Weblogbericht | 01-04-2022 | NCSC

Wat is het Mitre ATT@CK Framework?

Voordat een organisatie een verdedigings- en detectiestrategie kan ontwikkelen, moet je eerst leren begrijpen hoe aanvallers tewerk gaan bij digitale aanvallen. Een organisatie dient te onderzoeken welke dreigingen voor zijn of haar organisatie reëel zijn. Wanneer die informatie er is, kun je uitzoeken welke tactieken en technieken tegenstanders gebruiken. De applicatie die daarbij kan helpen is het Mitre ATT&CK Framework.

ATT&CK staat voor “Adversarial, Techniques, Tactics and Common Knowledge”. Dit is een publieke kennisbank, ontwikkeld vanuit Mitre, met informatie over actoren (tegenstanders) en hun digitale Tactieken, Technieken en bijhorende Procedures.  Dit laatste wordt ook wel afgekort als TTPs. Naast de documentatie in deze kennisbank maakt het Mitre ATT&CK Framework tactieken en technieken te visualiseren in de Attack Navigator.

Tactieken, Technieken en Procedures

De TTPs documenteren het gedrag van een actor, waardoor je beter in staat bent digitale aanvalspatronen van actoren te herkennen en te identificeren. Met kennis over het gedrag van een actor begrijp je waarom een actor een doel wilt bereiken en hoe de actor dit doet. De Procedures beschrijven specifieke implementaties van technieken door actoren. Een voorbeeld hiervan is dat een tegenstander PowerShell gebruikt om lsass.exe te injecteren om credentials te achterhalen.

In de blog van collega Noortje, “Het ncsc en analysemodellen voor dreigingsinformatie”, verwijst ze naar de ‘pyramid of pain’. Hierbij geeft ze aan dat een tegenstander relatief makkelijk een IP-adres (Indicator of Compromise) kan wijzigen. Het is veel lastiger en arbeidsintensiever om delen van de aanvalsstrategie te wijzigen. Kennis hebben van de TTP voegt daarmee veel waarde toe aan de verdedigingsstrategie, omdat deze informatie minder vluchtig is.

Matrices

Nu we begrijpen dat het ATT&CK Framework een digitale kennisbank is van Actoren en TTPs, kunnen we deze visualiseren en ‘mappen’ op de verschillende matrices. De matrices vormen een overzicht van links naar rechts met alle tactieken. Onder de tactieken vind je (sub)- technieken. Het overzicht lijkt sterk op de Cyber Kill Chain van Lockheed Martin en zijn complementair aan elkaar. Het ATT&CK Framework geeft zelf aan dat hun beschrijving over hoe actoren te werk gaan meer gedetailleerd is. In afbeelding 3 wordt de deze opzet verduidelijkt:

Object Model Relations

De afbeelding 4 komt uit de “Mitre attack design and philosophy” en geeft de relaties worden tussen actoren, software, tactieken en technieken.

In dit voorbeeld gebruikt APT28 de software Mimikatz voor een Credential Dumping met als doel het verkrijgen van Credential Access . Als organisatie heb je geen controle over de actor APT28 en de software die ze inzetten om hun doel te bereiken. Je kunt wel mitigaties toepassen om de techniek die de groep gebruikt zo min mogelijk bruikbaar te maken waardoor het bereiken van hun doel veel lastiger wordt. Mitigerende maatregelen voor “Credential Dumping” zijn:

M1015	Active Directory Configuration	Manage the access control list for "Replicating Directory Changes" and other permissions associated with domain controller replication. [19] [20] Consider adding users to the "Protected Users" Active Directory security group. This can help limit the caching of users' plaintext credentials.[21]
M1040	Behavior Prevention on Endpoint	On Windows 10, enable Attack Surface Reduction (ASR) rules to secure LSASS and prevent credential stealing. [22]
M1043	Credential Access Protection	With Windows 10, Microsoft implemented new protections called Credential Guard to protect the LSA secrets that can be used to obtain credentials through forms of credential dumping. It is not configured by default and has hardware and firmware system requirements. [23] It also does not protect against all forms of credential dumping. [24]
M1041	Encrypt Sensitive Information	Ensure Domain Controller backups are properly secured.
M1028	Operating System Configuration	Consider disabling or restricting NTLM.[25] Consider disabling WDigest authentication.[26]
M1027	Password Policies	Ensure that local administrator accounts have complex, unique passwords across all systems on the network.
M1026	Privileged Account Management	Windows:Do not put user or admin domain accounts in the local administrator groups across systems unless they are tightly controlled, as this is often equivalent to having a local administrator account with the same password on all systems. Follow best practices for design and administration of an enterprise network to limit privileged account use across administrative tiers.[27] Linux:Scraping the passwords from memory requires root privileges. Follow best practices in restricting access to privileged accounts to avoid hostile programs from accessing such sensitive regions of memory.
M1025	Privileged Process Integrity	On Windows 8.1 and Windows Server 2012 R2, enable Protected Process Light for LSA.[28]
M1017	User Training	Limit credential overlap across accounts and systems by training users and administrators not to use the same password for multiple accounts.

Naast de mitigerende maatregelen beschrijft het Mitre ATT&CK Framework ook detectiemaatregelen. Het invoeren van deze detectiemaatregelen verhoogt de forensic readiness van uw organisatie en maakt helpt incident responders te achterhalen wat er is gebeurd bij een digitale aanval. Net zo belangrijk!

DS0026	Active Directory	Active Directory Object Access
DS0017	Command	Command Execution
DS0022	File	File Access
DS0029	Network Traffic	Network Traffic Content
		Network Traffic Flow
DS0009	Process	OS API Execution
		Process Access
		Process Creation
DS0024	Windows Registry	Windows Registry Key Access

U kunt in de tabel doorklikken naar de pagina’s van het Mitre ATT&CK Framework voor meer informatie over de mitigatie- en detectiemaatregelen.

Attack Navigator

De attack navigator is een web-based applicatie voor het uiteenzetten van tactieken en technieken in de matrix. Dit kunt u doen voor één of meer groepen. Doet u dit voor meerdere groepen dan maakt u de technieken zichtbaar die het meest worden gebruikt door een tegenstander. U kunt hierdoor gericht mitigerende maatregelen implementeren bij een digitale aanval en zodoende uw organisatie weerbaarder maken tegen de dreiging voor uw organisatie.

Andere Use Cases

Als de dreiging en bijhorende mitigatie- en detectiemaatregelen bekend zijn kun u aan andere use cases denken. Werk samen met andere bedrijven in uw sector om dreigingsinformatie en maatregelen te verrijken door middel van deze taxonomie. Voer verschillende emulaties uit en maak realistische Red team scenario’s en ontdek hiaten in de beveiliging en monitoring.  Neem dit, naast de basismaatregelen, ook mee op ontwerp- en architectuurniveau van uw IT-infrastructuur.

Conclusie

Het Mitre ATT&CK Framework is een publiek beschikbare kennisbank waarop het gedrag van actoren (TTPs) staat gedocumenteerd. Kennis hebben over TTPs is waardevol omdat het voor actoren veel lastiger is hun gedrag te veranderen dan onderdelen in hun infrastructuur. Deze kennis meenemen in uw dreigingsanalyse stelt u in staat gericht mitigatie- en detectiemaatregelen toe te passen op de Modus Operandi van actoren, dit naast de al te nemen basismaatregelen. In de volgende blog leggen wij uit hoe u de Attack Navigator kunt gebruiken om de gebruikte tactieken en technieken van actoren te stapelen. Dat helpt u met prioriteren op de mitigatie- en detectiemaatregelen ten aanzien van actoren in de dreigingsanalyse.

Jeroen van der Linde en Paul Vankan