Модели кибератак. Систематизируем защиту и нападение

Александр Кузнецов, руководитель ключевых проектов Solar JSOC компании "Ростелеком-Солар"

Занимаясь непосредственно защитой информационных систем (defensive security) или «атакующей безопасностью» (offensive security), рано или поздно начинаешь задавать себе ряд вопросов. Как твоя деятельность согласуется с общепринятыми представлениями о реализации кибератак? Ничего ли ты не упустил или, наоборот, затрачиваешь усилия на что-то малозначимое? Вот об этом и поговорим ниже.

Потребность в модели

Зачем вообще нужна система или модель какой-либо деятельности? Она помогает действовать эффективнее, т.е. не изобретать велосипед каждый раз и не тратить драгоценные ресурсы на сведение воедино разрозненных результатов или избыточные шаги. Также система позволяет быстрее вовлекать в ее реализацию новых участников, что особенно актуально сейчас, при дефиците готовых ИБ-специалистов и необходимости решать многие вопросы в режиме ASAP.

Безусловно, любая систематизация начинается с анализа текущих достижений в данном направлении: что об этом уже говорят авторитетные источники, что есть в лучших практиках (но о них чуть позже).

Сама же модель должна быть, во-первых, легко воспринимаемой и по возможности иметь графическое представление, а во-вторых, инвариантной к изменению целей и средств атакующих, т.к. в противном случае потребуется каждый раз ее перерабатывать.

Лучшие практики, или Почему здесь нет ISO 27001?

Говоря о лучших практиках в области ИБ, в большинстве случаев подразумевают стандарты ISO/IEC, такие как ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» и ISO/IEC 27002:2013 «Information technology — Security techniques — Code of practice for information security controls». Здесь сразу стоит отметить, что эти стандарты верой и правдой служат нам при построении систем управления информационной безопасностью на предприятиях, но вот можно ли опираться на них в части формирования модели кибератак?

Принимая во внимание, что в основу этих стандартов заложен риск-ориентированный подход (учитывающий взаимосвязь рисков, угроз, уязвимостей и контрмер), а кибератаки рассматриваются только как один из вариантов угроз, это не может быть нашим ориентиром.

В данном случае необходимо отправиться на поиски других лучших практик.

В частности, мы рассмотрим следующие материалы:

- Cyber Kill Chain от Lockheed Martin Corporation;
- MITRE ATT&CK (принимая во внимание, что первые шаги считаем соответствующими Cyber Kill Chain);
- Special Publication 800-115 от National Institute of Standards and Technology (NIST);
- предложениями от EC-Council в рамках их учебных программ, в т.ч. Certified Ethical Hacker (CEH);

- предложения от Microsoft Corporation в рамках их Security Guides;

- тактики из проекта методического документа "Методика моделирования угроз безопасности информации" от ФСТЭК России.

Избавляя читателя от обзора каждого отдельного документа, предлагаю небольшое сравнение этих материалов между собой:

Безусловно, самым насыщенным выглядит MITRE ATT&CK и его условно авторский перевод для проекта методического документа ФСТЭК России, но при этом все шесть моделей прекрасно коррелируют между собой и дополняют друг друга.

В сухом остатке можно выделить четыре последовательных ключевых этапа в рамках реализации кибератаки:

1. подготовка

2. получение доступа

3. выполнение задания/действия

4. сокрытие следов присутствия.

Более подробная информация о них представлена в таблице:

Наименование этапа	Цель этапа	Примеры методов реализации	Примеры контрмер
Подготовка	Исходные данные для получения требуемого доступа	• OSINT (в т.ч. Google hacking) • Использование специальных инструментов и сервисов • Социальная инженерия	• Само-OSINT • Отключение ненужных сервисов и т.п. • Использование IPS/IDS • Awareness
Получение доступа	Права доступа, позволяющие выполнить требуемое задание/действие	• Через эл. почту (phishing, spear-phishing и др.) • Через съемные носители (badUSB) • Через веб-сайт (watering hole, drive-by) • Buffer overflow • MITM • Получение пароля (dictionary attack, brute forse, pass-the-hash и др.) • Социальная инженерия	• Управление доступом • Многофакторная аутентификация • White listing • Управление уязвимостями и патч-менеджмент • Использование антиспам решений • Использование антивирусных решений • Использование сервисов TI • Использование SandBox • Использование IPS/IDS • Awareness
Выполнение задания/действия	Результат (Impact), ожидаемый нападающим	• Через rootkit • Через backdoor • Использование специальных инструментов и сервисов • Использование легитимных инструментов и сервисов	• Управление уязвимостями и патч-менеджмент • White listing • Использование антивирусных решений • Использование anti-rootkit решений • Использование EDR • Использование U(E)BA • Использование сервисов TI • Использование DLP
Сокрытие следов присутствия	Отсутствие возможности детекта и потери занятой позиции	• Использование специальных инструментов и сервисов • Использование легитимных инструментов и сервисов	• Использование SIEM • Использование NTA • Использование EDR

Спиральная модель кибератаки

Практика показывает, что кибератака зачастую не ограничивается единоразовым последовательным прохождением по указанным выше этапам. Ее реализация развивается скорее по спирали: требуется выполнить одно задание, прежде чем приступить к другому. Более того, состав заданий может меняться после прохождения любого из этапов и будет зависеть от качества его реализации.

Данная модель соответствует и достаточно популярной сегодня схеме, когда один атакующий получает доступ, осматривается, а потом продает собранную информацию или полученный доступ другому незваному гостю, преследующему свои цели и реализующему свои действия.

Таким образом, предлагаемая модель кибератаки принимает следующий вид:

На самом деле предложенный вариант очень близок к модели реагирования на компьютерные инциденты, предложенной NIST в SP 800-61 «Computer Security Incident Handling Guide», которая многими считается эталонной.

Выявляя соответствующие инциденты ИБ и соотнося их с этапами реализации кибератаки, приложенными в модели, можно предположить, как много уже прошел атакующий, куда еще может проникнуть или в каком направлении может двинуться дальше (хотя последнее далеко не всегда прозрачно). Дополнительно можно рассмотреть вариант расстановки для себя приоритетов по выявлению кибератак на определенных этапах, хотя здесь есть нюансы: мы изначально не знаем сколько колец в данной конкретной атаке может быть.

Эта модель может быть применима и к массовым атакам, и к атакам, характерным для организаций определенного сектора, и к таргетированным атакам.

Например, первым кольцом в спирали атаки может выступать фишинг. Какими тогда будут основные этапы?

1. Подготовка: формирование и стилизация текста письма и ссылки/вложения, с использованием exploit builder и т.п., с последующей рассылкой по списку получателей.

2. Получение доступа: прохождение пользователем по ссылке или запуск макроса во вложении – запуск dropper.

3. Выполнение задания/действия: доставка «полезной нагрузки».

4. Сокрытие следов присутствия: удаление dropper.

Если необходимо, то сам этап получения списка рассылки может быть разложен по такому же принципу и рассмотрен как нулевое кольцо.

А уже «посередине» может быть горизонтальное перемещение:

1. Подготовка: сетевое сканирование с целью обнаружения доступных узлов и сервисов SMB, RDP, SSH или др.

2. Получение доступа: подключение с использованием имеющихся credential.

3. Выполнение задания/действия: доставка «полезной нагрузки» или дальнейшее продвижение с данного узла.

4. Сокрытие следов присутствия: очистка журналов аудита событий.

Заключение

Безусловно, каждый волен применять свои модели в работе, занимаясь непосредственно защитой или «атакующей безопасностью». Можно использовать и представленные здесь варианты, в т.ч. адаптировать и совершенствовать их. При этом вы будете понимать, как соотноситесь с коллегами по цеху в части методологии в данном аспекте и где можете улучшить свою деятельность.