Tattiche, tecniche e procedure (TTPs) nell'ambito dell'intelligence sulle minacce informatiche

-

TTPs è un acronimo di cui molti stanno iniziando a sentire parlare all'interno dei team di sicurezza informatica, ma pochi sanno e comprendono come usarlo correttamente all'interno di una soluzione di cyber threat intelligence. Le tattiche, le tecniche e le procedure (TTPs) riguardano il modo in cui i threat agent (i cattivi) ordiscono e gestiscono gli attacchi. "Tattiche" è talvolta chiamato anche "strumenti" nell'acronimo. In particolare, i TTPs sono i "modelli di attività o metodi associati a uno specifico attore della minaccia o a un gruppo di esecutori della minaccia", secondo la Definitive Guide to Cyber ​​Threat Intelligence .

L'analisi dei TTPs aiuta nelle operazioni di controspionaggio e sicurezza rispondendo al modo in cui gli agenti delle minacce eseguono gli attacchi. Le azioni correlate alla maturazione del TTP includono, ma non sono limitate a quanto segue:

 

  • Triage rapido e contestualizzazione di un evento o incidente correlandolo a TTPs di esecutori o gruppi noti, potenzialmente correlati ad un attacco.
  • Supportare il processo investigativo fornendo probabili percorsi di ricerca e focalizzazione, basati su precedenti TTPs utilizzati in un'operazione o in un attacco.
  • Supportare l'identificazione di possibili fonti o vettori di attacco.
  • Supportare la risposta agli incidenti e l'identificazione delle minacce e i processi di mitigazione aiutando a identificare quali sistemi potrebbero essere compromessi.
  • Supporta esercizi di modellazione delle minacce assistendo con l'analisi dei controlli e l'integrazione per difendersi dalle TTPs di agenti di minaccia noti.

Considerando le affermazioni precedenti, il seguente esempio aiuta a illustrare come l'analisi delle TTP può aiutare nella gestione del rischio e nella risposta agli incidenti:

Il target di un tentativo di attacco riceve un allegato e-mail ostile contenente un exploit zero-day e un payload per installare nuovo malware sconosciuto. Questo attacco è stato eseguito da un gruppo di stato-nazione che ha costantemente preso di mira obiettivi del Dipartimento della Difesa degli Stati Uniti utilizzando TTPs simili fino ad oggi.

I TTPs aiutano a stabilire l'attribuzione della responsabilità ad uno specifico avversario di uno stato straniero. Ciò aiuta anche a comprendere ciò che stanno cercando: informazioni classificate sulla politica e sul governo di interesse per gestire la guerra informatica. I potenziali obiettivi vengono identificati anche sulla base di quelli precedenti, osservati nella campagna e dei potenziali obiettivi futuri.

 

Tecnicamente, le TTPs aiutano anche a identificare un vettore comune di attacco: la posta elettronica con un exploit e un payload zero-day ostili. Ciò aiuta a posizionare in modo proattivo gli attacchi in corso da questa campagna, come la revisione e la modifica dei criteri relativi a Windows Data Execution Prevention (DEP), l'uso di Sandboxie come livello di applicazione virtualizzato per l'endpoint per l'apertura di file sospetti, una revisione della possibile protezione dell'endpoint soluzioni e così via. Questa concentrazione eccessiva per gli obiettivi noti e potenziali di tale campagna aiuta il personale IT e di sicurezza a rafforzarsi proattivamente contro gli attacchi, nonché a ridurre al minimo i danni nel caso in cui si verifichi un incidente attraverso esercizi di ricerca delle minacce e ulteriori indagini.  

 

Quando si verifica un incidente, le TTPs relative a quell'incidente aiutano a stabilire la potenziale attribuzione e una relativa struttura di attacco. Questo a volte può aiutare un team a identificare probabili vettori e carichi utili e altre informazioni di grande valore in un periodo di tempo molto breve. Ad esempio, se si sa che l'attacco per una campagna coinvolge comunemente dati C&C codificati in base64 da una pagina di risposta apparentemente innocua su un server remoto, il team di risposta agli incidenti può cercare specificamente quel tipo di dati che altrimenti sarebbero stati persi.



L'esempio sopra rivela come le TTPs possono aiutare nella contestualizzazione delle minacce, oltre a guidare la ricerca e la risposta rapide. Le TTPs post-incidente continuano a essere un elemento essenziale del processo di intelligence sulle minacce informatiche, aiutando la ricerca e la risposta in modo strategico. Le lezioni apprese, ulteriori ricerche sulla campagna e sui relativi dati sugli attacchi, ecc., Aiutano a maturare una comprensione delle TTPs e consentono l'implementazione di misure e controlli più proattivi per gli attacchi futuri che utilizzano tali TTPs.

 

Le TTPs vanno al di là di quanto visto in ambito forense in un incidente. Prima di un incidente viene effettuata la ricognizione da parte degli agenti delle minacce, una fase spesso non segnalata a causa della mancanza di visibilità o delle capacità di rilevamento e segnalazione complessive. Inoltre, la ricerca e lo sviluppo e le comunità di agenti di minaccia rivelano anche ulteriori TTPs di interesse. Ad esempio, TTPs aggiuntive che possono essere maturate nel tempo per una campagna possono includere dati aggiuntivi come i seguenti:

 

  • Agenti di minaccia correlati che corrispondono con gli agenti di minaccia di interesse in una campagna o attacco in corso (ad es. Con chi chattano nei forum, amici online, "urla" anche su siti Web privati, hanno foto sui loro siti, ecc. .?).
  • TTP come gli strumenti sono spesso condivisi o venduti nei forum di hacking e in gruppi privati ​​su DarkWeb. Sapere quali strumenti vengono utilizzati e come vengono sfruttati e sviluppati può aiutare nelle contro-azioni. Ad esempio, se un hacker sa che vengono segnalati cinque tentativi falliti di accesso a un server, può utilizzare uno strumento configurato per tentare solo quattro accessi di forza bruta sul desktop remoto prima di avviare una nuova sessione, evitando così il rilevamento. Una controazione a questo TTPs consiste nell'abbassare la soglia per la registrazione dei tentativi di accesso non riusciti (ad esempio, tre tentativi non riusciti danno come risultato un registro e un avviso nel SIEM).
  • I TTP possono aiutare con rischi predittivi o emergenti, come la condivisione di un exploit zero-day su un forum integrato in un bot per attacchi eCrime. Questo tipo di informazioni basate su DarkWeb TTPs è utile per assistere le decisioni basate sull'azione come le priorità delle patch e le patch di emergenza.
  • Ricerche dettagliate su payload e log (ad es. Analisi forense di incidenti e reverse engineering di malware) rivelano anche TTP di interesse, come passaggi o azioni intraprese da attori o codice durante l'attraversamento di una rete o l'estrazione di dati. Queste informazioni possono quindi essere utilizzate per aumentare la visibilità, la registrazione e / o la mitigazione delle minacce.

 

I TTPs sono molteplici, in una varietà di modi, spesso focalizzati su ruoli o aree di ricerca specifici. Ad esempio, un'unità che si concentra sullo sfruttamento delle vulnerabilità farà molto affidamento sui TTPs tecnici relativi a exploit e payload in termini di come contestualizzano e classificano gli attacchi, nonché su come si possano ricondurre agli agenti di minaccia. Lo stesso vale per un'unità che si concentra sulla ricerca e la risposta al malware, sull'analisi forense e così via.

 

Per confrontare le TTPs e sfruttarle all'interno del processo di intelligence sulle minacce informatiche, devono essere archiviate in modo efficiente e applicabile. Questo spesso include un set di dati inter-relazionali cross-correlato all'interno di una piattaforma di intelligence sulle minacce, che semplifica l'orchestrazione della ricerca e della risposta all'interno di un'organizzazione. Dovrebbe anche coinvolgere analisti delle minacce dedicati ed esperti che maturino una comprensione a mio parere anche psicologia "umanistica" degli autori e delle TTPs associate sia nella risposta reattiva che strategica a seguito di un incidente. 

Commenti

Posta un commento

Post popolari in questo blog

Crack pagina di accesso basata sul Web con Hydra in Kali Linux

-
Immagine
Una password è tecnicamente definita come una stringa segreta di caratteri utilizzata per autenticare o accedere alle risorse. Deve essere tenuto segreto e nascosto ad altri a cui non è consentito accedere a tali risorse. Le password sono state utilizzate con i computer fin dai primi giorni dell'informatica. Uno dei primi sistemi di condivisione, è stato introdotto nel 1961. Aveva un comando di accesso che richiedeva una password utente. Dopo aver digitato “PASSWORD”, il sistema spegne, se possibile, il m eccanismo di stampa, in modo che l'utente possa digitare la propria password con riservatezza. La forza di una password è una funzione della lunghezza, della complessità e dell'imprevedibilità. Misura l'efficacia nel resistere a indovinare o romperlo. Le password deboli, d'altra parte, accorciano il tempo necessario per indovinare e ottenere l'accesso a e-mail personali/aziendali, dati sensibili come informazioni finanziarie, informazioni aziendali, carte di cr
Read more »

Smart Working ai tempi del Covid 19

-
Vi è un aspetto interessante nato durante la pandemia di Covid-19 e che ha rappresentato una svolta epocale dal punto di vista della gestione e la pianificazione delle attività lavorative. Molte aziende hanno dovuto adeguarsi alla necessità di salvaguardare la salute dei propri dipendenti, attuando politiche di tele lavoro concilianti anche con dinamiche di welfare aziendale. Tuttavia questo approccio ha portato ad un paradosso che è stato quello di confondere il tele lavoro con lo smart working e il lavoro agile. Tale distorsione nasce in primo luogo da una base culturale delle imprese, i
Read more »