CC BY
4
Секция
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
УДК 004.056
АВТОМАТИЗАЦИЯ РАБОТЫ С ИСТОЧНИКОМ ДАННЫХ О ТАКТИКАХ И ТЕХНИКАХ ПРОВЕДЕНИЯ КОМПЬЮТЕРНЫХ АТАК
А. П. Голушко Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
golushko.ap@yandex.ru
В статье рассмотрены существующие программные решения, автоматизирующие работу с источником данных о тактиках и техниках действий злоумышленников MITRE ATT&CK. Задача автоматизации рассматривается с учетом новой методики оценки угроз безопасности информации.
Ключевые слова: MITRE ATT&CK, ATT&CK Python Client, ATT&CK Tools, Attack Coverage, методика оценки угроз безопасности информации ФСТЭК России.
AUTOMATION OF OPERATIONS WITH ADVERSARIAL TACTICS AND TECHNIQUES DATA SOURCE
A. P. Golushko Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
golushko.ap@yandex.ru
The article discusses the existing software solutions that automate operations with adversarial tactics and techniques data source MITRE ATT&CK. The question of automation is based on the new methodology for assessing information security threats.
Keywords: MITRE ATT&CK, ATT&CK Python Client, ATT&CK Tools, Attack Coverage, methodology for assessing information security threats by FSTEK Russia.
В связи с вступлением в силу нормативно-методического документа [1] процесс определения угроз безопасности информации (далее - УБИ), реализация которых возможна в существующих, создаваемых или модернизируемых информационных системах, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации и автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, должен быть приведен в соответствие порядку и содержанию работ по определению угроз, представленному в новом нормативно-методическом документе ФСТЭК России.
Методика определения УБИ, представленная в документе [1], включает в себя несколько этапов, одним из которых является составление сценариев реализации УБИ применительно к объектам и видам воздействия, а также способам реализации УБИ. Данный этап включает в себя работу с большим числом тактик и техник проведения компьютерных атак и труднореализуем без использования средств автоматизации.
(Секция «Информационная безопасность»
Источниками исходных данных для оценки УБИ в соответствии с [1] являются базы векторов компьютерных атак, такие как CAPEC, ATT&CK, OWASP, WASC и др., а также банк данных угроз безопасности информации ФСТЭК России.
Одним из наиболее распространенных источников информации в мировой практике для определения сценариев реализации УБИ является MITRE ATT&CK [2]. В приложении № 11 к [1] приведен пример набора тактик и техник реализации компьютерных атак, который может быть использован при построении модели угроз.
Однако с точки зрения задачи автоматизации с учетом непрерывного развития и модернизации матриц ATT&CK наиболее перспективным является применение программных инструментов, синхронизируемых с последними версиями ATT&CK.
По результатам анализа были выбраны следующие свободно-распространяемые инструменты: ATT&CK Python Client [3], ATT&CK Tools [4] и Attack Coverage [5].
ATT&CK Python Client. Инструмент представляет собой библиотеку attackcti, которая использует как основу библиотеки cti-python-stix2 и cti-taxii-client, разработанные MITRE, и упрощает работу с данными ATT&CK в формате STIX с применением языка Python.
Контент ATT&CK программно доступен через ATT&CK TAXII server, а также через репозиторий MITRE/CTI на github [6].
Библиотека cti-python-stix2 предоставляет Python API-интерфейсы для доступа к данным STIX 2.х в формате json, а также API-интерфейсы более высокого уровня для общих задач, включая управление версиями и разрешение идентификаторов STIX в нескольких источниках данных.
Библиотека cti-taxii-client является реализацией минимального набора API-сервисов для TAXII 2.x сервера, таких как Server Discovery, Get API Root Information, Get Status, Get Collections, Get Objects и др.
Технически обозначенные ресурсы предоставляют следующие возможности:
- взаимодействие с контентом ATT&CK в онлайн и офлайн режимах;
- получение данных из ATT&CK в формате STIX 2.x посредством программных запросов, задающих необходимые условия для извлечения тактик, техник, мер предотвращения, обнаружения, инструментов, групп злоумышленников и иных объектов;
- проверка наличия изменений тактик и техник действий злоумышленников в матрицах ATT&CK;
- поиск в ATT&CK по любым полям описания техники, включая: используемые инструменты для реализации, группировки злоумышленников, уязвимые технологии, источники информации для правил обнаружения и т.д.
Необходимо принимать во внимание существующие отличия в структурах ATT&CK [2] и ATT&CK в формате STIX 2.x [6] и учитывать их при написании запросов.
ATT&CK Tools. Инструмент состоит из двух компонентов: ATT&CK Data Model и ATT&CK View.
ATT&CK Data Model представляет собой базу данных на базе SQLlite, которая содержит в себе данные матриц ATT&CK для автоматизированной работы через запросы SQL.
Для работы с ATT&CK Data Model необходимо использовать СУБД или инструмент управления SQL запросами (SQL-management tool). ATT&CK Data Model позволяет создавать различные запросы и получать списки тактик, техник и иных существующих объектов, относящихся к деятельности злоумышленников и представленных в ATT&CK.
ATT&CK View является инструментом для планирования эмуляции активности злоумышленника на основе тактик и техник, описанных в ATT&CK. Представляет собой готовый исполняемый файл для запуска в среде Microsoft Windows и имеет графический пользовательский интерфейс. При разработке планов (сценариев) реализации компьютерных атак ATT&CK View позволяет указывать тактики, техники, инструмент, который планируется использовать в ходе эмуляции, описание реализации техник в информационной
Актуальные проблемы авиации и космонавтики - 2021. Том 2
системе, результаты эмуляции, а также выводы по результатам работы. Функционал программы позволяет экспортировать техники в ATT&CK Navigator [7]. Планы эмуляции сценариев компьютерных атак могут быть экспортированы в форматы .xlsx и .html.
Attack Coverage. Инструмент реализован в виде Excel-файла с применением python-скриптов. Attack Coverage позволяет провести анализ, какие тактики и техники компьютерных атак из состава ATT&CK могут быть обнаружены системой защиты информации.
Инструмент включает в себя следующие основные функции:
- ведение перечня правил обнаружения, направленных на конкретные техники компьютерных атак;
- учет основных источников данных для журналирования событий безопасности (process monitoring, powershell logs и др.), а также возможность добавлять новые;
- возможность исключать из рассмотрения техники, реализация которых невозможна в информационной системе с учетом ее структурно-функциональных характеристик;
- оценка степени покрытия правилами обнаружения каждой техники и тактики (включая подтехники);
- возможность производить обновление состава тактик и техник действий злоумышленников без потери результатов работы внутри файла AttackCoverage.xlsx.
Последняя из обозначенных функциональных возможностей обусловлена архитектурой самого инструмента. В его состав входит несколько дополнительных файлов, в которых указываются исходные перечни тактик, техник и источников данных о событиях безопасности. Эти файлы могут модифицироваться и затем через python-скрипты обновляются данные внутри AttackCoverage.xlsx.
Выводы. Рассматриваемые программные решения ATT&CK Python Client и Attack Coverage, автоматизирующие работу с источником данных о тактиках и техниках проведения компьютерных атак, в совокупности создают техническую и идейную основу для разработки инструмента, предназначенного непосредственно для автоматизации задач согласного требованиям нового нормативно-методического документа по определению УБИ [1]. Рассмотренные компоненты в составе ATT&CK Tools уже в текущем исполнении могут быть применены на этапе определения сценариев реализации компьютерных атак. Однако для внедрения комплексного подхода по определению УБИ в защищаемой информационной системе необходимо решение, автоматизирующее и другие этапы методики.
Библиографические ссылки
1. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021 г.) [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/ 114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g (дата обращения: 05.04.2021).
2. MITRE ATT&CK [Электронный ресурс]. URL: https://attack.mitre.org/ (дата обращения: 05.04.2021).
3. ATTACK-Python-Client [Электронный ресурс]. URL: https://github.com/OTRF/ATTACK-Python-Client (дата обращения: 10.04.2021).
4. ATTACK-Tools [Электронный ресурс]. URL: https://github.com/nshalabi/ATTACK-Tools (дата обращения: 10.04.2021).
5. Attack-coverage [Электронный ресурс]. URL: https://github.com/RealityNet/attack-coverage (дата обращения: 10.04.2021).
6. CTI [Электронный ресурс]. URL: https://github.com/mitre/cti (дата обращения: 11.04.2021).
7. Attack-navigator [Электронный ресурс]. URL: https://mitre-attack.github.io/attack-navigator/ (дата обращения: 12.04.2021).
© Голушко А. П., 2021
