Professional Documents
Culture Documents
ATT&CK chỉ ra các chiến thuật kẻ tấn có thể sử dụng, giúp bạn hiểu cách họ tấn công
vào hệ thống của mình, từ đó tập trung kiểm soát bảo mật mục tiêu cần bảo vệ và
TTPs có thể xảy ra nhất. Sau khi hiểu được cách sử dụng các thông tin này (gọi là
cyber threat intelligence - CTI) thì bạn có thể bắt đầu các bước phân tích. Ngoài ra, để
kiểm tra khả năng phòng thủ thì bạn thực hiện giả lập tấn công, bằng các bước sau:
- Chọn ra một kỹ thuật tấn công.
- Chọn ra các test của kỹ thuật đó.
- Thực hiện kỹ thuật đó theo các bước trong quy trình.
- Phân tích hiệu quả phòng thủ.
- Đưa ra các biện pháp cải thiện khả năng phòng thủ.
MITRE khuyến nghị quy trình 5 bước để tự thực hiện kế hoạch giả lập tấn công:
- Tập hợp thông tin: chọn ra các tấn công có thể xảy ra với tổ chức, làm việc
cùng CTI team để phân tích các thông tin về kiểu tấn công đó.
- Map các thông tin CTI với Technique.
- Phân tích và tổ chức kế hoạch phù hợp với quy trình vận hành.
- Tìm kiếm hoặc phát triển công cụ được sử dụng trong Procedure tương ứng.
- Thực hiện giả lập tấn công.
Sau khi quy trình này diễn ra, các team có thể họp lại để xác định mối đe doạ tiếp theo
cần giả lập.
Sau khi đã hiểu về dữ liệu mình có, bạn sẽ tập hợp chúng vào một nền tảng tìm kiếm,
phân tích (thường là SIEM). Đảm bảo bạn đã đọc và hiểu mô tả về từng cách phân tích
để nhận biết các mục tiêu của chúng. Có thể tham khảo các pseudocode và Sigma
rule để chuyển chúng về các rule phù hợp với hệ thống của bạn.
Sau khi đã hiểu về các chức năng tìm kiếm dữ liệu cơ bản và có thể hiểu kết quả đầu
ra, bạn hãy cố gắng giảm thiểu false positive càng nhiều càng tốt (nhưng không bao
giờ không có) trong khi vẫn có thể phát hiện được cách hành vi độc hại.
Nếu hiệu quả là chưa đủ, tham khảo ATT&CK để tham khảo xem bạn đã không
bảo vệ được những gì. Ngoài ra, để theo dõi việc phân tích của mình, bạn sẽ tạo ra
heatmap để highlight vào các TTP để xác định độ bao phủ (coverage) của phương
án phòng thủ trước những hành vi tấn công.
Nếu muốn nâng cao khả năng phát hiện, bạn thực hiện quy trình trên nhiều lần với các
Technique khác nhau, đồng thời theo dõi tiến độ bao phủ bằng cách sử dụng ATT&CK
Navigator để tạo heatmap.
- Nhóm bảo mật có thể sử dụng ATT&CK như một cách để tích hợp, đánh giá và
tập trung phát triển CTI hướng đến những mối đe doạ chính. Ngoài ra còn có
thể dựa trên ATT&CK để xây dựng các kế hoạch giả lập tấn công, triển khai
các phương án phòng thủ và quyết định phân bổ nguồn lực vào các lĩnh vực
phòng thủ cụ thể.
- Đánh giá các giải pháp bảo mật xem có thể đáp ứng được yêu cầu doanh nghiệp
không và hợp lý hoá các yêu cầu để triển khai biện pháp phòng thủ bằng
ATT&CK.
- Sử dụng ATT&CK để đào tạo và luyện tập cho những người phân tích.
- Áp dụng ATT&CK vào Threat Hunting, ví dụ như với hành vi mới được
ATT&CK đưa ra thì CTI team sẽ tổng hợp lại và SOC team sẽ thực hiện các bài
test để kiểm tra phòng thủ trước mối đe doạ mới này.