MITRE-ATT&CK visão geral da estrutura

Gestão de segurança do Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Gestão de segurança do Yokohama

ft:clusterId

security

bundleId

security

workflow

Technology

MITRE-ATT&CK visão geral da estrutura

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

A estrutura MITRE-ATT&CK é uma base de conhecimento de táticas, técnicas e procedimentos comuns (TTP) que sua organização pode acessar para desenvolver modelos e metodologias de ameaças específicas contra ataques cibernéticos.

Visão geral

A estrutura MITRE de táticas, técnicas e conhecimento comum (ATT&CK) documenta e rastreia várias técnicas adversárias que são usadas durante diferentes fases de um ataque cibernético.

Ao usar a base de conhecimento da estrutura MITRE-ATT&CK, a comunidade de inteligência contra ameaças cibernéticas pode identificar rapidamente ameaças e coordenar respostas a ataques cibernéticos.

MITRE-ATT&CK e Operações de segurança

Consulte o diagrama a seguir para saber como as informações MITRE-ATT&CK fluem com aplicações Operações de segurança.

Como o MITRE ATT&CK funciona com as aplicações das Operações de segurança.

O pré-carregado TAXII cliente se conecta ao servidor TAXII para ingerir as coletas de dados para Inteligência contra ameaças.
As integrações existentes do Gerenciador de informações e eventos de segurança (SIEM) ingerem seus dados de ameaças (alertas e eventos), com TTPs relevantes e estão associadas a incidentes de segurança.
Quando um IoC está associado a um incidente de segurança, Inteligência contra ameaças pesquisa automaticamente feeds de ameaças em busca de informações relevantes e envia IoCs para fontes de terceiros, como EDR, Sandbox ou TIP, para análise adicional.
Se alguma origem de terceiros contiver as informações MITRE-ATT&CK, então Inteligência contra ameaças extrai as informações da técnica e aprimora os dados no repositório Inteligência contra ameaças para correlação e análise.
MITRE-ATT&CK também compartilha informações de contexto de CVE para cada técnica. Sua equipe de segurança pode revisar as técnicas exploradas em Resposta a vulnerabilidades para determinar se seus ativos críticos para os negócios estão ameaçados.

MITRE-ATT&CK matrizes, táticas e técnicas

O núcleo da estrutura MITRE-ATT&CK é uma matriz de táticas e técnicas adversárias. A sequência das táticas representa o que um adversário está tentando realizar na fase de um incidente. Quando sua equipe de segurança entende essa sequência, você tem a oportunidade de antecipar o próximo movimento de um adversário e interromper a cadeia de eliminação. O ATT&CK consiste nas seguintes matrizes:

Enterprise ATT&CK: descreve os comportamentos e ações que um adversário realiza para comprometer e operar em uma rede e nuvem corporativas.
Nota:
A matriz Pre ATT&CK foi descontinuada por MITRE e foi mesclada com a matriz Enterprise.
ICS ATT&CK: descreve as ações que um adversário realiza enquanto opera em uma rede de Sistemas de controle industrial (ICS).
Mobile ATT&CK: descreve os comportamentos e ações adversários que se concentram em dispositivos móveis.

As táticas representam o motivo de uma técnica ATT&CK. É o objetivo tático do adversário para executar uma ação.

As técnicas representam como um adversário atinge um objetivo tático executando uma ação.

As técnicas podem ser associadas a mais de uma tática. Por exemplo, a manipulação de token de acesso é usada por um adversário para alcançar a tática de escalonamento de privilégios ou evasão de defesa.

Como usar uma abordagem baseada em intenção para respostas a incidentes

Uma resposta baseada em intenção usa uma estrutura de cadeia de eliminação dinâmica e contextual que pode ajudar sua organização a correlacionar incidentes de segurança e identificar um grande escopo de ataques. Sua equipe de segurança pode usar uma resposta baseada em intenção para entender como a organização está sendo ameaçada e o que o invasor pode fazer em seguida. Esse tipo de resposta permite prever o comportamento de um invasor para que você possa concentrar seus recursos com eficácia.

Usando Resposta a incidentes de segurança, sua equipe de segurança pode gerenciar o ciclo de vida de cada incidente de segurança, desde a análise até a contenção, concentrando-se em indicadores de comprometimento (IOCs), como endereços IP, hashes de arquivo e domínios.

Ao integrar Resposta a incidentes de segurança com a estrutura MITRE-ATT&CK, os incidentes de segurança são tratados como links em um ataque maior em toda a empresa.

Como sua organização pode se beneficiar de MITRE-ATT&CK em Operações de segurança

O uso da estrutura MITRE-ATT&CK pode ajudar sua organização a fazer o seguinte:

Equipe os analistas de segurança com MITRE-ATT&CK táticas, técnicas e procedimentos (TTPs) para analisar e responder melhor aos incidentes de segurança.
Automatize os fluxos de trabalho de incidentes usando o playbook para detectar e conter ameaças no contexto da estrutura MITRE-ATT&CK.
Priorize indicadores de comprometimento e caça a ameaças com informações de MITRE-ATT&CK.
Entenda a postura de segurança de alto nível da sua organização no contexto da estrutura MITRE-ATT&CK.