När man läser igenom olika rapporter om informationssäkerhet, bloggar och tweets ser jag ofta akronymen ”TTP” användas för att beskriva en mängd olika saker (t.ex. testning, verktyg, processer, program osv.) som har med informationssäkerhet att göra. Även om TTP är en vanligt förekommande akronym är det ofta inte den ursprungliga betydelsen: Taktik, teknik och förfaranden. I det här inlägget kommer jag att diskutera min tolkning av TTP (baserat på försvarsdepartementets doktrin) och förklara varför jag anser att det är så här du bör använda TTP!
TTP enligt Joint Publication 1-02
Tactics, Techniques, and Procedures är specifika termer som har sitt ursprung i försvarsdepartementet och har använts i många år för att beskriva militära operationer. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms definierar specifikt taktik, teknik och procedurer:
Taktik – Användning och ordnat arrangemang av styrkor i förhållande till varandra.
Teknik – Icke-föreskrivande sätt eller metoder som används för att utföra uppdrag, funktioner eller uppgifter.
Procedurer – Standardiserade, detaljerade steg som föreskriver hur specifika uppgifter ska utföras.
När vi nu har de ”officiella” definitionerna, vad betyder de egentligen? Jag tycker om att se dem som en hierarki av specificitet, från den mest omfattande (taktik) till den mest specifika (förfaranden). För att hjälpa till att klargöra vad de faktiskt betyder i praktiken kommer jag att gå igenom och förklara vad varje term faktiskt betyder mer i detalj. Dessutom kommer jag att använda metaforen ”bilägande” för att hjälpa till att beskriva var och en av dessa termer.
Taktik
Taktik är överväganden på hög nivå med begränsad specifik information som dikterar hur saker och ting ska göras. Normalt används de för planering och/eller spårning och innehåller inga specifika anvisningar eller instruktioner, utan bara allmän vägledning som är användbar för överväganden på hög nivå för att se till att allt som är nödvändigt fullgörs som en del av en större helhet.
För att använda analogin med bilägande finns det många ”taktiker” som är involverade i att äga en bil, t.ex. tillhandahållande av bränsle, rengöring och förebyggande underhåll. Var och en av dessa kan ses som en ”taktik” som ingår i att äga en bil. I det här exemplet kommer vi att fokusera på ”förebyggande underhåll” som den valda taktik som vi kommer att fördjupa oss i.
Tekniker
Tekniker utgör den gråzonen mellan taktikernas perspektiv på hög nivå och de mycket specifika detaljerna i förfaranden (som vi diskuterar härnäst). De består av de åtgärder som förväntas utföras, men utan specifika anvisningar (dvs. icke-preskriptiva) för hur åtgärden ska utföras. Detta resulterar vanligtvis i att man identifierar uppgifter som måste utföras, men utan att detaljstyra hur uppgiften ska utföras.
För att fortsätta bilanalogin, om den valda taktiken är ”förebyggande underhåll”, skulle det finnas många olika tekniker som skulle kunna användas för att utföra denna taktik, t.ex. byte av olja, rotation av däck, byte av bromsar osv. Dessa tekniker beskriver de allmänna uppgifter som måste utföras, men ger inga specifika instruktioner för hur de ska utföras. Vi kommer att välja ”byta olja” som den teknik vi är intresserade av och kommer att använda för att diskutera procedurer.
Procedurer
Procedurer är specifika detaljerade instruktioner och/eller anvisningar för att utföra en uppgift. Procedurer omfattar alla nödvändiga steg som krävs för att utföra en specificerad uppgift, men utan några överväganden på hög nivå eller bakgrund till varför uppgiften utförs. Prioriteten för förfaranden är att säkerställa fullständiga detaljerade instruktioner så att en uppgift kan utföras korrekt av alla som är kvalificerade att följa anvisningarna.
För att fullfölja vår bilanalogi skulle förfarandena för att genomföra tekniken för ”oljebyte” vara specifika för den bil som ska underhållas. Detta skulle innefatta all information om bytesfrekvens, typ av olja, typ av filter, placering av avtappningspluggen, nödvändiga verktyg osv. Procedurerna bör vara sådana att vem som helst (ja, nästan vem som helst) skulle kunna utföra den beskrivna uppgiften med hjälp av dessa anvisningar.
Presenterar man Taktik, Teknik och Förfaranden som en hierarki kan det hjälpa till att visualisera relationerna mellan dem. För att uppnå den önskade taktiken kommer det att vara nödvändigt att använda en eller flera tekniker. För att fullborda de önskade teknikerna kommer det att behövas ett eller flera förfaranden att följa. Det som skiljer ”avancerade” hotbildsaktörer från andra är deras förmåga att genomföra nya tekniker eller sofistikerade förfaranden som inte lätt kan kopieras av andra, även om deras taktik i stort sett är densamma som andras.
Hur förhåller sig detta till ”cyber”?
Samtidigt som TTP har använts för att beskriva konventionell krigsföring kan det också vara mycket användbart för att beskriva cybersäkerhet. Lyckligtvis är MITRE ATT&CK Matrix redan utformad på ett sätt som utnyttjar denna struktur och utgör en utmärkt enda källa för säkerhetsbaserade TTP:er.
Kolumnrubrikerna representerar de olika taktiska metoderna på hög nivå (markerade med rött) som en angripare utnyttjar som en del av cykeln för cyberattacker. De enskilda posterna i matrisen under taktikerna representerar teknikerna (markerade i grönt). Som vi tidigare diskuterat finns det för varje taktik ett stort antal tekniker förtecknade. När du klickar på en teknik kommer du till en sida med ytterligare information om tekniken, inklusive exempel på hur den verkligen används av illasinnade aktörer. Dessa exempel representerar de förfaranden som används och ger en detaljerad analys av de exakta åtgärder som vidtas och de resurser som används. Förfaranden kan också ses som specifika hash-koder eller exakta verktyg och kommandorader som används för specifik skadlig verksamhet. MITRE ATT&CK ger en lättillgänglig TTP-uppdelning när det gäller datorsäkerhet.
För att en angripare till exempel ska kunna få tillgång till datorer eller resurser i nätverket som inte finns på deras ursprungliga fotfäste, måste de använda sig av taktiken för lateral förflyttning. En populär teknik är att använda de inbyggda administrativa delarna i Windows, C$ och ADMIN$, som en skrivbar katalog på fjärrdatorn. Ett tillvägagångssätt för att genomföra denna teknik kan vara att använda SysInternals PsExec-verktyget, som skapar en binär fil för att utföra ett kommando, kopierar den till en Windows Admin Share och startar en tjänst från denna Share. Att blockera SysInternals PsExec-verktyget tar inte helt bort risken med Windows Admin Shares-tekniken; en angripare kan helt enkelt använda en annan procedur, t.ex. net use eller PowerShell-cmdletten Invoke-PsExec. Det är viktigt att förstå hur specifika angrepp och defensiva motåtgärder är när man utvärderar effektiviteten av säkerhetskontroller.
Varför spelar detta roll?
Och varför spelar denna gamla militära jargong någon roll i en modern datorstyrd värld, förutom för att försöka förtydliga användningen av ”TTP”? Faktum är att detta tillvägagångssätt för att förstå skadlig verksamhet kommer att göra dig till en bättre angripare eller försvarare. Att kunna dela upp komplicerade attacker i TTP:er kommer att göra det mycket lättare att upptäcka eller replikera attackerna.
En förståelse för de olika taktikerna inom informationssäkerheten kommer att hjälpa till att planera ut eventuella områden med brister i din personliga erfarenhet av företagsmiljön och kan fokusera ansträngningarna på de områden där du för närvarande kan sakna kunskap/täckning. Till exempel är ”Assume Breach”-mentaliteten en insikt om att effektiv cybersäkerhet måste erkänna de andra taktiker som används av angriparna, i stället för att helt och hållet fokusera på att förhindra det första intrånget. Detta perspektiv på hög nivå kommer att bidra till att förhindra en försummelse i någon del av säkerhetsprogrammet.
Att förstå skillnaden mellan tekniker och förfaranden är också otroligt viktigt. Många verktyg för nätverkssäkerhet och hotinformation fokuserar på de specifika förfaranden som används av en aktör (t.ex. verktygshashes, filnamn och C2-domäner/IP:er) snarare än på den övergripande teknik som används. Det händer ibland att säkerhetssamfundet kallar något för en ny teknik, när det snarare borde kallas ett nytt förfarande för en befintlig teknik. Att känna till den underliggande tekniken och kunna anpassa specifika förfaranden gör dig till en bättre operatör, oavsett vilken roll du fyller.
Som det gamla ordspråket säger ”Ge en man en fisk och du ger honom mat för en dag. Lär en man att fiska och du ger honom mat för hela livet.” När man överväger nätverksförsvar är att ge en fisk detsamma som att fokusera på bräckliga indikatorer från angriparförfaranden (som hash och specifika IP:er). Det kan uppfylla dina behov tillfälligt, men dess effektivitet kommer att vara kortvarig. Att lära att fiska är att fokusera på den Teknik som används, förstå tekniken och beteendena i samband med en attack och skapa motståndskraftiga motåtgärder som kommer att fungera även när angriparen anpassar sig eller skapar nya Procedurer.
Förhoppningsvis var det här inlägget till hjälp när det gällde att förtydliga skillnaden mellan Taktik, Teknik och Procedurer samt att belysa fördelen med att förstå varje term.