Când citesc diverse rapoarte despre securitatea informațiilor, bloguri și tweet-uri, văd adesea acronimul „TTP” folosit pentru a descrie o multitudine de lucruri (cum ar fi Testare, Instrumente, Procese, Programe etc.) legate de securitatea informațiilor. Deși TTP este un acronim utilizat în mod obișnuit, de multe ori acesta nu are sensul original: Tactici, tehnici și proceduri. În această postare, voi discuta interpretarea mea a TTP (bazată pe doctrina Departamentului Apărării) și voi explica de ce cred că acesta este modul în care ar trebui să folosiți TTP!
TTP conform Publicației Comune 1-02
Tactici, Tehnici și Proceduri sunt termeni specifici care își au originea în cadrul Departamentului Apărării și au fost folosiți timp de mulți ani pentru a descrie operațiunile militare. Publicația Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms definește în mod specific tacticile, tehnicile și procedurile:
Tactica – Angajarea și dispunerea ordonată a forțelor în raport unele cu altele.
Tehnici – Modalități sau metode neprescriptive utilizate pentru îndeplinirea misiunilor, funcțiilor sau sarcinilor.
Proceduri – Pași standard, detaliați, care prescriu modul de îndeplinire a unor sarcini specifice.
Acum că avem definițiile „oficiale”, ce înseamnă ele de fapt? Îmi place să mă gândesc la acestea ca la o ierarhie a specificității, mergând de la cea mai largă (Tactici) la cea mai specifică (Proceduri). Pentru a ajuta la clarificarea a ceea ce înseamnă acestea în practică, voi trece în revistă și voi explica ce înseamnă de fapt fiecare termen în detaliu. În plus, voi folosi metafora „proprietății unei mașini” pentru a ajuta la descrierea fiecăruia dintre acești termeni.
Tacticile
Tacticile sunt considerații de nivel înalt cu informații specifice limitate care dictează modul în care ar trebui să se facă lucrurile. Folosite în mod normal în scopuri de planificare și/sau urmărire, nu există direcții sau instrucțiuni specifice, ci doar îndrumări generale utile pentru considerații de nivel înalt pentru a se asigura că tot ceea ce este necesar este finalizat ca parte a unui întreg mai mare.
Pentru a folosi analogia cu proprietatea asupra unei mașini, există multe „Tactici” implicate în a deține o mașină, cum ar fi furnizarea de combustibil, curățarea și întreținerea preventivă. Fiecare dintre acestea ar putea fi privită ca o „tactică” implicată în deținerea unei mașini. În scopul acestui exemplu, ne vom concentra pe „Întreținerea preventivă” ca fiind tactica aleasă în care ne vom scufunda în profunzime.
Tehnici
Tehnicile formează zona gri dintre perspectiva de nivel înalt a tacticilor și detaliile foarte specifice ale Procedurilor (pe care le vom discuta în continuare). Ele constau în acțiunile care se așteaptă să fie realizate, dar fără indicații specifice (adică neprescriptive) privind modul în care trebuie realizată acțiunea respectivă. Acest lucru are ca rezultat, de obicei, identificarea sarcinilor care trebuie îndeplinite, dar fără a se face o micromanagement asupra modului de îndeplinire a sarcinii.
Pentru a continua analogia cu mașina, dacă tactica aleasă este „Întreținerea preventivă”, ar exista numeroase Tehnici diferite care ar putea fi utilizate pentru a îndeplini această tactică, cum ar fi schimbarea uleiului, rotirea anvelopelor, înlocuirea frânelor etc. Aceste tehnici descriu sarcinile generale care trebuie îndeplinite, însă nu oferă instrucțiuni specifice privind modul de realizare a acestora. Vom alege „schimbarea uleiului” ca fiind tehnica care ne interesează și pe care o vom folosi pentru a discuta despre proceduri.
Proceduri
Procedurile sunt instrucțiuni și/sau direcții specifice detaliate pentru realizarea unei sarcini. Procedurile includ toți pașii necesari implicați în realizarea unei sarcini specificate, dar fără nicio considerație sau context de nivel înalt pentru motivul pentru care se realizează sarcina respectivă. Prioritatea pentru proceduri este asigurarea unor instrucțiuni detaliate complete, astfel încât o sarcină să poată fi îndeplinită corect de către orice persoană calificată să urmeze instrucțiunile.
Pentru a completa analogia noastră cu mașina, procedurile de implementare a tehnicii de „schimbare a uleiului” ar fi specifice mașinii care face obiectul întreținerii. Acestea ar include toate informațiile despre frecvența schimbării, tipul de ulei, tipul de filtru, locația dopului de golire, uneltele necesare etc. Procedurile ar trebui să fie de așa natură încât oricine (ei bine, aproape oricine) să poată îndeplini sarcina descrisă folosind aceste instrucțiuni.
Prezentarea tacticilor, tehnicilor și procedurilor sub forma unei ierarhii poate ajuta la vizualizarea relațiilor dintre ele. Pentru a realiza Tacticile dorite va fi necesar să se utilizeze una sau mai multe Tehnici. Pentru a finaliza Tehnicile dorite va fi nevoie de una sau mai multe Proceduri de urmat. Ceea ce diferențiază actorii amenințători „avansați” de ceilalți este capacitatea lor de a pune în aplicare noi Tehnici sau Proceduri sofisticate care nu pot fi reproduse cu ușurință de alții, deși Tacticile lor sunt în mare parte aceleași ca ale celorlalți.
Cum se leagă acest lucru de „cibernetică”?
În timp ce TTP a fost folosit pentru a descrie războiul convențional, acesta poate fi, de asemenea, foarte util în descrierea securității cibernetice. Din fericire, matricea MITRE ATT&CK este deja prezentată într-un mod care utilizează această structură și oferă o sursă unică excelentă pentru TTP-urile bazate pe securitate.
Capitolele coloanelor reprezintă diferitele tactici de nivel înalt (evidențiate cu roșu) pe care un atacator le utilizează ca parte a ciclului de atac cibernetic. Intrările individuale din matrice sub tactici reprezintă tehnicile (evidențiate în verde). După cum am discutat anterior, pentru fiecare tactică sunt enumerate numeroase tehnici. Atunci când faceți clic pe orice Tehnică, veți fi direcționat către o pagină cu detalii suplimentare despre Tehnică, inclusiv exemple de utilizare reală de către actorii rău intenționați. Aceste exemple reprezintă Procedurile utilizate și oferă o analiză detaliată a acțiunilor exacte întreprinse și a resurselor utilizate. Procedurile pot fi, de asemenea, vizualizate ca fiind hașurile specifice sau instrumentele exacte și liniile de comandă utilizate pentru o anumită activitate malițioasă. MITRE ATT&CK oferă o defalcare TTP ușor de accesat în ceea ce privește securitatea informatică.
De exemplu, atunci când un atacator trebuie să acceseze computere sau resurse din rețea care nu se află în punctul său de sprijin inițial, trebuie să implementeze Tactica Mișcării Laterale. O Tehnică populară este utilizarea partajelor administrative integrate în Windows, C$ și ADMIN$, ca un director în care se poate scrie pe calculatorul aflat la distanță. O Procedură de punere în aplicare a acestei tehnici ar putea fi utilizarea instrumentului PsExec de la SysInternals, care creează un binar pentru a executa o comandă, îl copiază pe un partaj administrativ Windows și pornește un serviciu din acel partaj. Blocarea instrumentului SysInternals PsExec nu va elimina complet riscul tehnicii Windows Admin Shares; un atacator poate folosi pur și simplu o procedură diferită, cum ar fi net use sau cmdlet-ul PowerShell Invoke-PsExec. Înțelegerea specificității atacului și a contramăsurilor defensive este crucială atunci când se evaluează eficacitatea controalelor de securitate.
De ce contează acest lucru?
În afară de încercarea de a clarifica utilizarea termenului „TTP”, de ce contează acest vechi jargon militar într-o lume modernă condusă de computere? Adevărul este că această abordare a înțelegerii activității malițioase vă va face un atacator sau un apărător mai bun. Faptul de a putea descompune atacurile complicate în TTP-uri va ajuta la o detectare sau replicare a atacurilor mult mai ușor de înțeles.
Înțelegerea diferitelor Tactici implicate în securitatea informației va ajuta la planificarea oricăror zone de deficiență în experiența dvs. personală în mediul corporativ și poate concentra efortul acolo unde este posibil să vă lipsească în prezent cunoștințele/coperirea. De exemplu, mentalitatea „Assume Breach” este o recunoaștere a faptului că o securitate cibernetică eficientă trebuie să recunoască celelalte Tactici folosite de atacatori, în loc să se concentreze în întregime pe prevenirea compromiterii inițiale. Această perspectivă la nivel înalt va ajuta la prevenirea unei omisiuni în anumite părți ale programului de securitate.
Înțelegerea diferenței dintre Tehnici și Proceduri este, de asemenea, incredibil de importantă. Multe instrumente de securitate a rețelelor și fluxuri de informații despre amenințări se concentrează pe Procedurile specifice utilizate de un actor (cum ar fi hașurile instrumentelor, numele fișierelor și domeniile/IP C2), mai degrabă decât pe Tehnica generală utilizată. Ocazional, comunitatea de securitate etichetează ceva ca fiind o nouă tehnică, când ar trebui să se numească mai exact o nouă procedură pentru o tehnică existentă. Cunoașterea tehnicii de bază și capacitatea de a adapta procedurile specifice vă vor face un operator mai bun, indiferent de rolul pe care îl ocupați.
Cum spune vechea zicală: „Dă-i unui om un pește și îl hrănești pentru o zi. Învață un om să pescuiască, și îl hrănești pentru o viață întreagă”. Atunci când se ia în considerare apărarea rețelei, a da un pește este ca și cum te-ai concentra pe indicatori fragili din procedurile atacatorilor (cum ar fi hașurile și IP-urile specifice). S-ar putea să vă satisfacă nevoile temporar, dar eficiența sa va fi de scurtă durată. A preda peștele înseamnă să te concentrezi pe Tehnica utilizată, să înțelegi tehnologia și comportamentele legate de un atac și să creezi contramăsuri rezistente care vor funcționa chiar și atunci când atacatorul se adaptează sau creează noi Proceduri.
Sperăm că această postare a fost utilă pentru a clarifica diferența dintre Tactici, Tehnici și Proceduri, precum și pentru a evidenția beneficiul înțelegerii fiecărui termen.
.