Open Security Collaborative Development (OSCD) — это открытая международная инициатива специалистов по компьютерной безопасности, созданная для решения общих проблем и распространения знаний.
Первый спринт под названием “Threat Detection” прошел в октябре 2019 года, и был посвящен разработке правил обнаружения угроз проекта Sigma для расширения покрытия фреймворка MITRE ATT&CK®. Мы увеличили публичный набор правил на 40%, разработав 144 новых правила. Листинг правил доступен в описании Pull Request в репозитории Sigma на GitHub. Итоги были опубликованы в статьях на Хабре (RU) и Medium (EN).
Второй спринт прошел в октябре 2020 года и о нём я и расскажу в этой статье.
Подготовка
MITRE ATT&CK, незадолго до начала спринта, выпустили новую версию фреймворка с sub-techniques. Для разработки детального бэклога мы обновили тэги всех правил репозитория Sigma (на тот момент около 500) в соответствии с этими изменениями.
Мы разработали и опубликовали бэклог, в котором для каждой задачи привели оценку времени выполнения (Estimated Time to Complete или сокращенно ETC) и необходимые для их решения знания. В разделе How-To мы также описали способы получения этих знаний. Таким образом, участники могли заранее определить посильный набор задач на этот спринт, сопоставив их описание со своим свободным временем и наличием релевантных компетенций.
На основании бэклога мы сформировали Issue к репозиториям целевых проектов на GitHub. При этом команды целевых проектов спринта создали отдельные ветки в репозиториях для OSCD, за что им отдельное спасибо. В Issue участники подробно расписали подзадачи и описали теоретическую базу, необходимую для решения, привели ссылки на соответствующие исследования и ресурсы, и ссылки на предыдущие работы сообщества по каждой подзадаче.
Мы перевели спецификацию языка Sigma на русский язык и опубликовали её в виде цикла статей на Хабр и в виде Issue к репозиторию Sigma на GitHub.
Мы разработали карты MITRE ATT&CK Navigator с зонами покрытия техник злоумышленников правилами обнаружения репозитория Sigma и тестами эмуляции угроз из репозитория Atomic Red Team: одну общую карту Sigma + ART и отдельные карты в разрезе операционных систем Sigma + ART Windows | Sigma + ART GNU\Linux | ART macOS.
Аналогичным образом мы визуализировали текущее и возможное покрытие действий реагирования на инциденты фреймворка ATC RE&CT модулями автоматизированного анализа (Analyzers) и реагирования (Responders) платформы TheHive.
Визуализации покрытия фреймворков ATT&CK и RE&CT в последствии помогут нам оценить реальный эффект наших совместных действий.
Начало
5 Октября 2020 года стартовал второй спринт OSCD под названием “Simulation, Detection & Response”. В скоуп добавились еще два целевых проекта:
Atomic Red Team - набор портативных тестов для проверки возможностей по обнаружению угроз, с привязкой к MITRE ATT&CK. Команды защиты проверяют правила детектирования, посредством запуска "атомарных тестов", которые воспроизводят техники злоумышленников. Проект Atomic Red Team стал самым большим и зрелым набором тестов для эмуляции угроз, управляемым сообществом;
TheHive - платформа для реагирования на инциденты с открытым исходным кодом, включающая в себя модуль под названием Cortex — движок для анализа данных и активного реагирования на инциденты, который использует Analyzers (Анализаторы) и Responders (модули Реагирования). Это Python-скрипты, использующие различные транспорты (включая API) для коммуникации со сторонними системами и выполнения определенных действий по реагированию.
Как это было
Общение участников во время спринта происходило в Issues и Pull Requests к репозиториям целевых проектов на GitHub. Мы отказались от чатов, потому что в прошлый раз от них не было пользы. Не смотря на это, было много ярких примеров открытого и продуктивного общения. Например, в процессе разработки аналитики для обнаружения техник Lateral Movement, участники тэгнули в обсуждении на GitHub Теймура Херхабарова — автора нескольких исследований по этой теме. Он оперативно вышел на связь и помог найти ответ.
Замечания или корректировки к решениям других участников оформлялись в виде предложений, с просьбой рассмотреть или попробовать иной подход. При этом предложения сопровождались обоснованием с конкретными примерами и ссылками.
География
OSCD создавалась как международная инициатива и мы рады, что в этот раз в спринте участвовало 62 человека из 15 стран, это в два раза больше специалистов по сравнению с первым спринтом.
Результаты
Результатами нашей работы стали следующие Pull Requests:
увеличили количество правил в репозитории Sigma на 30% — мы разработали 242 новых правила и обновили 305 старых (Pull Request). 45 новых правил разработали OTR Community (Pull Request). В том числе мы разработали 27 правил обнаружения для macOS, для которой раньше правил не было;
разработали 23 новых тестов эмуляции техник злоумышленников для репозитория Atomic Red Team и обновление 7 старых тестов;
разработали 24 новых Responders проекта TheHive (Pull Request) для автоматизации действий реагирования в системах Palo Alto NGFW, Duo Security, Gmail и Azure Active Directory.
Это пример результатов, которых можно достичь посредством совместной работы сообщества над решением общих проблем в области информационной безопасности. Практическое взаимодействие, которого нам, по моим ощущениям, не хватает.
Список участников
Список также доступен на нашем сайте.
Звездой отмечены специалисты, которые участвовали и в первом спринте.
Томас Пацке, @blubbfiction (Sigma Project) DE ★
Теймур Хеирхабаров, @HeirhabarovT (BI.ZONE SOC) RU ★
Михаил Ларин (Jet CSIRT) RU ★
Александр Ахремчик (Jet CSIRT) RU ★
Ильяс Очков, @CatSchrodinger (Независимый Исследователь) RU ★
Денис Бею (Независимый Исследователь) RU ★
Кирилл Кирьянов (PT ESC) RU ★
Антон Кутепов (PT ESC) RU ★
Матэуш Выдра, @sn0w0tter (Relativity) PL ★
Даниил Югославский, @yugoslavskiy (Cindicator SOC) RU ★
Глеб Суходольский (Независимый Исследователь) RU ★
Джон Ламберт, @JohnLaTwC (Microsoft) US
Демьян Соколин @_drd0c, (BI.ZONE SOC) RU
Набил Адуани, @nadouani (TheHive/StrangeBee) FR
Александр Сунгуров (Yandex) RU
Роберто Родригез, @Cyb3rWard0g (Open Threat Research) US
Хосэ Родригез, @Cyb3rPandaH (Open Threat Research) US
Нэйт Нуагенти, @neu5ron (Open Threat Research) US
Грэг Хауэлл (Open Threat Research) US
Патрик Джон (Open Threat Research) US
Свэн Куцер, @SvenKutzer (Cisco) DE
Джай Минтон, @CyberRaiju (Независимый Исследователь) AU
Игорь Фиц (Jet CSIRT) RU
Семанур Гюнейсу, @semanurtg (DESTEL / SOC) TR
Крейг Янг, @craigtweets (Tripwire) US
Тим Исмиляев, @aestimi (Mana Security) RU
Киран Кумар, @iamkirankmr (Независимый Исследователь) IN
Ели Салем, (Независимый Исследователь)
Бартоломей Чиж, @bczyz1 (Независимый Исследователь) RU
Омар Гудхат, @OG0Sec (Независимый Исследователь) IN
Райан Плас, @WordPlas (Stage 2 Security) US
Олег Колесников, Securonix) US
Фуркан Калискан, @caliskanfurkan_ (Ziraat Teknoloji) TR
Дмитрий Учакин, @Dmitry_U4 (Kaspersky Lab) RU
Авнет Синх, @v3t0_ (Независимый Исследователь) CA
Агро, @agro_sev (Независимый Исследователь) RU
Мангатас Тонданг, @tas_kmanager (Независимый Исследователь) CA
Джэйми Флорес, @remotephone (Независимый Исследователь) US
Энсар Самиль, @sblmsrsn (Независимый Исследователь) TR
Сэндер Вейбинг, (NFIR B.V.) NL
Джонатан Чейонг, (Независимый Исследователь) AU
Омар Гунал, @ogunal00 (Независимый Исследователь) TR
Алехандро Ортуно, @aomanzanera (Независимый Исследователь) ES
Юлия Фомина, (PT ESC) RU
Алексей Леднев (PT ESC) RU
Иван Дьячков, (PT ESC) RU
Максим Конакин (Независимый Исследователь) RU
Никита Назаров, @NikitaStormwind (IZ SOC) RU
Наталия Шорникова, (IZ SOC) RU
Джон Такнер, @tuckner (Независимый Исследователь) US
Грэгори Клермонт, @gregclermont (Независимый Исследователь) FR
Харе Судхан Муфусами, @@0x6cdev (Независимый Исследователь) US
Дэвид Страбэггер, @Strassi7 (Независимый Исследователь) AT
Даниэл Вайнер, @DanielWeiner93 (Независимый Исследователь) US
Джонатан Рибейро, @_w0rk3r (Независимый Исследователь) BR
Спасибо вам! (:
Кстати, мы создали организацию в LinkedIn, теперь вы можете отметить участие в спринтах в как волонтерский опыт:
Хочу участвовать
В OSCD нет входных требований для участников — все без смс и регистрации (: Работа ведется открыто и исключительно в интересах сообщества, не для обогащения и без связей с коммерческими организациями.
Следите за новостями в Twitter или на сайте Инициативы, дождитесь объявления о начале следующего спринта, выберите себе задачу из бэклога или предложите свою, и разработайте решение вместе с сообществом!