Phương pháp tìm kiếm các mối đe dọa an toàn thông tin mạng dựa trên các phân tích MITRE ATT&CK
PHƯƠNG PHÁP BẢO MẬT DỰA TRÊN MỐI ĐE DỌA
Bảo vệ mạng trước các cuộc tấn công có chủ đích (Advarced Presisten Threat - APT) vẫn đang là nhiệm vụ quan trọng và vô cùng phức tạp. Các giải pháp phòng chống APT đòi hỏi công nghệ và cách tiếp cận tiên tiến. Năm 2010, MITRE đã triển khai một nghiên cứu về nguồn dữ liệu và quy trình phân tích để phát hiện nhanh hơn các cuộc tấn công APT bằng việc “dự kiến” các vi phạm thông qua dữ liệu điểm cuối được cung cấp từ xa. Cụ thể, công việc của MITRE tập trung vào phát hiện hậu xâm nhập, tức các hành vi của tin tặc sau khi họ có quyền truy cập vào hệ thống trên mạng. Một trong những yếu tố thúc đẩy phương pháp MITRE là thông tin công khai về các vụ tấn công mạng, cho thấy đối thủ có xu hướng thể hiện các hành vi nhất quán khi tương tác với các hệ thống cuối hoặc hệ thống của nạn nhân [1-4].
Phương pháp phát hiện xâm nhập mạng bằng cách phân tích hành vi của MITRE bao gồm 5 nguyên tắc [5]. Đó là những nguyên tắc thiết yếu dựa trên mối đe dọa, có hiệu quả đối với lĩnh vực an ninh mạng (Hình 1).
Hình 1. Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE
Nguyên tắc 1: Phát hiện hậu xâm nhập (Include Post-Compromise Detection) - Theo thời gian, công cụ bảo mật truyền thống không thể đáp ứng trước các mối đe dọa mạng hiện nay. Chính vì vậy, khi các mối đe dọa có thể vượt qua tính năng bảo mật của mạng hoặc sử dụng cách thức mới để xâm nhập mạng thì khả năng phát hiện hậu xâm nhập là rất cần thiết.
Nguyên tắc 2: Tập trung vào hành vi (Focus on Behavior) - các dấu hiệu và thông số là các thông tin có giá trị để xác định công cụ của kẻ tấn công. Các công cụ bảo mật dựa vào dấu hiệu đã biết có thể trở nên không đáng tin do dấu hiệu bị lỗi thời hoặc do các mối đe dọa ngày càng phát triển. Vì vậy, một chính sách bảo mật tinh vi cũng nên bao gồm phát hiện và nghiên cứu hành vi độc hại hậu xâm nhập.
Nguyên tắc 3: Sử dụng mô hình dựa trên mối đe dọa (Use a Threat-based Model) - Một mô hình mối đe dọa chính xác và đầy đủ là cần thiết để đảm bảo rằng các hoạt động phát hiện có hiệu quả trong việc chống lại các hành vi độc hại thực tế.
Nguyên tắc 4: Lặp lại theo thiết kế (Iterate by Design) - Công cụ và kỹ thuật không ngừng phát triển vì vậy các hành vi độc hại đối với mạng cũng không ngừng thay đổi. Do đó phương pháp bảo mật cũng phải liên tục và không ngừng phát triển, hoàn thiện trước sự thay đổi của các hành vi độc hại, trước tấn công APT.
Nguyên tắc 5: Phát triển thử nghiệm trong môi trường thực (Develop and Test in a Realistic Environment) - Để đo độ nhiễu cảm biến dự kiến tạo trong quá trình sử dụng mạng tiêu chuẩn, thì các hành vi của người dùng mạng phải được mô phỏng một cách chân thực nhất. Các khả năng phát hiện hành vi độc hại cần được kiểm tra bằng cách mô phỏng lại trong môi trường này.
ATT&CK
Hành vi hậu xâm nhập dựa trên mô hình hóa các hành vi độc hại
ATT&CK là một khung (framework) về kỹ thuật-chiến thuật-chiến lược (Tactics, Techniques and Procedures (TTPs)) tấn công của kẻ tấn công (adversary) dựa vào những tình huống thực tế. ATT&CK đưa ra cách nhìn tổng quan về các hành vi cụ thể của kẻ tấn công sau khi xâm nhập vào mạng. Mô hình ATT&CK cung cấp thông tin chi tiết về hành vi tấn công trên cơ sở quan sát hành vi của tin tặc. Phương pháp ATT&CK chủ yếu hướng đến các hệ thống sử dụng hệ điều hành Windows dành cho doanh nghiệp. Do số lượng lớn các báo cáo xâm nhập có sẵn công khai chứa các thông tin chi tiết và công cụ cảnh báo hoạt động chống lại Windows. ATT&CK được chia thành các loại chiến thuật cấp cao và các phương pháp riêng lẻ mà kẻ tấn công có thể áp dụng trong mỗi loại chiến thuật riêng biệt.
Chiến thuật
Các loại chiến thuật ATT&CK mà khung đề cập bao gồm [6]:
• Duy trì truy cập (Persistence) - Bất kỳ quyền truy cập, hành động hoặc cấu hình nào thay đổi đối với một hệ thống đều mang lại cho đối thủ sự hiện diện lâu dài trên hệ thống đó.
• Nâng cao đặc quyền (Privilege Escalation) - Kết quả của các kỹ thuật mà từ đó kẻ tấn công được cấp quyền cao hơn trên hệ thống hoặc mạng.
• Lảng tránh hệ thống bảo vệ (Defense Evasion) - Kỹ thuật tin tặc có thể sử dụng cho mục đích lẩn tránh phát hiện hoặc tránh các biện pháp phòng vệ khác.
• Truy cập thông tin xác thực (Credential Access) - Kỹ thuật dẫn đến việc truy cập hoặc kiểm soát thông tin đăng nhập hệ thống, tên miền hoặc dịch vụ được sử dụng trong môi trường mạng.
• Phát hiện (Discovery) - Kỹ thuật cho phép tin tặc có kiến thức về hệ thống và mạng nội bộ.
• Mở rộng khai thác (Lateral Movement) - Kỹ thuật cho phép tin tặc truy cập và kiểm soát các hệ thống từ xa trên mạng.
• Thực thi (Execution) - Kỹ thuật dẫn đến việc thực thi mã do tin tặc kiểm soát trên hệ thống cục bộ hoặc từ xa.
• Sưu tập (Collection) - Kỹ thuật được sử dụng để xác định và thu thập thông tin, chẳng hạn như các tệp nhạy cảm từ mạng đích trước khi lọc.
• Trích xuất dữ liệu (Exfiltration) - Kỹ thuật cho phép trích xuất file hoặc thông tin khỏi mạng đích.
• Điều khiển và kiểm soát (Command and Control) - Kỹ thuật và thuộc tính về cách thức giao tiếp của tin tặc với hệ thống dưới sự kiểm soát của họ trong mạng đích. Ví dụ bao gồm sử dụng các giao thức hợp pháp như HTTP để mang thông tin C&C.
Ở cấp độ này, ATT&CK giống với các mô hình mối đe dọa khác mô tả vòng đời của kẻ tấn công, sự khác biệt là ở phạm vi của nó. Các thể loại chiến thuật ATT&CK được áp dụng từ một hệ thống đầu cuối riêng biệt sang một hệ thống khác khi kẻ địch di chuyển qua mạng. Trong khi đó, một mô hình như vòng đời của một cuộc tấn công mạng (Hình 2) có tính đến quy mô rộng hơn.
Hình 2. Các loại chiến thuật ATT&CK
Tổng quan về các loại chiến thuật và các phương pháp liên quan được mô tả trong mô hình ATT&CK thể hiện trên Hình 3 [7].
Hình 3. Một phần ma trận MITRE ATT&CK
Các kỹ thuật
Trong mô hình ATT&CK, để đạt được mục tiêu đề ra, mỗi chiến thuật cần thực hiện một số lượng các kỹ thuật nhất định. Sau khi xâm nhập, kẻ tấn công liên tục đưa ra quyết định về việc lựa chọn kỹ thuật tiếp theo trên cơ sở thu thập và phân tích các thông tin của môi trường mạng. Kỹ thuật mô tả hành động theo cách độc lập với phần mềm độc hại và công cụ tấn công cụ thể. Lợi ích từ phương pháp này là nó xét đến toàn bộ hành vi của một kẻ tấn công mà không phụ thuộc vào các phần mềm độc hại và công cụ tấn công cụ thể.
Một điểm khác biệt quan trọng giữa kỹ thuật trong ATT&CK và IOC là rất nhiều kỹ thuật ATT&CK sử dụng các chức năng hệ thống hợp lệ được sử dụng cho mục đích xấu, trong khi IOC được triển khai như một cơ chế phát hiện xâm nhập thông qua các dấu hiệu độc hại đã biết.
PHƯƠNG PHÁP PHÁT TRIỂN DỰA TRÊN PHÂN TÍCH ATT&CK
MITRE đã sử dụng phương pháp phát triển phân tích dựa trên ATT&CK để tạo đánh giá và tinh chỉnh các phân tích với mục đích phát hiện chính xác hơn hành vi đối nghịch trên mạng. Các thuật ngữ White Team, Red Team và Blue Team lần lượt thực hiện các vai trò sau [8]:
• White Team - Phát triển các kịch bản mối đe dọa để thử nghiệm hệ thống bảo mật.
• Red Team - Đóng vai trò là kẻ tấn công mạng.
• Blue Team - Đóng vai trò là đội phòng thủ mạng có vai trò sử dụng các bản phân tích để phát hiện hoạt động của Red Team.
Hình 4. Phương pháp phát triển phân tích dựa trên ATT&CK
Phương pháp phát triển phân tích dựa trên ATT&CK bao gồm 7 bước, được thể hiện trong Hình 4.
Bước 1. Xác định các hành vi (Identify Behaviors) từ mô hình mối đe dọa. Một số yếu tố cần được xem xét khi quyết định cách ưu tiên các hành vi khác nhau:
- Những hành vi phổ biến nhất;
- Những hành vi có tác động độc hại nhất;
- Những hành vi nào có truy cập dữ liệu;
- Hành vi nào phổ biến nhất cho thấy hành vi độc hại.
Bước 2. Thu thập dữ liệu (Acquire Data) - Xác định dữ liệu cần thiết cho phân tích phát hiện hành vi độc hại.
Bước 3. Phát triển phân tích (Develop Analytics) - Phát triển phân tích từ dữ liệu được thu thập để phát hiện các hành vi nghi vấn.
Bước 4. Phát triển kịch bản mô phỏng tấn công (Develop an Adversary Emulation Scenario) - White Team phát triển kịch bản mô phỏng kẻ tấn công dựa trên ATT&CK, bao gồm các hành vi được xác định trong Bước 1. Kịch bản bao gồm các kỹ thuật cụ thể được Red Team sử dụng.
Bước 5. Mô phỏng mối đe dọa (Emulate Threat) - Red Team cố gắng đạt được các mục tiêu mà White Team vạch ra bằng cách thực hiện các hành vi và kỹ thuật được mô tả trong mô hình ATT&CK.
Bước 6. Điều tra tấn công (Investigate Attack) - Blue Team cố gắng tạo lại dòng thời gian của hoạt động Red Team bằng cách sử dụng các phân tích và dữ liệu được phát triển trong Bước 3.
Bước 7. Tổng hợp đánh giá hiệu suất (Evaluate Performance - White, Red and Blue Teams) phân tích sự tương tác để đánh giá mức độ thành công trong phát hiện các hành vi giả lập APT của Blue Team khi sử dụng các phân tích và dữ liệu thu thập được. Sau khi đánh giá chu trình sẽ được lặp lại từ Bước 1.
MỘT VÍ DỤ TỔNG HỢP THÔNG TIN NHÓM TIN TẶC APT27
Nghiên cứu các phương pháp, kỹ thuật của các nhóm tin tặc từ nghiên cứu của MITRE, ta có thể có được tổng quan các kỹ thuật có thể đã biết, hoặc chưa biết nhưng rất phổ dụng trong các nhóm tin tặc. Ví dụ bảng tổng hợp các kỹ thuật và phần mềm của nhóm APT27 (được biết hoạt động ở khu vực Đông Nam Á) công khai từ MITRE.
BẢNG 1. TỔNG HỢP MỘT SỐ KỸ THUẬT TẤN CÔNG CỦA NHÓM APT27
Việc sử dụng dữ liệu tấn công thực tế trong ATT&CK cho phép tập trung chống lại các phương thức được sử dụng phổ biến nhất trong các nhóm APT khác nhau và cho phép xác định các lỗ hổng bảo mật. Hiện tại, không có phương pháp có sẵn để áp dụng kinh nghiệm thế giới về kiến thức, về chiến thuật và kỹ thuật của một hành động tấn công khi thiết kế một hệ thống bảo mật. Do đó, giải pháp sử dụng cơ sở tri thức ATT&CK trong quá trình thiết kế hệ thống bảo mật thông tin cả ở giai đoạn mô hình hóa các mối đe dọa bảo mật thông tin và giai đoạn xác định các biện pháp bảo mật là vô cùng cần thiết và hữu ích.
BẢNG 2. TỔNG HỢP PHÂN MỀM CỦA NHÓM APT27
KẾT LUẬN
Phương pháp phát triển phân tích dựa trên ATT&CK là nền tảng để các chuyên gia bảo mật sử dụng trong việc thiết lập và duy trì khả năng phát hiện các mối đe dọa APT. Việc phát hiện bằng các phương pháp này không phụ thuộc vào các IOC xấu được biết đến điển hình hoặc thông báo bên ngoài về vi phạm mạng và có thể dẫn đến phát hiện nhanh sự xâm nhập mạng, bằng cách sử dụng các kỹ thuật đối nghịch được mô tả trong mô hình ATT&CK.
Các nhà nghiên cứu MITRE sử dụng mô hình ATT&CK để thông báo sự phát triển của phân tích và cấu trúc của Red Team cho các trò chơi mạng (Cyber Games). MITRE sử dụng 7 bước của phương pháp phát triển phân tích ATT&CK nhằm thường xuyên cải thiện khả năng phòng thủ trong các trò chơi mạng với các phân tích mới. MITRE cũng đã xuất bản CAR để phục vụ như là nền tảng chia sẻ phân tích nhằm ghi lại các phân tích được phát triển thông qua nỗ lực này để cộng đồng sử dụng và mở rộng.
Cơ sở tri thức của ATT&CK không ngừng phát triển, do đó việc sử dụng cơ sở kiến thức này cho việc thiết lập hệ thống bảo mật thông tin là rất hữu ích và cần thiết. Nó giúp các chuyên gia xây dựng hệ thống bảo mật trên cở dữ liệu của các cuộc tấn công có thể xảy ra và dựa vào việc dự đoán các lỗ hổng của hệ thống để đưa ra phương án khắc phục kịp thời. Không những thế, việc liên tục cập nhật cơ sở tri thức ATT&CK sẽ giúp giảm thiểu rủi ro trước các cuộc tấn công trong tương lai.
TÀI LIỆU THAM KHẢO 1. FireEye, “M-Trends 2016,” [Online]. Available: https://www2.fireeye.com/rs/848-DID-242/ images/Mtrends2016.pdf. 2. S. Tomonaga, [Online]. Available: Http://blog.jpcert.or.jp/2016/01/windows- commands-abused-by-attackers.html. 3. The MITRE Corporation, 2018. [Online]. URL: https://attack.mitre.org 4. The MITRE Corporation, September 2018. [Online]. Available: https://car.mitre.org 5. Sushil Jajodia, V.S. Subrahmanian, Vipin Swarup, Cliff Wang, Springer, pp. 8-15, 2016. 6. Emmanouel Garoufallou, 2019, pp. 109-125. 7. Daniel Regalado, Shon Harris, Allen Harper, Chris Eagle, Jonathan Ness, Branko Spasojevic, Ryan Linn, Stephen Sims, 2019, pp. 135-155. 8. Brook S.E. Schoenfield, 2019, P. 250. |
TS. Đào Tuấn Hùng, TS. Hoàng Thái Hổ