Når man læser diverse rapporter om informationssikkerhed igennem, blogs og tweets, ser jeg ofte akronymet “TTP” bruges til at beskrive et utal af ting (såsom test, værktøjer, processer, programmer osv.) i forbindelse med informationssikkerhed. ). Selv om TTP er et almindeligt anvendt akronym, er det ofte ikke den oprindelige betydning: Taktik, teknikker og procedurer. I dette indlæg vil jeg diskutere min fortolkning af TTP (baseret på forsvarsministeriets doktrin) og forklare, hvorfor jeg mener, at det er den måde, du bør bruge TTP på!
TTP ifølge Joint Publication 1-02
Tactics, Techniques, and Procedures er specifikke udtryk, der stammer fra forsvarsministeriet og har været brugt i mange år til at beskrive militære operationer. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, definerer specifikt taktikker, teknikker og procedurer:
Taktik – Anvendelse og ordnet opstilling af styrker i forhold til hinanden.
Teknikker – Ikke-foreskrivende måder eller metoder, der anvendes til at udføre missioner, funktioner eller opgaver.
Procedurer – Standardiserede, detaljerede trin, der foreskriver, hvordan specifikke opgaver skal udføres.
Nu hvor vi har de “officielle” definitioner, hvad betyder de så egentlig? Jeg kan godt lide at tænke på dem som et hierarki af specificitet, der går fra det mest brede (Taktik) til det mest specifikke (Procedurer). For at hjælpe med at afklare, hvad de rent faktisk betyder i praksis, vil jeg gennemgå og forklare mere detaljeret, hvad hvert enkelt begreb faktisk betyder. Desuden vil jeg bruge metaforen “ejerskab af en bil” til at hjælpe med at beskrive hvert af disse udtryk.
Taktik
Taktik er overvejelser på højt niveau med begrænsede specifikke oplysninger, der dikterer, hvordan tingene skal gøres. Normalt anvendes de til planlægnings- og/eller sporingsformål, og der er ingen specifikke anvisninger eller instruktioner, men blot generelle retningslinjer, der er nyttige for overvejelser på højt niveau for at sikre, at alt det nødvendige bliver gennemført som en del af en større helhed.
For at bruge analogien med ejerskab af en bil er der mange “taktikker” involveret i at eje en bil, f.eks. at sørge for brændstof, rengøring og forebyggende vedligeholdelse. Hver af disse kunne ses som en “taktik”, der er involveret i at eje en bil. I dette eksempel vil vi fokusere på “forebyggende vedligeholdelse” som den valgte taktik, som vi vil dykke ned i.
Teknikker
Teknikker udgør gråzonen mellem taktikernes perspektiv på højt niveau og de meget specifikke detaljer i Procedurer (som vi diskuterer næste gang). De består af de handlinger, der forventes at blive udført, men uden specifikke anvisninger (dvs. ikke-preskrivende) for, hvordan handlingen skal udføres. Dette resulterer typisk i, at man identificerer opgaver, der skal udføres, men uden at mikroregistrere, hvordan opgaven skal udføres.
For at fortsætte bilanalogien, hvis den valgte taktik er “forebyggende vedligeholdelse”, ville der være mange forskellige Teknikker, der kunne anvendes til at udføre denne taktik, f.eks. olieskift, udskiftning af dæk, udskiftning af bremser osv. Disse teknikker skitserer de generelle opgaver, der skal udføres, men giver ikke specifikke instruktioner for, hvordan de skal udføres. Vi vil vælge “olieskift” som den teknik, vi er interesseret i, og vi vil bruge den til at diskutere procedurer.
Procedurer
Procedurer er specifikke detaljerede instruktioner og/eller anvisninger for udførelse af en opgave. Procedurer omfatter alle de nødvendige trin, der er nødvendige for at udføre en bestemt opgave, men uden nogen af de overordnede overvejelser eller baggrunden for, hvorfor opgaven udføres. Prioriteten for procedurer er at sikre fuldstændige detaljerede instruktioner, så en opgave kan udføres korrekt af enhver, der er kvalificeret til at følge anvisningerne.
For at fuldende vores bilanalogi vil procedurerne for gennemførelse af “olieskifteteknikken” være specifikke for den bil, der vedligeholdes. Dette ville omfatte alle oplysninger om hyppighed af skift, olietype, filtertype, placering af aftapningsproppen, nødvendigt værktøj osv. Procedurerne bør være af en sådan art, at enhver (ja, næsten enhver) ville være i stand til at udføre den beskrevne opgave ved hjælp af disse anvisninger.
Den kan hjælpe med at visualisere relationerne mellem dem ved at præsentere taktikker, teknikker og procedurer som et hierarki. For at opnå den ønskede Taktik vil det være nødvendigt at bruge en eller flere Teknikker. For at fuldføre de ønskede Teknikker vil der være behov for at følge en eller flere Procedurer. Det, der adskiller “avancerede” trusselsaktører fra andre, er deres evne til at implementere nye Teknikker eller sofistikerede Procedurer, som ikke let kan kopieres af andre, selv om deres Taktik stort set er den samme som andres.
Hvordan hænger dette sammen med “cyber”?
Som TTP er blevet brugt til at beskrive konventionel krigsførelse, kan det også være meget nyttigt til at beskrive cybersikkerhed. Heldigvis er MITRE ATT&CK Matrix allerede udformet på en måde, der udnytter denne struktur og udgør en fremragende enkelt kilde til sikkerhedsbaserede TTP’er.
Spalteoverskrifterne repræsenterer de forskellige taktikker på højt niveau (fremhævet med rødt), som en angriber anvender som en del af cyberangrebscyklussen. De enkelte poster i matrixen under taktikkerne repræsenterer teknikkerne (fremhævet med grønt). Som vi tidligere har drøftet, er der for hver taktik opført adskillige teknikker for hver taktik. Når du klikker på en teknik, kommer du til en side med yderligere oplysninger om teknikken, herunder eksempler på ondsindede aktørers reelle brug af den. Disse eksempler repræsenterer de anvendte procedurer og giver en detaljeret analyse af de nøjagtige handlinger, der er foretaget, og de ressourcer, der er anvendt. Procedurer kan også ses som de specifikke hashes eller nøjagtige værktøjer og kommandolinjer, der anvendes til specifikke ondsindede aktiviteter. MITRE ATT&CK giver en lettilgængelig TTP-opdeling vedrørende computersikkerhed.
For eksempel, når en angriber har brug for at få adgang til computere eller ressourcer på netværket, der ikke er på deres oprindelige fodfæste, skal de implementere taktikken Lateral Movement (lateral bevægelse). En populær teknik er at bruge de indbyggede Windows administrative shares, C$ og ADMIN$, som en skrivbar mappe på den fjerncomputer. En procedure til at implementere denne teknik kunne være at bruge SysInternals PsExec-værktøjet, som opretter en binær fil til at udføre en kommando, kopierer den til en Windows Admin Share og starter en tjeneste fra denne share. Blokering af SysInternals PsExec-værktøjet fjerner ikke helt risikoen ved Windows Admin Shares-teknikken; en angriber kan simpelthen bruge en anden procedure, f.eks. net use eller PowerShell-cmdletten Invoke-PsExec. Forståelse af angrebets specificitet og defensive modforanstaltninger er afgørende, når man evaluerer effektiviteten af sikkerhedskontroller.
Hvorfor er det vigtigt?
Afhængig af at forsøge at tydeliggøre brugen af “TTP”, hvorfor er noget af dette gamle militærjargon vigtigt i en moderne computerstyret verden? Faktum er, at denne tilgang til forståelse af skadelig aktivitet vil gøre dig til en bedre angriber eller forsvarer. Hvis du er i stand til at opdele komplicerede angreb i TTP’er, vil det være meget lettere at forstå detektion eller replikation af angrebene.
En forståelse af de forskellige taktikker, der er involveret i informationssikkerhed, vil hjælpe med at planlægge eventuelle områder med mangler i din personlige erfaring med virksomhedsmiljøet og kan fokusere indsatsen på de områder, hvor du måske i øjeblikket mangler viden/dækning. For eksempel er “Assume Breach”-mentaliteten en erkendelse af, at effektiv cybersikkerhed skal anerkende de andre Taktikker, der anvendes af angribere, i stedet for udelukkende at fokusere på at forhindre den første kompromittering. Dette perspektiv på højt niveau vil være med til at forhindre en forglemmelse i en eller anden del af sikkerhedsprogrammet.
Det er også utroligt vigtigt at forstå forskellen mellem Teknikker og Procedurer. Mange netværkssikkerhedsværktøjer og trusselsoplysninger fokuserer på de specifikke Procedurer, der anvendes af en aktør (f.eks. værktøjshashes, filnavne og C2-domæner/IP’er), snarere end den overordnede Teknik i brug. Det sker af og til, at sikkerhedskredse betegner noget som en ny teknik, selv om det snarere burde kaldes en ny procedure for en eksisterende teknik. Kendskab til den underliggende teknik og evnen til at tilpasse specifikke procedurer vil gøre dig til en bedre operatør, uanset hvilken rolle du udfylder.
Som det gamle ordsprog siger: “Giv en mand en fisk, og du giver ham mad for en dag. Lær en mand at fiske, og du giver ham mad for hele livet.” Når man overvejer netværksforsvar, er det at give en fisk lig med at fokusere på skrøbelige indikatorer fra angriberprocedurer (som hashes og specifikke IP’er). Det kan opfylde dine behov midlertidigt, men dets effektivitet vil være kortvarigt. At lære at fiske er at fokusere på den anvendte Teknik, forstå teknologien og adfærden i forbindelse med et angreb og skabe modstandsdygtige modforanstaltninger, der vil fungere, selv når angriberen tilpasser sig eller skaber nye Procedurer.
Håbenligt var dette indlæg nyttigt for at tydeliggøre forskellen mellem Taktik, Teknikker og Procedurer samt at fremhæve fordelen ved at forstå hvert enkelt begreb.