MITRE-ATT&CK visão geral da estrutura

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

. MITRE-ATT&CKA estrutura é uma base de conhecimento de táticas, técnicas e procedimentos (TTP) comuns que sua organização pode acessar para desenvolver modelos e metodologias de ameaça específicos contra ataques cibernéticos.

Visão geral

. MITREA estrutura de táticas, técnicas e conhecimento comum do adversário (ATT&CK) documenta e rastreia várias técnicas do adversário que são usadas durante as diferentes fases de um ataque cibernético.

Usando o. MITRE-ATT&CKbase de conhecimento da framework, a comunidade de inteligência contra ameaças cibernéticas pode identificar ameaças rapidamente e coordenar respostas a ataques cibernéticos.

MITRE-ATT&CK E Operações de segurança

Consulte o diagrama a seguir para saber como o. MITRE-ATT&CKas informações fluem com Operações de segurançaaplicações.

Como O MITRE ATT&CK funciona com as aplicações de Operações de segurança.

O pré-carregado TAXII cliente conecta-se ao TAXIIservidor para ingerir o. coletas de dados para Inteligência contra ameaças.
Existente Integrações do Gerenciador de eventos e informações de segurança (SIEM) Ingira os dados de ameaças (alertas e eventos), com TTPs e ARE relevantes associado a incidentes de segurança .
Quando um O IOC está associado a um incidente de segurança , Inteligência contra ameaçasPesquisa automaticamente feeds de ameaças em busca de informações relevantes e envia IOCs para fontes de terceiros, como EDR, Sandbox ou TIP, para análise adicional.
Se alguma origem de terceiros contiver o. MITRE-ATT&CKinformações, então Inteligência contra ameaças extrai as informações da técnica e enriquece os dados no Inteligência contra ameaçasrepositório para correlação e análise.
MITRE-ATT&CKtambém compartilha Informações de contexto de CVE para cada técnica. Sua equipe de segurança pode revisar as técnicas exploradas em Resposta a vulnerabilidadespara determinar se seus ativos críticos para os negócios estão ameaçados.

MITRE-ATT&CK matrizes, táticas e técnicas

O núcleo do MITRE-ATT&CKa estrutura é uma matriz de táticas e técnicas adversárias. A sequência das táticas representa o que um adversário está tentando realizar na fase de um incidente. Quando sua equipe de segurança entende essa sequência, você tem a oportunidade de antecipar o próximo movimento de um adversário e quebrar a cadeia de destruição. O ATT&CK consiste nas seguintes matrizes:

Enterprise ATT&CK: Descreve os comportamentos e as ações que um adversário executa para comprometer e operar em uma rede empresarial e na nuvem.
Nota:
A matriz Pré-ATT&CK foi descontinuada por MITREE é mesclado com a matriz empresarial.
ICS ATT&CK: Descreve as ações que um adversário executa ao operar em uma rede de sistemas de controle industrial (ICS).
Mobile ATT&CK: Descreve os comportamentos e ações do adversário que se concentram em dispositivos móveis.

As táticas representam o motivo de uma técnica ATT&CK. É o objetivo tático do adversário para realizar uma ação.

As técnicas representam como um adversário atinge um objetivo tático executando uma ação.

As técnicas podem estar associadas a mais de uma tática. Por exemplo, a manipulação de token de acesso é usada por um adversário para obter a tática de escalação de privilégio ou evasão de defesa.

Usando uma abordagem baseada em intenção para respostas a incidentes

Uma resposta baseada em intenção usa uma estrutura de cadeia de destruição dinâmica e contextual que pode ajudar sua organização a correlacionar incidentes de segurança e identificar um grande escopo de ataques. Sua equipe de segurança pode usar uma resposta baseada em intenção para entender como a organização está sendo atacada e o que o invasor pode fazer em seguida. Esse tipo de resposta permite prever o comportamento de um invasor para que você possa concentrar seus recursos de forma eficaz.

Usando Resposta a incidentes de segurança, Sua equipe de segurança pode gerenciar o ciclo de vida de cada incidente de segurança, da análise à contenção, concentrando-se em indicadores de comprometimento (IOCs), como endereços IP, hashes de arquivo e domínios.

Integrando Resposta a incidentes de segurançacom o. MITRE-ATT&CK, incidentes de segurança são tratados como links em um ataque maior em toda a empresa.

De que forma sua organização pode se beneficiar MITRE-ATT&CKEm Operações de segurança

Usando o. MITRE-ATT&CKa estrutura pode ajudar sua organização a fazer o seguinte:

Equipe os analistas de segurança com MITRE-ATT&CKTáticas, técnicas e procedimentos (TTPs) para analisar e responder melhor a incidentes de segurança.
Automatize os fluxos de trabalho de incidentes usando o playbook para detectar e conter ameaças no contexto do MITRE-ATT&CKestrutura.
Priorize indicadores de comprometimento e busca de ameaças com MITRE-ATT&CKinformações.
Entenda a postura de segurança de alto nível da sua organização no contexto do MITRE-ATT&CKestrutura.