Kerangka kerja MITRE ATT&CK

ATT&CK dalam MITRE ATT&CK adalah singkatan dari Adversarial Tactics, Techniques & Common Knowledge.

MITRE ATT&CK membuat katalog taktik, teknik, dan prosedur (TTP) penjahat siber melalui setiap fase siklus serangan siber—mulai dari pengumpulan informasi awal dan perilaku perencanaan penyerang, hingga eksekusi akhir serangan. Informasi dalam MITRE ATT & CK dapat membantu tim keamanan

• menyimulasikan serangan siber dengan tepat untuk menguji pertahanan siber;

• membuat kebijakan keamanan, pengendalian keamanan, dan rencana respons insiden yang lebih efektif; dan

• memilih dan mengkonfigurasi teknologi keamanan untuk mendeteksi, mencegah, dan memitigasi ancaman siber dengan lebih baik

Selain itu, taksonomi taktik, teknik, dan subteknik musuh MITRE ATT&CK (lihat di bawah) menetapkan bahasa umum yang dapat digunakan oleh para profesional keamanan untuk berbagi informasi tentang ancaman siber dan berkolaborasi dalam pencegahan ancaman.

MITRE ATT&CK bukanlah perangkat lunak itu sendiri. Namun, banyak solusi perangkat lunak keamanan perusahaan—seperti analisis perilaku pengguna dan entitas (UEBA), deteksi dan respons yang diperluas (XDR), orkestrasi keamanan, otomatisasi, dan respons (SOAR), dan informasi keamanan dan manajemen peristiwa (SIEM)—yang dapat mengintegrasikan informasi ancaman MITRE ATT&CK untuk memperbarui dan meningkatkan kemampuan deteksi dan respons terhadap ancaman.

MITRE ATT&CK dikembangkan oleh MITRE Corporation, sebuah perusahaan nirlaba, dan dikelola oleh MITRE dengan masukan dari komunitas profesional keamanan siber global.

MITRE ATT&CK mengatur taktik dan teknik musuh (dan subteknik) ke dalam matriks. Setiap matriks mencakup taktik dan teknik yang sesuai dengan serangan pada domain tertentu:

Setiap taktik MITRE ATT&CK mewakili tujuan musuh yang spesifik, sesuatu yang ingin dicapai oleh penyerang pada waktu tertentu. Taktik ATT&CK berhubungan erat dengan tahapan atau fase serangan siber. Misalnya, taktik ATT&C yang dicakup oleh Enterprise Matrix meliputi:

• Pengintaian: Mengumpulkan informasi untuk merencanakan serangan.

• Pengembangan sumber daya: Membangun sumber daya untuk mendukung operasi serangan.

• Akses awal: Menembus sistem atau jaringan target.

• Eksekusi: Menjalankan malware atau kode berbahaya pada sistem yang disusupi.

• Persistensi: Mempertahankan akses ke sistem yang disusupi (jika terjadi pematian atau perubahan konfigurasi).

• Eskalasi hak istimewa: Mendapatkan akses atau izin tingkat yang lebih tinggi (misalnya, berpindah dari akses pengguna ke administrator).

• Penghindaran pertahanan: Menghindari deteksi sekali di dalam sistem.

• Akses kredensial: Mencuri nama pengguna, kata sandi, dan kredensial masuk lainnya.

• Penemuan: Meneliti lingkungan target untuk mempelajari sumber daya apa saja yang dapat diakses atau dikendalikan untuk mendukung serangan yang direncanakan.

• Gerakan lateral: Mendapatkan akses ke sumber daya tambahan di dalam sistem.

• Pengumpulan: Mengumpulkan data yang terkait dengan tujuan serangan (misalnya, data untuk enkripsi dan/atau eksfiltrasi sebagai bagian dari serangan ransomware).

• Perintah dan kontrol: Membangun komunikasi rahasia/tidak terdeteksi yang memungkinkan penyerang mengendalikan sistem.

• Eksfiltrasi: Mencuri data dari sistem.

• Dampak: Mengganggu, merusak, melumpuhkan, atau menghancurkan data atau proses bisnis.

Sekali lagi, taktik dan teknik bervariasi dari satu matriks ke matriks lainnya (dan submatriks). Sebagai contoh, Mobile Matrix tidak menyertakan taktik Pengintaian dan Pengembangan Sumber Daya, tetapi menyertakan taktik lain -Efek Jaringan dan Efek Layanan Jarak Jauh, yang tidak ditemukan dalam Enterprise Matrix.

Jika taktik MITRE ATT&CK mewakili apa yang ingin dicapai penyerang, teknik MITRE ATT&CK mewakili cara mereka mencoba mencapainya. Sebagai contoh, drive-by compromise dan phishing tombak adalah jenis-jenis teknik akses awal; menggunakan penyimpanan tanpa file adalah contoh teknik penghindaran pertahanan.

Basis pengetahuan menyediakan informasi berikut untuk setiap teknik:

• Deskripsi dan ikhtisar teknik tersebut.

• Subteknik apa pun yang diketahui terkait dengan teknik tersebut. Sebagai contoh, subteknik untuk phishing termasuk lampiran phishing tombak, tautan phishing tombak, dan phishing tombak melalui layanan. Pada saat tulisan ini dibuat, MITRE ATT&CK mendokumentasikan 196 teknik dan 411 subteknik.

• Contoh prosedur terkait. Metode ini dapat mencakup cara-cara kelompok penyerang menggunakan teknik ini, atau jenis perangkat lunak berbahaya yang digunakan untuk mengeksekusi teknik ini.

• Mitigasi—praktik keamanan (misalnya, pelatihan pengguna) atau perangkat lunak (misalnya perangkat lunak antivirus, sistem pencegahan intrusi) yang dapat memblokir atau mengatasi teknik ini.

• Metode deteksi. Biasanya ini adalah data log atau sumber data sistem yang dapat dipantau oleh tim keamanan atau perangkat lunak keamanan untuk mencari bukti dari teknik ini.

MITRE ATT&CK menawarkan beberapa cara lain untuk melihat dan bekerja dengan basis pengetahuan. Alih-alih meneliti taktik dan teknik khusus melalui matriks, pengguna dapat meneliti berdasarkan hal-hal berikut:

• Sumber Data—indeks dari semua data log atau sumber data sistem dan komponen data yang dapat dipantau oleh tim keamanan atau perangkat lunak keamanan untuk mencari bukti percobaan teknik serangan.

• Mitigasi—indeks semua mitigasi yang dirujuk dalam basis pengetahuan. Pengguna dapat menelusuri untuk mempelajari teknik-teknik yang ditangani oleh mitigasi tertentu.

• Kelompok—indeks kelompok musuh dan taktik serta teknik serangan yang mereka gunakan. Pada saat tulisan ini dibuat, MITRE ATT&CK telah mendokumentasikan 138 grup.

• Perangkat lunak— indeks perangkat lunak atau layanan berbahaya (740 pada tulisan ini) yang dapat digunakan penyerang untuk mengeksekusi teknik tertentu.

• Kampanye - pada dasarnya database serangan siber atau kampanye spionase siber, termasuk informasi tentang kelompok yang meluncurkannya dan teknik serta perangkat lunak yang digunakan.

MITRE ATT&CK Navigator adalah alat bantu sumber terbuka untuk mencari, memfilter, membuat anotasi, dan menyajikan data dari basis pengetahuan. Tim keamanan dapat menggunakan MITRE ATT&CK Navigator untuk dengan cepat mengidentifikasi dan membandingkan taktik dan teknik yang digunakan oleh kelompok ancaman tertentu, mengidentifikasi perangkat lunak yang digunakan untuk mengeksekusi teknik tertentu, mencocokkan mitigasi dengan teknik tertentu, dan banyak lagi.

ATT&CK Navigator dapat mengekspor hasil dalam format grafis JSON, Excel, atau SVG (untuk presentasi). Tim keamanan bisa menggunakannya secara online (dihosting di GitHub) atau mengunduhnya ke komputer lokal.

MITRE ATT&CK mendukung sejumlah aktivitas dan teknologi yang digunakan organisasi untuk mengoptimalkan operasi keamanan mereka dan meningkatkan postur keamanan secara keseluruhan.

Triase peringatan, deteksi dan respons ancaman. Informasi dalam MITRE ATT&CK sangat berharga untuk memilah-milah dan memprioritaskan banjir peringatan terkait keamanan yang dihasilkan oleh perangkat lunak dan perangkat pada jaringan perusahaan pada umumnya. Faktanya, banyak solusi keamanan perusahaan—termasuk SIEM (informasi keamanan dan manajemen peristiwa), UEBA (analisis perilaku pengguna dan entitas), EDR (deteksi dan respons titik akhir) dan XDR (deteksi dan respons yang diperluas)—dapat menyerap informasi dari MITRE ATT&CK dan menggunakannya untuk melakukan triase peringatan, memperkaya intelijen ancaman siber dari sumber lain, dan memicu pedoman respons insiden atau respons ancaman otomatis.

Perburuan ancaman. Perburuan ancaman adalah latihan keamanan proaktif di mana analis keamanan mencari ancaman di jaringan mereka untuk menemukan ancaman yang telah lolos dari langkah-langkah keamanan siber yang ada. Informasi MITRE ATT&CK tentang taktik, teknik, dan prosedur musuh memberikan ratusan poin untuk memulai atau melanjutkan perburuan ancaman.

Emulasi tim/musuh merah. Tim keamanan bisa menggunakan informasi dalam MITRE ATT&CK untuk mensimulasikan serangan siber di dunia nyata. Simulasi ini dapat menguji efektivitas kebijakan, praktik, dan solusi keamanan yang mereka miliki, dan membantu mengidentifikasi kerentanan yang perlu ditangani.

Analisis kesenjangan keamanan dan penilaian kematangan pusat operasi keamanan (SOC). Analisis kesenjangan keamanan membandingkan praktik dan teknologi keamanan siber organisasi yang ada dengan standar industri saat ini. Penilaian kematangan SOC mengevaluasi kematangan SOC organisasi berdasarkan kemampuannya untuk secara konsisten memblokir atau memitigasi ancaman siber atau serangan siber dengan sedikit atau tanpa intervensi manual. Dalam setiap kasus, data MITRE ATT&CK dapat membantu organisasi melakukan penilaian ini dengan menggunakan data terbaru mengenai taktik, teknik, dan mitigasi ancaman siber.

Seperti MITRE ATT&CK, Cyber Kill Chain dari Lockheed Martin memodelkan serangan siber sebagai serangkaian taktik permusuhan. Beberapa taktik bahkan memiliki nama yang sama. Namun disitulah kesamaannya berakhir.

Cyber Kill Chain lebih merupakan kerangka kerja deskriptif daripada basis pengetahuan. Kerangka ini jauh lebih detail dibandingkan MITRE ATT&CK. Kerangka ini hanya mencakup tujuh (7) taktik—Pengintaian, Persenjataan, Pengiriman, Eksploitasi, Instalasi, Perintah dan Kontrol, Tindakan terhadap Sasaran—dibandingkan dengan 18 taktik MITRE ATT&CK (termasuk taktik khusus Mobile dan ICS). Kerangka ini tidak menyediakan model diskret untuk serangan pada platform Seluler atau ICS. Dan tidak ada katalog yang mendekati tingkat informasi rinci tentang taktik, teknik dan prosedur dalam MITRE ATT&CK.

Perbedaan penting lainnya: Rantai Pembunuhan Siber didasarkan pada asumsi bahwa setiap serangan siber harus mencapai taktik musuh secara berurutan agar berhasil, dan bahwa memblokir salah satu taktik akan 'memutus rantai pembunuhan' dan menggagalkan musuh untuk mencapai tujuan utamanya. MITRE ATT&CK tidak menggunakan pendekatan ini; ia berfokus pada membantu para profesional keamanan untuk mengidentifikasi dan memblokir atau mengurangi taktik dan teknik musuh individu dalam konteks apa pun yang mereka hadapi.