MITRE ATT&CK là gì? Ứng dụng của mô hình MITRE ATT&CK trong an ninh mạng
CyStack Editor
Bài viết này giới thiệu về mô hình MITRE ATT&CK và những lợi ích mà nền tảng này mang lại trong việc tổ chức và phân loại các mối đe dọa và hành vi phá hoại nhắm tới các tổ chức.
MITRE ATT&CK là gì?
MITRE là một công ty phi lợi nhuận được thành lập vào năm 1958 với sứ mệnh “giải quyết các vấn đề vì một thế giới an toàn hơn”. Mục tiêu này đang được hoàn thành thông qua một cơ sở tri thức có chọn lọc của công ty với tên gọi MITRE ATT&CK. ATT&CK là tên viết tắt của “Adversarial Tactics, Techniques, and Common Knowledge”. (Tạm dịch: Các chiến thuật, kỹ thuật phá hoại và các hiểu biết thông thường). Đây là một nền tảng tổ chức và phân loại các loại chiến thuật, kỹ thuật và quy trình (TTP) khác nhau được các tác nhân đe dọa sử dụng trong thế giới kỹ thuật số, từ đó giúp các tổ chức xác định các lỗ hổng trong hệ thống bảo vệ an ninh mạng.
Tất cả thông tin thu thập liên quan đến các cuộc tấn công được trình bày bằng nhiều ma trận khác nhau, chẳng hạn như ma trận doanh nghiệp, di động và tiền tấn công. Ví dụ, Ma trận Doanh nghiệp bao gồm các chiến thuật sau:
- Truy nhập Ban đầu
- Thực thi
- Duy trì truy cập
- Nâng cấp đặc quyền
- Trốn tránh hệ thống bảo vệ
- Truy nhập thông tin xác thực
- Phát hiện
- Mở rộng khai thác
- Sưu tập
- Điều khiển và kiểm soát
- Trích xuất dữ liệu
- Tác động
Mỗi chiến thuật được chia thành các kỹ thuật cụ thể tương ứng với từng loại tấn công. Ngoài ra còn có các chi tiết về kỹ thuật. Ví dụ như, tài liệu tham khảo (cho biết nền tảng nào có thể bị tấn công, ngày phát hiện sự cố, v.v.) và các đề xuất giảm thiểu và phát hiện mối đe dọa.
Ví dụ, phần liên kết Spearphishing bên trong chiến thuật Truy cập Ban đầu (Initial Access) có giải thích những nội dung liên quan đến phương pháp truy cập ban đầu này. Tại thời điểm viết bài, phần này bao gồm 19 ví dụ về các tác nhân đe dọa sử dụng kỹ thuật (Hình 1. Nhóm tin tặc Ocean Lotus APT32). Đương nhiên, con số này sẽ tăng lên theo thời gian kèm theo đó là các báo cáo mới, hoàn chỉnh với các giải thích và khuyến nghị về cách giảm thiểu các mối đe dọa và những kỹ thuật phát hiện nào cần cho việc bảo mật.
Nền tảng MITRE cung cấp một loạt các thông tin hữu ích cho việc phân tích toàn bộ chu trình của một tấn công mạng, bao gồm việc thăm dò mục tiêu, các vectơ tấn công, sự xâm nhập thực tế và các hành vi hậu xâm nhập.
Tại sao nên sử dụng MITRE ATT&CK?
Kho lưu trữ này cực kỳ giúp ích cho các chuyên gia an toàn thông tin trong việc cập nhật thông tin về các kỹ thuật tấn công mới và ngăn chặn các cuộc tấn công xảy ra.
Các tổ chức có thể tận dụng khung MITRE ATT&CK để tạo ra một bản đồ hệ thống phòng thủ của họ. Mặc dù khung này chủ yếu mô phỏng hành vi đối nghịch, nhưng các doanh nghiệp- nhất là những doanh nghiệp thiết kế các cơ chế bảo mật- có thể điều chỉnh cho phù hợp với các kịch bản tấn công có thể xảy ra. Bên cạnh đó, họ cùng có thể đào tạo đội ngũ nhân viên nếu cần.
Thực tế, tại CyStack, các kỹ sư bảo mật đã tổng hợp các thông tin vector tấn công trong ma trận MITRE ATT&CK vào các phần mềm bảo mật của mình, giúp bảo vệ hệ thống IT của các doanh nghiệp khách hàng tốt hơn trước những rủi ro tấn công có chủ đích.
ATT&CK cung cấp chi tiết về một số lượng lớn các tin tặc và nhóm tấn công, bao gồm các kỹ thuật và công cụ mà họ dùng, dựa trên báo cáo nguồn mở. ATT&CK còn hữu ích trong việc tình báo về các mối đe dọa an ninh mạng bằng cách mô tả hành vi thù địch một cách chuẩn hóa. Mô hình này đưa ra hướng dẫn để đội ngũ bảo mật có thể đối chiếu với các biện pháp kiểm soát hoạt động sẵn có nhằm khai thác các điểm mạnh và xác định các điểm yếu trước khi các tác nhân nguy hại xâm nhập.
Tạo các mục nhập trong công cụ MITRE ATT&CK Navigator cho các tác nhân cụ thể là cách hiệu quả để nhìn nhận các điểm mạnh và điểm yếu trong môi trường của một tổ chức liên quan đến các tác nhân hoặc nhóm này. Ngoài ra, ATT&CK còn được dùng để phân loại các thử nghiệm được thực hiện bên trong nội bộ của tổ chức dựa trên các kết quả thử nghiệm đó. Công cụ nói trên có thể được sử dụng trực tuyến hoặc tải xuống để sử dụng ổn định và lâu dài hơn.
Có nhiều tài nguyên bổ sung liên kết với ATT&CK và những tài nguyên cung cấp các cơ chế để kiểm tra các kỹ thuật tấn công trong môi trường mô phỏng. Ví dụ, các công ty như: Verodin, SafeBreach và AttackIQ cung cấp khả năng tiến hành mô phỏng một cuộc tấn công. Một số tùy chọn mã nguồn mở cho phép mô phỏng cuộc tấn công và có liên kết với ATT&CK, chẳng hạn như: MITRE Caldera, Uber Metta, Red Team Automation (RTA), hoặc Atomic Red Team. Phải hết sức thận trọng khi tiến hành những loại thử nghiệm này trong mạng sản xuất do không lường trước được mức độ rẽ nhánh có thể xảy ra. Chúng tôi luôn khuyến nghị người dùng sử dụng các môi trường kiểm soát tách biệt nhiều nhất có thể với những mạng lưới có thiết bị sản xuất lưu trữ dữ liệu chính thống của công ty.
Tóm lại, MITRE ATT&CK bao gồm một loạt các công cụ và tài nguyên để phục vụ cho bất kỳ chiến lược bảo mật nào. Mô hình này cung cấp cho các công ty thông tin tình báo về mối đe dọa, đồng thời đưa ra cách để phát hiện và ứng phó với các cuộc xâm nhập. Bằng cách đó, các tổ chức có thể đảm bảo an ninh mạng và sẵn sàng đối phó khi có kẻ xấu tấn công.
Không có gì đáng ngạc nhiên khi hồi đầu năm nay, nhóm nghiên cứu của hãng an ninh công nghệ ESET đã quyết định đưa ma trận MITRE ATT&CK vào hầu hết các phân tích phần mềm độc hại được công bố.
Theo Welivesecurity
