O framework MITRE ATT&CK é uma base de conhecimento universalmente acessível e atualizada constantemente para modelar, detectar, prevenir e combater ameaças de cibersegurança com base nos comportamentos hostis conhecidos dos cibercriminosos.
O ATT&CK em MITRE ATT&CK significa Adversarial Tactics, Techniques & Common Knowledge (táticas, técnicas e conhecimento comum do adversário).
Um MITRE ATT&CK cataloga táticas, técnicas e procedimentos de cibercriminosos (TTPs) em cada fase do ciclo de vida do ciberataque, desde a coleta inicial de informações e o planejamento dos comportamentos de um invasor até a execução final do ataque. As informações do MITRE ATT&CK podem ajudar as equipes de segurança a
simular precisamente os ciberataques para testar as ciberdefesas;
criar políticas de segurança, controles de segurança e planos de resposta a incidentes mais eficazes; e
escolher e configurar tecnologias de segurança para detectar, prevenir e mitigar melhor as ameaças cibernéticas.
Além disso, a taxonomia de táticas adversárias, técnicas e subtécnicas (veja abaixo) MITRE ATT&CK estabelece uma linguagem comum que os profissionais de segurança podem usar para compartilhar informações sobre ameaças cibernéticas e colaborar na prevenção de ameaças.
O MITRE ATT&CK não é um software propriamente dito. Contudo, muitas soluções de software de segurança empresarial, como análise de dados do comportamento de usuários e entidades (UEBA), detecção e resposta estendidas (XDR), orquestração, automação e resposta de segurança (SOAR) e gerenciamento de incidentes e eventos de segurança (SIEM), podem integrar as informações sobre as ameaças de MITRE ATT&CK para atualizar e aprimorar seus recursos de detecção e resposta a ameaças.
O MITRE ATT&CK foi desenvolvido pela MITRE Corporation, uma organização sem fins lucrativos, e é mantido pela MITRE com a contribuição de uma comunidade global de profissionais de segurança cibernética.
O MITRE ATT&CK organiza táticas e técnicas (e subtécnicas) adversárias em matrizes. Cada matriz contém táticas e técnicas correspondentes a ataques em domínios específicos:
A Enterprise Matrix inclui todas as técnicas adversárias usadas em ataques contra a infraestrutura corporativa. Essa matriz contém submatrizes para as plataformas Windows, MacOS e Linux, bem como infraestrutura de rede, plataformas de nuvem e tecnologias de contêineres. Contém também uma matriz PRE de técnicas preparatórias empregadas antes de um ataque.
A matriz móvel contém técnicas utilizadas em ataques diretos a dispositivos móveis e em ataques móveis baseados em rede que não exigem acesso a um dispositivo móvel. Essa matriz inclui submatrizes para as plataformas móveis iOS e Android.
A ICX Matriz contém técnicas utilizadas em ataques a sistemas de controle industrial, especificamente máquinas, dispositivos, sensores e redes utilizados para controlar ou automatizar operações em fábricas, concessionárias, sistemas de transporte e outros prestadores de serviços críticos.
Cada tática do MITRE ATT&CK representa uma meta adversária específica, algo que o invasor deseja realizar em um determinado momento. As táticas de ATT&CK têm correspondência muito próxima aos estágios ou fases de um ataque cibernético. Por exemplo, as táticas de ATT&CK abrangidas pela matriz empresarial contêm:
Reconhecimento: coleta de informações para planejar um ataque.
Desenvolvimento de recursos: estabelecimento de recursos para apoiar operações de ataque.
Acesso inicial: penetração no sistema ou rede de destino.
Execução: execução de malware ou código malicioso no sistema comprometido.
Persistência: manutenção do acesso ao sistema comprometido (no caso de desligamento ou reconfigurações).
Escalonamento de privilégios: obtenção de acesso ou permissões de nível superior (por exemplo, passar de acesso de usuário a acesso de administrador).
Evasão de defesa: evasão da detecção após estar dentro de um sistema.
Acesso a credenciais: roubo de nomes de usuário, senhas e outras credenciais de login.
Descoberta: pesquisa do ambiente-alvo para saber quais recursos podem ser acessados ou controlados para apoiar um ataque planejado.
Movimento lateral: obtenção de acesso a recursos adicionais dentro do sistema.
Coleta: coleta de dados relacionados ao objetivo do ataque (por exemplo, dados para criptografia e/ou exfiltração como parte de um ataque de ransomware).
Comando e controle: estabelecimento de comunicações secretas/indetectáveis que permitem ao invasor controlar o sistema.
Exfiltração: roubo de dados do sistema.
Impacto: interrupção, corrompimento, desativação ou destruição de dados ou processos de negócios.
Novamente, as táticas e técnicas variam de matriz para matriz (e submatriz). Por exemplo, a Matriz Móvel não inclui táticas de Reconhecimento e Desenvolvimento de Recursos, mas inclui outras táticas, como Efeitos de Rede e Efeitos de Serviço Remoto,não encontrados na Matriz Empresarial.
Fortaleça sua inteligência de segurança
Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.
Se as táticas de MITRE ATT&CK representam o que os invasores querem conseguir, as técnicas de MITRE ATT&CK representam como eles tentam atingir isso. Por exemplo, drive-by compromise e spear phishing são tipos de técnicas de acesso inicial; o uso de armazenamento sem arquivos é um exemplo de uma técnica de evasão de defesa.
A base de conhecimento apresenta as seguintes informações para cada técnica:
Descrição e visão geral da técnica.
Quaisquer subtécnicas conhecidas associadas à técnica. Por exemplo, as subtécnicas para phishing incluem anexo de spear phishing, link de spear phishing e spear phishing via serviço. Neste artigo o MITRE ATT&CK documenta 196 técnicas individuais e 411 subtécnicas.
Exemplos de procedimentos relacionados. Podem incluir as formas como os grupos de ataque usam a técnica ou tipos de software malicioso usados para executar a técnica.
Mitigações — práticas de segurança (por exemplo, treinamento de usuários) ou software (por exemplo, software antivírus, sistemas de prevenção de intrusão) que podem bloquear ou lidar com a técnica.
Métodos de detecção. Normalmente, são dados de log ou fontes de dados do sistema que equipes de segurança ou software de segurança podem monitorar em busca de evidências da técnica.
O MITRE ATT&CK oferece várias outras maneiras de visualizar e trabalhar com a base de conhecimento. Em vez de pesquisar táticas e técnicas específicas por meio das matrizes, os usuários podem pesquisar com base no seguinte:
Fontes de dados — um índice de todos os dados de log ou fontes de dados do sistema e componentes de dados que as equipes de segurança ou o software de segurança podem monitorar em busca de evidências de técnicas de ataque tentadas.
Mitigações — um índice de todas as mitigações referenciadas na base de conhecimento. Os usuários podem detalhar para saber com quais técnicas um tipo específico de mitigação lida.
Grupos — um índice dos grupos adversários e das táticas e técnicas de ataque que empregam. Neste artigo, o MITRE ATT&CK documentou 138 grupos.
Software — um índice do software ou serviços maliciosos (740 neste artigo) que os invasores podem usar para executar técnicas específicas.
Campanhas—essencialmente um banco de dados de campanhas de ciberataque ou ciberespionagem, incluindo informações sobre grupos que as lançaram e todas as técnicas e softwares empregados.
Navegador MITRE ATT&CK
O MITRE ATT&CK Navigator é uma ferramenta de código aberto para pesquisa, filtragem, anotação e apresentação de dados da base de conhecimento. As equipes de segurança podem usar o MITRE ATT&CK Navigator para identificar e comparar rapidamente táticas e técnicas usadas por grupos de ameaças específicos, identificar softwares usados para executar uma técnica específica, combinar mitigações a técnicas específicas etc.
O ATT&CK Navigator pode exportar resultados em JSON, Excel ou no formato de gráficos SVG (para apresentações). As equipes de segurança podem usá-lo online (hospedado no GitHub) ou baixá-lo para um computador local.
O MITRE ATT & CK oferece suporte a várias atividades e tecnologias que as organizações usam para otimizar suas operações de segurança e melhorar sua postura geral de segurança.
Triagem de alertas; detecção e resposta a ameaças. As informações contidas no MITRE ATT&CK são muitíssimo valiosas para filtrar e priorizar a enxurrada de alertas relacionados à segurança gerados por softwares e dispositivos em uma rede corporativa típica. Na verdade, muitas soluções de segurança corporativa, incluindo SIEM (gerenciamento de eventos e informações de segurança), UEBA (análise de dados de comportamento de usuários e entidades), EDR (detecção e resposta de endpoint) e XDR (detecção e resposta estendida), podem ingerir informações do MITRE ATT&CK e usá-las para fazer a triagem de alertas, enriquecer a inteligência de ameaças cibernéticas com outras fontes e acionar playbooks de resposta a incidentes ou respostas automatizadas a ameaças.
Caça a ameaças. Caça a ameaças é um exercício de segurança proativo em que os analistas de segurança procuram na rede as ameaças que tiverem escapado das medidas de cibersegurança existentes. As informações do MITRE ATT&CK sobre táticas, técnicas e procedimentos de adversários oferecem literalmente centenas de pontos para iniciar ou continuar a caça a ameaças.
Emulação de equipe vermelha/emulação de adversário. As equipes de segurança podem usar as informações do MITRE ATT&CK para simular ataques cibernéticos do mundo real. Essas simulações podem testar a eficácia das políticas, práticas e soluções de segurança que elas têm em vigor e ajudar a identificar vulnerabilidades que precisam ser abordadas.
Análise de lacunas de segurança e avaliações de maturidade do centro de operações de segurança (SOC). A análise de lacunas de segurança compara as práticas e tecnologias de cibersegurança existentes de uma organização com a norma atual do setor. Uma avaliação de maturidade do SOC avalia a maturidade do SOC de uma organização com base em sua capacidade de bloquear ou mitigar consistentemente ameaças ou ciberataques com intervenção manual mínima ou inexistente. Em todos os casos, os dados do MITRE ATT&CK podem ajudar as organizações a realizar essas avaliações utilizando os dados mais recentes sobre táticas, técnicas e mitigações de ciberameaças.
Como a MITRE ATT&CK, os modelos de cadeia de baixas cibernéticas da Lockheed Martin são uma série de táticas de adversários. Algumas das táticas têm inclusive os mesmos nomes. Mas é aí que termina a semelhança.
O Cyber Kill Chain é mais um framework descritivo do que uma base de conhecimento. É muito menos detalhado do que o MITRE ATT&CK. Ele abrange apenas sete (7) táticas: reconhecimento, armamento, entrega, invasão, instalação, comando e controle e ações sobre objetivos, em comparação com as 18 táticas do MITRE ATT&CK (incluindo táticas somente móveis e ICS). Ele não oferece modelos discretos para ataques em plataformas móveis ou ICS. E não cataloga nada que se aproxime do nível de informações detalhadas sobre táticas, técnicas e procedimentos no MITRE ATT&CK.
Outra distinção importante: o Cyber Kill Chain baseia-se na suposição de que qualquer ataque cibernético deve realizar táticas adversárias em sequência para ter sucesso e que o bloqueio de qualquer uma das táticas “quebrará a kill chain” e impedirá que o adversário alcance seu objetivo final. A MITRE ATT&CK não adota essa abordagem; ela se concentra na ajuda dos profissionais de segurança na identificação e no bloqueio ou na mitigação de táticas e técnicas adversárias individuais em qualquer contexto encontrado.