Beim Lesen verschiedener Informationssicherheitsberichte, Blogs und Tweets lese, sehe ich oft das Akronym „TTP“, das zur Beschreibung einer Vielzahl von Dingen (wie Tests, Tools, Prozesse, Programme usw.) im Zusammenhang mit der Informationssicherheit verwendet wird. Obwohl TTP ein häufig verwendetes Akronym ist, entspricht es oft nicht der ursprünglichen Bedeutung: Taktiken, Techniken und Verfahren. In diesem Beitrag werde ich meine Interpretation von TTPs (basierend auf der Doktrin des Verteidigungsministeriums) diskutieren und erklären, warum ich glaube, dass dies die Art und Weise ist, wie Sie TTP verwenden sollten!
TTP gemäß Joint Publication 1-02
Tactics, Techniques, and Procedures sind spezifische Begriffe, die ihren Ursprung im Verteidigungsministerium haben und seit vielen Jahren zur Beschreibung militärischer Operationen verwendet werden. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms (Wörterbuch des Verteidigungsministeriums für militärische und zugehörige Begriffe) definiert Taktik, Techniken und Verfahren wie folgt:
Taktik – Der Einsatz und die geordnete Anordnung von Kräften im Verhältnis zueinander.
Techniken – Nicht präskriptive Wege oder Methoden, die zur Durchführung von Missionen, Funktionen oder Aufgaben verwendet werden.
Verfahren – Standardmäßige, detaillierte Schritte, die vorschreiben, wie bestimmte Aufgaben auszuführen sind.
Nun, da wir die „offiziellen“ Definitionen haben, was bedeuten sie eigentlich? Ich stelle sie mir gerne als eine Hierarchie der Spezifität vor, die von der weitesten (Taktik) bis zur spezifischsten (Verfahren) reicht. Um zu verdeutlichen, was diese Begriffe in der Praxis bedeuten, werde ich sie im Einzelnen durchgehen und erklären, was sie tatsächlich bedeuten. Außerdem werde ich die Metapher des „Autobesitzes“ verwenden, um jeden dieser Begriffe zu beschreiben.
Taktik
Taktik sind Überlegungen auf hoher Ebene mit begrenzten spezifischen Informationen, die vorschreiben, wie etwas getan werden sollte. Normalerweise werden sie für Planungs- und/oder Verfolgungszwecke verwendet, es gibt keine spezifischen Anweisungen oder Instruktionen, sondern nur allgemeine Anleitungen, die für übergeordnete Überlegungen nützlich sind, um sicherzustellen, dass alles Notwendige als Teil eines größeren Ganzen erledigt wird.
Um die Analogie des Autobesitzes zu verwenden, gibt es viele „Taktiken“, die mit dem Besitz eines Autos verbunden sind, wie z.B. die Bereitstellung von Kraftstoff, die Reinigung und die vorbeugende Wartung. Jede dieser Tätigkeiten könnte als eine „Taktik“ betrachtet werden, die mit dem Besitz eines Autos verbunden ist. Für dieses Beispiel konzentrieren wir uns auf die „Vorbeugende Wartung“ als die gewählte Taktik, in die wir tief eintauchen werden.
Techniken
Techniken bilden die Grauzone zwischen der übergeordneten Perspektive der Taktik und den sehr spezifischen Details der Verfahren (die wir als nächstes besprechen). Sie bestehen aus den Aktionen, die durchgeführt werden sollen, aber ohne spezifische Anweisungen (d.h. ohne Vorschrift), wie diese Aktion durchzuführen ist. Dies führt in der Regel dazu, dass Aufgaben identifiziert werden, die ausgeführt werden müssen, ohne dass jedoch genau vorgeschrieben wird, wie die Aufgabe auszuführen ist.
Um den Vergleich mit dem Auto fortzusetzen: Wenn die gewählte Taktik „Vorbeugende Wartung“ lautet, gibt es zahlreiche verschiedene Techniken, die zur Umsetzung dieser Taktik eingesetzt werden können, wie z. B. Ölwechsel, Reifenwechsel, Bremsenwechsel usw. Diese Techniken umreißen die allgemeinen Aufgaben, die erledigt werden müssen, enthalten jedoch keine spezifischen Anweisungen, wie sie auszuführen sind. Wir wählen den „Ölwechsel“ als die Technik, die uns interessiert, und besprechen anhand dessen die Verfahren.
Verfahren
Verfahren sind spezifische, detaillierte Anweisungen und/oder Anleitungen zur Ausführung einer Aufgabe. Prozeduren beinhalten alle notwendigen Schritte, die zur Durchführung einer bestimmten Aufgabe notwendig sind, jedoch ohne die übergeordneten Überlegungen oder Hintergründe, warum die Aufgabe durchgeführt wird. Die Priorität bei Verfahren liegt in der Sicherstellung vollständiger, detaillierter Anweisungen, so dass eine Aufgabe von jedem, der qualifiziert ist, die Anweisungen zu befolgen, korrekt ausgeführt werden kann.
Um unsere Autoanalogie zu vervollständigen, würden die Verfahren zur Umsetzung der Technik „Ölwechsel“ spezifisch für das zu wartende Auto sein. Dazu gehören alle Informationen über die Häufigkeit des Ölwechsels, die Art des Öls, die Art des Filters, die Lage der Ablassschraube, die benötigten Werkzeuge usw. Die Verfahren sollten so beschaffen sein, dass jeder (na ja, fast jeder) in der Lage ist, die beschriebene Aufgabe anhand dieser Anweisungen auszuführen.
Die Darstellung von Taktiken, Techniken und Verfahren als Hierarchie kann helfen, die Beziehungen zwischen ihnen zu veranschaulichen. Um die gewünschte Taktik zu erreichen, müssen eine oder mehrere Techniken angewendet werden. Um die gewünschten Techniken auszuführen, müssen eine oder mehrere Prozeduren befolgt werden. Was „fortgeschrittene“ Bedrohungsakteure von anderen unterscheidet, ist ihre Fähigkeit, neue Techniken oder ausgeklügelte Verfahren zu implementieren, die von anderen nicht so leicht nachgeahmt werden können, obwohl ihre Taktik weitgehend dieselbe ist.
Wie bezieht sich dies auf „Cyber“?
Während TTP zur Beschreibung der konventionellen Kriegsführung verwendet wurde, kann es auch bei der Beschreibung der Cybersicherheit sehr nützlich sein. Glücklicherweise ist die MITRE ATT&CK-Matrix bereits so aufgebaut, dass sie diese Struktur nutzt und eine hervorragende Einzelquelle für sicherheitsbasierte TTPs darstellt.
Die Spaltenüberschriften stellen die verschiedenen hochrangigen Taktiken (rot hervorgehoben) dar, die ein Angreifer im Rahmen des Cyber-Angriffszyklus einsetzt. Die einzelnen Einträge in der Matrix unter den Taktiken stellen die Techniken dar (grün unterlegt). Wie bereits erwähnt, werden für jede Taktik zahlreiche Techniken aufgeführt. Wenn Sie auf eine beliebige Technik klicken, gelangen Sie zu einer Seite mit zusätzlichen Details zu dieser Technik, einschließlich Beispielen für die tatsächliche Anwendung durch böswillige Akteure. Diese Beispiele stellen die verwendeten Verfahren dar und bieten eine detaillierte Analyse der genauen Aktionen und verwendeten Ressourcen. Die Verfahren können auch als die spezifischen Hashes oder die genauen Tools und Befehlszeilen betrachtet werden, die für bestimmte bösartige Aktivitäten verwendet werden. MITRE ATT&CK bietet eine leicht zugängliche TTP-Aufschlüsselung in Bezug auf die Computersicherheit.
Wenn ein Angreifer beispielsweise auf Computer oder Ressourcen im Netzwerk zugreifen muss, die sich nicht an seinem ursprünglichen Standort befinden, muss er die Taktik des Lateral Movement anwenden. Eine beliebte Technik besteht darin, die in Windows integrierten administrativen Freigaben C$ und ADMIN$ als beschreibbares Verzeichnis auf dem entfernten Computer zu verwenden. Ein Verfahren zur Umsetzung dieser Technik könnte die Verwendung des SysInternals PsExec-Tools sein, das eine Binärdatei zur Ausführung eines Befehls erstellt, sie in eine Windows-Admin-Freigabe kopiert und einen Dienst von dieser Freigabe aus startet. Durch das Blockieren des SysInternals PsExec-Tools wird das Risiko der Windows Admin Shares-Technik nicht vollständig beseitigt; ein Angreifer kann einfach ein anderes Verfahren verwenden, wie z. B. net use oder das PowerShell-Cmdlet Invoke-PsExec. Das Verständnis der Spezifität von Angriffen und defensiven Gegenmaßnahmen ist entscheidend für die Bewertung der Wirksamkeit von Sicherheitskontrollen.
Warum ist das wichtig?
Abgesehen von dem Versuch, die Verwendung von „TTP“ zu klären, warum ist dieser alte Militärjargon in einer modernen computergesteuerten Welt wichtig? Tatsache ist, dass dieser Ansatz zum Verständnis bösartiger Aktivitäten Sie zu einem besseren Angreifer oder Verteidiger macht. Wenn Sie in der Lage sind, komplizierte Angriffe in TTPs aufzuschlüsseln, wird die Aufdeckung oder Replikation der Angriffe viel einfacher zu verstehen sein.
Ein Verständnis der verschiedenen Taktiken, die bei der Informationssicherheit eine Rolle spielen, wird Ihnen helfen, alle Bereiche zu planen, in denen Sie in Ihrer persönlichen Erfahrung mit der Unternehmensumgebung Defizite haben, und Sie können Ihre Bemühungen auf Bereiche konzentrieren, in denen es Ihnen möglicherweise an Wissen/Abdeckung fehlt. Die „Assume Breach“-Mentalität ist beispielsweise eine Anerkennung der Tatsache, dass effektive Cybersicherheit die anderen von Angreifern verwendeten Taktiken erkennen muss, anstatt sich ausschließlich auf die Verhinderung der ersten Kompromittierung zu konzentrieren. Diese übergeordnete Sichtweise hilft dabei, ein Versäumnis in einem Teil des Sicherheitsprogramms zu vermeiden.
Das Verständnis des Unterschieds zwischen Techniken und Verfahren ist ebenfalls von großer Bedeutung. Viele Netzwerksicherheits-Tools und Bedrohungsdaten konzentrieren sich auf die spezifischen Verfahren, die von einem Akteur verwendet werden (z. B. Tool-Hashes, Dateinamen und C2-Domänen/IPs), und nicht auf die übergreifende Technik, die verwendet wird. Gelegentlich bezeichnet die Sicherheitsgemeinschaft etwas als neue Technik, obwohl es eigentlich eine neue Prozedur für eine bestehende Technik sein sollte. Die Kenntnis der zugrundeliegenden Technik und die Fähigkeit, spezifische Verfahren anzupassen, machen Sie zu einem besseren Operator, unabhängig davon, welche Rolle Sie ausfüllen.
Wie das alte Sprichwort sagt: „Gib einem Mann einen Fisch, und du ernährst ihn für einen Tag. Bring einem Menschen das Fischen bei, und du ernährst ihn ein Leben lang.“ Wenn man über Netzwerkverteidigung nachdenkt, ist ein Fisch so, als würde man sich auf brüchige Indikatoren von Angreiferverfahren (wie Hashes und bestimmte IPs) konzentrieren. Das mag Ihre Bedürfnisse vorübergehend befriedigen, aber die Wirksamkeit ist nur von kurzer Dauer. Das Fischen zu lehren bedeutet, sich auf die verwendete Technik zu konzentrieren, die Technologie und das Verhalten im Zusammenhang mit einem Angriff zu verstehen und belastbare Gegenmaßnahmen zu entwickeln, die auch dann noch funktionieren, wenn der Angreifer seine Verfahren anpasst oder neue Verfahren entwickelt.
Hoffentlich war dieser Beitrag hilfreich, um den Unterschied zwischen Taktiken, Techniken und Verfahren zu verdeutlichen und den Nutzen des Verständnisses jedes Begriffs hervorzuheben.