Při pročítání různých zpráv o informační bezpečnosti, blogů a tweetů, často se setkávám se zkratkou „TTP“, která označuje nesčetné množství věcí (například testování, nástroje, procesy, programy atd.) souvisejících s informační bezpečností. Ačkoli je TTP běžně používanou zkratkou, často to není původní význam: TTP (Tactics, Techniques, and Procedures). V tomto příspěvku se budu zabývat svým výkladem TTP (na základě doktríny ministerstva obrany) a vysvětlím, proč se domnívám, že právě takto byste měli TTP používat!“
TTP podle Joint Publication 1-02
Taktika, techniky a postupy jsou specifické termíny, které vznikly v ministerstvu obrany a již mnoho let se používají k popisu vojenských operací. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms konkrétně definuje taktiku, techniky a postupy:
Taktika – nasazení a uspořádání sil ve vzájemném vztahu.
Techniky – nepředpisové způsoby nebo metody používané k plnění misí, funkcí nebo úkolů.
Procedury – Standardní, detailní kroky, které předepisují, jak provádět konkrétní úkoly.
Když už máme „oficiální“ definice, co vlastně znamenají? Rád o nich přemýšlím jako o hierarchii konkrétnosti, od nejširší (Taktika) po nejkonkrétnější (Postupy). Abych pomohl objasnit, co vlastně v praxi znamenají, projdu a podrobněji vysvětlím, co jednotlivé termíny vlastně znamenají. Navíc použiji metaforu „vlastnictví automobilu“, která mi pomůže popsat každý z těchto pojmů.
Taktika
Taktika jsou úvahy na vysoké úrovni s omezenými konkrétními informacemi, které diktují, jak by se věci měly dělat. Obvykle se používají pro účely plánování a/nebo sledování, nejsou zde žádné konkrétní pokyny nebo instrukce, pouze obecné pokyny užitečné pro úvahy na vysoké úrovni, aby bylo zajištěno, že vše potřebné bude dokončeno jako součást většího celku.
Použijeme-li analogii s vlastnictvím automobilu, existuje mnoho „Taktik“ spojených s vlastnictvím automobilu, jako je zajištění paliva, čištění a preventivní údržba. Každou z těchto činností lze považovat za „taktiku“ spojenou s vlastnictvím automobilu. Pro účely tohoto příkladu se zaměříme na „Preventivní údržbu“ jako na vybranou taktiku, do které se hlouběji ponoříme.
Techniky
Techniky tvoří šedou zónu mezi vysokoúrovňovým pohledem taktik a velmi konkrétními detaily Postupů (které probereme dále). Skládají se z činností, které mají být provedeny, ale bez konkrétních pokynů (tj. nepředpisových), jak danou činnost provést. To obvykle vede k určení úkolů, které je třeba splnit, ale bez mikromanagementu, jak daný úkol splnit.
Pokračujme v analogii s automobilem, pokud by zvolená Taktika zněla „preventivní údržba“, existovala by řada různých Technik, které by bylo možné použít pro splnění této taktiky, například výměna oleje, otáčení pneumatik, výměna brzd atd. Tyto techniky nastiňují obecné úkoly, které je třeba splnit, neposkytují však konkrétní pokyny, jak je provést. Jako techniku, která nás zajímá, zvolíme „výměnu oleje“ a budeme se zabývat postupy.
Postupy
Postupy jsou konkrétní podrobné instrukce a/nebo pokyny pro splnění úkolu. Postupy zahrnují všechny nezbytné kroky spojené s provedením určitého úkolu, ale bez jakýchkoli úvah na vysoké úrovni nebo podkladů pro to, proč se úkol provádí. Prioritou postupů je zajištění úplných podrobných instrukcí, aby úkol mohl správně provést každý, kdo je kvalifikován postupovat podle pokynů.
K doplnění naší analogie s automobilem by postupy pro provádění techniky „výměny oleje“ byly specifické pro udržovaný automobil. Zahrnovaly by veškeré informace o frekvenci výměny, typu oleje, typu filtru, umístění vypouštěcí zátky, potřebném nářadí atd. Postupy by měly být takové, aby kdokoli (no, téměř kdokoli) byl schopen popsaný úkol provést pomocí těchto pokynů.
Prezentace taktik, technik a postupů jako hierarchie může pomoci vizualizovat vztahy mezi nimi. K dosažení požadovaných Taktik bude nutné použít jednu nebo více Technik. K dokončení požadovaných Technik bude třeba použít jeden nebo více Postupů, které je třeba dodržet. To, co odlišuje „pokročilé“ aktéry hrozeb od ostatních, je jejich schopnost zavádět nové Techniky nebo sofistikované Postupy, které nemohou být snadno replikovány ostatními, ačkoli jejich Taktiky jsou do značné míry stejné jako u ostatních.
Jak to souvisí s „kybernetikou“?
Přestože se TTP používá k popisu konvenční války, může být velmi užitečný i při popisu kybernetické bezpečnosti. Naštěstí je matice MITRE ATT&CK již sestavena způsobem, který tuto strukturu využívá a poskytuje vynikající jednotný zdroj pro TTP založené na bezpečnosti.
Záhlaví sloupců představují různé taktiky vysoké úrovně (zvýrazněné červeně), které útočník využívá v rámci cyklu kybernetického útoku. Jednotlivé položky v matici pod Taktikami představují Techniky (zvýrazněné zeleně). Jak jsme již dříve uvedli, pro každou Taktiku je uvedeno mnoho Technik. Když na některou Techniku kliknete, dostanete se na stránku s dalšími podrobnostmi o dané Technice, včetně příkladů jejího skutečného použití škodlivými aktéry. Tyto příklady představují použité Postupy a poskytují podrobnou analýzu přesných akcí a použitých prostředků. Postupy lze také zobrazit jako konkrétní hashe nebo přesné nástroje a příkazové řádky použité pro konkrétní škodlivou činnost. MITRE ATT&CK poskytuje snadno dostupné členění TTP týkající se počítačové bezpečnosti.
Pokud například útočník potřebuje získat přístup k počítačům nebo prostředkům v síti, které nejsou na jeho výchozím opěrném bodě, musí uplatnit taktiku bočního pohybu. Jednou z oblíbených Technik je použití vestavěných správcovských sdílení systému Windows, C$ a ADMIN$, jako adresáře pro zápis na vzdáleném počítači. Postupem pro implementaci této techniky může být použití nástroje SysInternals PsExec, který vytvoří binární soubor pro spuštění příkazu, zkopíruje jej do sdílené složky správce systému Windows a spustí službu z této sdílené složky. Zablokování nástroje SysInternals PsExec zcela neodstraní riziko techniky Windows Admin Shares; útočník může jednoduše použít jinou Proceduru, například net use nebo rutinu PowerShell Invoke-PsExec. Pochopení specifičnosti útoku a obranných protiopatření je při vyhodnocování účinnosti bezpečnostních kontrol klíčové.
Proč na tom záleží?
Kromě snahy objasnit použití „TTP“, proč má nějaký význam tento starý vojenský žargon v moderním světě řízeném počítači? Faktem je, že tento přístup k pochopení škodlivé činnosti z vás udělá lepšího útočníka nebo obránce. Schopnost rozložit komplikované útoky na TTP pomůže mnohem snáze pochopit jejich detekci nebo replikaci.
Pochopení různých taktik zapojených do informační bezpečnosti vám pomůže naplánovat případné nedostatky ve vašich osobních zkušenostech z firemního prostředí a může zaměřit úsilí tam, kde vám v současné době mohou chybět znalosti/pokrytí. Například mentalita „Assume Breach“ (Předpokládejme narušení) je poznáním, že efektivní kybernetická bezpečnost musí rozpoznat další Taktiky používané útočníky, místo aby se zcela soustředila na prevenci prvotního narušení. Tato perspektiva na vysoké úrovni pomůže zabránit přehlédnutí v některé části bezpečnostního programu.
Neobyčejně důležité je také pochopení rozdílu mezi Technikami a Postupy. Mnoho nástrojů pro zabezpečení sítě a zpravodajských kanálů o hrozbách se zaměřuje na konkrétní Postupy používané aktérem (jako jsou hashe nástrojů, názvy souborů a domény/IP C2) spíše než na zastřešující používanou Techniku. Občas se stává, že bezpečnostní komunita něco označí za novou techniku, i když by se to spíše mělo nazývat novým postupem pro stávající techniku. Znalost základní techniky a schopnost přizpůsobit si konkrétní postupy z vás udělá lepšího operátora bez ohledu na to, jakou roli zastáváte.
Jak praví staré přísloví: „Dej člověku rybu a nakrmíš ho na celý den. Naučte člověka rybařit, a nakrmíte ho na celý život.“ Když uvažujeme o síťové obraně, dát rybu je jako zaměřit se na křehké indikátory z postupů útočníka (jako jsou hashe a konkrétní IP). Může dočasně uspokojit vaše potřeby, ale jeho účinnost bude krátkodobá. Učit rybu znamená zaměřit se na používanou Techniku, pochopit technologii a chování související s útokem a vytvořit odolná protiopatření, která budou fungovat, i když se útočník přizpůsobí nebo vytvoří nové Postupy.
Doufejme, že tento příspěvek byl užitečný při objasnění rozdílu mezi Taktikou, Technikou a Postupy a také při zdůraznění přínosu pochopení jednotlivých termínů.