Quando leggo attraverso vari rapporti sulla sicurezza informatica, blog e tweet, vedo spesso l’acronimo “TTP” usato per descrivere una miriade di cose (come test, strumenti, processi, programmi, ecc.) relative alla sicurezza delle informazioni. Anche se TTP è un acronimo comunemente usato, spesso non è il significato originale: Tattiche, tecniche e procedure. In questo post, discuterò la mia interpretazione di TTP (basata sulla dottrina del Dipartimento della Difesa) e spiegherò perché credo che questo sia il modo in cui dovreste usare TTP!
TTP secondo la Pubblicazione Congiunta 1-02
Tattiche, Tecniche e Procedure sono termini specifici che hanno avuto origine nel Dipartimento della Difesa e sono stati usati per molti anni per descrivere operazioni militari. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms definisce specificamente tattiche, tecniche e procedure:
Tattiche – L’impiego e la disposizione ordinata delle forze in relazione le une alle altre.
Tecniche – Modi o metodi non prescrittivi usati per eseguire missioni, funzioni o compiti.
Procedure – Passi standard e dettagliati che prescrivono come eseguire compiti specifici.
Ora che abbiamo le definizioni “ufficiali”, cosa significano realmente? Mi piace pensare a queste come a una gerarchia di specificità, andando dalla più ampia (Tattiche) alla più specifica (Procedure). Per aiutare a chiarire cosa significano in pratica, passerò in rassegna e spiegherò cosa significa ogni termine in modo più dettagliato. Inoltre, userò la metafora della “proprietà dell’auto” per aiutare a descrivere ognuno di questi termini.
Tattiche
Le tattiche sono considerazioni di alto livello con informazioni specifiche limitate che dettano come le cose dovrebbero essere fatte. Normalmente usate per scopi di pianificazione e/o monitoraggio, non ci sono indicazioni o istruzioni specifiche, solo una guida generale utile per considerazioni di alto livello per assicurare che tutto il necessario sia completato come parte di un insieme più grande.
Per usare l’analogia della proprietà dell’auto, ci sono molte “Tattiche” coinvolte nel possedere un’auto, come fornire carburante, pulizia e manutenzione preventiva. Ognuno di questi potrebbe essere visto come una “tattica” coinvolta nel possedere un’auto. Per lo scopo di questo esempio, ci concentreremo sulla “Manutenzione preventiva” come la tattica scelta in cui ci immergeremo in profondità.
Tecniche
Le tecniche formano l’area grigia tra la prospettiva di alto livello delle tattiche e i dettagli molto specifici delle procedure (che discuteremo dopo). Consistono nelle azioni che ci si aspetta vengano compiute, ma senza indicazioni specifiche (cioè non prescrittive) su come completare quell’azione. Questo si traduce tipicamente nell’identificazione dei compiti che devono essere compiuti, ma senza microgestire il modo di compiere il compito.
Per continuare l’analogia dell’automobile, se la Tattica scelta è “Manutenzione preventiva”, ci sarebbero numerose tecniche diverse che potrebbero essere impiegate per realizzare quella tattica, come cambiare l’olio, ruotare le gomme, sostituire i freni, ecc. Queste tecniche delineano i compiti generali che devono essere eseguiti, ma non forniscono istruzioni specifiche su come realizzarli. Sceglieremo “cambiare l’olio” come la tecnica che ci interessa e la useremo per discutere le procedure.
Procedure
Le procedure sono istruzioni specifiche dettagliate e/o indicazioni per realizzare un compito. Le procedure includono tutti i passi necessari per l’esecuzione di un compito specifico, ma senza alcuna considerazione di alto livello o sfondo del perché il compito viene eseguito. La priorità per le procedure è assicurare istruzioni complete e dettagliate in modo che un compito possa essere completato correttamente da chiunque sia qualificato a seguire le indicazioni.
Per completare la nostra analogia dell’auto, le procedure per implementare la tecnica del “cambio dell’olio” sarebbero specifiche per l’auto in manutenzione. Questo includerebbe tutte le informazioni sulla frequenza del cambio, il tipo di olio, il tipo di filtro, la posizione del tappo di scarico, gli strumenti necessari, ecc. Le procedure dovrebbero essere tali che chiunque (beh, quasi chiunque) sarebbe in grado di eseguire il compito descritto usando queste indicazioni.
Presentare Tattiche, Tecniche e Procedure come una gerarchia può aiutare a visualizzare le relazioni tra esse. Per realizzare le Tattiche desiderate sarà necessario usare una o più Tecniche. Per completare le Tecniche desiderate ci sarà bisogno di una o più Procedure da seguire. Ciò che differenzia gli attori “avanzati” delle minacce dagli altri è la loro capacità di implementare nuove Tecniche o Procedure sofisticate che non possono essere facilmente replicate da altri, anche se le loro Tattiche sono in gran parte le stesse degli altri.
Come si rapporta tutto ciò al “cyber”?
Mentre il TTP è stato usato per descrivere la guerra convenzionale, può essere molto utile anche per descrivere la sicurezza informatica. Fortunatamente, il MITRE ATT&CK Matrix è già disposto in modo da utilizzare questa struttura e fornisce un’eccellente fonte unica per le TTP basate sulla sicurezza.
Le intestazioni delle colonne rappresentano le varie Tattiche di alto livello (evidenziate in rosso) che un attaccante utilizza come parte del ciclo dell’attacco informatico. Le singole voci della matrice sotto le tattiche rappresentano le tecniche (evidenziate in verde). Come abbiamo discusso in precedenza, per ogni Tattica sono elencate numerose Tecniche. Quando andate a cliccare su qualsiasi Tecnica, vi porterà ad una pagina con ulteriori dettagli sulla Tecnica, compresi esempi di utilizzo reale da parte di attori malintenzionati. Questi esempi rappresentano le Procedure utilizzate e forniscono un’analisi dettagliata delle esatte azioni intraprese e delle risorse utilizzate. Le procedure possono anche essere viste come gli hash specifici o gli strumenti esatti e le linee di comando utilizzate per una specifica attività malevola. MITRE ATT&CK fornisce una ripartizione TTP facilmente accessibile per quanto riguarda la sicurezza informatica.
Per esempio, quando un attaccante ha bisogno di accedere a computer o risorse in rete che non si trovano nel suo punto d’appoggio iniziale, deve attuare la Tattica del Movimento Laterale. Una tecnica popolare è quella di utilizzare le condivisioni amministrative integrate di Windows, C$ e ADMIN$, come una directory scrivibile sul computer remoto. Una procedura per implementare questa tecnica potrebbe essere quella di utilizzare lo strumento PsExec di SysInternals, che crea un binario per eseguire un comando, lo copia in una condivisione amministrativa di Windows e avvia un servizio da quella condivisione. Bloccare lo strumento SysInternals PsExec non eliminerà completamente il rischio della tecnica Windows Admin Shares; un attaccante può semplicemente usare una procedura diversa, come net use o il cmdlet PowerShell Invoke-PsExec. Comprendere la specificità dell’attacco e delle contromisure difensive è cruciale quando si valuta l’efficacia dei controlli di sicurezza.
Perché è importante?
Oltre a cercare di chiarire l’uso di “TTP”, perché tutto questo vecchio gergo militare è importante in un mondo moderno gestito da computer? Il fatto è che questo approccio alla comprensione dell’attività malevola vi renderà un attaccante o un difensore migliore. Essere in grado di scomporre attacchi complicati in TTP aiuterà a rendere il rilevamento o la replica degli attacchi molto più facile da capire.
La comprensione delle diverse tattiche coinvolte nella sicurezza delle informazioni aiuterà a pianificare qualsiasi area di carenza nella vostra esperienza personale dell’ambiente aziendale e può concentrare gli sforzi dove attualmente potrebbe mancare la conoscenza/copertura. Per esempio, la mentalità “Assume Breach” è il riconoscimento che una cybersecurity efficace deve riconoscere le altre tattiche usate dagli attaccanti, invece di concentrarsi interamente sulla prevenzione della compromissione iniziale. Questa prospettiva di alto livello aiuterà a prevenire una svista in qualche parte del programma di sicurezza.
Comprendere la differenza tra Tecniche e Procedure è anche incredibilmente importante. Molti strumenti di sicurezza della rete e i feed di intelligence sulle minacce si concentrano sulle procedure specifiche utilizzate da un attore (come gli hash dei tool, i nomi dei file e i domini/IP C2) piuttosto che sulla tecnica generale in uso. Occasionalmente, la comunità della sicurezza etichetterà qualcosa come una nuova tecnica, quando dovrebbe essere più precisamente chiamata una nuova procedura per una tecnica esistente. Conoscere la tecnica sottostante ed essere in grado di adattare procedure specifiche vi renderà un operatore migliore, indipendentemente dal ruolo che ricoprite.
Come dice il vecchio adagio “Dai un pesce a un uomo e lo nutrirai per un giorno. Insegna a un uomo a pescare e lo nutrirai per tutta la vita”. Quando si considera la difesa della rete, dare un pesce è come concentrarsi su indicatori fragili da procedure di attacco (come hash e IP specifici). Può soddisfare le vostre esigenze temporaneamente, ma la sua efficacia sarà di breve durata. Insegnare a pescare è concentrarsi sulla Tecnica in uso, capire la tecnologia e i comportamenti relativi a un attacco, e creare contromisure resilienti che funzioneranno anche quando l’attaccante si adatta o crea nuove Procedure.
Spero che questo post sia stato utile per chiarire la differenza tra Tattiche, Tecniche e Procedure, oltre a evidenziare il vantaggio di comprendere ogni termine.