Lukiessani läpi erilaisia tietoturva- ja tietoturva-aiheisia raportteja, blogeja ja twiittejä, näen usein, että lyhennettä ”TTP” käytetään kuvaamaan lukemattomia tietoturvaan liittyviä asioita (kuten testaus, työkalut, prosessit, ohjelmat jne.). Vaikka TTP on yleisesti käytetty lyhenne, se ei useinkaan ole sen alkuperäinen merkitys: Taktiikat, tekniikat ja menettelyt. Tässä kirjoituksessa käsittelen omaa tulkintaani TTP:stä (joka perustuu puolustusministeriön doktriiniin) ja selitän, miksi mielestäni sinun pitäisi käyttää TTP:tä juuri näin!
TTP Joint Publication 1-02
mukaan Tactics, Techniques, and Procedures (taktiikat, tekniikat ja menettelyt) ovat erityisiä termejä, jotka ovat peräisin puolustusministeriöstä ja joita on käytetty jo vuosia sotilasoperaatioiden kuvaamiseen. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms (Puolustusministeriön sotilaallisten ja liitännäistermien sanakirja), määrittelee nimenomaan taktiikan, tekniikan ja menettelytavat:
Taktiikka – Voimien käyttö ja järjestetty järjestely suhteessa toisiinsa.
Tekniikat – Ei-määrääviä tapoja tai menetelmiä, joita käytetään operaatioiden, toimintojen tai tehtävien suorittamiseen.
Proseduurit – Vakiomuotoiset, yksityiskohtaiset vaiheet, joissa määrätään, miten tietyt tehtävät suoritetaan.
Nyt kun meillä on ”viralliset” määritelmät, niin mitä ne oikeastaan tarkoittavat? Ajattelen niitä mielelläni spesifisyyshierarkiana, joka ulottuu laajimmasta (Taktiikka) spesifimpään (Menettelyt). Selventääkseni, mitä ne käytännössä tarkoittavat, käyn läpi ja selitän tarkemmin, mitä kukin termi oikeastaan tarkoittaa. Lisäksi käytän metaforaa ”auton omistamisesta” kuvaamaan kutakin näistä termeistä.
Taktiikka
Taktiikka on korkean tason pohdintaa, jossa on rajallinen määrä erityistietoa, joka määrää, miten asiat pitäisi tehdä. Niitä käytetään yleensä suunnittelu- ja/tai seurantatarkoituksiin, eikä niissä ole erityisiä ohjeita tai ohjeita, vaan ainoastaan yleisiä ohjeita, jotka ovat hyödyllisiä korkean tason pohdinnoissa sen varmistamiseksi, että kaikki tarvittava tehdään osana suurempaa kokonaisuutta.
Käyttääkseni analogiaa auton omistamisesta, auton omistamiseen liittyy monia ”taktiikoita”, kuten polttoaineen hankkiminen, puhdistus ja ennaltaehkäisevä huolto. Jokaista näistä voitaisiin pitää ”taktiikkana”, joka liittyy auton omistamiseen. Tässä esimerkissä keskitymme ”ennaltaehkäisevään kunnossapitoon” valittuna taktiikkana, johon syvennymme.
Tekniikat
Tekniikat muodostavat harmaan alueen taktiikoiden korkean tason näkökulman ja menettelytapojen (joita käsittelemme seuraavaksi) hyvin yksityiskohtaisten yksityiskohtien välillä. Ne koostuvat toimista, jotka odotetaan suoritettavan, mutta ilman erityisiä ohjeita (eli ei-prescriptive) siitä, miten kyseinen toimi suoritetaan. Tämä johtaa yleensä siihen, että tunnistetaan tehtävät, jotka on suoritettava, mutta ei anneta yksityiskohtaisia ohjeita siitä, miten tehtävä suoritetaan.
Jatkaaksemme autoanalogiaa, jos valittu taktiikka on ”ennaltaehkäisevä kunnossapito”, olisi olemassa lukuisia erilaisia Tekniikoita, joita voitaisiin käyttää kyseisen taktiikan toteuttamiseksi, kuten öljynvaihto, renkaiden vaihtaminen, jarrujen vaihtaminen jne. Näissä tekniikoissa hahmotellaan yleiset tehtävät, jotka on suoritettava, mutta niissä ei kuitenkaan anneta tarkkoja ohjeita siitä, miten ne on suoritettava. Valitsemme ”öljynvaihdon” tekniikaksi, josta olemme kiinnostuneita, ja keskustelemme sen avulla menettelytavoista.
Menettelytavat
Menettelytavat ovat erityisiä yksityiskohtaisia ohjeita ja/tai ohjeita jonkin tehtävän suorittamiseksi. Proseduurit sisältävät kaikki tarvittavat vaiheet, jotka liittyvät tietyn tehtävän suorittamiseen, mutta ilman mitään korkean tason pohdintaa tai taustaa siitä, miksi tehtävä suoritetaan. Menettelyjen ensisijaisena tavoitteena on varmistaa täydelliset yksityiskohtaiset ohjeet, jotta kuka tahansa, joka on pätevä noudattamaan ohjeita, voi suorittaa tehtävän oikein.
Täydentääkseni autoanalogiaamme, menettelyt ”öljynvaihto”-tekniikan toteuttamiseksi olisivat nimenomaan huollettavaa autoa koskevat. Siihen sisältyisi kaikki tiedot vaihtovälistä, öljytyypistä, suodattimen tyypistä, tyhjennystulpan sijainnista, tarvittavista työkaluista jne. Menetelmien tulisi olla sellaisia, että kuka tahansa (no, melkein kuka tahansa) pystyisi suorittamaan kuvatun tehtävän näiden ohjeiden avulla.
Taktiikoiden, tekniikoiden ja menettelytapojen esittäminen hierarkkiana voi auttaa havainnollistamaan niiden välisiä suhteita. Halutun taktiikan toteuttamiseksi on tarpeen käyttää yhtä tai useampaa tekniikkaa. Haluttujen tekniikoiden toteuttamiseksi tarvitaan yksi tai useampi menettelytapa. Se, mikä erottaa ”kehittyneet” uhkatoimijat muista, on heidän kykynsä ottaa käyttöön uusia tekniikoita tai kehittyneitä menettelytapoja, joita muut eivät voi helposti kopioida, vaikka heidän taktiikkansa ovat pitkälti samat kuin muidenkin.
Miten tämä liittyy ”kybermaailmaan”?
Vaikka TTP:tä on käytetty kuvaamaan tavanomaista sodankäyntiä, se voi olla hyvin käyttökelpoinen myös kyberturvallisuuden kuvaamisessa. Onneksi MITRE ATT&CK Matrix on jo laadittu siten, että siinä hyödynnetään tätä rakennetta, ja se tarjoaa erinomaisen yhtenäisen lähteen tietoturvaan perustuville TTP:ille.
Pylväsotsikot edustavat erilaisia korkean tason taktiikoita (korostettu punaisella), joita hyökkääjä käyttää osana tietoverkkoon kohdistuvan hyökkäyksen sykliä. Matriisin yksittäiset merkinnät taktiikoiden alla edustavat tekniikoita (korostettu vihreällä). Kuten aiemmin keskustelimme, kutakin taktiikkaa varten on lueteltu lukuisia tekniikoita. Kun napsautat mitä tahansa tekniikkaa, pääset sivulle, jossa on lisätietoja kyseisestä tekniikasta, mukaan lukien esimerkkejä pahansuovien toimijoiden todellisesta käytöstä. Nämä esimerkit edustavat käytettyjä menettelyjä ja tarjoavat yksityiskohtaisen analyysin tarkoista toimista ja käytetyistä resursseista. Menettelyjä voidaan tarkastella myös tiettyinä hasheina tai tarkkoina työkaluina ja komentoriveinä, joita käytetään tiettyyn haitalliseen toimintaan. MITRE ATT&CK tarjoaa helposti saatavilla olevan TTP-erittelyn tietoturvan osalta.
Kun hyökkääjän on esimerkiksi päästävä käsiksi tietokoneisiin tai verkon resursseihin, jotka eivät ole hänen alkuperäisessä jalansijassaan, hänen on sovellettava Lateral Movement -taktiikkaa. Yksi suosittu Tekniikka on käyttää Windowsin sisäänrakennettuja hallinnollisia jakoja, C$ ja ADMIN$, kirjoitettavana hakemistona etätietokoneessa. Menettelytapa tämän tekniikan toteuttamiseksi voisi olla SysInternalsin PsExec-työkalun käyttäminen, joka luo binäärin komennon suorittamista varten, kopioi sen Windows-hallintaosioon ja käynnistää palvelun kyseisestä osuudesta. SysInternals PsExec -työkalun estäminen ei poista kokonaan Windows Admin Shares -tekniikan riskiä; hyökkääjä voi yksinkertaisesti käyttää toista Proseduuria, kuten net use tai PowerShell-komentoa Invoke-PsExec. Hyökkäyksen ja puolustuksen vastatoimien erityispiirteiden ymmärtäminen on ratkaisevan tärkeää arvioitaessa tietoturvakontrollien tehokkuutta.
Miksi tällä on merkitystä?
Mitä muuta kuin pyrkimys selventää ”TTP:n” käyttöä, miksi tällä vanhalla sotilasjargonilla on merkitystä nykyaikaisessa tietokoneiden hallitsemassa maailmassa? Tosiasia on, että tämä lähestymistapa haitallisen toiminnan ymmärtämiseen tekee sinusta paremman hyökkääjän tai puolustajan. Kun pystyt pilkkomaan monimutkaiset hyökkäykset TTP:ksi, niiden havaitseminen tai toistaminen on paljon helpommin ymmärrettävissä.
Tietoturvaan liittyvien eri taktiikoiden ymmärtäminen auttaa suunnittelemaan mahdolliset puutealueet henkilökohtaisessa kokemuksessasi yritysympäristöstä ja voi keskittää ponnistelut sinne, mistä tietämyksestäsi/kattavuudestasi saattaa tällä hetkellä puuttua. Esimerkiksi ”Assume Breach” -mentaliteetti on tunnustus siitä, että tehokkaan tietoverkkoturvallisuuden on tunnistettava muut hyökkääjien käyttämät taktiikat sen sijaan, että keskityttäisiin pelkästään alkuperäisen tietoturvaloukkauksen estämiseen. Tämä korkean tason näkökulma auttaa ehkäisemään huolimattomuuden jossain tietoturvaohjelman osassa.
Tekniikoiden ja menettelytapojen välisen eron ymmärtäminen on myös uskomattoman tärkeää. Monet verkkoturvatyökalut ja uhkatiedustelusyötteet keskittyvät toimijan käyttämiin erityisiin menettelytapoihin (kuten työkalujen hasheihin, tiedostojen nimiin ja C2-verkkotunnuksiin/IP-osoitteisiin) eikä niinkään käytössä olevaan yleiseen tekniikkaan. Toisinaan tietoturvayhteisö nimittää jotakin uutta tekniikkaa uudeksi tekniikaksi, vaikka sitä pitäisi pikemminkin kutsua olemassa olevan tekniikan uudeksi menettelyksi. Kun tunnet taustalla olevan tekniikan ja pystyt mukauttamaan tiettyjä menettelyjä, sinusta tulee parempi toimija riippumatta siitä, mitä tehtävää täytät.
Kuten vanha sanonta kuuluu: ”Anna ihmiselle kala, niin ruokit hänet päiväksi”. Opeta mies kalastamaan, niin ruokit hänet koko elämäksi.” Verkkopuolustusta harkittaessa kalan antaminen on sama kuin keskittyminen hyökkääjän menettelyjen hauraisiin indikaattoreihin (kuten hasheihin ja tiettyihin IP-osoitteisiin). Se saattaa vastata tarpeisiisi tilapäisesti, mutta sen tehokkuus on lyhytaikaista. Kalan opettaminen on keskittymistä käytössä olevaan Tekniikkaan, hyökkäykseen liittyvän tekniikan ja käyttäytymisen ymmärtämistä ja sellaisten joustavien vastatoimien luomista, jotka toimivat, vaikka hyökkääjä mukauttaa tai luo uusia Menettelytapoja.
Toivottavasti tämä viesti auttoi selventämään Taktiikoiden, Tekniikoiden ja Menettelytapojen välistä eroa sekä tuomaan esiin kunkin termin ymmärtämisen hyödyn.