Czytając różne raporty dotyczące bezpieczeństwa informacji, blogi i tweety, często widzę akronim „TTP” używany do opisania niezliczonej ilości rzeczy (takich jak testy, narzędzia, procesy, programy itp.) związanych z bezpieczeństwem informacji. Chociaż TTP jest powszechnie używanym akronimem, często nie jest to jego oryginalne znaczenie: Tactics, Techniques, and Procedures. W tym poście omówię moją interpretację TTP (opartą na doktrynie Departamentu Obrony) i wyjaśnię, dlaczego uważam, że właśnie w ten sposób powinieneś używać TTP!
TTP według Joint Publication 1-02
Taktyka, technika i procedury to specyficzne terminy, które wywodzą się z Departamentu Obrony i były używane przez wiele lat do opisywania operacji wojskowych. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms konkretnie definiuje Taktykę, Technikę i Procedury:
Taktyka – Zatrudnienie i uporządkowane rozmieszczenie sił względem siebie.
Techniki – Nienakazowe sposoby lub metody używane do wykonywania misji, funkcji lub zadań.
Procedury – Standardowe, szczegółowe kroki, które nakazują jak wykonać określone zadania.
Teraz, gdy mamy już „oficjalne” definicje, co one właściwie oznaczają? Lubię myśleć o nich jako o hierarchii szczegółowości, idąc od najbardziej szerokiej (Taktyka) do najbardziej szczegółowej (Procedury). Aby pomóc wyjaśnić, co one tak naprawdę oznaczają w praktyce, przejdę przez i wyjaśnię, co każdy termin oznacza w rzeczywistości, bardziej szczegółowo. Dodatkowo, użyję metafory „własności samochodu”, aby pomóc opisać każdy z tych terminów.
Taktyka
Taktyka są rozważania wysokiego poziomu z ograniczoną ilością konkretnych informacji dyktujących, jak rzeczy powinny być zrobione. Zazwyczaj używane do planowania i/lub śledzenia celów, nie ma konkretnych wskazówek lub instrukcji, tylko ogólne wskazówki przydatne do rozważań wysokiego poziomu, aby zapewnić, że wszystko, co niezbędne jest zakończone jako część większej całości.
Aby użyć analogii do posiadania samochodu, istnieje wiele „Taktyk” związanych z posiadaniem samochodu, takich jak dostarczanie paliwa, czyszczenie i konserwacja zapobiegawcza. Każdy z nich może być postrzegane jako „taktyki” zaangażowanych w posiadanie samochodu. Dla celów tego przykładu, skupimy się na „Konserwacji zapobiegawczej” jako wybranej taktyce, w którą będziemy się zagłębiać.
Techniki
Techniki tworzą szarą strefę pomiędzy wysokopoziomową perspektywą taktyki i bardzo szczegółowymi szczegółami Procedur (które omówimy dalej). Składają się one z działań, które mają być wykonane, ale bez konkretnych wskazówek (tj. nie normatywnych), jak wykonać to działanie. To zazwyczaj skutkuje identyfikacją zadań, które muszą być wykonane, ale bez mikrozarządzania jak wykonać zadanie.
Kontynuując analogię do samochodu, jeśli wybrana Taktyka to „Konserwacja zapobiegawcza”, będzie wiele różnych Technik, które mogą być zastosowane do realizacji tej taktyki, takich jak wymiana oleju, obracanie opon, wymiana hamulców, itp. Techniki te nakreślają ogólne zadania, które należy wykonać, ale nie dostarczają konkretnych instrukcji, jak je wykonać. Wybierzemy „wymianę oleju” jako technikę, którą jesteśmy zainteresowani i wykorzystamy do omówienia procedur.
Procedury
Procedury są specyficznymi szczegółowymi instrukcjami i/lub wskazówkami dotyczącymi wykonania zadania. Procedury zawierają wszystkie niezbędne kroki do wykonania określonego zadania, ale bez żadnych rozważań na wysokim poziomie lub tła, dlaczego zadanie jest wykonywane. Priorytetem dla procedur jest zapewnienie kompletnych szczegółowych instrukcji, aby zadanie mogło być prawidłowo wykonane przez każdego, kto ma kwalifikacje do przestrzegania wskazówek.
Aby zakończyć naszą analogię do samochodu, procedury wdrażania techniki „wymiany oleju” byłyby specyficzne dla utrzymywanego samochodu. Obejmowałyby one wszystkie informacje o częstotliwości wymiany, rodzaju oleju, rodzaju filtra, lokalizacji korka spustowego, wymaganych narzędziach itp. Procedury powinny być takie, aby każdy (no, prawie każdy) mógł wykonać opisane zadanie używając tych wskazówek.
Przedstawienie Taktyki, Techniki i Procedury jako hierarchii może pomóc w wizualizacji relacji między nimi. Aby osiągnąć pożądaną Taktykę, konieczne będzie użycie jednej lub więcej Technik. Aby zrealizować pożądane Techniki, trzeba będzie zastosować jedną lub więcej Procedur. Tym, co odróżnia „zaawansowanych” aktorów od innych jest ich zdolność do wdrażania nowych Technik lub wyrafinowanych Procedur, które nie mogą być łatwo powielone przez innych, chociaż ich Taktyka jest w dużej mierze taka sama jak innych.
Jak to się ma do „cyber”?
Choć TTP zostało użyte do opisu konwencjonalnych działań wojennych, może być również bardzo użyteczne w opisie cyberbezpieczeństwa. Na szczęście Matryca MITRE ATT&CK jest już ułożona w sposób, który wykorzystuje tę strukturę i stanowi doskonałe pojedyncze źródło dla TTP opartych na bezpieczeństwie.
Nagłówki kolumn reprezentują różne taktyki wysokiego poziomu (zaznaczone na czerwono), które atakujący wykorzystuje jako część cyklu ataku cybernetycznego. Poszczególne pozycje w macierzy pod Taktykami reprezentują Techniki (zaznaczone na zielono). Jak już mówiliśmy, dla każdej Taktyki wyszczególnione są liczne Techniki. Po kliknięciu na dowolną Technikę użytkownik zostanie przeniesiony na stronę z dodatkowymi szczegółami na jej temat, w tym z przykładami rzeczywistego wykorzystania przez złośliwych aktorów. Przykłady te reprezentują zastosowane Procedury i dostarczają szczegółowej analizy dokładnie podjętych działań i wykorzystanych zasobów. Procedury mogą być również postrzegane jako konkretne hashe lub dokładne narzędzia i linie poleceń wykorzystywane do konkretnych złośliwych działań. MITRE ATT&CK zapewnia łatwo dostępny podział TTP dotyczący bezpieczeństwa komputerowego.
Na przykład, gdy atakujący potrzebuje dostępu do komputerów lub zasobów w sieci, które nie znajdują się na jego początkowym przyczółku, musi wdrożyć Taktykę Ruchu Bocznego. Jedną z popularnych technik jest wykorzystanie wbudowanych w system Windows udziałów administracyjnych, C$ i ADMIN$, jako katalogu do zapisu na zdalnym komputerze. Procedurą implementacji tej techniki może być użycie narzędzia PsExec firmy SysInternals, które tworzy binarkę do wykonania polecenia, kopiuje ją do udziału administracyjnego Windows i uruchamia usługę z tego udziału. Zablokowanie narzędzia SysInternals PsExec nie usunie całkowicie ryzyka związanego z techniką Windows Admin Shares; atakujący może po prostu użyć innej procedury, takiej jak net use lub cmdlet PowerShell Invoke-PsExec. Zrozumienie specyfiki ataku i defensywnych środków zaradczych jest kluczowe podczas oceny skuteczności kontroli bezpieczeństwa.
Dlaczego to ma znaczenie?
Poza próbą wyjaśnienia użycia „TTP”, dlaczego którykolwiek z tych starych wojskowych żargonów ma znaczenie w nowoczesnym świecie rządzonym przez komputery? Faktem jest, że takie podejście do zrozumienia złośliwej aktywności uczyni cię lepszym napastnikiem lub obrońcą. Zrozumienie różnych Taktyk związanych z bezpieczeństwem informacji pomoże zaplanować wszelkie obszary braków w twoim osobistym doświadczeniu w środowisku korporacyjnym i może skupić wysiłki tam, gdzie obecnie może brakować ci wiedzy / pokrycia. Na przykład, mentalność „Assume Breach” jest uznaniem, że skuteczne bezpieczeństwo cybernetyczne musi uwzględniać inne taktyki stosowane przez atakujących, zamiast koncentrować się wyłącznie na zapobieganiu początkowej kompromitacji. Ta wysokopoziomowa perspektywa pomoże zapobiec przeoczeniu w jakiejś części programu bezpieczeństwa.
Zrozumienie różnicy między Technikami a Procedurami jest również niezwykle ważne. Wiele narzędzi bezpieczeństwa sieciowego i źródeł informacji o zagrożeniach koncentruje się na konkretnych procedurach stosowanych przez podmiot (takich jak hasze narzędzi, nazwy plików i domeny/IP C2), a nie na nadrzędnej technice w użyciu. Czasami społeczność bezpieczeństwa określa coś mianem nowej Techniki, podczas gdy powinno się to raczej nazywać nową Procedurą dla istniejącej Techniki. Znajomość podstawowej techniki i umiejętność dostosowania konkretnych procedur uczyni cię lepszym operatorem, niezależnie od roli, jaką pełnisz.
Jak mówi stare porzekadło „Daj człowiekowi rybę, a nakarmisz go na jeden dzień. Naucz człowieka łowić ryby, a nakarmisz go na całe życie”. Jeśli chodzi o obronę sieci, dawanie ryby jest jak skupianie się na kruchych wskaźnikach z Procedur atakujących (jak hashe i konkretne IP). To może zaspokoić Twoje potrzeby tymczasowo, ale jego skuteczność będzie krótkotrwała. Nauczanie ryb jest skupienie się na Technice w użyciu, zrozumienie technologii i zachowań związanych z atakiem, i tworzenie odpornych środków zaradczych, które będą działać nawet wtedy, gdy atakujący dostosowuje lub tworzy nowe Procedury.
Mam nadzieję, że ten post był pomocny w wyjaśnieniu różnicy między Taktyką, Techniką i Procedurami, jak również podkreślenie korzyści płynących ze zrozumienia każdego terminu.
.