Кирилл Митрофанов, Лаборатория Касперского: Бинарной оценки покрытия техник MITRE ATT&CK уже недостаточно

Последние несколько лет стали знаковыми для отечественного кибербеза. Российские компании столкнулись с огромным количеством атак от хактивистов, финансово мотивированных злоумышленников и APT-группировок. Успешно справляться с этими угрозами помогают продукты «Лаборатории Касперского»: Kaspersky Threat Intelligence Portal и Kaspersky OpenTIP. Возможности этих решений мы обсудили с Кириллом Митрофановым, руководителем команды аналитики разведки киберугроз.

Кирилл, что такое ландшафт угроз (он же Threat Landscape)? Что оценивается в нём и какие пути его построения существуют?

К. М.: Ландшафт угроз (Threat Landscape) — это готовый результат всестороннего анализа киберугроз, который в первую очередь опирается на разведывательные данные (Threat Intelligence). И эти данные должны быть связаны с потенциальными противниками: их характеристиками, тактиками, техниками, процедурами (TTPs), которые злоумышленники используют в кибератаках против организаций.

Качественный ландшафт угроз создаётся в рамках вводных «страна — индустрия — платформа». То есть он должен обязательно быть актуальным и учитывать особенности региона, отрасли, а также ИТ-инфраструктуры определённой организации. Для этого мы собираем в режиме реального времени данные об активности злоумышленников, атакующих конкретную страну и индустрию, оцениваем их инструментарий — тактики, техники и процедуры. Дальше с помощью машинного обучения обрабатываем полученную информацию, анализируем данные и, собственно, выстраиваем ландшафт угроз для заказчика.

Мы работаем с матрицей ATT&CK от MITRE, которая де-факто является международным стандартом в части описания TTPs атакующих. Чтобы показать распространённость той или иной техники, мы используем  градиент: часто используемые окрашиваются тёмно-синим цветом, а самые редкие — светло-синим. При необходимости неактуальные техники можно скрыть.

То есть данные в Threat Landscape обновляются в режиме реального времени и всегда актуальны?

К. М.: Да, всё верно. Для построения ландшафта киберугроз вендоры могут использовать два подхода. Первый подразумевает сбор данных из открытых источников. Речь об исследованиях активности различных группировок и вредоносных кампаний, которые регулярно выпускают ИБ-вендоры. Но такие отчёты зачастую публикуются с большой задержкой — иногда через два-три месяца после обнаружения вредоносной активности. Второй — работу со статическими данными в базах данных угроз, например MITRE, которая обновляется дважды в год — весной и осенью. То есть некоторые вендоры используют информацию, которая быстро устаревает.

Мы же решили формировать Threat Landscape на основе данных, которые ежедневно поступают в нашу лабораторию. Это огромный поток уникальных вредоносных файлов, около  полумиллиона образцов в сутки. Они обрабатываются нашими внутренними роботами, проходят через движки атрибуции и песочницы. Мы агрегируем все собранные сведения в нашей большой базе данных Threat Intelligence (TI).

Ландшафт угроз, построенный для конкретной индустрии и страны в Kaspersky Threat Intelligence Portal, является актуальным на сегодня. Во многом это благодаря тому, что его обновление полностью автоматизировано. Источник данных — огромный поток вредоносных семплов, поступающих в нашу инфраструктуру каждый день. Это порядка полумиллиона уникальных файлов. И эта цифра постоянно растёт.

Угрозы, актуальные для банка, в случае с АСУ ТП окрасятся в серый цвет? То есть будут нерелевантны для промышленности?

К. М.: Некоторые угрозы действительно могут быть актуальны только для конкретных индустрий. Поэтому маловероятно, что все техники, которые используются в кибератаках на финансовые организации, мы увидим, скажем, в кампаниях, нацеленных на химическую промышленность или энергетику. У каждой отрасли есть своя специфика, соответственно, существует специфическое вредоносное ПО, которое атакует внутреннюю инфраструктуру. В разделе Threat Landscape на нашем Threat Intelligence портале мы отображаем только те техники, которые соответствуют определённой стране и индустрии. Также можно настроить фильтр по инфраструктуре. 

Злоумышленники постоянно совершенствуют свои методы, и обычного анализа логов операционной системы становится недостаточно для предотвращения атаки. Возникает логичный вопрос: какой продукт нужен именно моей организации для защиты от конкретных TTPs (тактик, техник и процедур — прим. ред.)?

К. М.: Чтобы ответить на этот вопрос, в первую очередь нужно построить ландшафт киберугроз. Это позволит организации определить набор релевантных техник, используемых злоумышленниками, от которых ей необходимо защищаться.

Далее важно понять, какие решения смогут наиболее эффективно защитить организацию от этих техник. Например, наши заказчики могут использовать для этого покрытие матрицы MITRE ATT&CK в продуктах «Лаборатории Касперского». Это новая функциональность, которая доступна абсолютно всем на бесплатном портале Kaspersky OpenTIP.

В этом разделе можно выбрать интересующие защитные продукты из нашего портфеля и посмотреть, какие техники и насколько эффективно они закрывают. Выбрав, например, EDR и NDR, пользователь увидит, что по ширине (доля техник, которую охватывают продукты), покрытие составляет 58%, но этот показатель можно улучшить до 70%, если выбрать ещё SIEM и Sandbox. А по глубине (насколько хорошо выбранный продукт детектирует технику) — 71%, и его можно поднять до 84%.

Не только российские, но и мировые вендоры используют бинарный подход к покрытию техник, то есть дают оценку по ширине. Вы решили пойти по другому пути: разработали собственную — более комплексную — методологию. В чём её принципиальное отличие?

К. М.: В портфеле других вендоров действительно нет подобных решений. Все, как правило, «рисуют» матрицу с покрытием по ширине, используя булеву логику. Она довольно проста и понятна, но не даёт заказчику полную картину. При таком подходе наличие одного детектирующего правила означает покрытие всей техники, и вендоры бинарно закрашивают «кубики» с соответствующей техникой. Одно правило — техника закрыта, переходим дальше. На наш взгляд, этого недостаточно.

Мы всегда ориентируемся на качество. Бинарная логика покрытия техник злоумышленников защитными решениями не даёт заказчикам полноценного контекста — это нас не устраивало. Именно поэтому мы решили принципиально изменить подход и предложили рынку новую методологию и визуализацию покрытия.

Перед нами стояла задача показать, насколько качественно каждый из наших продуктов покрывает ту или иную технику, так как покрытия техник злоумышленников лишь по ширине сегодня уже недостаточно. Для этого мы разработали собственную методологию оценки, в которой используем два критерия. Вдобавок к ширине мы также учитываем и глубину покрытия техник MITRE ATT&CK каждым из продуктов, которую рассчитываем по математической формуле.

Результатом оценки покрытия техник является числовой коэффициент от 1 до 8 и цветной градиент, отображающий эффективность покрытия. То есть мы красим не «кубики», а 8-ступенчатую шкалу. Это позволяет учитывать не только сам факт покрытия техники, но и возможности продуктов. Другими словами, насколько эффективно решение может обнаруживать ту или иную технику. Кроме того, наш подход также учитывает количество правил детектирующей логики для каждого продукта.

Это наше ноу-хау, которое, уверены, поможет заказчикам по-новому взглянуть на защиту ИТ-инфраструктуры.

Почему, на ваш взгляд, недостаточно традиционного, бинарного, подхода — когда вендоры просто окрашивают «кубики» с техникой?

К. М.: Злоумышленники постоянно совершенствуют свои инструменты и подходы в рамках достижения целей тактики. Они могут реализовать одну технику множеством различных процедур. Это справедливо для абсолютно всех техник в матрице MITRE.

Например, фишинг. Метод один, а способов реализации этого вектора атаки может быть бесконечное множество: через сторонние сервисы, почтовые вложения и другие. Ещё один пример — автозапуск при входе в систему. Существует немало способов, которыми злоумышленники могут использовать эту технику, чтобы закрепиться на хосте. И, соответственно, нужно на каждый такой способ создавать свою детектирующую логику, покрывая эту технику в глубину, а не только в ширину. 

В случае же с бинарной покраской «кубиков» на матрице MITRE заказчику непонятно: за этим закрашенным «кубиком» скрывается одно правило с детектирующей логикой или 20?

Почему зачастую для защиты от одних и тех же угроз необходимо несколько продуктов (например, и EDR, и NDR)?

К. М.: Несколько решений будут дополнять друг друга, что  увеличит вероятность обнаружить потенциально вредоносные действия.

В детектировании атак помогают SIEM-системы, например KUMA (Kaspersky Unified Monitoring and Analysis Platform). Решения этого класса обеспечивают мониторинг всей инфраструктуры — благодаря сбору журналов событий с конечных точек и работе корреляционного движка.

Но выстраивание мониторинга событий — это лишь первый шаг для эффективного детектирования кибератак. Далее необходимо исследовать наиболее приоритетные техники и написать для них детектирующую логику. Благодаря градиенту в разделе Threat Landscape их довольно просто определить.

Решения класса EDR и NDR играют в инфраструктуре достаточно значимую роль. Они позволяют покрыть по глубине порядка 80% матрицы MITRE.

Если организация использует решение только одного класса, то оно будет детектировать ограниченный набор процедур, реализующих технику для достижения целей тактики. А решение другого класса сможет его дополнить и максимально покрыть технику.

Расскажите на конкретном примере, как матрица показывает, какие именно ваши продукты (например, Sandbox, EDR) обеспечивают обнаружение и блокирование TTPs злоумышленников?

К. М.: Рассмотрим технику получения учётных данных. У нас есть продукт Kaspersky EDR Expert. Рядом с каждой техникой в Kaspersky OpenTIP есть значок, который как раз показывает, какой именно продукт и как покрывает ту или иную технику. Каждому решению присваивается скоринг (баллы — прим. ред.).

В зависимости от возможностей продукта и количества правил с детектирующей логикой скоринг либо повышается, либо понижается. Он считается по сложной математической формуле, значение варьируется от 0 до 1 и умножается на 8. Благодаря этой формуле мы можем показать, как конкретный продукт покрывает ту или иную технику.

Например, подмену электронной почты можно детектировать с помощью SIEM, а с EDR и NDR нельзя, поэтому в данном случае будет стоять прочерк.

Давайте перейдём к практике. Будет ли ваша матрица полезна CISO?

К. М.: Это фича, скорее, для SOC-менеджеров и аналитиков третьей линии. Мониторить угрозы, правильно приоритизировать детектирующую логику в SIEM-системах и других продуктах, проводить проактивный поиск угроз — это их задачи.

CISO же, например, может использовать эту матрицу для построения дорожной карты развития ИБ в организации. Опираясь на составленный ландшафт угроз, можно подобрать необходимые продукты для успешного покрытия техник, а также убедиться в соответствии систем ИБ существующему ландшафту угроз. Упрощается приоритизация: становится легче разобраться, какие средства защиты надо поставить в первую очередь. Например, если мы говорим об ограниченном бюджете, то можем не брать сразу Sandbox, SIEM или NDR, а ставить, например, EDR, который тоже будет эффективно закрывать большую часть ландшафта угроз.

Ландшафт угроз и матрицу покрытия можно использовать для обоснования выбора защитных мер перед владельцем бизнеса или тендерным комитетом, отвечая на вопрос, почему нужно приобрести тот или иной продукт.

Какие ваши планы по развитию этого инструмента в будущем?

К. М.: Следующий этап — интеграция матрицы с ландшафтом киберугроз в Kaspersky Threat Intelligence Portal. Просто настроив фильтр в Threat Landscape, пользователи смогут в интерактивном режиме оценивать эффективность покрытия техник злоумышленников различными продуктами для разных индустрий.

Хотел бы сделать анонс: в конце года на портале Kaspersky Threat Intelligence появится новый раздел — «Хранилище хантов». В нём можно будет посмотреть информацию по детектирующей логике нашего продукта класса EDR и оценить его возможности по поиску угроз в инфраструктуре. Заключительный этап этого большого обновления намечен на 2026 год: мы планируем расширить список продуктов для покрытия техник, а в «Хранилище хантов» также появится описание детектирующей логики по другим нашим решениям: NDR, Sandbox, KUMA.

Благодаря этим обновлениям у заказчиков будет более полное понимание того, как именно мы защищаем от той или иной техники.

Кирилл, спасибо за столь подробное и интересное интервью! Удачи вам в развитии всех ваших продуктов!