Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Framework MITRE ATT&CK
O framework MITRE ATT&CK é uma base de conhecimento universalmente acessível e atualizada constantemente para modelar, detectar, prevenir e combater ameaças de cibersegurança com base nos comportamentos hostis conhecidos dos cibercriminosos.
O termo ATT&CK em MITRE ATT&CK significa Adversarial Tactics, Techniques & Common Knowledge (táticas, técnicas e conhecimento comum do adversário).
Um MITRE ATT&CK cataloga táticas, técnicas e procedimentos de cibercriminosos (TTPs) em cada fase do ciclo de vida do ataque cibernético, desde a coleta inicial de informações e o planejamento do comportamento de um invasor até a execução final do ataque. As informações do MITRE ATT&CK podem ajudar as equipes de segurança
a simular precisamente os ataques cibernéticos para testar as defesas cibernéticas;
criar políticas de segurança, controles de segurança e planos de resposta a incidentes mais eficazes; e
escolher e configurar tecnologias de segurança para detectar, prevenir e mitigar melhor as ameaças cibernéticas.
Além disso, a taxonomia de táticas adversárias, técnicas e subtécnicas (veja abaixo) MITRE ATT&CK estabelece uma linguagem comum que os profissionais de segurança podem usar para compartilhar informações sobre ameaças cibernéticas e colaborar na prevenção de ameaças.
O MITRE ATT&CK não é um software propriamente dito. Contudo, muitas soluções de software de segurança empresarial, como UEBA (User and Entity Behavior Analytics ), XDR (Extended Detection and Response), SOAR (Security Orchestration, Automation and Response) e SIEM (Security Information and Event Management), podem integrar as informações sobre as ameaças de MITRE ATT&CK para atualizar e aprimorar seus recursos de detecção e resposta a ameaças.
O MITRE ATT&CK foi desenvolvido pela MITRE Corporation, uma organização sem fins lucrativos, e é mantido pela MITRE com a contribuição de uma comunidade global de profissionais de segurança cibernética.
Trabalhe com os consultores do IBM Threat Management para modernizar seu programa de gerenciamento de ameaças, eliminar as lacunas de tecnologias e habilidades e tomar decisões mais fundamentadas e baseadas em riscos.
O MITRE ATT&CK organiza táticas e técnicas (e subtécnicas) adversárias em matrizes. Cada matriz contém táticas e técnicas correspondentes a ataques em domínios específicos:
A Enterprise Matrix inclui todas as técnicas adversárias usadas em ataques contra a infraestrutura corporativa. Essa matriz contém submatrizes para as plataformas Windows, MacOS e Linux, bem como infraestrutura de rede, plataformas de nuvem e tecnologias de contêiner. Contém também uma matriz PRE de técnicas preparatórias empregadas antes de um ataque.
A matriz móvel contém técnicas utilizadas em ataques diretos a dispositivos móveis e em ataques móveis baseados em rede que não exigem acesso a um dispositivo móvel. Essa matriz inclui submatrizes para as plataformas móveis iOS e Android.
A ICX Matriz contém técnicas utilizadas em ataques a sistemas de controle industrial, especificamente máquinas, dispositivos, sensores e redes utilizados para controlar ou automatizar operações em fábricas, concessionárias, sistemas de transporte e outros prestadores de serviços críticos.
Cada tática do MITRE ATT&CK representa uma meta adversária específica, algo que o invasor deseja realizar em um determinado momento. As táticas de ATT&CK têm correspondência muito próxima aos estágios ou fases de um ataque cibernético. Por exemplo, as táticas de ATT&CK abrangidas pela matriz empresarial contêm:
Reconhecimento: coleta de informações para planejar um ataque.
Desenvolvimento de recursos: estabelecimento de recursos para apoiar operações de ataque.
Acesso inicial: a penetração do sistema ou da rede de destino.
Execução: executar malware ou código malicioso no sistema comprometido.
Persistência: manter o acesso ao sistema comprometido (no caso de desligamento ou de reconfigurações).
Escalonamento de privilégios: conseguir acesso ou permissões de nível superior (por exemplo, passar de acesso de usuário a acesso de administrador).
Evasão de defesa: evitar a detecção uma vez dentro de um sistema.
Acesso a credenciais: roubo de nomes de usuário, senhas e outras credenciais de login.
Descoberta: pesquisa do ambiente de destino para saber quais recursos podem ser acessados ou controlados para apoiar um ataque planejado.
Movimento lateral: obtém acesso a recursos adicionais dentro do sistema.
Coleta: coleta de dados relacionados ao objetivo do ataque (por exemplo, dados para criptografia e/ou exfiltração como parte de um ataque de ransomware).
Comando e controle: estabelecimento de comunicações secretas/indetectáveis que permitem ao invasor controlar o sistema.
Exfiltração: roubo de dados do sistema.
Impacto: interrupção, corrompimento, desativação ou destruição de dados ou processos de negócios.
Novamente, as táticas e técnicas variam de matriz para matriz (e submatriz). Por exemplo, a Matriz Móvel não inclui táticas de Reconhecimento e Desenvolvimento de Recursos, mas inclui outras táticas, como Efeitos de Rede e Efeitos de Serviço Remoto,não encontrados na Matriz Empresarial.
Se as táticas de MITRE ATT&CK representam o que os invasores querem conseguir, as técnicas de MITRE ATT&CK representam como eles tentam realizá-lo. Por exemplo, drive-by compromise e spear phishing são tipos de técnicas de acesso inicial; o uso de armazenamento sem arquivo é um exemplo de uma técnica de evasão de defesa.
A base de conhecimento apresenta as seguintes informações para cada técnica:
Descrição e visão geral da técnica.
Qualquer subtécnica conhecida associada à técnica. Por exemplo, as subtécnicas para phishing são spear phishing attachment, spear phishing link e spear phishing via service. No momento da preparação deste texto, a MITRE ATT&CK documenta 196 técnicas individuais e 411 subtécnicas.
Exemplos de procedimentos relacionados. Isso pode incluir as formas como os grupos de ataques usam a técnica ou tipos de software malicioso usados para executar a técnica.
Mitigações—práticas de segurança (por exemplo, treinamento de usuário) ou software (por exemplo, software antivírus, sistemas de prevenção de intrusão) que podem bloquear ou tratar a técnica.
Métodos de detecção. Normalmente, são dados de log ou fontes de dados do sistema que equipes de segurança ou software de segurança podem monitorar em busca de evidências da técnica.
O MITRE ATT&CK oferece várias outras maneiras de visualizar e trabalhar com a base de conhecimento. Em vez de pesquisar táticas e técnicas específicas por meio das matrizes, os usuários podem pesquisar com base no seguinte:
Fontes de dados— um índice de todos os dados de log ou fontes de dados do sistema e componentes de dados que as equipes de segurança ou o software de segurança podem monitorar em busca de evidências de técnicas de ataque tentadas.
Mitigações: um índice de todas as mitigações referenciadas na base de conhecimento. Os usuários podem detalhar para saber quais técnicas são tratadas por um tipo específico de mitigação.
Grupos: um índice dos grupos adversários e das táticas e técnicas de ataque que empregam. No momento da preparação deste texto, o MITRE ATT&CK documentava 138 grupos.
Software—um índice do software ou serviços maliciosos (740 nesta quando este texto foi escrito) que os invasores podem utilizar para executar técnicas específicas.
Campanhas—essencialmente um banco de dados de campanhas de ciberataque ou ciberespionagem, incluindo informações sobre grupos que as lançaram e todas as técnicas e softwares empregados.
Navegador MITRE ATT&CK
O MITRE ATT&CK Navigator é uma ferramenta de código aberto para pesquisa, filtragem, anotação e apresentação de dados da base de conhecimento. As equipes de segurança podem usar o MITRE ATT&CK Navigator para identificar e comparar rapidamente táticas e técnicas usadas por grupos de ameaças específicos, identificar softwares usados para executar uma técnica específica, combinar mitigações a técnicas específicas etc.
O ATT&CK Navigator pode exportar resultados em JSON, Excel ou no formato de gráficos SVG (para apresentações). As equipes de segurança podem usá-lo online (hospedado no GitHub) ou baixá-lo para um computador local.
O MITRE ATT & CK oferece suporte a várias atividades e tecnologias que as organizações usam para otimizar suas operações de segurança e melhorar sua postura geral de segurança.
Triagem de alertas; detecção e resposta a ameaças. As informações contidas no MITRE ATT&CK são muitíssimo valiosas para filtrar e priorizar a enxurrada de alertas relacionados à segurança gerados por softwares e dispositivos em uma rede corporativa típica. Na verdade, muitas soluções de segurança corporativa, incluindo SIEM (gerenciamento de eventos e informações de segurança), UEBA (análise de dados de comportamento de usuários e entidades), EDR (detecção e resposta de endpoint) e XDR (detecção e resposta estendida), podem ingerir informações do MITRE ATT&CK e usá-las para fazer a triagem de alertas, enriquecer a inteligência de ameaças cibernéticas com outras fontes e acionar playbooks de resposta a incidentes ou respostas automatizadas a ameaças.
Caça a ameaças. A caça a ameaças é um exercício de segurança proativo em que os analistas de segurança procuram na rede as ameaças que tiverem escapado das medidas de cibersegurança existentes. As informações do MITRE ATT&CK sobre táticas, técnicas e procedimentos de adversários oferecem literalmente centenas de pontos para iniciar ou continuar a caça a ameaças.
Emulação de equipe vermelha/emulação de adversário. As equipes de segurança podem usar as informações do MITRE ATT&CK para simular ataques cibernéticos do mundo real. Essas simulações podem testar a eficácia das políticas, práticas e soluções de segurança que elas têm em vigor e ajudar a identificar vulnerabilidades que precisam ser abordadas.
Análise de lacunas de segurança e avaliações de maturidade do centro de operações de segurança (SOC). A análise de lacunas de segurança compara as práticas e tecnologias de cibersegurança existentes de uma organização com o padrão atual do setor. Uma avaliação de maturidade do SOC avalia a maturidade do SOC de uma organização com base em sua capacidade de bloquear ou mitigar consistentemente ameaças ou ataques cibernéticos com intervenção manual mínima ou inexistente. Em todos os casos, os dados do MITRE ATT&CK podem ajudar as organizações a realizar essas avaliações utilizando os dados mais recentes sobre táticas, técnicas e mitigações de ameaças cibernéticas.
Como a MITRE ATT&CK, os modelos de cadeia de baixas cibernéticas da Lockheed Martin são uma série de táticas de adversários. Algumas das táticas têm inclusive os mesmos nomes. Mas é aí que termina a semelhança.
O Cyber Kill Chain é mais um framework descritivo do que uma base de conhecimento. É muito menos detalhado do que o MITRE ATT&CK. Ele abrange apenas sete (7) táticas: reconhecimento, armamento, entrega, invasão, instalação, comando e controle e ações sobre objetivos, em comparação com as 18 táticas do MITRE ATT&CK (incluindo táticas somente móveis e ICS). Ele não oferece modelos discretos para ataques em plataformas móveis ou ICS. E não cataloga nada que se aproxime do nível de informações detalhadas sobre táticas, técnicas e procedimentos no MITRE ATT&CK.
Outra distinção importante: o Cyber Kill Chain baseia-se na suposição de que qualquer ataque cibernético deve realizar táticas adversárias em sequência para ter sucesso e que o bloqueio de qualquer uma das táticas “quebrará a kill chain” e impedirá que o adversário alcance seu objetivo final. A MITRE ATT&CK não adota essa abordagem; ela se concentra na ajuda dos profissionais de segurança na identificação e no bloqueio ou na mitigação de táticas e técnicas adversárias individuais em qualquer contexto encontrado.
Soluções relacionadas
A IBM® Security trabalha com você para ajudar a proteger seus negócios com um portfólio avançado e integrado de soluções e serviços de cibersegurança corporativa integrados com IA.
Simule ataques para testar, medir e melhorar a detecção de riscos e a resposta a incidentes.
Aproveite uma equipe de analistas de inteligência de alto nível para entender como o cenário de ameaças está mudando e as técnicas mais novas que os agentes de ameaças estão usando.
Recursos
Os ataques cibernéticos são tentativas indesejáveis de roubar, expor, alterar, desabilitar ou destruir informações por meio de acesso não autorizado a sistemas de computador.
As informações de segurança e o gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como acompanhamento e registro de dados de segurança para fins de conformidade ou auditoria.
A caça a ameaças é uma abordagem proativa para identificar ameaças desconhecidas ou contínuas não mediadas na rede de uma organização.
