Проект mitre att&ck для soc АСУ ТП 2018/31... · 2018. 11. 30. · tristation...
TRANSCRIPT
Антон Шипулин
Проект MITRE ATT&CK для SOC АСУ ТП
►Industrial Cybersecurity Business Development at Kaspersky Lab
►Co-Founder of ICS Cyber Security community RUSCADASEC
►Coordinator at Industrial Cybersecurity Center (CCI)
►Certified SCADA Security Architect (CSSA), CISSP, CEH
►@shipulin_anton
Who am I
Kill Chain – И что с этим делать? 😕😕
Kill Chain – И что с этим делать? 😕😕
Детализировать! - MITRE ATT&CK
MITRE Enterprise ATT&CK (Windows, Linux, macOS)
https://attack.mitre.org
Initial Access +
Каждая техника:
►Тактика / цель
►Хакерская группа
►Используемые инструменты
►Способы предотвращения
►Способы детектирования
►Источники данных
Источники:
►Отчеты реальных кибератак
►Публичные исследования
►Комьюнити вклад
MITRE Enterprise ATT&CK – Источники данных для детектирования
https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK
Endpoint Data Network Data
►Готовить Ханты/Детекты/Аналитики для EDR/IDS/SIEM/SOC
• Cyber Analytics Repository (MITRE CAR)
• Тимур Хеирхабаров (Kaspersky Lab)
• https://www.slideshare.net/heirhabarov
►Моделировать сценарии атак для Red Team
• Adversary emulation plans
• Breach & Attack Simulation (BAS) tools
• e.g. RedHunt-OS:
• https://github.com/redhuntlabs/RedHunt-OS
►Тестировать системы и средства защиты
►Поставлять Ханты/Детекты/Аналитики в рамках TI сервисов
MITRE ATT&CK – А что делать с этим?
https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
The Pyramid of Pain
MITRE ICS ATT&CK
https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
MIT
RE
Ent
erpr
ise
ATT&
CK
M
ITR
E IC
SAT
T&C
K
https://www.acsac.org/2017/workshops/icss/Otis-Alexander-ICS,%20Adversarial%20Tactics,%20Techniques.pdf
►Дополнительные цели / Тактики Техпроцесс!
►Дополнительные Техники и Ханты/Детекты/Аналитики
►Меньше доступных и другие источники данных
Endpoint Data на разных уровнях и этапах
► Powershell, Pyton
► SSH clients (Putty/Plinks)
► Netcat/Cryptocat
► Mmikatz, PsExec
► AdExplorer, ShareEnum, PsGetSid
► Nmap, iPerf
► Trilog.exe
Network Data на разных уровнях и этапах
► DNS
► SSH
► RDP
► RPC/SMB (PsExec)
► HTTP (Webshell)
► TCP/UDP (Nmap, iPerf)
► VPN
► Tristation (UDP) https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
TRITON: Атака на систему противоаварийной защиты (ПАЗ)
Дополнительные цели / Тактики
https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297
≠
MITRE ICS ATT&CK
►Отчеты о расследовании инцидентов/аварий
►Публичные и заказные исследования
►Отраслевые стандарты
►Декларации безопасности
►Планы локализации и ликвидации аварийных ситуаций
►HAZOP (Hazard and Operability Study)
►PRA (Probabilistic Risk Assessment),
►FMEA (Failure Mode and Effects Analysis)
Источники Техник и Хантов/Детектов/Аналитик для MITRE ICS ATT&CK
Consequence-driven Cyber-informed Engineering (CCE)
Дополнительные Техники
Пример реального инцидента: Industroyer/CrashOverride
Пример реального инцидента: Stuxnet
Пример реального инцидента: Maroochy
►Могут быть не доступны Enterprise источники данных
►Endpoint Data
• Endpoint protection (специализированные решения)
• Industrial software logs
• Industrial devices (PLC/DCS/RTU) logs
►Network Data
• Network Security Monitoring (NSM) with Industrial DPI
Дополнительные источники данных для детектирования
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
Threat Intelligence пример: DNP3 extension для STIX
https://www.youtube.com/watch?v=pX5rdZnRXtQ
S4x17 talk: STIX and Your Security Controls
The research is still in progress… ⌛
Сравним?
http://www.bdu.fstec.ru/threathttps://attack.mitre.org