A estrutura do MITRE ATT&CK (MITRE ATT&CK) é uma base de conhecimento universalmente acessível e atualizada constantemente para modelar, detectar, prevenir e combater ameaças de segurança cibernética com base nos comportamentos hostis conhecidos dos criminosos cibernéticos. (O ATT&CK de MITRE ATT&CK significa Adversarial Tactics, Techniques & Common Knowledge, ou táticas, técnicas e conhecimento comum do adversário).
Um MITRE ATT&CK cataloga táticas, técnicas e procedimentos de cibercriminosos (TTPs) em cada fase do ciclo de vida do ataque cibernético, desde a coleta inicial de informações e o planejamento do comportamento de um invasor até a execução final do ataque. As informações do MITRE ATT&CK podem ajudar as equipes de segurança
a simular precisamente os ataques cibernéticos para testar as defesas cibernéticas
criar políticas de segurança controles de segurança e planos de resposta a incidentes mais eficazes
escolha e configure tecnologias de segurança para detectar, prevenir e mitigar melhor as ameaças cibernéticas
Além disso, a taxonomia de táticas adversárias, técnicas e subtécnicas (veja abaixo) MITRE ATT&CK estabelece uma linguagem comum que os profissionais de segurança podem usar para compartilhar informações sobre ameaças cibernéticas e colaborar na prevenção de ameaças.
MITRE ATT&CK não é um software propriamente dito. Mas muitas soluções de software de segurança empresarial, como UEBA (User and Entity Behavior Analytics ), XDR (extended detection and response), security orchestration, automation and response (SOAR) e security information and event management (SIEM), podem integrar as informações sobre as ameaças MITRE ATT&CK para atualizar e aprimorar seus recursos de detecção e resposta a ameaças.
O MITRE ATT&CK foi desenvolvido pela MITRE Corporation, uma organização sem fins lucrativos, e é mantido pela MITRE com a contribuição de uma comunidade global de profissionais de segurança cibernética.
O MITRE ATT&CK organiza táticas e técnicas (e subtécnicas) adversárias em matrizes. Cada matriz contém táticas e técnicas correspondentes a ataques em domínios específicos:
A Enterprise Matrix inclui todas as técnicas adversárias usadas em ataques contra a infraestrutura corporativa. Essa matriz contém submatrizes para as plataformas Windows, MacOS e Linux, bem como infraestrutura de rede, plataformas em nuvem e tecnologias de contêiner . Contém também uma matriz PRE de técnicas preparatórias empregadas antes de um ataque.
A matriz móvel contém técnicas utilizadas em ataques diretos a dispositivos móveis e em ataques móveis baseados em rede que não exigem acesso a um dispositivo móvel. Essa matriz inclui submatrizes para as plataformas móveis iOS e Android.
A ICX Matriz contém técnicas utilizadas em ataques a sistemas de controle industrial, especificamente máquinas, dispositivos, sensores e redes utilizados para controlar ou automatizar operações em fábricas, concessionárias, sistemas de transporte e outros prestadores de serviços críticos.
Cada tática do MITRE ATT&CK representa uma meta adversária específica, algo que o invasor deseja realizar em um determinado momento. As táticas do ATT&CK têm correspondência muito próxima aos estágios ou fases de um ataque cibernético. Por exemplo, as táticas ATT&CK cobertas pela Matriz Corporativa contêm:
Reconhecimento: coleta de informações para planejar um ataque
Desenvolvimento de recursos: estabelecimento de recursos para apoiar operações de ataque
Acesso inicial: penetração do sistema ou da rede de destino
Execução: executar malware ou código malicioso no sistema comprometido
Persistência: mantém o acesso ao sistema comprometido (no caso de desligamento ou de reconfigurações)
Escalonamento de privilégios: consegue acesso ou permissões de nível superior (por exemplo, passar de acesso de usuário a acesso de administrador)
Evasão de defesa: evita a detecção uma vez dentro de um sistema
Acesso a credenciais: roubo de nomes de usuário, senhas e outras credenciais de login
Descoberta: pesquisa do ambiente de destino para saber quais recursos podem ser acessados ou controlados para apoiar um ataque planejado
Movimento lateral: obtém acesso a recursos adicionais dentro do sistema
Coleta: coleta de dados relacionados ao objetivo do ataque (por exemplo, dados para criptografia e/ou exfiltragem como parte de um ataque de ransomware)
Comando e controle: estabelecimento de comunicações secretas/indetectáveis que permitem ao invasor controlar o sistema
Exfiltração: roubo de dados do sistema
Impacto: interrupção, corrompimento, desativação ou destruição de dados ou processos de negócios.
Novamente, as táticas e técnicas variam de matriz para matriz (e submatriz). Por exemplo, a Matriz Móvel não inclui táticas de Reconhecimento e Desenvolvimento de Recursos, mas inclui outras táticas, como Efeitos de Rede e Efeitos de Serviço Remoto,não encontrados na Matriz Empresarial.
Se as táticas de MITRE ATT&CK representam o que os invasores querem conseguir, as técnicas de MITRE ATT&CK representam como eles tentam realizar. Por exemplo, drive-by compromise e spear phishing são tipos de técnicas de acesso inicial; o uso de armazenamento sem arquivo é um exemplo de uma técnica de evasão de defesa.
A base de conhecimento apresenta as seguintes informações para cada técnica:
Descrição e visão geral da técnica.
Qualquer subtécnica conhecida associada à técnica. Por exemplo, as subtécnicas para phishing são spear phishing attachment, spear phishing link e spear phishing via service. Nesta escrita, a MITRE ATT&CK documenta 196 técnicas individuais e 411 subtécnicas.
Exemplos de procedimentos relacionados. Isso pode incluir as formas como os grupos de ataques usam a técnica ou tipos de software malicioso usados para executar a técnica.
Mitigações—práticas de segurança (por exemplo, treinamento de usuário) ou software (por exemplo, software antivírus, sistemas de prevenção de intrusão) que podem bloquear ou tratar a técnica.
Métodos de detecção. Normalmente, são dados de log ou fontes de dados do sistema que equipes de segurança ou software de segurança podem monitorar em busca de evidências da técnica.
A MITRE ATT&CK oferece várias outras maneiras de visualizar e trabalhar com a base de conhecimento. Em vez de pesquisar táticas e técnicas específicas por meio das matrizes, os usuários podem pesquisar com base em
Fontes de dados— um índice de todos os dados de log ou fontes de dados do sistema e componentes de dados que as equipes de segurança ou o software de segurança podem monitorar em busca de evidências de técnicas de ataque tentadas.
Mitigações—um índice de todas as mitigações referenciadas na base de conhecimento. Os usuários podem detalhar para saber quais técnicas são tratadas por um tipo específico de mitigação.
Grupos—um índice dos grupos adversários e das táticas e técnicas de ataque que empregam. No momento da preparação deste texto, o MITRE ATT&CK documentou 138 grupos.
Software—um índice do software ou serviços maliciosos (740 nesta quando este texto foi escrito) que os invasores podem utilizar para executar técnicas específicas.
Campanhas—essencialmente um banco de dados de campanhas de ciberataque ou ciberespionagem, incluindo informações sobre grupos que as lançaram e todas as técnicas e softwares empregados.
O MITRE ATT&CK Navigator é uma ferramenta de código aberto para pesquisa, filtragem, anotação e apresentação de dados da base de conhecimento. As equipes de segurança podem usar o MITRE ATT&CK Navigator para identificar e comparar rapidamente táticas e técnicas usadas por grupos de ameaças específicos, identificar software usado para executar uma técnica específica, combinar mitigações a técnicas específicas etc.
O ATT&CK Navigator pode exportar resultados em formato de gráficos JSON, Excel ou SVG (para apresentações). As equipes de segurança podem usá-lo online (hospedado no GitHub) ou baixá-lo para um computador local.
O MITRE ATT & CK oferece suporte a várias atividades e tecnologias que as organizações usam para otimizar suas operações de segurança e melhorar sua postura geral de segurança.
Triagem de alerta; detecção e resposta de ameaças. As informações contidas no MITRE ATT&CK são extremamente valiosas para filtrar e priorizar a enxurrada de alertas relacionados à segurança gerados por software e dispositivos em uma rede corporativa típica. Na verdade, muitas soluções de segurança corporativa, incluindo SIEM (gerenciamento de eventos e informações de segurança), UEBA (análise de comportamento de usuários e entidades), EDR (detecção e resposta de endpoint) e XDR (detecção e resposta estendida), podem ingerir informações do MITRE ATT&CK e usá-las para fazer a triagem de alertas, enriquecer a inteligência sobre ameaças cibernéticas de outras fontes e acionar manuais de resposta a incidentes ou respostas automatizadas a ameaças.
Caça a ameaças. A caça a ameaças é um exercício de segurança proativo em que os analistas de segurança procuram na rede as ameaças que tiverem escapado das medidas de cibersegurança existentes. As informações do MITRE ATT&CK sobre táticas, técnicas e procedimentos de adversários oferecem literalmente centenas de pontos para iniciar ou continuar a caça a ameaças.
Emulação de equipe vermelha/emulação de adversário. As equipes de segurança podem usar as informações do MITRE ATT&CK para simular ataques cibernéticos do mundo real. Essas simulações podem testar a eficácia das políticas, práticas e soluções de segurança que elas têm em vigor e ajudar a identificar vulnerabilidades que precisam ser abordadas.
Análise de lacunas de segurança e avaliações de maturidade SOC. A análise de lacunas de segurança compara as práticas e tecnologias de cibersegurança existentes de uma organização com o padrão atual do setor. Uma avaliação de maturidade SOC avalia a maturidade da central de operações de segurança (SOC) de uma organização com base em sua capacidade de bloquear ou mitigar consistentemente ameaças cibernéticas ou ataques cibernéticos com intervenção manual mínima ou inexistente. Em todos os casos, os dados do MITRE ATT&CK podem ajudar as organizações a realizar essas avaliações utilizando os dados mais recentes sobre táticas, técnicas e mitigações de ameaças cibernéticas.
Como a MITRE ATT&CK, os modelos de cadeia de baixas cibernéticas da Lockheed Martin são uma série de táticas de adversários. Algumas das táticas têm inclusive os mesmos nomes. Mas é aí que termina a semelhança.
O Cyber Kill Chain é mais uma estrutura descritiva do que uma base de conhecimento. É muito menos detalhado do que o MITRE ATT&CK. Ele abrange apenas sete (7) táticas: reconhecimento, armamento, entrega, exploração, instalação, comando e controle e ações sobre objetivos, em comparaçãocom as 18 táticas do MITRE ATT&CK (incluindo táticas somente móveis e ICS). Ele não oferece modelos discretos para ataques em plataformas móveis ou ICS. E não cataloga nada que se aproxime do nível de informações detalhadas sobre táticas, técnicas e procedimentos no MITRE ATT & CK.
Outra distinção importante: o Cyber Kill Chain baseia-se na suposição de que qualquer ataque cibernético deve realizar táticas adversárias em sequência para ter sucesso e que o bloqueio de qualquer uma das táticas “quebrará a kill chain” e impedirá que o adversário alcance seu objetivo final. A MITRE ATT&CK não adota essa abordagem; ela se concentra na ajuda dos profissionais de segurança na identificação e no bloqueio ou na mitigação de táticas e técnicas adversárias individuais em qualquer contexto encontrado.
Supere ataques com um conjunto de segurança conectado e moderno. O portfólio da QRadar é incorporado com IA de nível empresarial e oferece produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
A busca proativa de ameaças, o monitoramento contínuo e a investigação profunda das ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI já muito ocupado. Ter uma equipe confiável de resposta a incidentes em prontidão pode reduzir o tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a recuperar-se mais rápido.
Para prevenir e combater ameaças modernas de ransomware, a IBM usa informações de 800 TB de dados de atividades de ameaças, dados em mais de 17 milhões de ataques de phishing e spam e dados de reputação em quase um milhão de endereços IP maliciosos de uma rede de 270 milhões de terminais.
Os ciberataques são tentativas indesejáveis de roubar, expor, alterar, desativar ou destruir informações por meio de acesso não autorizado a sistemas de computador.
As informações de segurança e o gerenciamento de eventos (Security information and event management, SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como acompanhamento e registro de dados de segurança para fins de conformidade ou auditoria.
A caça a ameaças é uma abordagem proativa para identificar ameaças desconhecidas ou contínuas não mediadas na rede de uma organização.