A különböző információbiztonsági jelentéseket olvasva, blogokat és tweeteket, gyakran találkozom a “TTP” rövidítéssel, amelyet az információbiztonsággal kapcsolatos számtalan dolog (például tesztelés, eszközök, folyamatok, programok stb.) leírására használnak. Bár a TTP egy gyakran használt rövidítés, gyakran nem ez az eredeti jelentése: Taktikák, technikák és eljárások. Ebben a bejegyzésben a TTP-k saját értelmezését fogom megvitatni (a Védelmi Minisztérium doktrínája alapján), és elmagyarázom, miért hiszem, hogy a TTP-t így kellene használnod!
TTP a Joint Publication 1-02
szerint A Taktikák, technikák és eljárások olyan speciális kifejezések, amelyek a Védelmi Minisztériumból származnak, és hosszú évek óta használják a katonai műveletek leírására. A Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms konkrétan meghatározza a Tactics, Techniques, and Procedures fogalmát:
Tactics – Az erők egymáshoz viszonyított alkalmazása és rendezett elrendezése.
Techniques – A küldetések, funkciók vagy feladatok végrehajtásához használt, nem előíró jellegű módok vagy módszerek.
eljárások – Szabványos, részletes lépések, amelyek előírják, hogyan kell végrehajtani bizonyos feladatokat.
Most, hogy megvannak a “hivatalos” meghatározások, mit is jelentenek valójában? Szeretek úgy gondolni ezekre, mint a specifikusság hierarchiájára, a legtágabbtól (Taktika) a legkonkrétabbig (Eljárások). Annak érdekében, hogy segítsek tisztázni, mit is jelentenek ezek a gyakorlatban, végigmegyek és részletesebben elmagyarázom, mit is jelentenek valójában az egyes kifejezések. Emellett az “autótulajdonlás” metaforáját fogom használni az egyes kifejezések leírásának segítésére.
Taktika
A taktika magas szintű megfontolások, amelyek korlátozott konkrét információkkal diktálják, hogyan kell a dolgokat elvégezni. Általában tervezési és/vagy nyomonkövetési célokra használják, nincsenek konkrét utasítások vagy utasítások, csak általános útmutatások, amelyek hasznosak a magas szintű megfontolásokhoz annak biztosítására, hogy minden szükséges dolog egy nagyobb egész részeként valósuljon meg.
Az autótulajdonlás analógiájával élve, egy autó birtoklásához sok “Taktika” tartozik, például az üzemanyag biztosítása, a tisztítás és a megelőző karbantartás. Ezek mindegyikét tekinthetjük egy-egy “taktikának”, amely az autó birtoklásában szerepet játszik. E példa szempontjából a “megelőző karbantartásra” fogunk összpontosítani, mint a kiválasztott taktikára, amelybe elmélyedünk.
Taktikák
A taktikák a taktikák magas szintű perspektívája és az eljárások nagyon konkrét részletei (amelyeket a következőkben tárgyalunk) közötti szürke zónát alkotják. Ezek az elvárt cselekvésekből állnak, de nem tartalmaznak konkrét utasításokat (azaz nem előíró jellegűek) arra vonatkozóan, hogy hogyan kell végrehajtani a cselekvést. Ez jellemzően az elvégzendő feladatok azonosítását eredményezi, de anélkül, hogy mikromenedzselni lehetne a feladat elvégzésének módját.
Az autós hasonlatot folytatva, ha a kiválasztott Taktika a “megelőző karbantartás”, akkor számos különböző Eljárás lenne alkalmazható a taktika megvalósítására, például olajcsere, gumiabroncsok cseréje, fékek cseréje stb. Ezek a technikák felvázolják az általános feladatokat, amelyeket el kell végezni, azonban nem adnak konkrét utasításokat arra vonatkozóan, hogyan kell elvégezni őket. Mi az “olajcserét” választjuk a minket érdeklő technikának, és az eljárások megvitatására fogjuk használni.
Az eljárások
Az eljárások konkrét részletes utasítások és/vagy utasítások egy feladat elvégzésére. Az eljárások tartalmazzák a meghatározott feladat elvégzéséhez szükséges összes szükséges lépést, de a feladat elvégzésének magas szintű megfontolása vagy háttere nélkül. Az eljárások prioritása a teljes körű, részletes utasítások biztosítása, hogy a feladatot bárki helyesen el tudja végezni, aki képes az utasítások követésére.
Az autóval kapcsolatos hasonlatunkat kiegészítve, az “olajcsere” technikájának végrehajtására vonatkozó eljárások a karbantartandó autóra lennének jellemzőek. Ez tartalmazna minden információt a csere gyakoriságáról, az olaj típusáról, a szűrő típusáról, a leeresztő dugó helyéről, a szükséges szerszámokról stb. Az eljárásoknak olyanoknak kell lenniük, hogy bárki (vagyis majdnem bárki) képes legyen elvégezni a leírt feladatot ezen utasítások segítségével.”
A Taktikák, technikák és eljárások hierarchiaként való bemutatása segíthet a köztük lévő kapcsolatok szemléltetésében. A kívánt Taktikák megvalósításához szükség lesz egy vagy több Technika alkalmazására. A kívánt technikák végrehajtásához egy vagy több eljárást kell követni. A “fejlett” fenyegető szereplőket az különbözteti meg másoktól, hogy képesek olyan új Technikákat vagy kifinomult Eljárásokat alkalmazni, amelyeket mások nem tudnak könnyen lemásolni, bár a Taktikájuk nagyrészt ugyanaz, mint másoké.
Hogyan kapcsolódik ez a “kiber”-hez?
Míg a TTP-t a hagyományos hadviselés leírására használták, nagyon hasznos lehet a kiberbiztonság leírásában is. Szerencsére a MITRE ATT&CK mátrix már úgy van kialakítva, hogy felhasználja ezt a struktúrát, és kiváló egységes forrást biztosít a biztonsági alapú TTP-khez.
Az oszlopcímek a különböző magas szintű taktikákat (pirossal kiemelve) képviselik, amelyeket a támadó a kibertámadási ciklus részeként használ. A Mátrixban a Taktikák alatti egyes bejegyzések a technikákat (zölddel kiemelve) jelölik. Amint azt korábban tárgyaltuk, minden egyes taktikához számos technika tartozik. Ha bármelyik Taktikára kattint, egy olyan oldalra jut, amely további részleteket tartalmaz a Taktikáról, beleértve a rosszindulatú szereplők által ténylegesen alkalmazott példákat is. Ezek a példák az alkalmazott Eljárásokat mutatják be, és részletes elemzést nyújtanak a pontos műveletekről és a felhasznált erőforrásokról. Az Eljárásokat úgy is meg lehet tekinteni, mint az adott rosszindulatú tevékenységhez használt konkrét hash-okat vagy pontos eszközöket és parancssorokat. A MITRE ATT&CK könnyen hozzáférhető TTP-bontást nyújt a számítógépes biztonsággal kapcsolatban.
Ha például egy támadónak olyan számítógépekhez vagy erőforrásokhoz kell hozzáférnie a hálózaton, amelyek nincsenek a kezdeti támaszpontján, akkor a Lateral Movement taktikát kell alkalmaznia. Az egyik népszerű Technika a Windows beépített rendszergazdai megosztások, a C$ és az ADMIN$ használata írható könyvtárként a távoli számítógépen. Ennek a technikának a megvalósítására szolgáló eljárás lehet a SysInternals PsExec eszköz használata, amely létrehoz egy bináris fájlt egy parancs végrehajtásához, átmásolja azt egy Windows adminisztrációs megosztásra, és elindít egy szolgáltatást erről a megosztásról. A SysInternals PsExec eszköz blokkolása nem szünteti meg teljesen a Windows Admin Shares technika kockázatát; a támadó egyszerűen használhat egy másik eljárást, például a net use-t vagy az Invoke-PsExec PowerShell cmdletet. A támadás és a védelmi ellenintézkedések sajátosságainak megértése kulcsfontosságú a biztonsági ellenőrzések hatékonyságának értékelésénél.
Miért fontos ez?
A “TTP” használatának tisztázásán kívül miért számít ez a régi katonai zsargon a modern számítógépes világban? A tény az, hogy a rosszindulatú tevékenység megértésének ez a megközelítése jobb támadóvá vagy védekezővé teszi Önt. Ha képes leszel a bonyolult támadásokat TTP-kre bontani, akkor sokkal könnyebben megértheted a támadások felderítését vagy replikálását.
Az információbiztonságban részt vevő különböző Taktikák megértése segít megtervezni a vállalati környezetben szerzett személyes tapasztalataiddal kapcsolatos hiányosságokat, és arra összpontosíthatod az erőfeszítéseidet, ahol jelenleg esetleg hiányzik a tudásod/lefedettséged. Például a “Feltételezzük a betörést” mentalitás annak felismerése, hogy a hatékony kiberbiztonságnak fel kell ismernie a támadók által alkalmazott egyéb Taktikákat, ahelyett, hogy kizárólag a kezdeti kompromittálódás megakadályozására összpontosítana. Ez a magas szintű perspektíva segít megelőzni, hogy a biztonsági program valamelyik részében mulasztás történjen.
A Technika és az Eljárások közötti különbség megértése szintén hihetetlenül fontos. Számos hálózatbiztonsági eszköz és fenyegetés-felderítési adatszolgáltatás a szereplő által használt konkrét Eljárásokra (például eszközhash-ek, fájlnevek és C2-tartományok/IP-ek) összpontosít, nem pedig a használt átfogó Technikára. Előfordul, hogy a biztonsági közösség valamit új technikának nevez, holott azt inkább egy meglévő technika új eljárásának kellene nevezni. A mögöttes technika ismerete és a konkrét eljárások adaptálásának képessége jobb operátorrá teszi Önt, függetlenül attól, hogy milyen szerepet tölt be.
A régi mondás szerint “Adj az embernek egy halat, és egy napig eteted. Tanítsd meg az embert halászni, és egy életen át eteted”. A hálózati védelmet tekintve halat adni olyan, mint a támadói eljárások törékeny mutatóira összpontosítani (mint például a hash-ok és a konkrét IP-k). Lehet, hogy átmenetileg kielégíti az igényeket, de a hatékonysága rövid életű lesz. A halak tanítása azt jelenti, hogy a használatban lévő Technikára összpontosítunk, megértjük a támadáshoz kapcsolódó technológiát és viselkedést, és olyan rugalmas ellenintézkedéseket hozunk létre, amelyek akkor is működni fognak, ha a támadó alkalmazkodik vagy új Eljárásokat hoz létre.
Remélhetőleg ez a bejegyzés hasznos volt a Taktika, a Technika és az Eljárások közötti különbség tisztázásában, valamint az egyes kifejezések megértésének előnyeinek kiemelésében.