MITRE ATT&CK: Hoe eenvoud een misplaatst gevoel van veiligheid kan geven

DoorRonald Beiboer
MITRE ATT&CK: Hoe eenvoud een misplaatst gevoel van veiligheid kan geven cover

In de donkere tijden voordat het ATT&CK framework het licht zag, waren modellen binnen de cyber security vaak erg abstract. De Lockheed Martin's Cyber Kill Chain gaf weliswaar wat licht in de duisternis, maar het abstractieniveau maakt het voor veel doeleinden niet bruikbaar. Ook is het model wat rigide gesteld, waarbij het lijkt alsof alle stappen in het model noodzakelijk zijn in de aanval. Het suggereert dat wanneer je de ketting ergens doorbreekt, de aanval direct afgeslagen is.

Inmiddels weten we dat de wereld ingewikkelder is. Toch is de Cyber Kill Chain een mooi model om de basiselementen die onderdeel zijn van de meeste aanvallen te duiden. Het geeft goed weer hoe een aanvaller een aantal stappen moet doorlopen voordat er sprake is van de daadwerkelijke 'action on objectives’.

Lockheed Martin's Cyber Kill Chain

MITRE als gemeenschappelijke taal

In 2015 werd de eerste versie van het ATT&CK framework gelanceerd. ATT&CK gaat een stuk dieper en wordt concreet in het aangeven van de gebruikte tactieken en technieken die aanvallers gebruiken. Ook zijn deze gekoppeld aan verschillende componenten als verdedigingstechnieken, de gebruikte software voor de aanval en de hackersgroeperingen die veel gebruik maken van de techniek.

Het model kreeg snel bekendheid en wordt inmiddels gebruikt in bijna alle security teams en ook geïntegreerd in de security tooling die men gebruikt. Het heeft ons veel gebracht. Eindelijk is er een gemeenschappelijke taal om aanvallen te beschrijven!

MITRE ATT&CK framework

Purple teaming en hunting

ATT&CK heeft geholpen met ‘purple teaming'. Hierbij is het cruciaal dat het ‘red team’ (de aanvallers), op een effectieve manier kan communiceren met het ‘blue team’ (de verdedigers) om zo van elkaar te leren. Door deze gemeenschappelijke taal te gebruiken is dit nu een stuk eenvoudiger. Het documenteren van een threathunt is met ATT&CK ook een stuk gestructureerder. Onder de streep heeft ATT&CK veel goeds gedaan voor de industrie en stelt het verschillende groepen en disciplines in staat om helder met elkaar te communiceren.

Het gevaar van eenvoud

Tot dusver de positieve kanten van deze gemeenschappelijke taal. Er is echter ook een gevaar. Een framework als ATT&CK blijft in essentie een simplificatie en abstractie van de werkelijkheid. Je kunt dit niet zonder informatie weg te laten. Dit werkt goed totdat je de informatie die is weggelaten helemaal dreigt te vergeten. Dat zie ik weleens gebeuren bij het toepassen van het ATT&CK framework. Binnen sommige security teams is de illusie ontstaan dat digitale weerbaarheid binnen security een kwestie is van enkel het framework groen kleuren. Daarmee ga je voorbij aan een aantal zeer belangrijke zaken om rekening mee te houden.

Vakjes inkleuren

Wanneer we het framework bekijken, bevat elk vakje één techniek en je zou dit kunnen opvatten alsof je elk vakje met één enkele security control of detectieregel kunt afdekken. Niets is echter minder waar. De beschreven techniek is vaak op vele verschillende manieren te gebruiken. Wanneer je slechts één van deze methoden afdekt en vervolgens een vakje groen kleurt kan dit een misplaatst gevoel van veiligheid geven. ATT&CK heeft dit zelf inmiddels ook uitgewerkt in de vorm van sub-technieken. Wees je ervan bewust dat ook met deze sub-technieken er nog genoeg verschillende mogelijkheden zijn en dat je de meeste technieken dus nooit met volledige zekerheid kunt afdekken. Het blijft hoe dan ook een kat-en-muisspel tussen verdediger en aanvaller.

Een ander belangrijk punt is dat een gedefinieerde techniek vaak binnen heel veel verschillende plaatsen van je infrastructuur gebruikt kan worden. In een multi-cloud met ook nog eigen datacenters, bestaat het gevaar dat je een techniek op één plek wel en op de andere plek niet afdekt. Hierbij hebben we het nog niet eens over de verschillende (mobiele) systemen voor eindgebruikers die wellicht niet eens in je beheer zijn.

Kwantiteit boven kwaliteit

Prioritering is ook een aspect waar ATT&CK geen rekening mee houdt. Wellicht heb je bijna geen infrastructuur in de cloud draaien en is de data die daar staat niet vertrouwelijk. Dit kan ervoor zorgen dat je prioriteiten voor specifieke cloud-technieken veel lager zijn. Ook kan het bijvoorbeeld zo zijn dat vertrouwelijkheid van data in je organisatie veel belangrijker is dan beschikbaarheid. Dit zal ook heel veel betekenen voor het prioriteren van verschillende technieken. Efficiëntie en effectiviteit is steeds meer van belang binnen securityafdelingen en een te brede focus verstoort dit enorm.

Hoe kun je ATT&CK wel gebruiken?

In plaats van het framework blindelings in te kleuren, draait het om een slimme en risico-gebaseerde aanpak. Gebruik ATT&CK als basis voor prioritering, waarbij je de technieken identificeert die het meest relevant zijn voor jouw specifieke dreigingsmodel. Het framework kan je hierbij helpen, doordat het laat zien hoe specifieke APT groeperingen die actief zijn in je branche te werk gaan. Dit kun je natuurlijk zo uitgebreid doen als je wilt, afhankelijk van het volwassenheidsniveau van je organisatie en de mogelijkheden die je hebt binnen je security-operatie.

Gebruik ook de gemeenschappelijke taal in je voordeel. Veel bedrijven gebruiken verschillende soorten tooling, maar door ATT&CK als standaard te kiezen kun je informatie correleren en ook bijvoorbeeld de uitslag van een pentest, red-team of hunting activiteit op de juiste manier interpreteren.

Als laatste is het goed om te kijken naar de verschillende frameworks die er inmiddels zijn. Zo is er een framework voor Enterprise met subsets voor bijvoorbeeld SAAS of containers, maar is er ook een compleet framework voor OT-omgevingen en mobiele apparaten.

Het is dus zeker aan te raden om de uitgebreide informatie en sturing van ATT&CK te gebruiken in je operatie, maar gebruik het niet als je enige waarheid. Een model blijft een hulpmiddel en moet niet een doel op zich worden.

Over Ronald

Ronald Beiboer heeft twintig jaar ervaring in de IT en Cyber security en is een toegewijd specialist in Threat Detection and Response (TDR). 

In zijn loopbaan heeft Ronald zich gericht op de beveiliging van kritieke infrastructuur, in een tijdperk waarin IT en OT steeds meer met elkaar verbonden raakten. 

Zijn tijd bij Fox-IT als security architect en productmanager, waar hij onder meer betrokken was bij het ontwerp van SurfSOC, benadrukt zijn diepgaande kennis en toewijding aan het vakgebied. Momenteel is hij werkzaam bij Splunk als cyberbeveiligingsexpert, waar hij teams van klanten helpt hun beveiligingsoperaties te optimaliseren. Ook is hij vrijwilliger bij DIVD, waarhij teamlead is van het SOC.

Ronald hanteert een pragmatische houding en heeft het vermogen om een brug te slaan tussen zowel technische experts als leidinggevenden op tactisch en strategisch niveau, waarbij hij een subtiele balans vindt tussen technische diepgang en toegankelijkheid. Hij schrijft graag over zaken die hem opvallen in de, soms bizarre wereld, van cyber security.

Vergelijkbare berichten