СРАВНИТЕЛЬНЫЙ АНАЛИЗ БАЗ ДАННЫХ MITRE ATT&CK И CAPEC Текст научной статьи по специальности «Компьютерные и информационные науки»

An algorithm for processing measurement information in integrated navigation systems of moving dynamic objects (MDO) is considered. The ability of the algorithm to detect the impact of aliasing imitation interference on the consumer navigation equipment (CNE) of the global navigation satellite system (GNSS) and to exclude distorted navigation definitions from the complex processing of navigation signals is shown.

Key words: moving dynamic object, global navigation satellite system, inter-aircraft navigation system.

Kozyrev Gennady Ivanovich, doctor of technical sciences, professor, vka@mil.ru, Russia, St. Petersburg, Military space Academy named after A.F. Mozhaisky,

Kibenko Alexander Viktorovich, adjunct, Russia, St. Petersburg, Military space Academy named after A.F. Mozhaisky

УДК 004.056

DOI: 10.24412/2071-6168-2023-4-29-39

СРАВНИТЕЛЬНЫЙ АНАЛИЗ БАЗ ДАННЫХ MITRE ATT&CK И CAPEC

С.А. Веревкин, Е.В. Федорченко

В статье представлен анализ баз данных ATT&CK и CAPEC, а также связанных с ними баз данных безопасности компании MITRE с целью определения возможности их использования в рамках моделирования кибератак. Рассмотрены основные особенности баз ATT&CK и CAPEC, содержащихся в них данных, основных решений, обеспечивающих взаимодействие с ними, а также способы их применения. В ходе работы выявлены недостатки рассмотренных источников данных безопасности, связанные, в том числе, с их неполнотой, затрудняющие определение взаимосвязей между используемыми версиями уязвимого программного обеспечения, уязвимостями, слабыми местами безопасности и техниками, тактиками и процедурами, используемыми злоумышленниками. Сделан вывод, что для полноценного решения задачи моделирования кибератак необходимо использовать рассмотренные базы данных совместно, привлекая также и другие открытые источники данных безопасности.

Ключевые слова: информационная безопасность, открытые базы данных, атакующие воздействия, цепочка атаки, паттерн атаки.

Большинство современных информационных систем характеризуется такими свойствами как сложность, разнородность и изменчивость, в связи с чем, при проектировании систем защиты информации практически невозможно устранить все уязвимости. Соответственно, наиболее эффективным способом защиты информации, является не устранение всех обнаруженных и потенциально существующих уязвимостей, а их отслеживание. Подобный подход направлен на возможность управления рисками, связанными с каждой отдельной уязвимостью, основываясь на её наличии в системе, а не на результатах экспертной оценки существующих баз уязвимостей.

Современные атакующие воздействия представляют собой сложный набор действий злоумышленника, включающих использование недостатков системы, в том числе ранее неизвестных уязвимостей (уязвимостей «нулевого дня»).

Рассмотрение атаки как последовательности атакующих действий лежит в основе концепции Kill Chain, заключающейся в определении этапов проведения атаки. Использование концепции Kill Chain позволяет учитывать атакующие действия, для реализации которых не требуется эксплуатация уязвимости, при выявлении последовательности атаки.

Моделирование актуальных для информационной системы последовательностей атакующих действий с целью выявления и устранения уязвимостей, эксплуатация которых может нанести системе наибольший ущерб, является актуальной проблемой.

На текущий момент накоплено большое количество знаний в области уязвимостей информационных систем и шаблонов атакующих действий, включая используемые злоумышленниками при реализации атак техники, тактики и процедуры (ТТП). При формировании модели кибератак встает вопрос о наиболее полном источнике таких данных. Возможными источниками данных являются: NVD [1] (National Vulnerability Database), CVE [2] (Common Vulnerabilities and Exposures), CWE [3] (Common Weakness Enumeration), CAPEC [4] (Common Attack Pattern Enumerations and Classifications) и ATT&CK [5] (Adversarial Tactics, Techniques & Common Knowledge).

В данной работе анализируются следующие источники данных: CAPEC (Common Attack Pattern Enumerations and Classifications) и ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), т.к. они содержат информацию не только об отдельных уязвимостях, но и о техниках, тактиках и процедурах, используемых при реализации атак на этапах Kill Chain.

Статья организована следующим образом. В первой части представлен анализ структуры и содержания базы MITRE ATT&CK. Во второй части рассмотрена база MITRE CAPEC. В третьей части представлен сравнительный анализ двух рассмотренных баз.

База тактик, техник и процедур MITRE ATT&CK. База данных ATT&CK была разработана в 2013 г. На сегодняшний день она является одним из крупнейших проектов в области кибербезопасно-сти и представляет пользователю доступ к широкому набору техник, тактик и процедур, используемых злоумышленниками, проецируемых на этапы кибератаки (Kill Chain).

Основными элементами базы являются:

- тактики (tactics) - этапы проведения атаки, а именно: разведка, разработка ресурсов, получение первоначального доступа, выполнение, закрепление, повышение привилегий, обход защиты, получение учетных данных, обнаружение, боковое перемещение, сбор данных, исполнение команд, эксфиль-трация данных, воздействие;

- техники (techniques) - способы реализации атакующих воздействий на каждом этапе атаки;

- подтехники (sub-techniques) - способы реализации техник.

База ATT&CK представлена в виде матриц тактик и техник для различных типов информационных систем. В настоящее время в базе представлены следующие матрицы:

1. Предприятия (Enterprise) - охватывает атакующие воздействия, характерные для большинства операционных систем и средств контейнеризации [6]. Матрица Enterprise содержит 14 тактик, 193 технику и 401 подтехнику.

2. Мобильные устройства (Mobile) - охватывает атакующие воздействия, характерные для мобильных устройств. Содержит 14 тактик, 66 техник и 41 подтехнику [7].

3. Промышленные системы управления (Industrial Control Systems, ICS) - охватывает атакующие воздействия, характерные для систем автоматизации (АСУ ТП). Содержит 12 тактик и 78 техник [8].

В табл. 1 приведены техники, выделенные для этапа «Разведка» (Reconnaissance) в матрице «Предприятия» (Enterprise).

Таблица 1

Техники, выделенные для этапа «Разведка» (Reconnaissance) в матрице «Предприятия» (Enterprise)

Техника Описание

Активное сканирование (Active Scanning) Активное разведывательное сканирование инфраструктуры жертвы, без прямого воздействия (анализ сетевого трафика)

Сбор информации о хостах жертвы (Gather Victim Host Information) Сбор сведений об устройствах (имя, IP-адрес, используемое программное обеспечение и др.)

Сбор информации о личности жертвы (Gather Victim Identity Information) Сбор личных данных, а также конфиденциальных данных о сотрудниках (имена, почтовые адреса, учетные данные сотрудников, страницы в социальных сетях и др.)

Сбор информации о сети жертвы (Gather Victim Network Information) Сбор данных о сетевом оборудовании и конфигурации сети организации (используемые диапазоны IP-адресов, доменные имена, структура сети и др.)

Сбор информации об организации жертвы (Gather Victim Org Information) Сбор данных о деятельности, структуре, сфере деятельности организации и др.

Фишинг с целью получения информации (Phishing for Information) Попытка заставить цель разгласить информацию, например, корпоративные учетные данные.

Поиск по закрытым источникам (Search Closed Sources) Сбор сведений о жертве из закрытых источников, таких как закрытые базы данных, данные технической разведки или данные из «темной» сети (dark web).

Поиск в открытых базах данных (Search Open Technical Databases) Поиск информации о жертве в свободно-распространяемых базах. Данные могут быть доступны в базах регистрации доменов и сертификатов, а также в открытых базах сетевого трафика.

Поиск по открытым вебсайтам/доменам (Search Open Websites/Domains) Анализ популярных сайтов, таких как торговые платформы и социальные сети, на которых может быть размещена информация о деловых операциях, контрактах и т.п.

Поиск веб-сайтов, принадлежащих жертве (Search Victim-Owned Websites) Анализ содержимого веб-ресурсов жертвы с целью получения сведений об организации. Так, например, на сайте организации могут содержаться данные о ключевых сотрудниках, их контакты, сведения о проводимых работах и др.

Каждая техника описывается следующими полями: название - представляет собой строку;

ГО (идентификатор) - представляет собой последовательность вида <Т####. ###>;

описание - сводная информация о технике;

подтехники (sub-techniques) - описание способов, которые могут использоваться при реализации данной техники;

тактики (tactics) - ссылка на тактики, в составе которых реализуется данная техника; платформы (platforms) - содержит перечисление видов операционных систем, для которых актуальная техника (текстовое описание);

требуемые привилегии (permissions required) - уровень прав доступа, требуемый для реализации техники (текстовое описание);

версия (version) - версия данной записи о технике (число);

дата создания (created) - дата создания данной записи о технике (дата);

дата последнего изменения (lastmodified) - дата последнего изменения данной записи о технике

(дата);

средства защиты (mitigations) - ссылки на средства защиты от данной техники; способы обнаружения (detection) - ссылки на способы обнаружения данной техники и текстовое описание;

ссылки (references) - перечень материалов в которых описывается реализация техники. В табл. 2 представлен пример описания техники.

Таблица 2

Пример описания техники в базе MITRE ATT&CK__

Поле (англ.) Поле (русс.) Значение Тип значения

ID Идентификатор T1548 Строка

Title Название Abuse Elevation Control Mechanism (Злоупотребление механизмом повышения прав пользователей) Строка

Sub-techniques Подтехники T1548.001, T1548.002, T1548.003, T1548.004 Ссылка

Tactics Тактики Privilege Escalation, Defense Evasion (Эскалация привелегий, Обход защиты) Массив строк

Platforms Платформы Linux, Windows, macOS Массив строк

Permissions Required Требуемые привилегии Administrator, User (Администратор, Пользователь) Массив строк

Version Версия 1.0 Число

Created Дата создания 30 January 2020 Дата

Last Modified Дата модификации 22 July 2020 Дата

Mitigations Меры по смягчению последствий M1047, M1038, M1028, M1026, M1022, M1052 Ссылка

Detection Способы обнаружения DS0017, DS0022, DS0009, DS0024 Ссылка

References Ссылки UACME Project. (2016, June 16). UACMe. Retrieved July 26, 2016. Ссылка

Для работы с базой ATT&CK компанией «OASIS» разработан стандарт описания угроз STIX [4]. Он предназначен для унификации обмена данными безопасности. Данные ATT&CK были представлены с использованием стандарта STIX в виде набора *.json файлов [9].

Каждый из объектов языка STIX имеет ряд обязательных параметров, необходимых для идентификации и контроля актуальности содержащихся в нем данных: id (идентификатор) - идентификатор объекта; тип (type) - тип объекта; дата создания (created) - дата создания объекта; дата изменения (modified) - дата обновления данных об объекте; имя (name) - название объекта; описание (description) - описание объекта; прочие параметры, характеризующие объекты каждого типа.

STIX описывает данные об угрозах в виде связанного графа, где взаимосвязь между объектами различного типа (узлами) организуется посредством объектов типа «отношения» (relationship). Всего существует 12 типов объектов STIX, перечень которых представлен в табл. 3.

В качестве примера, рассмотрим взаимосвязь объектов STIX, представленных в табл. 4. В представленном примере описывается взаимосвязь одного из шаблонов атак (Attack-pattern) с используемом в ходе его реализации вредоносным программным обеспечением (Malware). Связь между шаблоном атаки и вредоносным программным обеспечение осуществляется объектом «отношения» (relationship). Поля, используемые при связи, выделены жирным в табл. 4. Часть данных об объектах удалена из табл. 4 для удобства восприятия (заменены на «...»).

Помимо STIX, существует ряд других инструментов, предназначенных для работы с базой ATT&CK, среди них:

Cyber Analytics Repository (CAR) [10] - репозиторий кибераналитики, разработанный компанией MITRE на основе базы ATT&CK. Основной задачей CAR является агрегирование данных безопасно-

сти, к которым относятся: определение точки в которой необходимо проводить наблюдение, методы сбора данных, перечень отслеживаемых показателей, сопоставление полученных данных в соответствии с моделью злоумышленника ATT&CK. Итогом является разработка сенсора для сбора указанных ранее данных. Также, имеется функционал для визуализации аналитических данных посредством использования расширения CARET (Cyber Analytic Repository Exploration Tool), интерфейс которого представлен на рис. 1.

Таблица 3

Перечень типов объектов стандарта STIX_

Поле (англ.) Поле (русс.) Назначение

Attack pattern Шаблон атаки Содержит ТТП, используемые злоумышленником. Используется для классификации атаки получения дополнительной информации о способах её реализации/

Campaign Вредоносная последовательность Содержит описание поведенческих характеристик злоумышленника, выявление которых позволяет обнаружить вредоносное воздействие.

Course of action Способы противодействия Определяет перечень мер по смягчению и противодействию злоумышленнику.

Identity Личности Описывает как отдельных злоумышленников, так и популярные хакерские группировки.

Indicator Индикатор Содержит показатели, необходимые для идентификации наличия вредоносной активности.

Intrusion set Показатели вторжения Содержит данные, схожие с объектом Campaign. Главным отличием является определение показателей многоцелевой атаки разнесенной во времени.

Malware Вредоносное программное обеспечение (ВПО) Содержит описание ВПО, используемого для реализации атаки.

Observed data Наблюдаемые данные Содержит описание нормальных технических показателей.

Report Отчет Обобщенная сводка, характеризующая атакующее воздействие.

Threat actor Злоумышленник Описывает хакеров, хакерские группировки и организации.

Tool Инструмент Легитимное программное обеспечение, используемое для реализации атаки.

Vulnerability Уязвимость Описывает любые недостатки в программных, аппаратных, организационных и иных решениях, эксплуатация которых может привести к нарушению защищенности.

- CASCADE [11] — это исследовательская платформа, которая позволяет аналитикам отслеживать продвинутых злоумышленников. Обычно, в случае обнаружения подозрительной активности одной из важных задач аналитика безопасности является выявление связанных событий. CASCADE автоматизирует процесс идентификации взаимосвязанных событий и дает возможность аналитику сосредоточиться на принятии решений в области реагирования на инциденты. Функционал CASCADE позволяет выполнять аутентификацию пользователей, аналитику данных на основе Splunk/ElasticSearch и проводить различные исследования на основе корреляции событий в соответствии с ATT&CK.

CALDERA [12] — это автоматизированная система эмуляции действий злоумышленников. Основными задачами CALDERA является тестирование защищенности конечных узлов и оценка состояния защищенности. Посредством агент-серверной архитектуры, производится репликация действий злоумышленника в соответствии с выбранными плагинами. Пример эмуляции атак на Windows Server представлен на рис. 2.

- ATT&CK Workbench [13] - это инструмент визуализации и дополнения данных, хранящихся в базе ATT&CK. Помимо возможности визуального отображения матриц базы ATT&CK, решение реализует функцию расширения исходной базы собственными тактиками, техниками и другими объектами. Также созданные объекты могут быть интегрированы в стандарт STIX, посредством выгрузки данных в формате *.json.

Одним из способов применения MITRE ATT&CK является возможность создания новых языков описания угроз информационной безопасности. Так, например, в исследовании [14] представлен вариант нового языка описания угроз на основе языка Meta Attack. Он позволяет описывать системные активы, их взаимосвязь друг с другом, шаги атаки и средства защиты. Шаги атаки представлены посредством методов, описанных в MITRE ATT&CK. Предложенный язык также позволяет имитировать атаки

на модель системы. Подобные симуляции атаки используются для исследования параметров безопасности системы и последующего её совершенствования.

Таблица 4

Пример объектов STIX_

Объект Поля

Relationship "id": "relationship--00e25bca-7df1-464e-94a4-cc13124e1d0c", "type": "relationship", "source name": "Talos PoetRAT April 2020", "description": "[PoetRAT](https://attack.mitre.org/software/S0428) sent username, computer name, and the previously generated UUID in reply to a \"who\" command from C2.(Citation: Talos PoetRAT April 2020)", "relationship type": "uses", "source_ref": "malware--cc5497f7-a9e8-436f-94da-b2b4a9b9ad3c", "target_ref": "attack-pattern--03d7999c-1f4c-42cc-8373-e7690d318104",

Malware "type": "malware", "id": "malware--cc5497f7-a9e8-436f-94da-b2b4a9b9ad3c" "source name": "mitre-attack", "external_id": "S0428", "source name": "Dragos Threat Report 2020", "source name": "Talos PoetRAT April 2020", "source name": "Talos PoetRAT October 2020", "description": "[PoetRAT](https://attack.mitre.org/software/S0428) is a remote access trojan (RAT) that was first identified in April 2020. [PoetRAT] (https://attack.mitre.org/software/S0428) has been used in multiple campaigns against the private and public sectors in Azerbaijan, including ICS and SCADA systems in the energy sector. The STIBNITE activity group has been observed using the malware. [PoetRAT](https://attack.mitre.org/software/S0428) derived its name from references in the code to poet William Shakespeare. (Citation: Talos PoetRAT April 2020)(Citation: Talos PoetRAT October 2020)(Citation: Dragos Threat Report 2020)"...

Attack-pattern "id": "attack-pattem--03d7999c-1f4c-42cc-8373-e7690d318104", "source name": "mitre-attack", "external id": "T1033", "source name": "capec", "external_id": "CAPEC-577" "description": "Adversaries may attempt to identify the primary user, currently logged in user, set of users that commonly uses a system, or whether a user is actively using the system. They may do this, for example, by retrieving account usernames or by using [OS Credential Dumping] (https://attack.mitre.org/techniques/T1003). The information may be collected in a number of different ways using other Discovery techniques, because user and username details are prevalent throughout a system and include running process ownership, file/directory ownership, session information, and system logs. Adversaries may use the information from [System Owner/User Discovery] (https://attack.mitre.org/techniques/T1033) during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions. \n\nVarious utilities and commands may acquire this information, including <code>whoami</code>. In macOS and Linux, the currently logged in user can be identified with <code>w</code> and <code>who</code>. On macOS the <code>dscl. list /Users | grep -v ' '</code> command can also be used to enumerate user accounts. Environment variables, such as <code>%USERNAME%</code> and <code>$USER</code>, may also be used to access this information.", "kill chain_phases": "kill chain name": "mitre-attack", "phase name": "discovery" "x mitre is subtechnique": false, "x mitre data sources": "Process: Process Access", "Process: OS API Execution", "Windows Registry: Windows Registry Key Access", "Process: Process Creation", "Command: Command Execution", "File: File Access", "Network Traffic: Network Traffic Flow", "Network Traffic: Network Traffic Content", "Active Directory: Active Directory Object Access" "x mitre system requirements": [],

С fer я tin у Windows Leqt with WrrLulil г—.

Рис. 1. Визуализация репозитория кибераналитики CAR с помощью расширения CARET

© Operations RUNNING | 2021-99-06 00:37:55 6 DECISIONS

ШЯРМвв 1Л* ptim Irrt DWUKJÎWP ■-• t

Start a nvw op«*tlon or rcvtaw pi«ui дшпм.

В IftCloM ОиЦМХ

I о « в

CkwnliixJ Ml троп 2021-09-06 00:40:30 ^ 20? 1 09 00 00 ЛО 3021-09-04 00 40 28 •9t«#y*u*th.,. 9ypiti иф Mtdium

DfwiiM4 *wt IOQ* ■gtnlf (luilh UAt li|))ui tigliltf в

(Urtt 3021-09-00 OQ 40 36 (j 4«it»vknM.,. ÛLt mjKk *

I 3021-09-00 00:39:1®'-' «Qtnieyiiitih . MIAU*I Camirune *

I 0Û 37 MQ •ig«il i^iijvkh Ip'orm-illon h

Рис. 2. Эмуляция атакующих воздействий на Windows Server с использованием инструмента

CALDERA

Общее перечисление и классификация шаблонов атак CAPEC.

База данных CAPEC (Common Attack Pattem Enumerations and Classifications) была разработана в 2007 г. министерством внутренней безопасности США. Она представляет собой открытый каталог шаблонов кибератак. Рассмотрим структуру данных базы CAPEC. Ее сущности и связи между ними описываются схемой CAPEC [15]. В CAPEC выделяются следующие основные сущности: «представление» (view) определяет способ отображения шаблонов атак CAPEC (граф, внешний срез или внутренний срез); «категория» (category) представляет собой набор шаблонов атак, выделенный на основе общей характеристики; «шаблон атаки» (Attack_Pattern) представляет собой абстрактное описание того, как выполняется атака; «внешняя ссылка» (External_Reference) представляет собой указатель на расположение более детальной информации.

«Представление» позволяет организовать шаблоны атак, содержащиеся в базе, по механизмам и областям проведения атак, а также по связям с внешними факторами. Так, представление по механизмам атак включает следующие категории атак на верхнем уровне иерархии:

1. Вовлечение в мошеннические взаимодействия (engage in deceptive interactions).

2. Злоупотребление существующей функциональностью (abuse existing functionality).

3. Манипулирование структурами данных (manipulate data structures).

4. Манипулирование системными ресурсами (manipulate system resources).

5. Внедрение неожиданных пунктов (inject unexpected items).

6. Применение вероятностных методик (employ probabilistic techniques).

7. Манипулирование временем и состоянием (manipulate timing and state).

8. Сбор и анализ информации (collect and analyze information).

9. Разрушение контроля доступа (subvert access control).

Представление по областям атак включает следующие категории атак на верхнем уровне

иерархии:

1. Социальная инженерия (social engineering)/

2. Цепочка поставок (supply chain).

3. Средства связи (communications).

4. Программное обеспечение (software).

5. Физическая безопасность (physical security).

6. Аппаратное обеспечение (hardware).

Категории содержат такую информацию о шаблонах атак как описание, процесс реализации атаки, примеры, связи с элементами CWE, критичность и другие данные.

Представление по связям с внешними факторами позволяет объединить шаблоны атак на основе наличия связи с внешним источником данных, например, классификацией угроз консорциума по безопасности веб-приложений (Web Application Security Consortium) - WASC Threat Classification 2.0, базой ATT&CK или OWASP.

Основные сущности схемы CAPEC описываются с использованием следующей информации:

1. Идентификационная информация - содержит такие характеристики как "ID" (идентификатор представления/категории/шаблона атаки), "Reference_ID" (идентификатор внешней ссылки) и "Name" (имя представления/категории/шаблона атаки).

2. Описательная информация - описательная информация зависит от типа объекта. В случае представления она включает в себя ссылки (References). Если это категория, описательная информация включает резюме (Summary) и ссылки (References). В случае шаблона атаки включает альтернативные названия (Alternate_Terms), описание (Description), связанные слабые места (Related_Weaknesses), примеры (Examples-Instances), ссылки (References) и процесс исполнения (Execution_Flow).

3. Предписательная информация содержит поля, содержащие информацию о рекомендуемых действиях в отношении шаблона атаки, такие как способы снижения степени воздействия (Mitigations).

4. Обзорная и разграничивающая информация предназначена для определения актуальных в данном контексте шаблонов атаки. Эта информация состоит из полей, таких как типичная критичность (Typical_Severity), вероятность атаки (Likelihood_of_Attack), предусловия атаки (Prerequisites), необходимые навыки нарушителя (Skills_Required), требуемые ресурсы (Resources_Required), результаты атаки (Consequences), уровень абстракции шаблона (Abstraction) и отношения (Relationships).

Административная информация включает элемент представления/категории/шаблона атаки "история содержимого" (Content_History) и свойство "статус" (Status) на верхнем уровне. Свойство "статус" может принимать значения: "устарел" (Deprecated), "черновик" (Draft), "не завершен" (Incomplete), "вышел из употребления" (Obsolete), "стабильный" (Stable) и "употребимый" (Usable). Помимо этого, вспомогательные элементы CAPEC делятся на две группы: диагностическая информация (Diagnosing Information) и усиливающая информация (Enhancing Information).

1. В диагностической информации присутствуют поля, содержащие индикаторы атак - это инициаторы действий, событий, условий или поведение, которые могут указать на возможность, настоящее или предшествующее наличие атаки определенного типа.

2. Усиливающая информация содержит поля, которые предоставляют дополнительную информацию, усиливающую значение и контекст шаблона атаки. Эта дополнительная информация может включать важные ссылки на другие источники.

Табл. 5 содержит шаблон атаки "Leveraging Race Conditions" [16], который относится к категории "Time and State Attacks". Состояние гонки (race condition) - это ошибка проектирования, которая зависит от порядка выполнения кода, что может привести к ошибкам в работе системы или приложения. Шаблон имеет идентификатор "CAPEC-26" и является примером атаки с высоким уровнем критичности. Этот тип атаки направлен на создание состояния гонки злоумышленником для злоупотребления целевым хостом.

Таблица 5

Шаблон атаки «использование состояния гонки»

Идентификатор шаблона атаки CAPEC-26

Имя шаблона атаки Использование состояния гонки (Leveraging Race Conditions)

Статус (Status) Стабильная

Типичная критичность Высокая

Описание Атака направлена на состояние гонки, возникающее, когда несколько процессов получают доступ и оперируют с одним и тем же ресурсом одновременно, и результат исполнения зависит от порядка, в котором происходит доступ.

Идентификатор шаблона атаки CAPEC-26

Предусловия атаки Ресурс используется/изменяется одновременно несколькими процессами, так что существует состояние гонки.

Нарушитель имеет возможность изменить ресурс.

Окончание таблицы 1

Типичная вероятность применения Высокая

Уровень необходимых навыков нарушителя Средний: Способность «запустить гонку» требует базовых знаний параллельной обработки, включая методики синхронизации.

Процесс исполнения (Execution Flow) «Разведка» (Explore): Нарушитель исследует, какой уровень доступа у него есть.

«Эксперимент» (Experiment): Нарушитель получает доступ к ресурсу на целевом хосте. Нарушитель изменяет целевой ресурс. Значение ресурса используется, чтобы определить следующее действие нормального процесса исполнения.

«Действие» (Exploit): Ресурс изменяется/проверяется одновременно несколькими процессами. Используя один из процессов, нарушитель может изменить значение непосредственно перед тем, как оно будет использовано другим процессом. Возникает состояние гонки, которое нарушитель использует для злоупотребления целевым хостом.

Примеры Клиент Net Direct client для версий Linux ранее 6.0.5 в Nortel Application Switch 2424, VPN 3050 и 3070, и SSL VPN Module 1000 извлекает и запускает файлы с небезопасными привилегиями, что дает возможность локальным пользователям использовать состояние гонки, чтобы заменить файл в /tmp/NetClient, чтобы другой пользователь вызвал произвольный код при попытке запустить клиент, как показано заменой /tmp/NetClient/client. См. CVE-2007-1057. Код ниже иллюстрирует файл, к которому получают доступ по имени множество в открытом каталоге. Состояние гонки существует между доступами, когда нарушитель может заменить файл, на который ссылается имя (см. [REF-107]). include <sys/types.h> include <fcntl.h> include <unistd.h> define FILE "/tmp/myfile" define UID 100 void test(char *str) { int fd; fd = creat(FILE, 0644); if(fd == -1) return; chown(FILE, UID, -1); /* BAD */ close(fd); } int main(int argc, char **argv) { char *userstr; if(argc > 1) { userstr = argv[1]; test(userstr); } return 0; }

Способы минимизации воздействия Использовать безопасные библиотеки для доступа к ресурсам.

Осознавать, что неправильное использование таких вызовов функций как chown(), tempfile(), chmod() и т.п. может вызвать состояние гонки.

Использовать синхронизацию для управления процессом.

Использовать статический анализ, чтобы найти условия гонки.

Обращать внимание на проблемы одновременной обработки, связанные с доступом к ресурсам.

Результаты атаки Область действия (Scope): конфиденциальность, контроль доступа, авторизация; Ущерб (Impact): получение привилегий.

Область действия (Scope): целостность; Ущерб (Impact): изменение данных.

Идентификатор шаблона атаки CAPEC-26

Результаты атаки Область действия (Scope): конфиденциальность, контроль доступа, авторизация; Ущерб (Impact): получение привилегий.

Область действия (Scope): целостность; Ущерб (Impact): изменение данных.

Релевантные слабые места CWE-368 - контекстное переключение состояния гонки.

CWE-363 - разрешение перехода по ссылке на основе состояния гонки.

CWE-366 - состояние гонки внутри потока и др.

Отношения (Relationships) с участниками (Member) и связанными слабыми местами (Related Weaknesses) Участник (MemberOf) представления View-1000 (Механизмы атаки, Mechanisms of attack) и представления View-3000 (Области атаки, Domains of attack).

Предок (ParentOf): стандартного шаблона атаки CAPEC-29.

Ссылки [REF-1] G. Hoglund и G. McGraw. "Exploiting Software: How to Break Code". Addison-Wesley. February 2004.

[REF-107] Fortify Software. "SAMATE - Software Assurance Metrics And Tool Evaluation". Test Case ID 1598. National Institute of Standards and Technology (NIST). 2006-06-22. <http://samate.nist.gov/SRD/view_testcase.php?tID=1598>. И др.

История содержимого (Content History) Представление информации (Submissions): Дата представления (Submission Date): 2014-06-23; Представитель (Submitter): CAPEC Content Team; Организация (Organization): The MITRE Corporation.

Изменения (Modifications): Дата изменения (Modification Date): 2017-01-09; Внес изменения (Modifier): CAPEC Content Team, обновлены связанные шаблоны атаки, тип (отношение на шаблон атаки); Организация (Organization): The MITRE Corporation. Дата изменения (Modification Date): 2017-05-01; Внес изменения (Modifier): CAPEC Content Team, обновлены зона активации, фазы атаки, предусловия атаки, резюме, вектор инъекции, полезная нагрузка, влияние активации полезной нагрузки; Организация (Organization): The MITRE Corporation. Дата изменения (Modification Date): 2018-07-31; Внес изменения (Modifier): CAPEC Content Team, обновлены требуемые навыки атакующего, примеры, ссылки, способы минимизации воздействия; Организация (Organization): The MITRE Corporation. Дата изменения (Modification Date): 2020-07-30; Внес изменения (Modifier): CAPEC Content Team, обновлены описание, примеры, процесс исполнения, связанные слабые места; Организация (Organization): The MITRE Corporation.

Основными направлениями использования САРЕС являются: тестирование программного обеспечения; анализ и реагирование на инциденты информационной безопасности; моделирование угроз; разработка требований безопасности; оценка защищенности программного обеспечения; формирование отчетных данных; подготовка специалистов в области защиты информации. Примеры проектов, использующих базу САРЕС, представлены в [17].

В [15] САРЕС используется для моделирования возможных последовательностей атак в виде графа. Граф задается набором узлов, характеризующих текущее нахождение злоумышленника в системе,

а также множеством дуг, обозначающих наборы атакующих действий, необходимых для перехода между различными состояниями.

Сравнительный анализ баз данных MITRE ATT&CK и CAPEC.

В первую очередь следует учесть различия в направлениях использования баз MITRE ATT&CK и CAPEC. Обе базы имеют достаточно широкий спектр применения. Так, например, база CAPEC может использоваться не только для тестирования приложений, но и для тестирования на проникновение, анализа последствий компьютерных атак, формирования требований по защите информации, моделирования атак и в ряде других задач. В свою очередь, ATT&CK используется для задач, связанных с анализом реальной защищенности информационных систем различного назначения, и позволяет определить перечень техник, тактик и процедур, которые могут быть реализованы по отношению к ним.

Как следствие, база CAPEC может использоваться в рамках задач, связанных с моделированием сценариев компьютерных атак и при тестировании на проникновение, но не позволяет определить этап и особенности проводимой атаки, в то время как MITRE ATT&CK может использоваться для определения текущего этапа развития атаки, что позволяет прогнозировать дальнейшие действия злоумышленника, а также определить его личность, посредством соотнесения его действий с ТТП популярных хакерских объединений.

Важно отметить наличие связности данных между базами CAPEC и ATT&CK, а также CWE, CVE и CPE. Наличие подобной взаимосвязи позволяет сопоставить уязвимости конкретных версий программного обеспечения с ТТП, которые использует злоумышленник. Проведенный анализ показал низкую связность данных, что ограничивает применение баз CAPEC и ATT&CK в рамках задачи выявления и оценивания кибератак. Объем связанных данных на март 2023 года версия базы ATT&CK v13 представлен на рис. 3.

База ЛТТ&( К

(

Матрица "Enterprise" 193 техники 401 подтек кика

Матрица "Mobile" 66 техник подтек ника

Матрица "ICS" 79 техник

177 паттернов атак связаны с ТТП ATTACK

bii íii CVE

Более 420 ООО уязви мосте й

База С WE

933 общеизвестных уязвимости (типов уяэвимостей)

База САРЕС

559 паттернов атак

болев 25о ООО уяэвимостей связаны с коккратным типом уяэаиыос г е й в 'i' '> CWE

свыше 350 типов уязвимосткей имеют связь с базой паттернов атак

Рис. 3. Связность данных безопасности из открытых баз данных

Компанией MITRE на текущий момент активно проводятся работы по определению новых взаимосвязей между шаблонами атак базы CAPEC и ТТП MITRE ATT&CK, а также между объектами иных связанных с ними баз, что позволяет говорить о возможности использования данных баз в рамках задачи выявления последовательностей атакующих воздействий в будущем.

На сегодняшний день, база ATT&CK является одним из наиболее активно развивающихся проектов в области кибербезопасности и значительно превосходит базу CAPEC по гибкости взаимодействия благодаря использованию формата STIX, а также по количеству инструментов, позволяющих взаимодействовать с ней.

Заключение. Целью исследования баз CAPEC и ATT&CK и взаимосвязей между данными в них является выявление возможности их применения для моделирования кибератак. Анализ содержимого баз CAPEC и ATT&CK, их достоинств и недостатков, показал, что для полноценного решения задачи моделирования кибератак необходимо использовать данные базы совместно, привлекая также и другие открытые источники данных безопасности. В дальнейшей работе планируется рассмотреть возможность совместного применения различных открытых источников данных безопасности для решения поставленной задачи.

Список литературы

1. Национальная база данных уязвимостей. [Электронный ресурс] URL: https://nvd.nist.gov/vuln (дата обращения: 10.04.2023).

2. База общих уязвимостей и рисков CVE [Электронный ресурс] URL: https://cve.mitre.org (дата обращения: 10.04.2023).

3. Общее перечисление слабых мест CWE [Электронный ресурс] URL: https://cwe.mitre.org (дата обращения: 10.04.2023).

4. Общие перечисления и классификации шаблонов атак CAPEC [Электронный ресурс] URL: https://capec.mitre.org (дата обращения: 10.04.2023).

5. База техник, тактик и процедур, используемых злоумышленниками ATT&CK [Электронный ресурс] URL: https://attack.mitre.org (дата обращения: 10.04.2023).

6. Матрица Enterprise базы Mitre ATT&CK [Электронный ресурс] URL: https://attack.mitre.org/matrices/enterprise (дата обращения: 10.04.2023).

7. Матрица Mobile базы Mitre ATT&CK [Электронный ресурс] URL: https://attack.mitre.org/matrices/mobile (дата обращения: 10.04.2023).

8. Матрица ICS базы Mitre ATT&CK [Электронный ресурс] URL: https://attack.mitre.org/matrices/ics (дата обращения: 10.04.2023).

9. Структурированное выражение информации об угрозах с помощью языка сериализации и обмена данными о киберугрозах STIX. [Электронный ресурс] URL: https://oasis-open.github.io/cti documenta-tion/stix/intro.html (дата обращения: 10.04.2023).

10. Хранилище кибераналитики MITRE [Электронный ресурс] URL: https://car.mitre.org (дата обращения: 10.04.2023).

11. Платформа для создания аналитики CASCADE. [Электронный ресурс] URL: https://github .com/mitre/cascade-server (дата обращения: 10.04.2023).

12. Платформа автоматизированной эмуляции действий нарушителя. [Электронный ресурс] URL: https://caldera.mitre.org (дата обращения: 10.04.2023).

13. Средство создания, исследования и расширения базы знаний Mitre ATT&CK. [Электронный ресурс] URL: https://github.com/center-for-threat-informed-defense/attack-workbench-frontend (дата обращения: 10.04.2023).

14. Wenjun Xiong, Emeline Legrand, Oscar Aberg, Robert Lagerstrom Cyber security threat modeling based on the MITRE Enterprise ATT&CK Matrix // Software and Systems Modeling, 2022. Volume 21. P. 157-177.

15. Котенко И.В., Дойникова Е.В., Чечулин А.А. Общее перечисление и классификация шаблонов атак (CAPEC): описание и примеры применения // Защита информации. Инсайд, № 4, 2012. С.54-66.

16. Дойникова Е.В., Котенко И.В. Оценивание защищенности и выбор контрмер для управления кибербезопасностью: монография. М., 2021. 184 с.

17. Краткое изложение вариантов использования. [Электронный ресурс] URL: https://capec.mitre.org/about/use cases.html (дата обращения: 10.04.2023).

Веревкин Сергей Александрович, младший научный сотрудник научной лаборатории, vka@mil.ru, Россия, Санкт-Петербург, Военно-космическая академия им. А.Ф. Можайского, аспирант, Россия, Санкт-Петербург, Санкт-петербургский федеральный исследовательский центр Российской академии наук,

Федорченко Елена Владимировна, канд. техн. наук, старший научный сотрудник лаборатории проблем компьютерной безопасности, doynikova@comsec.spb.ru, Россия, Санкт-Петербург, Санкт-Петербургский Федеральный исследовательский центр Российской академии наук

COMPARATIVE ANALYSIS OF THE SECURITY DATABASES MITRE ATT&CK AND CAPEC

S.A. Verevkin, E.V. Fedorchenko

The article presents an analysis of the MITRE ATT&CK and CAPEC databases, as well as related MITRE security databases, in order to determine the possibility of their use in the framework of cyberattack modeling. The main features of the ATT&CK and CAPEC databases, the data contained in them, the main solutions providing interaction with them, as well as ways of their application are considered. In the course of the work, the shortcomings of the considered security data sources were identified, including their incompleteness, which make it difficult to determine the relationships between the versions of vulnerable software used, vulnerabilities, security weaknesses and techniques, tactics and procedures used by attackers. It is concluded that in order to fully solve the problem of modeling cyber attacks, it is necessary to use the considered databases together, also involving other open sources of security data.

Key words: information security, open databases, attacking influences, attack chain, attack pattern.

Sergei Alexandrovich Verevkin, junior researcher of the scientific laboratory, vka@mil.ru, Russia, St. Petersburg, A.F. Mozhaisky Military Space Academy, postgraduate, Russia, St. Petersburg, St. Petersburg Federal Research Center of the Russian Academy of Sciences,

Fedorchenko Elena Vladimirovna, Candidate of Technical Sciences, Senior Researcher at the Laboratory of Computer Security Problems, doynikova@comsec.spb.ru, Russia, St. Petersburg, St. Petersburg Federal Research Center of the Russian Academy of Sciences

УДК 004.896

DOI: 10.24412/2071-6168-2023-4-39-45

ПРОГНОЗИРОВАНИЕ ВЫРАБОТКИ ЭЛЕКТРОЭНЕРГИИ ВЕТРОЭЛЕКТРОСТАНЦИЕЙ С ПРИМЕНЕНИЕМ РЕКУРРЕНТНОЙ НЕЙРОННОЙ СЕТИ

А.Ю. Горшенин, Л.А. Денисова

В работе рассмотрены вопросы прогнозирования выработки электроэнергии ветроэлектро-станцией на основе рекуррентной нейронной сети (РНС). Предложена структура РНС, предназначенной для формирования краткосрочного прогноза выработки электроэнергии. Определены входные параметры РНС для прогнозирования на основе выявленных корреляционных зависимостей генерируемой мощности от метеоусловий. Основное внимание уделено уменьшению ошибки прогноза на низких и высоких уровнях мощности (при малых и высоких скоростях ветра).

Ключевые слова: ветроэлектростанция, прогнозирование выработки электроэнергии, рекуррентная нейронная сеть, машинное обучение, корреляционный анализ данных.

Введение. В последние годы ветроэнергетика является одним из важнейших источников возобновляемой энергии, и рассматривается как один из дополнительных источников электроэнергии для энергосистем стран и регионов [1, 2]. Согласно данным статистики [2] в 2022 г. общая мощность ветро-электростанций (ВЭС) оценивалась в 837 ГВт. Отметим, то интеграция ВЭС в электроэнергетические системы затруднена [3], так как энергию, получаемую от ветра, сложно прогнозировать. Даже краткосрочное прогнозирование скорости ветра представляет собой сложную задачу, в связи с тем, что изменение ветра в ближайший час зависит от многих быстро меняющихся факторов [4-7].

Для того чтобы планировать необходимый объем резерва электроэнергии и управлять сетевыми процессами с учетом прогнозных данных, системным операторам необходимо прогнозировать изменение мощности, вырабатываемой ВЭС. Знание объемов выработки, требуется для того, чтобы предусмотреть требуемый объем резервной мощности, что способствует повышению уровня интеграции ВЭС в энергосистему [8, 9]. Следует также отметить, что прогнозирование скорости ветра играет важную роль в распределении балансирующей мощности, но флуктуация ветра усложняет задачу прогнозирования [10].

Поэтому разработка методов и средств прогнозирования выработки электроэнергии ВЭС является актуальной задачей. В работе для прогнозирования выработки электроэнергии предлагается использовать рекуррентную нейронную сеть (РНС). Преимуществами РНС является ее возможность обрабатывать последовательные данные (в том числе обновляемые в реальном масштабе времени) и выполнять многоэтапное прогнозирование (используя на текущем этапе, результаты предыдущего этапа прогноза). Кроме того, что РНС позволяют моделировать нелинейные отношения, устойчивы к шуму и отсутствующим данным, а также характеризуются гибкостью, то есть возможностью решать различные задачи прогнозирования [4, 11]. Поэтому использование РНС в прогнозировании может обеспечить повышенную точность (по сравнению с традиционными методами), так как позволяет учитывать не только текущие входные данные для прогнозирования, но и дополнительную ретроспективную информацию.

Поставим задачу следующим образом. Требуется выполнить прогнозирование выработки электроэнергии ВЭС на краткосрочный период (на сутки вперед) с помощью РНС, используя в качестве исходных данных ретроспективную информацию о выработке электроэнергии и метеоусловиях.

При выполнении исследования рассмотрены две модели прогнозирования на основе РНС, имеющих одинаковую структуру, но отличающихся своими параметрами и функциями активации. В качестве критерия функционирования РНС рассматривалась ошибка прогноза выработки электроэнергии, причем основное внимание уделялось вопросам прогнозирования при низких и высоких скоростях ветра.

Сбор исходных данных для прогнозирования выработки электроэнергии. Вопросы прогнозирования рассмотрены на примере ВЭС General Electric, расположенной в штате Техас, США (данные взяты из открытых источников) [12]. Ветряная турбина General Electric имеет следующие характеристики: является одиночным ветряком, имеет высоту узла (крепления лопастей) 80 м, диаметр ротора 111 м, а также обладает номинальной мощностью 3600 кВт.

Для выполнения исследований использовались исходные данные за годовой период 2019 года [12]. Для выполнения расчетов, построения и визуализации результатов использовались следующие программные средства: платформа анализа данных RapidMiner [13], программа электронных таблиц Microsoft Excel и разработанное (одним из авторов) программное обеспечение на языке программирования Python [14].