Сила в сообществе: фреймворк ERM&CK

На Positive Hack Days 12 мы вместе с коллегами из CyberOK представили фреймворк реагирования на ИБ-инциденты ERM&CK (читается «Ермак»). Главная особенность ERM&CK в том, он дает пользователям возможность не только описывать абстрактные рекомендации, но и создавать конкретные инструкции по реагированию. Стоит отметить, что это не просто фреймворк, но и база знаний, которая наполняется сообществом. Мы опубликовали проект в Security Experts Community, он является практическим примером реализации подхода экспертной открытости. В рамках сообщества разрабатывается открытая база знаний по ИБ, и ERM&CK станет одной из ее составляющих. Сегодня мы подробнее расскажем об истории проекта и поделимся планами по его развитию.

Разница между реагированием и расследованием

Многие считают, что формализовать процесс реагирования на инциденты невозможно: «Ситуаций много, они непредсказуемы и разнообразны, поэтому их нельзя заранее описать и заложить в модель». Проблема в том, что даже эксперты зачастую путают оперативное реагирование и техническое расследование.

Расследование подразумевает тщательный сбор цифровых улик, глубокий анализ всех вовлеченных систем, восстановление полной последовательности действий атакующих, определение точек закрепления в инфраструктуре и анализ данных киберразведки. Это сложный творческий процесс, который может длиться месяцами и на данный момент его действительно трудно полноценно описать в виде модели.

Переходим к первичному реагированию. В данном случае цель — локализовать текущий инцидент и не позволить хакеру продвинуться дальше. Для этого не нужно строить большие отчеты и долго восстанавливать все детали атаки — достаточно понять, где сейчас обитает злоумышленник, и оперативно принять соответствующие меры защиты. После принятия первичных мер по нейтрализации угрозы желательно провести комплексное расследование и полный ретроспективный анализ инфраструктуры.

Верхнеуровнево процесс реагирования может включать следующие действия:

• введение превентивных защитных мер и улучшение подхода к менеджменту ИБ-инцидентов;
• оценка инцидентов;
• активация защитных мер для локализации инцидента и смягчения его последствий;
• анализ и извлечение уроков из инцидентов.

С 2022 г. вопрос эффективного реагирования на инциденты стал особенно актуален для отечественных компаний. Существует масса общепринятых стандартов (например, ГОСТ Р ИСО/МЭК ТО 18044-2007, NIST Cybersecurity Framework или Computer Security Incident Handling Guide) и абстрактных рекомендаций, но в практике, когда инцидент уже произошел и нужно что-то делать, этого недостаточно. В открытом доступе нет четких инструкций для конкретных кейсов: какие действия и в каком порядке предпринимать, какие инструменты использовать и т.д. Проще говоря, рынку не хватает открытого инструмента для реагирования на инциденты. Точнее, не хватало…

История ERM&CK

Идея создания ERM&CK (Enterprise Response Model & Common Knowledge) родилась еще в 2021 г. Тогда злоумышленники пробили периметр одной российской компании, с помощью популярной в то время связки уязвимостей под общим названием ProxyLogon (CVE-2021-26855, CVE-2021-26858, CVE-2021-27065). Она позволяла обойти механизм аутентификации Microsoft Exchange и загрузить веб-шелл на сервер.

Выполнением действий реагирования занималась ИТ-служба атакованной компании, а не ИБ-специалисты (как правило, в небольших организациях это именно так). У них не было понимания, что нужно делать и в каком порядке: каких пользователей блокировать, когда отключать сеть, как в целом устранять уязвимость. Мы осознали, что, когда реагированием занимаются ИТ-шники, им нужно предоставлять четкую инструкцию — фреймворк. Мы помогли коллегам разобраться с проблемой, а в 2022 г. стартовала разработка ERM&CK.

Основные цели проекта звучали так:

• Разработать удобный инструмент для подготовки инфраструктуры к процессам реагирования на ИБ-инциденты.
• Предоставить пользователям четкие инструкции для описанных в базе знаний кейсов.
• Автоматизировать построение сценариев реагирования и реализовать возможности для анализа полученных данных.

За основу решения мы взяли ATC RE&CT — открытый проект по описанию домена реагирования. При этом мы изменили его архитектуру и функционал, а также полностью переписали кодовую базу.

Мы расширили исходную модель данных новыми сущностями и добавили к каждому абстрактному действию его реализацию. К примеру, в RE&CT есть абстрактное действие «Блокировка учетной записи». В ERM&CK же прописано, как реализовать его в конкретной системе с помощью определенных действий.

ERM&CK состоит из следующих сущностей:

• профиль инфраструктуры;
• угроза (процедура);
• сценарий реагирования;
• действие реагирования;
• ПО;
• реализация действий реагирования;
• ресурс.

Другой важный момент: действия в RE&CT представлены в виде плоского списка и не объединены причинно-следственными связями. Когда аналитик смотрит в сценарий, он не всегда понимает, почему их нужно выполнять именно в таком порядке. Согласно концепции ERM&CK, у всех действий должны быть пререквизиты и результаты — благодаря этому они складываются в логичные цепочки (результат одного становится пререквизитом другого).

Наш проект содержит перечень исследованных угроз, и для каждой предусмотрен отдельный сценарий с инструкцией по устранению: набор абстрактных действий реагирования и их конкретные реализации со списком подходящего ПО.

Развитием проекта занимается Security Experts Community, главная задача сообщества — продвижение идеи экспертной открытости и обмен знаниями в области кибербезопасности:

• Вендоры могут добавлять в базу свои продукты и подробно описывать, в каких кейсах их решения будут полезны пользователям.
• ИТ-администраторы и ИБ-специалисты могут делиться экспертизой. Описывать реализации действий можно с помощью скриптов или просто текстом с картинками.
• Валидировать предложенные реализации будут эксперты по реагированию.

Главная ценность — открытая база знаний

Фактически фреймворк ERM&CK — это модель организации данных по реагированию плюс знания, оформленные в рамках этой модели. Благодаря открытости проекта знания могут быть провалидированы участниками сообщества. Причем домен реагирования — лишь одна из частей итоговой базы знаний. Также в ней будет собрана информация о детектировании, смягчении последствий, симуляции вредоносных действий и т.д.

При разработке модели мы вдохновлялись проектом Atomic Threat Coverage, который ставил перед собой схожую задачу — объединить разные типы экспертного контента по защите инфраструктуры. Однако в текущей версии проекта не все сущности связаны друг с другом. В целом технология хранения связей и данных в Atomic Threat Coverage для наших задач оказалась неподходящей, поэтому мы придумали собственную модель данных, позволяющую описывать и связывать экспертизу из различных доменов SecOps.

Планы на будущее

Сегодня ERM&CK в тестовом режиме используется в нескольких российских компаниях. Мы получаем обратную связь от пользователей и повышаем эффективность фреймворка. На данный момент свой вклад в проект внесли специалисты CyberOK, Positive Technologies, «Когорты» и ряд независимых экспертов.

В первую очередь мы работаем над расширением базы знаний. Планируем наращивать объем полезного контента и добавлять новые артефакты. В будущем это позволит автоматически генерировать плейбуки и связывать вместе разные кейсы.

Кроме того, мы развиваем редактор Response Flow, который призван упростить работу с ERM&CK. Он уже позволяет создавать новые действия реагирования и схемы сценариев. В дальнейшем планируем реализовать полную поддержку всех аспектов работы с фреймворком из единого графического интерфейса. Проект уже доступен на GitHub.