Αναζήτηση επιθέσεων και εξομοίωση αντιπάλου με χρήση του MITRE ATT&CK Framework
Threat hunting and adversary emulation through MITRE ATT&CK Framework
Master Thesis
Συγγραφέας
Μαραγκός - Μπέλμπας, Ελπιδοφόρος
Maragkos - Belmpas, Elpidoforos
Ημερομηνία
2022-06Επιβλέπων
Γκρίτζαλης, ΣτέφανοςΠροβολή/ Άνοιγμα
Λέξεις κλειδιά
Blue team ; Red team ; Advanced persistent threats ; Threat intelligence ; Proactive defense ; Adversary emulation ; Attack coverage assessment ; Purple team ; Pyramid of Pain ; DetectionLab ; Atomic Red Team ; Caldera ; VECTR ; Threat detection engineeringΠερίληψη
Στην σύγχρονη εποχή οι επιτιθέμενοι προσπαθούν διαρκώς να παραβιάσουν εταιρείες και οργανισμούς με εξελιγμένες μεθόδους που είναι δύσκολες να εντοπιστούν. Από την άλλη πλευρά οι οργανισμοί προσπαθούν να ανταποκριθούν σε αυτές τις απειλές χρησιμοποιώντας reactive μεθόδους άμυνας που εστιάζουν στην αποτροπή και τον περιορισμό των περιστατικών που έχουν ήδη πραγματοποιηθεί, χρησιμοποιώντας τα πιο σύγχρονα και εξελιγμένα συστήματα ασφαλείας, όπως Next-Generation Firewalls, SIEMs, EDRs, IPSs κτλ.
Οι τεχνολογίες αυτές, σε συνδυασμό με άλλες μεθόδους reactive άμυνας, βοηθούν σε ένα βαθμό την προστασία ενάντια σε επιθέσεις, αλλά έχουν αποδειχθεί αναποτελεσματικές στην αντιμετώπιση εξελιγμένων επιτιθεμένων (Advanced Persistent Threat). Τα τελευταία χρόνια νέες τεχνικές, που περιλαμβάνουν proactive defense, όπως το Threat Hunting, έχουν προταθεί ως μία πιθανή λύση σε αυτό το πρόβλημα ώστε να δώσουν τη δυνατότητα στους οργανισμούς να εντοπίζουν έγκαιρα επιθέσεις οι οποίες έχουν περάσει απαρατήρητες τόσο από τα αυτοματοποιημένα συστήματα όσο και από το προσωπικό ασφαλείας τους. Ωστόσο, ακόμα και αυτές οι προσπάθειες από μόνες τους δεν είναι πάντα αρκετές για την αντιμετώπιση των συγχρόνων εξελιγμένων επιτιθεμένων όταν διεξάγουν μια στοχευμένη επίθεση ενάντια σε έναν οργανισμό.
Σε αυτή την εργασία παρουσιάζεται μια hybrid μεθοδολογία για proactive defense ως λύση σε αυτό το πρόβλημα η οποία βασίζεται στο MITRE ATT&CK Framework και συνδυάζει Threat Intelligence, Threat Hunting και Adversary Emulation με στόχο την βελτίωση της ικανότητας των Blue Team να αντιμετωπίζουν εξελιγμένους επιτιθέμενους. Μέσω της μεθοδολογίας αυτής οι οργανισμοί είναι σε θέση να υλοποιήσουν ένα αποτελεσματικό και συνεχές πρόγραμμα για το σχεδιασμό μηχανισμών εντοπισμού κακόβουλης δραστηριότητας οι οποίοι εστιάζουν σε συγκεκριμένα APT groups. Η μεθοδολογία δίνει τη δυνατότητα στις Blue Teams που δεν διαθέτουν την ικανότητα ή τους πόρους να διεξάγουν σύνθετα σενάρια Purple Teaming ή Adversary Emulation από μόνες τους, να παράγουν και να συλλέξουν τα δεδομένα που χρειάζονται ώστε να διαπιστώσουν ποιες ενέργειες ενός συγκεκριμένου επιτιθέμενου δεν μπορούν να εντοπίσουν αλλά και να αξιολογήσουν του μηχανισμούς ασφαλείας που έχουν ήδη υλοποιήσει.
Το τελικό επιδιωκόμενο αποτέλεσμα αυτής της προσέγγισης είναι η εδραίωση μιας συνεχούς διαδικασίας εντός του οργανισμού, που βασίζεται σε αυτή τη μεθοδολογία, υπό τη μορφή ενός προγράμματος Threat Detection Engineering που να έχει ως στόχο τον συνεχή έλεγχο, τη μέτρηση και τη βελτίωση της αποτελεσματικότητας της Blue Team να εντοπίζει και να αποτρέπει εξελιγμένους επιτιθέμενους σε αρχικό στάδιο.