Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP)...
Transcript of Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP)...
![Page 1: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/1.jpg)
Антон Шипулин
Проект MITRE ATT&CK для SOC АСУ ТП
![Page 2: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/2.jpg)
►Industrial Cybersecurity Business Development at Kaspersky Lab
►Co-Founder of ICS Cyber Security community RUSCADASEC
►Coordinator at Industrial Cybersecurity Center (CCI)
►Certified SCADA Security Architect (CSSA), CISSP, CEH
►@shipulin_anton
Who am I
![Page 3: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/3.jpg)
Kill Chain – И что с этим делать? 😕😕
Kill Chain – И что с этим делать? 😕😕
![Page 4: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/4.jpg)
Детализировать! - MITRE ATT&CK
![Page 5: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/5.jpg)
MITRE Enterprise ATT&CK (Windows, Linux, macOS)
https://attack.mitre.org
Initial Access +
Каждая техника:
►Тактика / цель
►Хакерская группа
►Используемые инструменты
►Способы предотвращения
►Способы детектирования
►Источники данных
Источники:
►Отчеты реальных кибератак
►Публичные исследования
►Комьюнити вклад
![Page 6: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/6.jpg)
MITRE Enterprise ATT&CK – Источники данных для детектирования
https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK
Endpoint Data Network Data
![Page 7: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/7.jpg)
►Готовить Ханты/Детекты/Аналитики для EDR/IDS/SIEM/SOC
• Cyber Analytics Repository (MITRE CAR)
• Тимур Хеирхабаров (Kaspersky Lab)
• https://www.slideshare.net/heirhabarov
►Моделировать сценарии атак для Red Team
• Adversary emulation plans
• Breach & Attack Simulation (BAS) tools
• e.g. RedHunt-OS:
• https://github.com/redhuntlabs/RedHunt-OS
►Тестировать системы и средства защиты
►Поставлять Ханты/Детекты/Аналитики в рамках TI сервисов
MITRE ATT&CK – А что делать с этим?
https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
The Pyramid of Pain
![Page 8: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/8.jpg)
MITRE ICS ATT&CK
https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
MIT
RE
Ent
erpr
ise
ATT&
CK
M
ITR
E IC
SAT
T&C
K
https://www.acsac.org/2017/workshops/icss/Otis-Alexander-ICS,%20Adversarial%20Tactics,%20Techniques.pdf
►Дополнительные цели / Тактики Техпроцесс!
►Дополнительные Техники и Ханты/Детекты/Аналитики
►Меньше доступных и другие источники данных
![Page 9: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/9.jpg)
Endpoint Data на разных уровнях и этапах
► Powershell, Pyton
► SSH clients (Putty/Plinks)
► Netcat/Cryptocat
► Mmikatz, PsExec
► AdExplorer, ShareEnum, PsGetSid
► Nmap, iPerf
► Trilog.exe
Network Data на разных уровнях и этапах
► DNS
► SSH
► RDP
► RPC/SMB (PsExec)
► HTTP (Webshell)
► TCP/UDP (Nmap, iPerf)
► VPN
► Tristation (UDP) https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
TRITON: Атака на систему противоаварийной защиты (ПАЗ)
![Page 10: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/10.jpg)
Дополнительные цели / Тактики
https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297
≠
![Page 11: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/11.jpg)
MITRE ICS ATT&CK
![Page 12: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/12.jpg)
►Отчеты о расследовании инцидентов/аварий
►Публичные и заказные исследования
►Отраслевые стандарты
►Декларации безопасности
►Планы локализации и ликвидации аварийных ситуаций
►HAZOP (Hazard and Operability Study)
►PRA (Probabilistic Risk Assessment),
►FMEA (Failure Mode and Effects Analysis)
Источники Техник и Хантов/Детектов/Аналитик для MITRE ICS ATT&CK
Consequence-driven Cyber-informed Engineering (CCE)
![Page 13: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/13.jpg)
Дополнительные Техники
![Page 14: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/14.jpg)
Пример реального инцидента: Industroyer/CrashOverride
![Page 15: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/15.jpg)
Пример реального инцидента: Stuxnet
![Page 16: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/16.jpg)
Пример реального инцидента: Maroochy
![Page 17: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/17.jpg)
►Могут быть не доступны Enterprise источники данных
►Endpoint Data
• Endpoint protection (специализированные решения)
• Industrial software logs
• Industrial devices (PLC/DCS/RTU) logs
►Network Data
• Network Security Monitoring (NSM) with Industrial DPI
Дополнительные источники данных для детектирования
![Page 18: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/18.jpg)
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
![Page 19: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/19.jpg)
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
![Page 20: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/20.jpg)
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
![Page 21: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/21.jpg)
Пример разработки Ханта/Детекта/Аналитики для атаки на подстанцию
![Page 22: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/22.jpg)
Threat Intelligence пример: DNP3 extension для STIX
https://www.youtube.com/watch?v=pX5rdZnRXtQ
S4x17 talk: STIX and Your Security Controls
![Page 23: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/23.jpg)
The research is still in progress… ⌛
![Page 24: Проект MITRE ATT&CK для SOC АСУ ТП 2018/31... · 2018. 11. 30. · Tristation (UDP) TRITON: Атака на систему противоаварийной защиты](https://reader035.fdocument.pub/reader035/viewer/2022071500/611f08f225c8c86185378c86/html5/thumbnails/24.jpg)
Сравним?
http://www.bdu.fstec.ru/threathttps://attack.mitre.org