Menguji Kapabilitas Cyber Defense Organisasi dengan MITRE Top 10 ATT&CK Technique

Digit Oktavianto

Pendahuluan

Sebagaimana yang kita ketahui ada cukup banyak taktik dan teknik dalam matriks MITRE ATT&CK Enterprise. Saat ini terdapat 14 Taktik, 193 Teknik, dan 401 Sub-Teknik yang ada pada matriks Enterprise MITRE ATT&CK. Tentu saja tidak mudah bagi organisasi untuk mencakup keseluruhan proses deteksi serta mitigasi dari seluruh MITRE ATT&CK Taktik dan Teknik yang ada. Bahkan sering kali kita mendengar pertanyaan, dari mana saya harus memulai? Apa yang harus saya prioritaskan? Teknik mana yang bisa kita dapat cakup dengan kondisi postur keamanan organisasi kita saat ini?

Gambar 1 - https://mitre-engenuity.org/blog/2022/05/10/top-attack-techniques/

MITRE Sighting Ecosystem Project

MITRE Center for Threat Inform Defense (CTID) saat ini sudah melakukan riset terkait dengan apa saja taktik dan teknik yang paling sering muncul dan digunakan oleh penyerang/adversary berdasarkan data di lapangan berdasarkan insiden keamanan siber yang terjadi. Mereka menyusun laporan hasil riset tersebut dalam “Sighting Ecosystem” Project : https://mitre-engenuity.org/blog/2022/02/23/sightings-ecosystem/. Data yang mereka peroleh kemudian dijadikan sebagai bahan analisis untuk kemudian memberikan informasi kepada publik terkait dengan tren terkini insiden keamanan siber yang terjadi, bagaimana Taktik dan Teknik yang teribat di dalamnya dalam kurun waktu tertentu, serta bagaimana penyerang /Threat Actor merubah Teknik yang mereka gunakan dalam operasinya.

Gambar 2 - Sighting Ecosystem sumber gambar : https://mitre-engenuity.org/blog/2022/02/23/sightings-ecosystem/#project-resources

Sighting Ecosystem diharapkan dapat menjawab beberapa pertanyaan yang sering muncul dalam organisasi:

1. MITRE ATT&CK Teknik mana yang harus saya prioritaskan terlebih dahulu?

2. Teknik mana yang relevan dan sering di gunakan untuk menargetkan jenis industri yang sama dengan organisasi saya?

3. Apakah Teknik yang sama selalu digunakan oleh Threat Actor yang sama dalam kurun waktu tertentu? Bagaimana mereka berevolusi dan merubah Teknik yang mereka gunakan dalam operasi yang mereka lakukan?

Satu hal yang perlu di catat, bahwa Sighting Ecosystem Project ini melihat Top ATT&CK Teknik berdasarkan data yang tersedia dan juga frekuensi kemunculan berdasarkan data tersebut. Lalu, bagaimana jika saya ingin menyesuaikan Top 10 ATT&CK Teknik berdasarkan postur keamanan pada organisasi saya berdasarkan kondisi telemetri yang dimiliki organisasi saya, serta langkah apa yang bisa dilakukan oleh organisasi saya untuk mendeteksi dan memitigasi Teknik tersebut? Anda dapat menggunakan MITRE Top ATT&CK Technique (https://top-attack-techniques.mitre-engenuity.org/) untuk mengukur kapabilitas dari kemampuan deteksi organisasi anda, sekaligus juga melakukan pengujian seberapa matang kapabilitas pertahanan siber atau kemampuan deteksi dalam organisasi anda.

MITRE Top 10 ATT&CK Technique Project

MITRE Top ATT&CK Technique adalah sebuah proyek yang diluncurkan oleh MITRE dengan mengeluarkan alat bantu perhitungan yang memberikan gambaran kapabilitas kemampuan bertahan dalam organisasai berdasarkan inputan yang diberikan oleh pengguna. Inputan yang diberikan user di antaranya adalah Kontrol Keamanan atau Security Control yang menjadi acuan organisasi (NIST 800-53 Controls dan CIS Critical Security Control), Detection Analytics Repository (MITRE CAR, Sigma Rules, Elastic Detection Rules, Splunk Detection Rules), serta tipe Sistem Operasi dan telemetri lainnya lingkungan sistem anda (Windows, Linux, MacOS, Network, Google Cloud, Azure, AWS, Comtainer, IaaS, SaaS, dan lainnya).

Gambar 2 - https://top-attack-techniques.mitre-engenuity.org/calculator

Pada gambar di atas anda dapat melihat filter yang di input berdasarkan kondisi organisasi anda, dan juga monitoring komponen yang anda miliki. Namun jika kita perhatikan, di komponen monitoring, anda mengisi dengan cara melakukan penilaian mandiri atau self assessment terhadap setiap pilihan komponen monitoring. Kategori kematangan "None" berarti anda tidak memiliki komponen monitoring tersebut, hingga nilai dengan kategori "High".

Anda dapat melihat bagaimana MITRE melakukan penentuan nilai tingkat kematangan mulai dari Belum diterapkan (None), Low, Medium, dan High berdasarkan kriteria yang bisa anda dapatkan pada Top ATT&CK Techniques Excel Calculator (https://github.com/center-for-threat-informed-defense/top-attack-techniques/raw/main/Calculator.xlsx) berikut ini:

Gambar 3 - Score Value Pada Monitoring Component

Gambaran ilustrasi komponen monitoring ini adalah sebagai berikut

• Technique WMI dapat di deteksi oleh Component Process Monitoring. Jika organisasi anda memiliki nilai Low pada component Process Monitoring ini, WMI akan menjadi salah satu Technique yang memiliki nilai Prioritas yang tinggi. Hal ini menyebabkan anda dapat melihat gap yang ada dari Top Technique yang muncul dari hasil kalkulasi MITRE Top ATT&CK Technique sebagai bahan evaluasi dan juga analisis kesenjangan terhadap kapabilitas cyber defense dalam organisasi anda.

Pada prosesnya dalam menyusun dan menentukan Top 10 ATT&CK Technique, MITRE menggunakan metodologi berdasarkan beberapa komponen berikut, yaitu:

• Actionability. Actionability ini adalah komponen dimana defender memiliki kapabilitas untuk dapat mendeteksi maupun melakukan mitigasi dari ATT&CK Technique berdasarkan kontrol keamana yang dimiliki oleh organisasi tersebut. Hal ini berkaitan erat dengan kapabilitas detection engineering dalam organisasi tersebut. Tentunya dalam hal deteksi, kapabilitas detection engineering dalam organisasi tersebut juga dapat diselaraskan dengan merujuk pada dataset serta repository Detection yang terdapat di publik seperti MITRE Cyber Analytic Repository, SIGMA Rules, dan juga Detection rules lainnya yang banyak di publikasikan oleh banyak komunitas dan organisasi. Dalam hal dan area Mitigation, MITR TOP ATT&CK Technique ini merujuk pada CIS Critical Security Control dan juga NIST 800-53 Security Controls.

• Choke Point. Secara sederhana, Choke Point adalah satu teknik yang spesifik dimana teknik ini jika berhasil dilakukan deteksi atau di mitigasi, maka akan banyak teknik lain yang dapat di “disrupt” oleh organisasi. Hal ini dikarenakan satu spesifik teknik ini memiliki hubungan erat dengan teknik lainnya, sehingga apabila kita melakukan mitigasi pada choke point ini, kesempatan organisasi untuk “menang” melawan threat actor akan lebih besar. Pada halaman resmi nya di https://top-attack-techniques.mitre-engenuity.org/methodology, MITRE memberikan contoh salah satu choke point adalah T1047 (WMI). Dimana dengan menggunakan WMI ini, threat actor dapat melakukan banyak Teknik lainnya. Sehingga apabila kita berhasil melakukan deteksi atau bertahan dari WMI Teknik ini, kita dapat membatasi potensi attack path yang mungkin digunakan oleh Threat Actor melalui WMI ini.

Gambar 4 - Contoh Choke Point dari T1055 : Process Injection (sumber: https://top-attack-techniques.mitre-engenuity.org/methodology)

• Prevalence. Prevalence adalah frekuensi dimana Threat Actor menggunakan ATT&CK Technique yang spesifik dalam satu periode tertentu. Konsep Prevalence ini kurang lebih sama seperti apa yang penulis telah jabarkan dalam "Sighting Ecosystem Project "sebelumnya. Prevalence ini mengambil populasi dan data yang ada dari "Sighting Ecosystem Project". Namun seperti yang penulis sampaikan sebelumnya, dimana data ini sangat terbatas karena bergantung pada kontributor dan juga rentang waktu tertentu. Saat ini data yang dimiliki oleh MITRE adalah dalam rentang waktu 1 April 2019 sampai dengan 31 Juli 2021.

Sumber Gambar: https://top-attack-techniques.mitre-engenuity.org/methodology

Mitigation dan Detection Top 10 ATT&CK Technique

Setelah kita mendapatkan hasil dari Top 10 Technique yang masih menjadi kesenjangan dan mengetahui area mana yang perlu kita lakukan peningkatan atau perbaikan, kita dapat melihat strategi mitigasi dan deteksi pada halaman tersebut.

Gambar 6 - Mitigation dan Detection Technique T1053 : Schedule Task / Job

Kesimpulan

MITRE Top 10 ATT&CK Technique membantu kita melakukan penentuan prioritas terhadap Teknik yang relevan dengan organisasi anda dan juga yang sesuai dengan kondisi, terutama telemetri yang anda miliki. Metodologi ini membantu anda dalam menentukan strategi “quick win” , terutama jika anda memiliki keterbatasan sumber daya terkait dengan sumber data yang anda miliki dalam organisasi. Dengan mengetahui Top 10 ATT&CK Technique, anda diharapkan bisa menentukan salah satu “Choke Point” dan juga membenahi kesenjangan di area tersebut, sehingga nantinya akan lebih banyak Teknik yang dapat di “disrupt” oleh Tim Monitoring dalam organisasi anda.

Tentang Penulis

Digit Oktavianto

GCIH, GMON, GICSP, GCFE, CEH, ECSA, CTIA, ECIH, CHFI

Digit Oktavianto, atau yang sering disapa Digit, adalah seorang pegiat cybersecurity, independent security researcher dan security architect di perusahaan PT. Mitra Integrasi Informatika. Beberapa pengalaman dan topik yang merupakan passion dari Digit Oktavianto antara lain Cyber Security Operation Center, Threat Hunting, DFIR (Digital Forensic and Incident Response), Malware Analysis, Cyber Defense Operation, Threat Intelligence, OSINT, Incident Handling and Incident Response, Active Defense and Continuous Monitoring, ICS/Scada Security.