Open Security Collaborative Development (OSCD) — это открытая международная инициатива специалистов по компьютерной безопасности, созданная для решения общих проблем и распространения знаний.

Первый спринт под названием “Threat Detection” прошел в октябре 2019 года, и был посвящен разработке правил обнаружения угроз проекта Sigma для расширения покрытия фреймворка MITRE ATT&CK®. Мы увеличили публичный набор правил на 40%, разработав 144 новых правила. Листинг правил доступен в описании Pull Request в репозитории Sigma на GitHub. Итоги были опубликованы в статьях на Хабре (RU) и Medium (EN).

Второй спринт прошел в октябре 2020 года и о нём я и расскажу в этой статье.

Подготовка

MITRE ATT&CK,​ незадолго до начала спринта, выпустили новую версию фреймворка с sub-techniques. Для разработки детального бэклога мы обновили тэги всех правил репозитория Sigma (на тот момент около 500) в соответствии с этими изменениями.

Мы разработали и опубликовали бэклог, в котором для каждой задачи привели оценку времени выполнения (Estimated Time to Complete или сокращенно ETC) и необходимые для их решения знания. В разделе How-To мы также описали способы получения этих знаний. Таким образом, участники могли заранее определить посильный набор задач на этот спринт, сопоставив их описание со своим свободным временем и наличием релевантных компетенций.

На основании бэклога мы сформировали Issue к репозиториям целевых проектов на GitHub. При этом команды целевых проектов спринта создали отдельные ветки в репозиториях для OSCD, за что им отдельное спасибо. В Issue участники подробно расписали подзадачи и описали теоретическую базу, необходимую для решения, привели ссылки на соответствующие исследования и ресурсы, и ссылки на предыдущие работы сообщества по каждой подзадаче.

Мы перевели спецификацию языка Sigma на русский язык и опубликовали её в виде цикла статей на Хабр и в виде Issue к репозиторию Sigma на GitHub.

Мы разработали карты MITRE ATT&CK​ Navigator с зонами покрытия техник злоумышленников правилами обнаружения репозитория Sigma и тестами эмуляции угроз из репозитория Atomic Red Team: одну общую карту Sigma + ART и отдельные карты в разрезе операционных систем Sigma + ART Windows | Sigma + ART GNU\Linux | ART macOS.

Аналогичным образом мы визуализировали текущее и возможное покрытие действий реагирования на инциденты фреймворка ATC RE&CT модулями автоматизированного анализа (Analyzers) и реагирования (Responders) платформы TheHive.

Визуализации покрытия фреймворков ATT&CK и RE&CT в последствии помогут нам оценить реальный эффект наших совместных действий.

Начало

5 Октября 2020 года стартовал второй спринт OSCD под названием “Simulation, Detection & Response”. В скоуп добавились еще два целевых проекта:

  • Atomic Red Team - набор портативных тестов для проверки возможностей по обнаружению угроз, с привязкой к MITRE ATT&CK​. Команды защиты проверяют правила детектирования, посредством запуска "атомарных тестов", которые воспроизводят техники злоумышленников. Проект Atomic Red Team стал самым большим и зрелым набором тестов для эмуляции угроз, управляемым сообществом;

  • TheHive - платформа для реагирования на инциденты с открытым исходным кодом, включающая в себя модуль под названием Cortex — движок для анализа данных и активного реагирования на инциденты, который использует Analyzers (Анализаторы) и Responders (модули Реагирования). Это Python-скрипты, использующие различные транспорты (включая API) для коммуникации со сторонними системами и выполнения определенных действий по реагированию.

Как это было

Общение участников во время спринта происходило в Issues и Pull Requests к репозиториям целевых проектов на GitHub. Мы отказались от чатов, потому что в прошлый раз от них не было пользы. Не смотря на это, было много ярких примеров открытого и продуктивного общения. Например, в процессе разработки аналитики для обнаружения техник Lateral Movement, участники тэгнули в обсуждении на GitHub Теймура Херхабарова — автора нескольких исследований по этой теме. Он оперативно вышел на связь и помог найти ответ. 

Замечания или корректировки к решениям других участников оформлялись в виде предложений, с просьбой рассмотреть или попробовать иной подход. При этом предложения сопровождались обоснованием с конкретными примерами и ссылками.

География

OSCD создавалась как международная инициатива и мы рады, что в этот раз в спринте участвовало 62 человека из 15 стран, это в два раза больше специалистов по сравнению с первым спринтом.

Результаты

Результатами нашей работы стали следующие Pull Requests:

  • увеличили количество правил в репозитории Sigma на 30% — мы разработали 242 новых правила и обновили 305 старых (Pull Request). 45 новых правил разработали OTR Community (Pull Request). В том числе мы разработали 27 правил обнаружения для macOS, для которой раньше правил не было;

  • разработали 23 новых тестов эмуляции техник злоумышленников для репозитория Atomic Red Team и обновление 7 старых тестов;

  • разработали 24 новых Responders проекта TheHive (Pull Request) для автоматизации действий реагирования в системах Palo Alto NGFW, Duo Security, Gmail и Azure Active Directory.

Это пример результатов, которых можно достичь посредством совместной работы сообщества над решением общих проблем в области информационной безопасности. Практическое взаимодействие, которого нам, по моим ощущениям, не хватает.

Список участников

Список также доступен на нашем сайте.

Звездой отмечены специалисты, которые участвовали и в первом спринте.

Спасибо вам! (:

Кстати, мы создали организацию в LinkedIn, теперь вы можете отметить участие в спринтах в как волонтерский опыт:

Хочу участвовать

В OSCD нет входных требований для участников — все без смс и регистрации (: Работа ведется открыто и исключительно в интересах сообщества, не для обогащения и без связей с коммерческими организациями.
Следите за новостями в Twitter или на сайте Инициативы, дождитесь объявления о начале следующего спринта, выберите себе задачу из бэклога или предложите свою, и разработайте решение вместе с сообществом!

Комментарии (0)