Bij het doorlezen van diverse informatiebeveiligingsrapporten, blogs en tweets, zie ik vaak het acroniem “TTP” gebruikt worden om een groot aantal zaken te beschrijven (zoals Testen, Tools, Processen, Programma’s, etc.) met betrekking tot informatiebeveiliging. Hoewel TTP een veelgebruikt acroniem is, is het vaak niet de oorspronkelijke betekenis: Tactieken, Technieken, en Procedures. In deze post ga ik mijn interpretatie van TTP’s bespreken (gebaseerd op de doctrine van het Ministerie van Defensie) en uitleggen waarom ik geloof dat dit de manier is waarop je TTP zou moeten gebruiken!
TTP volgens Joint Publication 1-02
Tactieken, Technieken, en Procedures zijn specifieke termen die hun oorsprong vinden in het Ministerie van Defensie en die al vele jaren worden gebruikt om militaire operaties te beschrijven. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms definieert specifiek Tactieken, Technieken, en Procedures:
Tactiek – De inzet en geordende opstelling van krachten in relatie tot elkaar.
Technieken – Niet-voorschrijvende manieren of methoden gebruikt om missies, functies, of taken uit te voeren.
Procedures – Standaard, gedetailleerde stappen die voorschrijven hoe specifieke taken moeten worden uitgevoerd.
Nu we de “officiële” definities hebben, wat betekenen ze eigenlijk? Ik zie ze graag als een hiërarchie van specificiteit, gaande van het meest brede (Tactiek) tot het meest specifieke (Procedures). Om te helpen verduidelijken wat deze termen in de praktijk betekenen, zal ik elke term in meer detail behandelen en uitleggen. Bovendien zal ik de metafoor van “autobezit” gebruiken om elk van deze termen te helpen beschrijven.
Tactieken
Tactieken zijn overwegingen op hoog niveau met beperkte specifieke informatie die dicteert hoe dingen moeten worden gedaan. Normaal gebruikt voor planning en / of tracking doeleinden, zijn er geen specifieke aanwijzingen of instructies, alleen algemene begeleiding nuttig voor overwegingen op hoog niveau om ervoor te zorgen dat alles wat nodig is wordt voltooid als onderdeel van een groter geheel.
Om de analogie van autobezit te gebruiken, zijn er veel “Tactics” betrokken bij het bezitten van een auto, zoals het verstrekken van brandstof, schoonmaken, en preventief onderhoud. Elk van deze zou kunnen worden gezien als een “tactiek” betrokken bij het bezitten van een auto. Voor het doel van dit voorbeeld, zullen wij ons op “Preventief Onderhoud” concentreren als de gekozen tactiek waarin wij zullen duiken.
Technieken
Technieken vormen het grijze gebied tussen het perspectief van tactieken op hoog niveau en de zeer specifieke details van Procedures (die wij hierna bespreken). Zij bestaan uit de acties waarvan wordt verwacht dat zij worden uitgevoerd, maar zonder specifieke aanwijzingen (d.w.z. niet-voorschrijvend) voor de wijze waarop die actie moet worden voltooid. Dit resulteert typisch in het identificeren van taken die moeten worden uitgevoerd, maar zonder micromanagement hoe de taak te volbrengen.
Om de auto analogie voort te zetten, als de gekozen Tactiek “Preventief Onderhoud” is, zouden er talrijke verschillende Technieken zijn die kunnen worden gebruikt om die tactiek te volbrengen, zoals het verversen van de olie, het rouleren van banden, het vervangen van remmen, enz. Deze technieken schetsen de algemene taken die moeten worden uitgevoerd, maar geven geen specifieke instructies over hoe ze moeten worden uitgevoerd. Wij zullen “olie verversen” kiezen als de techniek waarin wij geïnteresseerd zijn en die wij zullen gebruiken om procedures te bespreken.
Procedures
Procedures zijn specifieke gedetailleerde instructies en/of aanwijzingen voor het volbrengen van een taak. Procedures omvatten alle noodzakelijke stappen voor het uitvoeren van een bepaalde taak, maar zonder de overwegingen op hoog niveau of de achtergrond waarom de taak wordt uitgevoerd. De prioriteit voor procedures is het zorgen voor volledige gedetailleerde instructies, zodat een taak correct kan worden uitgevoerd door iedereen die gekwalificeerd is om de aanwijzingen op te volgen.
Om onze auto-analogie aan te vullen, zouden de procedures voor het uitvoeren van de techniek “olie verversen” specifiek zijn voor de auto die wordt onderhouden. Dit zou alle informatie omvatten over de frequentie van het verversen, het type olie, het type filter, de plaats van de aftapplug, het benodigde gereedschap, enz. De procedures zouden zodanig moeten zijn dat iedereen (nou ja, bijna iedereen) in staat zou zijn om de beschreven taak met behulp van deze aanwijzingen uit te voeren.
Het voorstellen van Tactieken, Technieken, en Procedures als een hiërarchie kan helpen om de onderlinge relaties te visualiseren. Om de gewenste Tactieken te verwezenlijken, moeten een of meer Technieken worden gebruikt. Om de gewenste Technieken uit te voeren, moeten een of meer Procedures worden gevolgd. Wat “geavanceerde” dreigingsactoren onderscheidt van anderen is hun vermogen om nieuwe Technieken of geavanceerde Procedures toe te passen die niet gemakkelijk door anderen kunnen worden gekopieerd, hoewel hun Tactieken grotendeels hetzelfde zijn als die van anderen.
Hoe verhoudt zich dit tot “cyber”?
T TTP is gebruikt om conventionele oorlogsvoering te beschrijven, maar kan ook zeer nuttig zijn bij het beschrijven van cyberbeveiliging. Gelukkig is de MITRE ATT&CK Matrix al zo opgezet dat deze structuur wordt gebruikt en een uitstekende bron voor op beveiliging gebaseerde TTP’s biedt.
De kolomkoppen vertegenwoordigen de verschillende tactieken op hoog niveau (rood gemarkeerd) die een aanvaller gebruikt als onderdeel van de cyclus van een cyberaanval. De afzonderlijke vermeldingen in de Matrix onder de Tactieken staan voor de Technieken (groen gemarkeerd). Zoals we eerder hebben besproken, worden voor elke Tactiek talrijke Technieken vermeld. Wanneer u op een techniek klikt, komt u op een pagina met meer details over de techniek, waaronder voorbeelden van daadwerkelijk gebruik door kwaadwillenden. Deze voorbeelden geven de gebruikte Procedures weer en bieden een gedetailleerde analyse van de precieze acties die zijn ondernomen en de middelen die zijn gebruikt. Procedures kunnen ook worden gezien als de specifieke hashes of exacte tools en commandoregels die zijn gebruikt voor specifieke kwaadaardige activiteiten. MITRE ATT&CK biedt een gemakkelijk toegankelijke TTP uitsplitsing met betrekking tot computer beveiliging.
Bijv. wanneer een aanvaller toegang moet krijgen tot computers of bronnen op het netwerk die zich niet op hun aanvankelijke voetstuk bevinden, moeten zij de Tactiek van Laterale Beweging toepassen. Een populaire techniek is om de ingebouwde Windows administratieve shares, C$ en ADMIN$, te gebruiken als een beschrijfbare directory op de computer op afstand. Een Procedure om deze techniek te implementeren zou kunnen zijn om het SysInternals PsExec gereedschap te gebruiken, dat een binary maakt om een commando uit te voeren, deze kopieert naar een Windows Admin Share, en een service start vanaf die share. Het blokkeren van het SysInternals PsExec hulpprogramma zal het risico van de Windows Admin Shares techniek niet volledig wegnemen; een aanvaller kan simpelweg een andere procedure gebruiken, zoals net use of het PowerShell cmdlet Invoke-PsExec. Inzicht in de specificiteit van aanvals- en verdedigingsmaatregelen is cruciaal bij het evalueren van de effectiviteit van beveiligingscontroles.
Waarom is dit van belang?
Behalve dat we het gebruik van “TTP” proberen te verduidelijken, waarom is al dit oude militaire jargon van belang in een moderne computergestuurde wereld? Het is een feit dat deze benadering van het begrijpen van kwaadaardige activiteiten je een betere aanvaller of verdediger maakt. In staat zijn om gecompliceerde aanvallen op te delen in TTP’s zal helpen om detectie of replicatie van de aanvallen veel gemakkelijker te begrijpen.
Een goed begrip van de verschillende Tactieken die betrokken zijn bij informatiebeveiliging zal helpen bij het plannen van eventuele gebieden van tekortkomingen in uw persoonlijke ervaring van de bedrijfsomgeving en kan de inspanningen richten op die gebieden waar u momenteel kennis/dekking mist. De mentaliteit van “ga uit van een inbraak” is bijvoorbeeld een erkenning van het feit dat effectieve cyberbeveiliging de andere door aanvallers gebruikte tactieken moet erkennen, in plaats van zich volledig te richten op het voorkomen van een initiële compromittering. Dit perspectief op hoog niveau zal helpen voorkomen dat een deel van het beveiligingsprogramma over het hoofd wordt gezien.
Inzicht in het verschil tussen Technieken en Procedures is ook ongelooflijk belangrijk. Veel netwerkbeveiligingstools en dreigingsinformatiebronnen richten zich op de specifieke procedures die door een actor worden gebruikt (zoals hashes van tools, bestandsnamen en C2-domeinen/IP’s) in plaats van op de overkoepelende techniek die wordt gebruikt. Soms bestempelt de beveiligingsgemeenschap iets als een nieuwe techniek, terwijl het eigenlijk een nieuwe procedure voor een bestaande techniek zou moeten worden genoemd. Het kennen van de onderliggende techniek en het kunnen aanpassen van specifieke procedures maakt je een betere operator, ongeacht welke rol je vervult.
Zoals het oude adagium luidt “Geef een man een vis, en je voedt hem voor een dag. Leer een man vissen, en je voedt hem voor het leven. ” Wanneer je netwerk verdediging overweegt, is het geven van een vis hetzelfde als je richten op broze indicatoren van aanvaller procedures (zoals hashes en specifieke IP’s). Het kan tijdelijk in je behoefte voorzien, maar de effectiviteit zal van korte duur zijn. Een vis leren is je richten op de Techniek in gebruik, de technologie en het gedrag met betrekking tot een aanval begrijpen, en veerkrachtige tegenmaatregelen creëren die zullen werken, zelfs wanneer de aanvaller zich aanpast of nieuwe Procedures creëert.
Hooplijk was deze post nuttig bij het verduidelijken van het verschil tussen Tactieken, Technieken, en Procedures, evenals het benadrukken van het voordeel van het begrijpen van elke term.