Chập tối đi ngồi với đứa bạn, buồn mồm gọi cốc cf làm giờ không ngủ được. Mà cái giống không ngủ được nằm nhắm mắt cũng dở nên đành ngồi kiếm gì đọc giải khuây. Bữa nay đọc email mà nghe nói về cái ATT&CK. Ờ thôi đọc với viết về cái này vậy.

Một chút về MITRE,

Ai làm chút gì liên quan tới cybersecurity hẳn đều đã nghe tới MITRE - Một tổ chức phi lợi nhuận, nghe đâu được hậu thuẫn bởi chính phủ Hoa Kỳ. Tổ chức này gồm nhiều đơn vị nhỏ, care nhiều mảng, nhiều thứ cho cái hợp chủng quốc này. Nhưng ở đây tôi chỉ tập trung nói về phần Cybersecurity mà thôi. Nói về điều này, nghe đâu đó MITRE này nổi nhất về 2 thứ Common Vulnerabilities and Exposures (CVE) và Common Weakness Enumeration (CWE).

“CVE (Common Vulnerabilities and Exposures) là hệ thống cơ sở dữ liệu cung cấp các dữ liệu về các lỗ hổng an toàn thông tin đã được công bố. Danh sách CVE chứa số ID, thông báo trạng thái, mô tả ngắn gọn và tài liệu tham khảo liên quan đến lỗ hổng bảo mật. Bằng việc tham chiếu CVE ID của 1 lỗ hổng nhất định, các tổ chức có thể thu thập thông tin nhanh gọn và chính xác từ nhiều nguồn tin khác nhau.

CWE (Common Weakness Enumeration): Là một danh mục (category) kiểu điểm yếu của phần cứng, phần mềm. Nó được coi như một ngôn ngữ chung. Như là thước đo cho các công cụ bảo mật và cũng như là tiêu chuẩn cho việc nhận dạng, giảm thiểu ngăn chặn điểm yếu đó.

Đọc thì thật là khó hiểu nhưng theo tôi CVE nó mang tính chi tiết (lỗ hổng là gì, tồn tại ở đâu, khai thác, giảm thiểu thế nào) còn CWE thì nó mang tính khái quát hóa (gọi tên, phân loại) cho CVE.

À quên còn cái tên MITRE. Người thì cho rằng nó là từ viết tắt của “Massachusetts Institute of Technology Research and Engineering” nhưng kỳ tình thì thấy bảo không phải, chỉ là ảo tưởng thôi. Thật ra nó chả có nghĩa gì, chỉ là một kiểu chơi chữ cho mọi người đoán già đoán non mà thôi.

MITRE ATT&CK

Lan man khó hiểu chút, giờ giới thiệu về MITRE ATT&CK. Cái này thì có định nghĩa rõ ràng. Theo định nghĩa nó là một danh sách được tổ chức các tri thức về hành vi của các attacker khi tấn công một hệ thống nào đó (Dĩ nhiên là lấy từ thực tế đã được xảy ra chứ không phải chỉ là lý thuyết). Danh sách này được tổng hợp thành các chiến thuật (tactics) và các kỹ thuật (techniques) được biểu diễn dưới dạng matrix. ATT&CK giúp cho các tổ chức nhận diện, khắc phục, giảm thiểu các nguy cơ bị tấn công trên không gian mạng (anw nói nghe thật vĩ mô). Nhưng mô tả nó bằng cái matrix sau.

mitre1

Ngắn gọn: Các cột được coi là các chiến thuật (tatics) còn trong từng ô là các kỹ thuật (technique) để thực hiện.

Tổng hợp các tatics người còn gọi nó là Cyber Kill Chain. Trong đó chia ra Pre-ATT&CK và ATT&CK Enterprise tùy vào giai đoạn của việc khai thác.

kill chain

Chi tiết các tatics và các technique các bạn có thể xem tại đây https://attack.mitre.org. Họ viết khá chi tiết và dễ hiểu.

Đọc vài cái thấy cũng không phải là quá khó hiểu. Anh em nào làm system tôi nghĩ cũng nên coi qua, chắc chắn có kha khá cái hay ho phục vụ cho việc của ae. Giúp ae phát hiện sớm hoặc bảo vệ hệ thống của mình trước các hành động tấn công, xâm nhập của những kẻ xấu tính.