O que é a estrutura Mitre Att&ck?

A ATT&CK detalha o comportamento e a taxonomia para ações contraditórias em ciclos de vida de ameaças, melhorando a inteligência contra ameaças e as operações/arquiteturas de segurança.

A estrutura ATT&CK tem duas partes: ATT&CK para empresas, que é uma base de conhecimento detalhada que abrange o comportamento em relação às redes e nuvem de TI da empresa e a ATT&CK para dispositivos móveis, que se concentra no comportamento em relação aos dispositivos móveis.

A MITRE criou a ATT&CK em 2013 como um meio de documentar TTPs (tactics, techniques, and procedures, táticas, técnicas e procedimentos) comuns que fazem parte das APTs (Advanced Persistent Threats, ameaças persistentes avançadas) contra organizações. Ela cresceu em popularidade e em apoio do setor como um meio de criar um modelo comum de taxonomia e relacionamento para defensores e pesquisadores que trabalham para entender e se defender contra atividades crescentes de ataque e comportamentos adversários.

A estrutura aborda quatro questões principais:

Comportamentos adversários

Indicadores típicos, como endereços IP, domínios, chaves de registro, hashes de arquivos etc., podem ser alterados rapidamente por invasores e só são úteis durante a detecção. Eles não são representativos de como os invasores interagem com diferentes sistemas, apenas indicam que houve interação com um sistema em algum momento. Detectar possíveis comportamentos adversários ajuda a concentrar as investigações em táticas e técnicas menos efêmeras ou não confiáveis.

Modelos de ciclo de vida que não se encaixavam

Os ciclos de vida dos adversários e os conceitos da Cyber Kill Chain são um nível um pouco alto demais para relacionar comportamentos a defesas. Esse nível específico de abstração não foi útil para mapear TPPs para qualquer tipo de novo sensor.

Aplicabilidade em ambientes reais

É importante basear os TPPs em incidentes e campanhas observados para mostrar que o trabalho é aplicável.

Taxonomia comum

Os TTPs devem ser comparáveis em diferentes tipos de grupos adversários usando a mesma terminologia.

A estrutura ATT&CK funciona como uma autoridade sobre os comportamentos e as técnicas que os hackers usam contra as organizações. Ela elimina a ambiguidade e descreve um vocabulário centralizado para profissionais do setor. Isso os ajuda a discutir e colaborar sobre como combater os invasores e a aplicar medidas práticas de segurança.

A ATT&CK adiciona rigor e detalhes além da inteligência contra ameaças e das técnicas de ferramentas que são úteis em ataques oportunistas e menos direcionados. A Pyramid of Pain explica como ela complementa outros indicadores típicos de hoje.

A "Pyramid of Pain" (Pirâmide da dor) é uma representação dos tipos de IoCs (indicadores de compromisso). Ela mede a utilidade potencial da inteligência contra ameaças e se concentra na resposta a incidentes e na verificação de ameaças.

Trivial - valores de hash

Um valor de hash é gerado por algoritmos como MD5 e SHA e representa um arquivo mal-intencionado específico. Os hashes fornecem referências específicas a malwares e arquivos suspeitos usados por invasores para a invasão.

Comportamentos do invasor

Fácil - endereço IP

Os endereços IP são um dos indicadores mais básicos de uma fonte de ataque mal-intencionado, mas é possível adotar um endereço IP usando um serviço de proxy e alterá-lo constantemente.

Simples - nomes de domínio

Pode haver um nome de domínio ou até mesmo um tipo de subdomínio registrado, pago e hospedado. Mas há muitos provedores de serviços DNS que têm padrões de registro razoavelmente mais flexíveis.

Inconveniente - artefatos de rede/host

Artefatos de rede são partes de atividades que podem identificar um usuário mal-intencionado e diferenciá-lo de um usuário legítimo. Um tanto convencional podem ser os padrões URI ou as informações C2 incorporadas aos protocolos de rede.

Artefatos de host são observáveis causados por atividade adversa em um host que identifica atividades mal-intencionadas e as distingue das atividades legítimas. Esses identificadores incluem chaves de registro ou valores que são conhecidos por serem criados por malware ou arquivos/diretórios descartados em determinadas áreas.

Desafiador - ferramentas

As ferramentas geralmente são tipos de software que um invasor usará contra você. Isso também pode ser uma série de ferramentas que são trazidas com elas para interagir com o código ou software existente. As ferramentas incluem utilitários que criam documentos mal-intencionados para phishing direcionado, backdoors que estabelecem C2 ou crackers de senhas ou outros utilitários que possam comprometer.

Resistente! - TTPs

Táticas, técnicas e procedimentos estão no topo da pirâmide. Este é todo o processo de como um invasor cumpre sua missão, desde a fase de pesquisa inicial até a extração dos dados e tudo mais.

A matriz de ATT&CK é uma visualização da relação entre táticas e técnicas. As táticas são uma ideia de nível superior de por que um invasor está executando uma ação, e as técnicas são as ações que eles executam para apoiar a tática.

O que são táticas da estrutura ATT&CK?

A estrutura ATT&CK para empresas tem 14 táticas. Essa é considerada a parte "por que" da equação. As táticas são classificadas da seguinte maneira:

  • Reconhecimento
  • Desenvolvimento de recursos
  • Acesso inicial
  • Execução
  • Persistência
  • Escalonamento de privilégio
  • Evasão de defesa
  • Acesso a credenciais
  • Discovery
  • Movimento lateral
  • Coleção
  • Comando e controle
  • Extração

Quais são as técnicas da estrutura ATT&CK?

Em cada tática está contida uma série de técnicas que são usadas por malware ou grupos de ameaças no decorrer do comprometimento de um destino e do alcance dessas metas. Há onze táticas na estrutura ATT&CK, mas há aproximadamente 300 técnicas que precisam ser conhecidas.

Cada uma das técnicas na base de conhecimento tem informações com contexto, como as permissões necessárias, qual plataforma normalmente tem a técnica e como detectar os comandos e processos onde eles são usados.

Inteligência de ameaça

As defesas são informadas com base nas possíveis ameaças. As técnicas também são priorizadas com base em caraterísticas comuns entre os grupos e em uma análise de lacunas das defesas atuais em relação às ameaças comuns.

Detecção e análise

Agrupamento roxo, fontes de dados, testes, análise personalizada e análise OOB.

Casos de uso do Mitre Att&ck

Emulação de adversário

Comunicações para a equipe azul, comportamento variado da equipe vermelha, emulação de adversário baseada em CTI e testes de técnica atômica.

Avaliações e engenharia

Avalie as lacunas de cobertura com base no uso real e priorize reduções e investimentos, como técnica única, mitigações e fidelidade em várias técnicas.

Um aspecto importante da ATT&CK é como ela incorpora a CTI (cyber threat intelligence, inteligência contra ameaças cibernéticas). A ATT&CK documenta o comportamento do invasor com base em relatórios disponíveis publicamente para indicar quais grupos usam quais técnicas. É comum haver relatórios individuais que documentem um incidente ou um único grupo, mas a ATT&CK se concentra mais em um tipo de atividade e técnica e associa invasores e grupos à atividade, o que ajuda os técnicos a se concentrarem em técnicas com o maior uso.

No mundo digital de hoje, a capacidade de se preparar, identificar, minimizar e se recuperar de um evento de segurança desempenha um papel fundamental no sucesso da sua organização. Dessa forma, o Security Incident Response complementado pela MITRE ATT&CK pode ajudar a garantir que sua empresa esteja preparada, com acesso a recursos para desenvolver modelos e metodologias avançados contra ameaças de ataques cibernéticos.

Trabalhando dentro da estrutura MITRE ATT&CK, suas equipes de segurança podem melhorar a análise e a resposta a incidentes à medida que eles ocorrem. Podem identificar com precisão indicadores de compromisso e priorizar ameaças específicas. Podem melhorar os fluxos de trabalho automatizados usando táticas essenciais e outros recursos extraídos do playbook da ATT&CK.

Comece a usar o Security Incident Response

A MITRE ATT&CK capacita as empresas em todo o módulo Threat Intelligence e SIR, melhorando sua resposta a incidentes e protegendo ativos valiosos.