исследователи, публикуя информацию о новой технике, или CERT, предупреждая о новой атаке, будут предоставлять информацию с использованием описанных инструментов, они значительно ускорят процесс ее применения. Если каждая организация будет делиться своим уникальным опытом и опираться на опыт других членов сообщества, существующая разрозненность в информационной безопасности может быть нивелирована благодаря этому тесному взаимодействию, чтобы позволит быть на шаг впереди злоумышленников. Таким образом специалисты ИБ пойдут далеко, потому пойдут вместе.
Что такое Гитхабификация Информационной Безопасности? Это три вещи:
Благодаря организованному знанию, использованию действенной аналитики, воспроизводимого анализа и поддержке сообщества, специалисты ИБ могут предоставить каждому коллеге возможность учиться у лучших мировых экспертов и сократить время, необходимое для становления экспертом.
Что делать дальше, спросите вы? Вот несколько шагов:
Если вы Специалист ИБ, занимающийся обеспечением защищенности:
Если вы инженер по продуктам безопасности:
Если исследователь в области безопасности:
Если вы менеджер Информационной Безопасности:
Если вы из CERT или иной организации, обеспечивающей Информационную Безопасность:
Автор выражает благодарности Фредди Дизюру (Freddy Dezeure, @FDezeure [35]), Флориану Роту (Florian Roth, @cyb3rops [7]), Томасу Патцке (Thomas Patzke, @blubbfiction [8]), Лие Лизе (Leah Lease, @LeahLease [36]), Тиму Барреллу (Tim Burrell, @TimbMsft [37]), Иэну Хеллену (Ian Hellen, @ianhellen [38]) и Роберто Родригезу (Roberto Rodriguez, @Cyb3rWard0g [39]) за их комментарии к черновикам данной статьи, а также Сергею Корнееву, Андрею Качалову, Сергею Муралеву, Денису Балану (@denisbalan [40]), Максиму Ильину (@noesall [41]), Тимуру Зиннятуллину (@zinint [42]), Илье Енину (@MazahakaJay [43]), Кириллу Ковтуну, Никите Шаншиеву-Иванову (@SuslikDaRete [44]), Степану Богачеву (@l1c3t [45]), Алине Светловой (@AlienJolka [46]), Oleg Chepurchenko, Michael Tyomkin, Sveta Gaivoronski, Fanta Orr, и Даниилу Югославскому (@yugoslavskiy [47]) за перевод данной статьи на русский язык.
Все технологии, упомянутые в этой статье находятся в стадии развития. Ниже приведен список идей, разработку которых может взять на себя любой член сообщества.
Автор: John Lambert
Источник [67]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/346042
Ссылки в тексте:
[1] JohnLaTwC: https://habr.com/en/users/johnlatwc/
[2] T1015: https://attack.mitre.org/techniques/T1015/
[3] Sofacy: https://pan-unit42.github.io/playbook_viewer/?pb=sofacy
[4] ATT&CK Navigator: https://mitre-attack.github.io/attack-navigator/enterprise/
[5] Atomic Red Team: https://redcanary.com/atomic-red-team/
[6] Sigma: https://github.com/Neo23x0/sigma
[7] @cyb3rops: https://twitter.com/cyb3rops
[8] @blubbfiction: https://twitter.com/blubbfiction
[9] Команда SOC Prime: https://socprime.com/
[10] https://uncoder.io/: https://uncoder.io/
[11] Вот один из вариантов: https://github.com/Neo23x0/sigma/blob/master/rules/windows/sysmon/sysmon_stickykey_like_backdoor.yml
[12] предоставлять набор правил Sigma вместе со своим продуктом: https://medium.com/@cyb3rops/an-overlooked-but-intriguing-sigma-use-case-221987f7b588
[13] Magic Unicorn: https://github.com/trustedsec/unicorn
[14] Данный Notebook: https://mybinder.org/v2/gh/JohnLaTwC/Shared/master?filepath=notebooks%2FPowershell%20Shellcode%20Analysis%20with%20CyberChef.ipynb
[15] CyberChef: https://gchq.github.io/CyberChef/
[16] Обфусцированная команда PowerShell: https://www.virustotal.com/gui/file/0c30d700b131246e302ff3da1c4180d21f4650db072e287d1b9d477fe88d312f/community
[17] @HackingDave: https://twitter.com/HackingDave
[18] серию блогов: https://posts.specterops.io/threat-hunting-with-jupyter-notebooks-part-1-your-first-notebook-9a99a781fde7
[19] ThreatHunterPlaybook Project: https://medium.com/threat-hunters-forge/threat-hunter-playbook-mordor-datasets-binderhub-open-infrastructure-for-open-8c8aee3d8b4
[20] блог: https://www.netscylla.com/blog/2019/10/28/Jupyter-Notebooks-for-Incident-Response.html
[21] этом репозитории: https://github.com/JohnLaTwC/Shared/tree/master/notebooks
[22] включая Office 365: https://twitter.com/JohnLaTwC/status/1187604286064209921
[23] Матрица для Office 365: https://twitter.com/JohnLaTwC/status/1126482411900915714
[24] облачной техники: https://attack.mitre.org/techniques/T1114/
[25] репозиторий с открытым исходным кодом: https://github.com/Neo23x0/sigma/tree/master/rules
[26] Pull Request: https://github.com/Neo23x0/sigma/pull/165
[27] Open Security Collaborative Development (OSCD): https://oscd.community/
[28] статье на Хабре: https://habr.com/ru/post/482642/
[29] репозиториях с открытым исходным кодом: https://github.com/Neo23x0/sigma/tree/master/rules/windows/sysmon
[30] Jupyter Notebook: https://mybinder.org/v2/gh/JohnLaTwC/Shared/master?filepath=notebooks%2FEnvironmental%20Key%20Login.ipynb
[31] онлайн-курсах: https://www.pluralsight.com/browse/software-development/python
[32] сделала компания JoeSecurity: https://www.joesecurity.org/blog/8225577975210857708
[33] MITRE ATT&CK: https://attack.mitre.org/resources/contribute/
[34] MORDOR: https://github.com/hunters-forge/mordor/
[35] @FDezeure: https://twitter.com/FDezeure
[36] @LeahLease: https://twitter.com/LeahLease
[37] @TimbMsft: https://twitter.com/TimbMsft
[38] @ianhellen: https://twitter.com/ianhellen
[39] @Cyb3rWard0g: https://twitter.com/Cyb3rWard0g
[40] @denisbalan: https://github.com/denisbalan
[41] @noesall: https://twitter.com/noesall
[42] @zinint: https://twitter.com/zinint
[43] @MazahakaJay: https://twitter.com/MazahakaJay
[44] @SuslikDaRete: https://twitter.com/SuslikDaRete
[45] @l1c3t: https://github.com/l1c3t
[46] @AlienJolka: https://twitter.com/AlienJolka
[47] @yugoslavskiy: https://twitter.com/yugoslavskiy
[48] https://attack.mitre.org/: https://attack.mitre.org/
[49] https://pan-unit42.github.io/playbook_viewer/: https://pan-unit42.github.io/playbook_viewer/
[50] https://atomicredteam.io/testing: https://atomicredteam.io/testing
[51] https://cyberwardog.blogspot.com/2017/07/how-hot-is-your-hunt-team.html: https://cyberwardog.blogspot.com/2017/07/how-hot-is-your-hunt-team.html
[52] https://yara.readthedocs.io/: https://yara.readthedocs.io/
[53] https://jupyter.org/: https://jupyter.org/
[54] https://github.com/parente/nbestimate: https://github.com/parente/nbestimate
[55] https://mybinder.org/: https://mybinder.org/
[56] https://mybinder.org/v2/gh/parente/nbestimate/master?filepath=estimate.src.ipynb: https://mybinder.org/v2/gh/parente/nbestimate/master?filepath=estimate.src.ipynb
[57] https://www.youtube.com/playlist?list=PLlrxD0HtieHhS8VzuMCfQD4uJ9yne1mE6: https://www.youtube.com/playlist?list=PLlrxD0HtieHhS8VzuMCfQD4uJ9yne1mE6
[58] https://github.com/nteract/papermill: https://github.com/nteract/papermill
[59] https://github.com/Neo23x0/signature-base/tree/master/yara: https://github.com/Neo23x0/signature-base/tree/master/yara
[60] http://blog.joesecurity.org/2019/10/joe-sandbox-sigma.html: http://blog.joesecurity.org/2019/10/joe-sandbox-sigma.html
[61] https://github.com/atc-project/atomic-threat-coverage: https://github.com/atc-project/atomic-threat-coverage
[62] https://github.com/Microsoft/msticpy: https://github.com/Microsoft/msticpy
[63] https://twitter.com/THE_HELK: https://twitter.com/THE_HELK
[64] https://www.youtube.com/playlist?list=PLkTApXQou_8KXWrk0G83QQbNLvspAo-Qk: https://www.youtube.com/playlist?list=PLkTApXQou_8KXWrk0G83QQbNLvspAo-Qk
[65] https://github.com/hunters-forge/ThreatHunter-Playbook: https://github.com/hunters-forge/ThreatHunter-Playbook
[66] TTP: https://en.wikipedia.org/wiki/Terrorist_Tactics,_Techniques,_and_Procedures
[67] Источник: https://habr.com/ru/post/487584/?utm_source=habrahabr&utm_medium=rss&utm_campaign=487584
Нажмите здесь для печати.