Wat is het Mitre Att&ck Framework?

ATT&CK geeft informatie over gedrag en taxonomie voor vijandige acties in de levenscyclus van bedreigingen, waardoor informatie over bedreigingen en beveiligingsactiviteiten/-architectuur wordt verbeterd.

Het ATT&CK-framework bestaat uit twee delen: ATT&CK for Enterprise, een gedetailleerde kennisdatabase over gedrag gericht tegen IT-netwerken en cloud van bedrijven, en ATT&CK for Mobile, voor gedrag gericht tegen mobiele apparaten.

In 2013 werd ATT&CK door MITRE ontwikkeld als middel om veelvoorkomende tactieken, technieken en procedures (TTP's) te documenteren die deel uitmaken van geavanceerde aanhoudende bedreigingen (APT's) van organisaties. Het is steeds populairder geworden en ondersteunt de branche als manier om een gemeenschappelijk taxonomie- en relatiemodel te creëren voor verdedigers en onderzoekers die zich ontwikkelende aanvalsactiviteiten en vijandig gedrag willen begrijpen en afwenden.

Het framework behandelt vier primaire kwesties:

Vijandig gedrag

Typische indicatoren zoals IP-adressen, domeinen, registersleutels, bestandshashes, enz. kunnen snel worden gewijzigd door aanvallers en zijn dus alleen nuttig tijdens detectie. Ze zijn niet representatief voor de interactie tussen aanvallers en verschillende systemen. Ze geven alleen aan dat er op een bepaald moment interactie is geweest met één systeem. Door mogelijke misleidende gedragingen te detecteren, kan het onderzoek worden gericht op tactieken en technieken die minder kortstondig en onbetrouwbaar zijn.

Levenscyclusmodellen die niet passen

De levenscycli van bedreigingen en de concepten van de Cyber Kill Chain zijn van iets te hoog niveau om gedrag te relateren aan verdedigingen. Dat bepaalde niveau van abstractie was niet nuttig om TTP's aan een type nieuwe sensor toe te wijzen.

Toepasbaarheid op echte omgevingen

Het is belangrijk om TTP's te baseren op waargenomen incidenten en campagnes om aan te tonen dat het werk van toepassing is.

Algemene taxonomie

TTP’s moeten met dezelfde terminologie vergelijkbaar zijn in verschillende typen vijandige groepen.

Het ATT&CK Framework fungeert als autoriteit op het gebied van gedrag en technieken die hackers gebruiken tegen organisaties. Het neemt ambiguïteit weg en schetst een gecentraliseerde woordenschat voor professionals in de branche. Dit helpt hen te spreken over en samen te werken aan het bestrijden van aanvallers en het toepassen van praktische beveiligingsmaatregelen.

ATT&CK voegt kracht en details toe naast de informatie en toolingtechnieken van bedreigingen, die nuttig zijn bij opportunistische en minder gerichte aanvallen. De Pijnpiramide legt uit hoe ATT&CK een aanvulling vormt op andere indicatoren die tegenwoordig gangbaar zijn.

De "Pijnpiramide" is een weergave van de soorten indicatoren van compromissen (IOC's) - de piramide meet het mogelijke nut van informatie over dreigingen en richt zich op incidentrespons en de jacht op bedreigingen.

Triviaal - hashwaarden

Een hashwaarde wordt gegenereerd door algoritmen zoals MD5 en SHA en vertegenwoordigt een specifiek schadelijk bestand. Hashes bieden specifieke verwijzingen naar malware en verdachte bestanden die door aanvallers worden gebruikt voor de inbraak.

Gedrag van de aanvaller

Gemakkelijk - IP-adres

IP-adressen zijn een van de fundamentele indicatoren van een kwaadaardige bron van een aanval, maar het is mogelijk om een IP-adres te gebruiken met behulp van een proxyservice en het IP-adres regelmatig te wijzigen.

Eenvoudig - domeinnamen

Er kan een domeinnaam of zelfs een type subdomein zijn dat is geregistreerd, betaald en gehost. Maar er zijn veel DNS-serviceproviders die zeer relaxte registratienormen hebben.

Vervelend - netwerk-/host-artefacten

Netwerkartefacten zijn activiteiten die een kwaadwillende gebruiker kunnen identificeren en onderscheiden van een legitieme gebruiker. Een standaard manier kan zijn: URI-patroon of C2-informatie ingesloten in netwerkprotocollen.

Hostartefacten zijn waarneembare oorzaken die worden veroorzaakt door vijandige activiteiten op een host die schadelijke activiteiten identificeert en deze onderscheidt van legitieme activiteiten. Dergelijke id's omvatten registersleutels of waarden waarvan bekend is dat ze door malware zijn gemaakt, of bestanden/mappen die in bepaalde gebieden zijn verwijderd.

Uitdagend - tools

Hulpprogramma's zijn meestal soorten software die een aanvaller tegen u zal gebruiken. Dit kan ook een reeks tools zijn die worden meegeleverd voor interactie met bestaande code of software. Hulpprogramma's omvatten hulpprogramma's die schadelijke documenten voor spearphishing maken, backdoors die C2- of wachtwoordkrakers tot stand brengen, of andere hulpprogramma's die in gevaar kunnen komen.

Zwaar! - TTP's

Tactieken, technieken en procedures bevinden zich boven aan de piramide. Dit is het volledige proces van de manier waarop een aanvaller zijn missie volbrengt, van de eerste onderzoeksfase tot de exfiltratie van de gegevens en alles daartussenin.

De ATT&CK-matrix is een visualisatie van de relatie tussen tactieken en technieken. Tactieken geven een beter idee van de reden waarom een aanvaller een actie uitvoert en technieken zijn de acties die ze ondernemen om de tactiek te ondersteunen.

Wat zijn ATT&CK Framework-tactieken?

Het Enterprise ATT&CK Framework heeft 14 tactieken - dit wordt beschouwd als het 'waarom'-gedeelte van de vergelijking. De tactieken worden als volgt geclassificeerd:

  • Verkenning
  • Ontwikkeling van hulpbronnen
  • Eerste toegang
  • Uitvoering
  • Aanhoudendheid
  • Escalatie van bevoegdheden
  • Ontduiking van de verdediging
  • Toegang tot aanmeldgegevens
  • Ontdekking
  • Zijwaartse beweging
  • Verzameling
  • Command and control
  • Exfiltratie

Wat zijn de technieken van het ATT&CK Framework?

Elke tactiek bevat een reeks technieken die door malware of bedreigingsgroepen worden gebruikt om het doelwit in gevaar te brengen en hun doelen te bereiken. Het ATT&CK-kader bevat elf tactieken, maar er zijn ongeveer 300 technieken waar u rekening mee moet houden.

Elk van de technieken in de knowledge base bevat informatie met context, zoals de vereiste machtigingen, welk platform over het algemeen de techniek heeft en hoe de opdrachten en processen kunnen worden gedetecteerd waar ze worden gebruikt.

Bedreiging Intel

De verdediging wordt op basis van potentiële bedreigingen geïnformeerd. Technieken worden ook geprioriteerd op basis van gemeenschappelijke kenmerken tussen groepen en een hiaat-analyse van de huidige verdediging tegen veelvoorkomende bedreigingen.

Detectie en analyse

Paarse teaming, gegevensbronnen, testen, aangepaste analyse en OOB-analyse.

Mitre Att&ck Use Cases

Emulatie van vijand

Communicatie met het blauwe team, het rode team varieerde het gedrag, de emulatie van de vijand op basis van CTI en de atoomtechniektests.

Beoordeling en engineering

Beoordeel hiaten in de dekking op basis van gebruik in de praktijk en prioriteer risicobeperkingen en investeringen, zoals enkelvoudige techniek, beperkingen en getrouwheid voor meerdere technieken.

Een belangrijk aspect van ATT&CK is de manier waarop cyberdreigingsinformatie (CTI) wordt geïntegreerd. ATT&CK documenteert het gedrag van de aanvaller op basis van openbare rapportage om aan te geven welke groepen welke technieken gebruiken. Het is normaal dat er individuele rapporten zijn waarin een incident of een enkele groep wordt gedocumenteerd, maar ATT&CK richt zich meer op een soort activiteit en techniek, en koppelt vervolgens aanvallers en groepen aan de activiteit. Zo kunnen technici zich richten op technieken met het hoogste gebruik.

In de digitale wereld van vandaag speelt het vermogen van uw organisatie om zich voor te bereiden op een beveiligingsincident, deze te identificeren, te minimaliseren en te herstellen, een belangrijke rol in uw succes. Als zodanig kan de respons op beveiligingsincidenten, aangevuld met MITRE ATT&CK, ervoor zorgen dat uw bedrijf is voorbereid, met toegang tot bronnen voor het ontwikkelen van geavanceerde bedreigingsmodellen en methodologieën tegen cyberaanvallen.

In het kader van MITRE ATT&CK kunnen uw beveiligingsteams hun analyse en reactie op incidenten verbeteren zodra deze plaatsvinden. Ze kunnen nauwkeurig indicatoren van compromissen identificeren en specifieke bedreigingen prioriteren. Ze kunnen geautomatiseerde workflows verbeteren met behulp van essentiële tactieken en andere hulpbronnen die zijn opgenomen in het ATT&CK-playbook.

Aan de slag met de respons op beveiligingsincidenten

MITRE ATT&CK biedt bedrijven de mogelijkheid om de Threat Intelligence- en SIR-module te gebruiken, waardoor uw incidentrespons wordt verbeterd en waardevolle bedrijfsmiddelen worden beschermd.

Contact
Demo