A ATT&CK detalha o comportamento e a taxonomia de ações conflitivas em ciclos de vida de ameaças, melhorando a inteligência contra ameaças e as operações/arquiteturas de segurança.
A estrutura ATT&CK tem duas partes: ATT&CK for Enterprise, que é uma base de conhecimento detalhada que abrange o comportamento em relação às redes e nuvem de TI da empresa, e ATT&CK for Mobile, que se concentra no comportamento em relação aos dispositivos móveis.
A MITRE criou o ATT&CK em 2013 como um meio de documentar TTPs (tactics, techniques, and procedures, táticas, técnicas e procedimentos) comuns que fazem parte das APTs (Advanced Persistent Threats, ameaças persistentes avançadas) contra organizações. Ela cresceu em popularidade e em apoio do setor como um meio de criar um modelo comum de taxonomia e relacionamento para defensores e pesquisadores que trabalham para entender e se defender contra atividades crescentes de ataque e comportamentos adversários.
A estrutura aborda quatro questões principais:
Indicadores típicos como endereços IP, domínios, chaves de registro, hashes de arquivos etc. podem ser mudados rapidamente por invasores e só são úteis durante a detecção. Eles não são representativos de como os invasores interagem com diferentes sistemas, apenas indicam que houve interação com um sistema em algum momento. Detectar possíveis comportamentos adversários ajuda a concentrar as investigações em táticas e técnicas menos efêmeras ou não confiáveis.
Os ciclos de vida dos adversários e os conceitos da Cyber Kill Chain são um nível um pouco alto demais para relacionar comportamentos a defesas. Esse nível específico de abstração não foi útil para mapear TPPs para qualquer tipo de novo sensor.
É importante basear os TPPs em incidentes e campanhas observados para mostrar que o trabalho é aplicável.
Os TTPs devem ser comparáveis em diferentes tipos de grupos adversários usando a mesma terminologia.
A estrutura ATT&CK funciona como uma autoridade sobre os comportamentos e as técnicas que os hackers usam contra as organizações. Ela elimina a ambiguidade e descreve um vocabulário centralizado para profissionais do setor. Isso os ajuda a discutir e colaborar sobre como combater os invasores e a aplicar medidas práticas de segurança.
O ATT&CK adiciona rigor e detalhes além da inteligência contra ameaças e das técnicas de ferramentas que são úteis em ataques oportunistas e menos direcionados. A Pyramid of Pain explica como ele complementa outros indicadores típicos de hoje.
A “Pirâmide da dor” é uma representação dos tipos de IoCs (indicators of compromise, indicadores de comprometimento). Ela mede a possível utilidade da inteligência contra ameaças e se concentra na resposta do incidente e na localização de ameaças.
Um valor de hash é gerado por algoritmos como MD5 e SHA e representa um arquivo mal-intencionado específico. Os hashes fornecem referências específicas a malwares e arquivos suspeitos usados por invasores para a invasão.
Os endereços IP são um dos indicadores mais básicos de uma fonte de ataque mal-intencionado, mas é possível adotar um endereço IP usando um serviço de proxy e alterá-lo constantemente.
Pode haver um nome de domínio ou até mesmo um tipo de subdomínio registrado, pago e hospedado. Mas há muitos provedores de serviço DNS que têm padrões de registro razoavelmente mais flexíveis.
Artefatos de rede são partes de atividades que podem identificar um usuário mal-intencionado e diferenciá-lo de um usuário legítimo. Um tanto convencional podem ser os padrões URI ou as informações C2 incorporadas aos protocolos de rede.
Artefatos de host são observáveis causados por atividade adversa em um host que identifica atividades mal-intencionadas e as distingue das atividades legítimas. Esses identificadores incluem chaves de registro ou valores que são conhecidos por serem criados por malware ou arquivos/diretórios descartados em determinadas áreas.
As ferramentas geralmente são tipos de software que um invasor usará contra você. Isso também pode ser uma série de ferramentas que são trazidas com elas para interagir com o código ou software existente. As ferramentas incluem utilitários que criam documentos mal-intencionados para phishing direcionado, backdoors que estabelecem C2 ou crackers de senhas ou outros utilitários que possam comprometer.
Táticas, técnicas e procedimentos estão no topo da pirâmide. Este é todo o processo de como um invasor cumpre sua missão, desde a fase de pesquisa inicial até a extração dos dados e tudo o que estiver entre eles.
A matriz ATT&CK é uma visualização da relação entre táticas e técnicas. As táticas são uma ideia de nível superior do motivo pelo qual um invasor está realizando uma ação, e as técnicas são as ações que eles realizam para apoiar a tática.
A estrutura ATT&CK for Enterprise tem 14 táticas. Essa é considerada a parte “por que” da equação. As táticas são classificadas desta maneira:
- Reconhecimento
- Desenvolvimento de recursos
- Acesso inicial
- Execução
- Persistência
- Escalação de privilégios
- Evasão de defesa
- Acesso a credenciais
- Discovery
- Movimento lateral
- Coleção
- Comando e controle
- Extração
Cada tática contém várias técnicas que são usadas por malware ou grupos de ameaças no decorrer do comprometimento de um destino e do alcance dessas metas. Há onze táticas na estrutura ATT&CK, mas há aproximadamente 300 técnicas das quais nós precisamos estar cientes.
Cada uma das técnicas na base de conhecimento tem informações com contexto, como as permissões necessárias, qual plataforma normalmente tem a técnica e como detectar os comandos e processos onde eles são usados.
As defesas são informadas com base nas possíveis ameaças. As técnicas também são priorizadas com base em caraterísticas comuns entre os grupos e em uma análise de lacunas das defesas atuais em relação às ameaças comuns.
Agrupamento roxo, fontes de dados, testes, análise personalizada e análise OOB.
Comunicações da equipe azul, comportamentos variados da equipe vermelha, emulação de adversários baseada em CTI e testes de técnica atômica.
Avalie as lacunas de cobertura com base no uso real e priorize reduções e investimentos, como técnica única, mitigações e fidelidade em várias técnicas.
Um aspecto importante do ATT&CK é como ele incorpora a CTI (cyber threat intelligence, inteligência contra ameaças cibernéticas). O ATT&CK documenta o comportamento do invasor com base em relatórios disponíveis publicamente para indicar quais grupos usam quais técnicas. É comum haver relatórios individuais que documentem um incidente ou um único grupo, mas o ATT&CK se concentra mais em um tipo de atividade e técnica e associa invasores e grupos à atividade, o que ajuda os técnicos a se concentrarem em técnicas com o maior uso.
No mundo digital de hoje, a capacidade de se preparar, identificar, minimizar e se recuperar de um evento de segurança desempenha um papel fundamental no sucesso da sua organização. Dessa forma, o Security Incident Response complementado pelo MITRE ATT&CK pode ajudar a garantir que sua empresa esteja preparada, com acesso a recursos para desenvolver modelos e metodologias avançados contra ameaças de ataques cibernéticos.
Trabalhando dentro da estrutura do MITRE ATT&CK, suas equipes de segurança podem melhorar a análise e a resposta a incidentes à medida que eles ocorrem. Podem identificar com precisão indicadores de comprometimento e priorizar ameaças específicas. Podem melhorar os fluxos de trabalho automatizados usando táticas essenciais e outros recursos extraídos do playbook do ATT&CK.
O MITRE ATT&CK capacita as empresas em todo o módulo Threat Intelligence e SIR, melhorando sua resposta a incidentes e protegendo ativos valiosos.