Open Security Collaborative Development (OSCD) — это открытая международная инициатива специалистов по компьютерной безопасности, созданная для решения общих проблем и распространения знаний.

Первый спринт под названием “Threat Detection” прошел в октябре 2019 года, и был посвящен разработке правил обнаружения угроз проекта Sigma для расширения покрытия фреймворка MITRE ATT&CK®. Мы увеличили публичный набор правил на 40%, разработав 144 новых правила. Листинг правил доступен в описании Pull Request в репозитории Sigma на GitHub. Итоги были опубликованы в статьях на Хабре (RU) и Medium (EN).

Второй спринт прошел в октябре 2020 года и о нём я и расскажу в этой статье.

Подготовка

MITRE ATT&CK,​ незадолго до начала спринта, выпустили новую версию фреймворка с sub-techniques. Для разработки детального бэклога мы обновили тэги всех правил репозитория Sigma (на тот момент около 500) в соответствии с этими изменениями.

Мы разработали и опубликовали бэклог, в котором для каждой задачи привели оценку времени выполнения (Estimated Time to Complete или сокращенно ETC) и необходимые для их решения знания. В разделе How-To мы также описали способы получения этих знаний. Таким образом, участники могли заранее определить посильный набор задач на этот спринт, сопоставив их описание со своим свободным временем и наличием релевантных компетенций.

На основании бэклога мы сформировали Issue к репозиториям целевых проектов на GitHub. При этом команды целевых проектов спринта создали отдельные ветки в репозиториях для OSCD, за что им отдельное спасибо. В Issue участники подробно расписали подзадачи и описали теоретическую базу, необходимую для решения, привели ссылки на соответствующие исследования и ресурсы, и ссылки на предыдущие работы сообщества по каждой подзадаче.

Мы перевели спецификацию языка Sigma на русский язык и опубликовали её в виде цикла статей на Хабр и в виде Issue к репозиторию Sigma на GitHub.

Мы разработали карты MITRE ATT&CK​ Navigator с зонами покрытия техник злоумышленников правилами обнаружения репозитория Sigma и тестами эмуляции угроз из репозитория Atomic Red Team: одну общую карту Sigma + ART и отдельные карты в разрезе операционных систем Sigma + ART Windows | Sigma + ART GNU\Linux | ART macOS.

Аналогичным образом мы визуализировали текущее и возможное покрытие действий реагирования на инциденты фреймворка ATC RE&CT модулями автоматизированного анализа (Analyzers) и реагирования (Responders) платформы TheHive.

Визуализации покрытия фреймворков ATT&CK и RE&CT в последствии помогут нам оценить реальный эффект наших совместных действий.

Начало

5 Октября 2020 года стартовал второй спринт OSCD под названием “Simulation, Detection & Response”. В скоуп добавились еще два целевых проекта:

• Atomic Red Team - набор портативных тестов для проверки возможностей по обнаружению угроз, с привязкой к MITRE ATT&CK​. Команды защиты проверяют правила детектирования, посредством запуска "атомарных тестов", которые воспроизводят техники злоумышленников. Проект Atomic Red Team стал самым большим и зрелым набором тестов для эмуляции угроз, управляемым сообществом;

• TheHive - платформа для реагирования на инциденты с открытым исходным кодом, включающая в себя модуль под названием Cortex — движок для анализа данных и активного реагирования на инциденты, который использует Analyzers (Анализаторы) и Responders (модули Реагирования). Это Python-скрипты, использующие различные транспорты (включая API) для коммуникации со сторонними системами и выполнения определенных действий по реагированию.

Как это было

Общение участников во время спринта происходило в Issues и Pull Requests к репозиториям целевых проектов на GitHub. Мы отказались от чатов, потому что в прошлый раз от них не было пользы. Не смотря на это, было много ярких примеров открытого и продуктивного общения. Например, в процессе разработки аналитики для обнаружения техник Lateral Movement, участники тэгнули в обсуждении на GitHub Теймура Херхабарова — автора нескольких исследований по этой теме. Он оперативно вышел на связь и помог найти ответ. 

Замечания или корректировки к решениям других участников оформлялись в виде предложений, с просьбой рассмотреть или попробовать иной подход. При этом предложения сопровождались обоснованием с конкретными примерами и ссылками.

География

OSCD создавалась как международная инициатива и мы рады, что в этот раз в спринте участвовало 62 человека из 15 стран, это в два раза больше специалистов по сравнению с первым спринтом.

Результаты

Результатами нашей работы стали следующие Pull Requests:

• увеличили количество правил в репозитории Sigma на 30% — мы разработали 242 новых правила и обновили 305 старых (Pull Request). 45 новых правил разработали OTR Community (Pull Request). В том числе мы разработали 27 правил обнаружения для macOS, для которой раньше правил не было;

• разработали 23 новых тестов эмуляции техник злоумышленников для репозитория Atomic Red Team и обновление 7 старых тестов;

• разработали 24 новых Responders проекта TheHive (Pull Request) для автоматизации действий реагирования в системах Palo Alto NGFW, Duo Security, Gmail и Azure Active Directory.

Это пример результатов, которых можно достичь посредством совместной работы сообщества над решением общих проблем в области информационной безопасности. Практическое взаимодействие, которого нам, по моим ощущениям, не хватает.

Список участников

Список также доступен на нашем сайте.

Звездой отмечены специалисты, которые участвовали и в первом спринте.

• Томас Пацке, @blubbfiction (Sigma Project) DE ★

• Теймур Хеирхабаров, @HeirhabarovT (BI.ZONE SOC) RU ★

• Михаил Ларин (Jet CSIRT) RU ★

• Александр Ахремчик (Jet CSIRT) RU ★

• Виктор Сергеев, @stvetro (Help AG) AE ★

• Ильяс Очков, @CatSchrodinger (Независимый Исследователь) RU ★

• Якоб Вайнзетл, @mrblacyk (Tieto SOC) PL ★

• Денис Бею (Независимый Исследователь) RU ★

• Кирилл Кирьянов (PT ESC) RU ★

• Антон Кутепов (PT ESC) RU ★

• Тимур Зиннятуллин @zinin.t (Angara) RU ★

• Матэуш Выдра, @sn0w0tter (Relativity) PL ★

• Даниил Югославский, @yugoslavskiy (Cindicator SOC) RU ★

• Глеб Суходольский (Независимый Исследователь) RU ★

• Джон Ламберт, @JohnLaTwC (Microsoft) US

• Демьян Соколин @_drd0c, (BI.ZONE SOC) RU

• Набил Адуани, @nadouani (TheHive/StrangeBee) FR

• Александр Сунгуров (Yandex) RU

• Роберто Родригез, @Cyb3rWard0g (Open Threat Research) US

• Хосэ Родригез, @Cyb3rPandaH (Open Threat Research) US

• Нэйт Нуагенти, @neu5ron (Open Threat Research) US

• Грэг Хауэлл (Open Threat Research) US

• Патрик Джон (Open Threat Research) US

• Свэн Куцер, @SvenKutzer (Cisco) DE

• Гиоргий Акс, @AcsGacs | (Cisco) HU

• Джай Минтон, @CyberRaiju (Независимый Исследователь) AU

• Игорь Фиц (Jet CSIRT) RU

• Семанур Гюнейсу, @semanurtg (DESTEL / SOC) TR

• Крейг Янг, @craigtweets (Tripwire) US

• Тим Исмиляев, @aestimi (Mana Security) RU

• Киран Кумар, @iamkirankmr (Независимый Исследователь) IN

• Ели Салем, (Независимый Исследователь)

• Бартоломей Чиж, @bczyz1 (Независимый Исследователь) RU

• Омар Гудхат, @OG0Sec (Независимый Исследователь) IN

• Райан Плас, @WordPlas (Stage 2 Security) US

• Олег Колесников, Securonix) US

• Фуркан Калискан, @caliskanfurkan_ (Ziraat Teknoloji) TR

• Дмитрий Учакин, @Dmitry_U4 (Kaspersky Lab) RU

• Авнет Синх, @v3t0_ (Независимый Исследователь) CA

• Агро, @agro_sev (Независимый Исследователь) RU

• Василий Буров, @vasebur (Quest) RU

• Мангатас Тонданг, @tas_kmanager (Независимый Исследователь) CA

• Джэйми Флорес, @remotephone (Независимый Исследователь) US

• Энсар Самиль, @sblmsrsn (Независимый Исследователь) TR

• Зак Стэнфорд, @svch0st (CyberCX) AU

• Сэндер Вейбинг, (NFIR B.V.) NL

• Джонатан Чейонг, (Независимый Исследователь) AU

• Омар Гунал, @ogunal00 (Независимый Исследователь) TR

• Алехандро Ортуно, @aomanzanera (Независимый Исследователь) ES

• Юлия Фомина, (PT ESC) RU

• Алексей Леднев (PT ESC) RU

• Иван Дьячков, (PT ESC) RU

• Константин Грищенко, @Z3Jpa29z (PT ESC) RU

• Максим Конакин (Независимый Исследователь) RU

• Никита Назаров, @NikitaStormwind (IZ SOC) RU

• Наталия Шорникова, (IZ SOC) RU

• Джон Такнер, @tuckner (Независимый Исследователь) US

• Грэгори Клермонт, @gregclermont (Независимый Исследователь) FR

• Харе Судхан Муфусами, @@0x6cdev (Независимый Исследователь) US

• Дэвид Страбэггер, @Strassi7 (Независимый Исследователь) AT

• Даниэл Вайнер, @DanielWeiner93 (Независимый Исследователь) US

• Джонатан Рибейро, @_w0rk3r (Независимый Исследователь) BR

Спасибо вам! (:

Кстати, мы создали организацию в LinkedIn, теперь вы можете отметить участие в спринтах в как волонтерский опыт:

Хочу участвовать

В OSCD нет входных требований для участников — все без смс и регистрации (: Работа ведется открыто и исключительно в интересах сообщества, не для обогащения и без связей с коммерческими организациями.
Следите за новостями в Twitter или на сайте Инициативы, дождитесь объявления о начале следующего спринта, выберите себе задачу из бэклога или предложите свою, и разработайте решение вместе с сообществом!