MITRE creëerde ATT&CK in 2013 als een hulpmiddel om veelvoorkomende tactieken, technieken en procedures (TTP's) die deel uitmaken van geavanceerde persistente bedreigingen (APT's) voor organisaties te documenteren. Het is steeds populairder geworden en heeft steun gekregen in de branche als hulpmiddel om een gemeenschappelijk taxonomie- en relatiemodel te creëren voor verdedigers en onderzoekers die zich inzetten om een inzicht te verwerven in evoluerende aanvalsactiviteiten en vijandelijke gedrag en een verdediging hiertegen te voorzien.

Het framework behandelt vier primaire problemen:

Vijandelijk gedrag

Typische indicatoren zoals IP-adressen, domeinen, registersleutels, bestandshashes enz. kunnen snel worden gewijzigd door aanvallers en zijn alleen nuttig tijdens de detectie. Ze zijn niet representatief voor de manier waarop aanvallers met verschillende systemen communiceren. Ze geven alleen aan dat er op een bepaald moment een interactie is geweest met één systeem. Het detecteren van mogelijk vijandelijk gedrag helpt onderzoeken te richten op tactieken en technieken die minder kortstondig of onbetrouwbaar zijn.

Levenscyclusmodellen die niet geschikt waren

Het niveau van vijandige levenscycli en Cyber Kill Chain-concepten is iets te hoog om gedrag te koppelen aan verdedigingen—dat specifieke abstractieniveau was niet nuttig om TPP's aan een type nieuwe sensor toe te wijzen.

Toepasbaarheid op echte omgevingen

Het is belangrijk om TPP's te baseren op waargenomen incidenten en campagnes, om aan te tonen dat het werk toepasbaar is.

Gemeenschappelijke taxonomie

TTP's moeten voor verschillende soorten vijandelijke groepen vergelijkbaar zijn door het gebruik van dezelfde terminologie.

Het ATT&CK-raamwerk fungeert als een autoriteit voor het gedrag en de technieken die hackers gebruiken tegen organisaties. Het elimineert ambiguïteit en geeft een gecentraliseerd vocabulaire voor professionals uit de branche. Dit helpt bij de besprekingen hoe de strijd tegen aanvallers wordt aangepakt, bij de samenwerking hiervoor en bij de toepassing van praktische veiligheidsmaatregelen.

ATT&CK brengt naast de informatie over dreigingen en de toolingtechnieken, die nuttig zijn bij opportunistische en minder doelgerichte aanvallen, meer discipline en details. In de Pijnpiramide wordt uitgelegd hoe het een aanvulling vormt op andere indicatoren die tegenwoordig typisch zijn.

De 'Pijnpiramide' is een voorstelling van de soorten bedreigingsindicatoren (IoC's). Ze meet de mogelijke bruikbaarheid van informatie over dreigingen en richt zich op incidentrespons en de opsporing van dreigingen.

Onbeduidend - hash-waarden

Een hash-waarde wordt gegenereerd door algoritmen zoals MD5 en SHA, en vertegenwoordigt een specifiek schadelijk bestand. Hashes bieden specifieke verwijzingen naar malware en verdachte bestanden die door aanvallers worden gebruikt voor de inbraak.

Eenvoudig - IP-adres

IP-adressen zijn een van de fundamentele indicatoren van een schadelijke aanvalsbron, maar het is mogelijk om een IP-adres te gebruiken via een proxyservice en het IP-adres regelmatig te wijzigen.

Eenvoudig - domeinnamen

Er kan een domeinnaam of zelfs een type subdomein zijn dat wordt geregistreerd, betaald en gehost. Maar er zijn veel DNS-serviceproviders die behoorlijk ontspannen registratiestandaarden hebben.

Vervelend - netwerk-/host-artefacten

Netwerkartefacten zijn activiteiten die een kwaadwillende gebruiker kunnen identificeren en onderscheiden van een legitieme gebruiker. Een standaard kan een URI-patroon of C2-informatie zijn die is ingesloten in netwerkprotocollen.

Host-artefacten zijn waarneembaar als gevolg van ongewenste activiteit op een host die schadelijke activiteiten identificeert en deze onderscheidt van legitieme activiteiten. Dergelijke identificatoren bevatten registersleutels of waarden waarvan bekend is dat ze door malware worden aangemaakt, of bestanden/directory's die in bepaalde gebieden worden neergezet.

Uitdagend - tools

Tools zijn meestal soorten software die een aanvaller tegen u gebruikt. Dit kan ook een reeks tools zijn die ze meebrengen voor de interactie met bestaande code of software. Tools omvatten hulpprogramma's die schadelijke documenten voor spearphishing maken, achterdeuren die C2- of wachtwoordkrakers tot stand brengen of andere hulpprogramma's die gevaar kunnen opleveren.

Sterk! - TTP's

Tactieken, technieken en procedures bevinden zich aan de top van de piramide. Dit is het hele proces van de manier waarop een aanvaller zijn/haar missie bereikt, van de beginfase van het onderzoek tot de exfiltratie van de gegevens en alles daartussenin.

De ATT&CK-matrix is een visualisatie van de relatie tussen tactieken en technieken. Tactieken zijn een idee op een hoger niveau van waarom een aanvaller een actie uitvoert en technieken zijn de acties die hij/zij onderneemt om de tactiek te ondersteunen.

Wat zijn ATT&CK-framework-tactieken?

Het Enterprise ATT&CK-framework heeft 14 tactieken—dit wordt beschouwd als het 'waarom'-deel van de vergelijking. De tactieken worden als volgt geclassificeerd:

• Verkenning
  
• Ontwikkeling van resources
• Eerste toegang
  
• Uitvoering
• Persistentie
• Escalatie van bevoegdheden
• Ontwijking van verdediging
• Toegang tot referenties
• Ontdekking
• Zijwaartse beweging
• Verzameling
• Besturing en bediening
• Exfiltratie

Wat zijn de technieken van het ATT&CK-framework?

Elke tactiek bevat een reeks technieken die door malware of bedreigingsgroepen worden gebruikt bij het creëren van een bedreiging voor een doel en het bereiken van hun doelen. Het ATT&CK-framework bevat elf tactieken, maar er zijn ongeveer 300 technieken waarmee rekening moet worden gehouden.

Elk van de technieken in de kennisbank bevat informatie met context, zoals de vereiste machtigingen, welk platform gewoonlijk de techniek bevat en hoe de opdrachten en processen waarin de techniek wordt gebruikt kunnen worden gedetecteerd.

Bedreiging van Intel

Verdedigingen worden geïnformeerd op basis van potentiële bedreigingen. Technieken worden ook geprioriteerd op basis van gemeenschappelijke kenmerken tussen groepen en een hiaatanalyse van huidige verdedigingen versus algemene bedreigingen.

Detectie en analyse

Paarse teaming, gegevensbronnen, tests, aangepaste analyses en OOB-analyses.

Emulatie van vijandigheid

Communicatie met blauw team, verschillende gedragingen van het rode team, emulatie van vijandigheid op basis van CTI en atoomtechniektests.

Beoordelingen en engineering

Beoordeel hiaten in de dekking op basis van gebruik in de praktijk en prioriteer beperkingen en investeringen, zoals één techniek, beperkingen en getrouwheid in meerdere technieken.

Een belangrijk aspect van ATT&CK is de manier waarop het informatie over cyberdreigingen (CTI) bevat. ATT&CK documenteert gedrag van aanvallers op basis van openbaar beschikbare rapporten om aan te geven welke groepen welke technieken gebruiken. Het is normaal dat er individuele rapporten zijn die een incident of een enkele groep documenteren, maar ATT&CK richt zich meer op een soort activiteit en techniek en associeert vervolgens de aanvallers en groepen met de activiteit. Zo kunnen technici zich beter richten op de technieken die het meest worden gebruikt.

In de digitale wereld van vandaag speelt het vermogen van uw organisatie om zich voor te bereiden op een beveiligingsevent, dit te identificeren, te minimaliseren en ervan te herstellen een belangrijke rol in uw succes. Daarom kan Security Incident Response aangevuld met MITRE ATT&CK ervoor helpen zorgen dat uw bedrijf is voorbereid, met toegang tot resources voor de ontwikkeling van geavanceerde risicomodellen en methodologieën om cyberaanvallen te bestrijden.

Uw beveiligingsteams werken binnen het MITRE ATT&CK-framework en kunnen hun analyse van en reactie op incidenten verbeteren wanneer deze zich voordoen. Ze kunnen de bedreigingsindicatoren nauwkeurig identificeren en specifieke bedreigingen prioriteren en ze kunnen geautomatiseerde workflows verbeteren met essentiële tactieken en andere resources uit het ATT&CK-draaiboek.