OSCD Sprint #2: Simulation, Detection & Response
Прошло много времени с первого спринта OSCD, посвященного обнаружению угроз. На этот раз мы сосредоточимся на нескольких областях практической кибербезопасности. Подробный список задач можно найти здесь. Ниже приведено общее описание спринта и направлений.
Цели
- Улучшить покрытие фреймворка MITRE ATT&CK правилами проекта Sigma и тестами Atomic Red Team- Улучшить обоюдное покрытие правил Sigma и тестов Atomic Red Team
- Улучшить покрытие фреймворка ATC RE&CT модулями реагирования (Responders) проекта TheHive
План
1. Двухнедельный спринт начинается 5 Октября 2020 года2. Участники выбирают задачи из бэклога или предоставляют/разрабатывают иную аналитику
3. Участники опираются на специальное руководство с описанием рабочего процесса
4. Результаты будут собраны, проверены и добавлены в репозитории проектов на GitHub
Threat Detection
Существует проект Sigma — Общий формат сигнатур для SIEM систем. Он включает в себя конвертор, который генерирует поисковые запросы для различных SIEM систем, а также набор правил обнаружения.Со временем набор правил обнаружения проекта Sigma стал самым большим (более 600 правил) и зрелым набором правил обнаружения, управляемым сообществом. В нем вы можете найти правила обнаружения для новых угроз (например, для эксплойта Windows DNS Server RCE CVE-2020-1350), утилит для эмуляции угроз (Empire, Cobalt Strike), вредоносного поведения (Token stealing), и многое другое. Большинство правил имеют привязку к фреймворку MITRE ATT&CK.
Даже если вы не используете конвертор Sigma, вы можете извлечь выгоду из его обновляемого набора правил обнаружения угроз. Большинство продвинутых команд по безопасности подписаны на обновления проекта Sigma на GitHub. Это отличное время чтобы подписаться, если вы этого еще не сделали.
В наборе правил обнаружения проекта Sigma есть критичные пробелы, в то же время в публичном доступе существует множество достойных исследований по обнаружению угроз, материалы которых пока не были добавлены в набор правил проекта. Это то, на чем мы решили сосредоточиться. Детальный список задач по данному направлению можно найти здесь.
Adversary Simulation
Существует проект Atomic Red Team — набор портативных тестов для проверки возможностей по обнаружению угроз, с привязкой к MITRE ATT&CK. Он предоставляет командам по обеспечению защищенности возможность проверить меры защиты, посредством запуска "атомарных тестов", которые воспроизводят техники, используемые реальными злоумышленниками.Со временем, набор тестов проекта Atomic Red Team стал самым большим и зрелым набором тестов для эмуляции угроз, управляемым сообществом.
Для некоторых тестов эмуляции угроз проекта Atomic Red Team не существует соответствующего правила обнаружения в проекте Sigma. Это означает что у сообщества есть способ автоматизированно эмулировать несколько вредоносных техник с целью проверки мер их обнаружения, но нет правил для их обнаружения в публичном наборе проекта Sigma.
В то же время, существуют правила Sigma, для которых нет атомарных тестов в наборе проекта Atomic Red Team. Иными словами, у сообщества есть правила для обнаружения нескольких вредоносных техник, но нет тестов для эмуляции этих вредоносных действий с целью проверки работоспособности правил обнаружения в наборе тестов проекта Atomic Red Team.
Ниже представлено актуальное покрытие фреймворка ATT&CK аналитикой проектов Atomic Red Team и Sigma. Техники для которых существуют только правила Sigma отмечены синим цветом, тесты Atomic Red Team — красным, оба — фиолетовым (кликните чтобы раскрыть):
Microsoft Windows
Apple macOS
GNU/Linux
Это то, на чем мы решили сосредоточиться. Детальный список задач по данному направлению можно найти здесь.
Incident Response
Существует проект TheHive — наиболее мощная платформа для реагирования на инциденты с открытым исходным кодом. Она включает в себя модуль под названием Cortex — движок для анализа данных и активного реагирования на инциденты. Он функционирует посредством двух ключевых сущностей, которые называются Analyzers (Анализаторы) and Responders (модули Реагирования). Они представляют собой простые Python-скрипты, которые используют API для коммуникации со сторонними системами и выполнения определенных действий:- Анализаторы (Analyzers) предоставляют возможность анализировать данные (такие как IP-адрес, доменное имя, хеш-сумма файла и т.д.) посредством платформ киберразведки (например, MISP), систем анализа (например, Cuckoo Sandbox) и сервисов анализа (например, VirusTotal)
- Модули Реагирования (Responders) предоставляют возможность выполнять действия по реагированию (например, заблокировать доменное имя на сервере DNS, заблокировать IP-адрес на межсетевом экране), посредством запуска Python-скриптов
Со временем, сообщество разработало около 150 Анализаторов, которые предоставляют возможность автоматически анализировать большинство типов данных посредством большинства существующих платформ, систем и сервисов.
По какой-то причине, этого не произошло с Модулями Реагирования — на данный момент их всего 20, и они далеки от покрытия большинства общих сценариев с распространенными системами.
Ниже представлено актуальное покрытие фреймворка RE&CT Анализаторами и Модулями Реагирования платформы TheHive. Анализаторы сосредоточены на стадии Идентификации (Identification), а Модули Реагирования — на стадиях Сдерживания (Containment), Ликвидации (Eradication), и Восстановления (Recovery):
Текущее покрытие отмечено зеленым, потенциальное — желтым (кликните чтобы раскрыть)
Вот почему мы решили сосредоточиться на разработке Модулей Реагирования платформы TheHive. Детальный список задач по данному направлению можно найти здесь.
Результаты
- Разработали 287 правил Sigma. Участники OSCD разработали 242 правила и обновили 305 существующих (Pull Request). 45 новых правил добавили коллеги из OTR Community (Pull Request);- Разработали 23 теста Atomic Red Team и обновили 7 (Pull Request);
- Разработали 24 новых TheHive Responder'а для автоматизации действий реагирования в системах Palo Alto NGFW, Duo Security, Gmail и Azure Active Directory (Pull Request);
- Разработали 1 TheHive Analyzer для автоматизации анализа IOC и CVE посредством Vulners.com (Pull Request).
Мы второй раз увеличили набор правил проекта Sigma более чем на 30%.
Итоги опубликованы в статье на Medium.
Участники
🇺🇸 Грэг Хауэлл | | Open Threat Research |
🇺🇸 Хосэ Родригез | | Open Threat Research |
🇺🇸 Нэйт Нуагенти | | Open Threat Research |
🇺🇸 Патрик Джон | | Open Threat Research |
🇺🇸 Роберто Родригез | | Open Threat Research |
🇺🇸 Крейг Янг | | Tripwire |
🇺🇸 Даниэл Вайнер | | Независимый Исследователь |
🇺🇸 Харе Судхан | | Независимый Исследователь |
🇺🇸 Джэйми Флорес | | Независимый Исследователь |
🇺🇸 Джон Ламберт | | Microsoft |
🇺🇸 Джон Такнер | | Независимый Исследователь |
🇺🇸 Райан Плас | | Stage 2 Security |
🇷🇺 Денис Бею | | Независимый Исследователь |
🇷🇺 Дмитрий Учакин | | Kaspersky Lab/Vulners.com |
🇷🇺 Игорь Фиц | | Независимый Исследователь |
🇷🇺 Ильяс Очков | | Независимый Исследователь |
🇷🇺 Максим Конакин | | Независимый Исследователь |
🇷🇺 Наталия Шорникова | | IZ SOC |
🇷🇺 Теймур Хеирхабаров | | BI.ZONE SOC |
🇷🇺 Василий Буров | | Независимый Исследователь |
🇵🇱 Бартоломей Чиж | | Независимый Исследователь |
🇵🇱 Якоб Вайнзетл | | Tieto SOC |
🇵🇱 Матэуш Выдра | | Relativity |
🇵🇱 Тим Исмиляев | | Mana Security |
🇹🇷 Энсар Самиль | | Независимый Исследователь |
🇹🇷 Фуркан Калискан | | Ziraat Teknoloji |
🇹🇷 Семанур Гюнейсу | | DESTEL/SOC |
🇹🇷 Омар Гунал | | Независимый Исследователь |
🇦🇺 Джай Минтон | | Независимый Исследователь |
🇦🇺 Джонатан Чейонг | | Независимый Исследователь |
🇦🇺 Зак Стэнфорд | | CyberCX |
🇨🇦 Авнет Синх | | Независимый Исследователь |
🇨🇦 Мангатас Тонданг | | Независимый Исследователь |
🇫🇷 Грэгори Клермонт | | Независимый Исследователь |
🇫🇷 Набил Адуани | | TheHive/StrangeBee |
🇮🇳 Киран Кумар | | Независимый Исследователь |
🇮🇳 Омар Гудхат | | Независимый Исследователь |
🇦🇪 Виктор Сергеев | | Help AG |
🇦🇹 Дэвид Страбэггер | | Независимый Исследователь |
🇧🇷 Джонатан Рибейро | | Независимый Исследователь |
🇩🇪 Томас Пацке | | Sigma Project |
🇪🇸 Алехандро Ортуно | | Независимый Исследователь |
🇭🇺 Гиоргий Акс | | Cisco |
🇮🇱 Ели Салем | | Независимый Исследователь |
🇳🇱 Сэндер Вейбинг | | NFIR B.V. |
Даниил Югославский | | Atomic Threat Coverage |
🇸🇬 Глеб Суходольский | | Независимый Исследователь |