Антон Шипулин

Проект MITRE ATT&CK для SOC АСУ ТП

►Industrial Cybersecurity Business Development at Kaspersky Lab

►Co-Founder of ICS Cyber Security community RUSCADASEC

►Coordinator at Industrial Cybersecurity Center (CCI)

►Certified SCADA Security Architect (CSSA), CISSP, CEH

►@shipulin_anton

Who am I

Kill Chain – И что с этим делать? 😕😕

Kill Chain – И что с этим делать? 😕😕

Детализировать! - MITRE ATT&CK

MITRE Enterprise ATT&CK (Windows, Linux, macOS)

https://attack.mitre.org

Initial Access +

Каждая техника:

►Тактика / цель

►Хакерская группа

►Используемые инструменты

►Способы предотвращения

►Способы детектирования

►Источники данных

Источники:

►Отчеты реальных кибератак

►Публичные исследования

►Комьюнити вклад

MITRE Enterprise ATT&CK – Источники данных для детектирования

https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK

Endpoint Data Network Data

►Готовить Ханты/Детекты/Аналитики для EDR/IDS/SIEM/SOC

• Cyber Analytics Repository (MITRE CAR)

• Тимур Хеирхабаров (Kaspersky Lab)

• https://www.slideshare.net/heirhabarov

►Моделировать сценарии атак для Red Team

• Adversary emulation plans

• Breach & Attack Simulation (BAS) tools

• e.g. RedHunt-OS:

• https://github.com/redhuntlabs/RedHunt-OS

►Тестировать системы и средства защиты

►Поставлять Ханты/Детекты/Аналитики в рамках TI сервисов

MITRE ATT&CK – А что делать с этим?

https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

The Pyramid of Pain

MITRE ICS ATT&CK

https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/

MIT

RE

Ent

erpr

ise

ATT&

CK

M

ITR

E IC

SAT

T&C

K

https://www.acsac.org/2017/workshops/icss/Otis-Alexander-ICS,%20Adversarial%20Tactics,%20Techniques.pdf

►Дополнительные цели / Тактики Техпроцесс!

►Дополнительные Техники и Ханты/Детекты/Аналитики

►Меньше доступных и другие источники данных

Endpoint Data на разных уровнях и этапах

► Powershell, Pyton

► SSH clients (Putty/Plinks)

► Netcat/Cryptocat

► Mmikatz, PsExec

► AdExplorer, ShareEnum, PsGetSid

► Nmap, iPerf

► Trilog.exe

Network Data на разных уровнях и этапах

► DNS

► SSH

► RDP

► RPC/SMB (PsExec)

► HTTP (Webshell)

► TCP/UDP (Nmap, iPerf)

► VPN

► Tristation (UDP) https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

TRITON: Атака на систему противоаварийной защиты (ПАЗ)

Дополнительные цели / Тактики

https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297

≠

MITRE ICS ATT&CK

►Отчеты о расследовании инцидентов/аварий

►Публичные и заказные исследования

►Отраслевые стандарты

►Декларации безопасности

►Планы локализации и ликвидации аварийных ситуаций

►HAZOP (Hazard and Operability Study)

►PRA (Probabilistic Risk Assessment),

►FMEA (Failure Mode and Effects Analysis)

Источники Техник и Хантов/Детектов/Аналитик для MITRE ICS ATT&CK

Consequence-driven Cyber-informed Engineering (CCE)

Дополнительные Техники

Пример реального инцидента: Industroyer/CrashOverride

Пример реального инцидента: Stuxnet

Пример реального инцидента: Maroochy

►Могут быть не доступны Enterprise источники данных

►Endpoint Data

• Endpoint protection (специализированные решения)

• Industrial software logs

• Industrial devices (PLC/DCS/RTU) logs

►Network Data

• Network Security Monitoring (NSM) with Industrial DPI

Дополнительные источники данных для детектирования

Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию

Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию

Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию

Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию

Threat Intelligence пример: DNP3 extension для STIX

https://www.youtube.com/watch?v=pX5rdZnRXtQ

S4x17 talk: STIX and Your Security Controls

The research is still in progress… ⌛

Сравним?

http://www.bdu.fstec.ru/threathttps://attack.mitre.org

Антон Шипулин

►ruscadasec.ru

►@shipulin_anton

Спасибо!