Kerangka kerja MITRE ATT&CK (MITRE ATT&CK) adalah basis pengetahuan yang dapat diakses secara universal dan terus diperbarui untuk memodelkan, mendeteksi, mencegah, dan memerangi ancaman keamanan s iber berdasarkan perilaku permusuhan penjahat siber yang telah diketahui. ( ATT& CK dalam MITRE ATT&CK adalah singkatan dari Adversarial Tactics, Techniques & Common Knowledge).
MITRE ATT&CK membuat katalog taktik, teknik, dan prosedur (TTP) kejahatan siber melalui setiap fase siklus serangan s iber - mulai dari pengumpulan informasi awal dan perilaku perencanaan penyerang, hingga eksekusi akhir serangan. Informasi dalam MITRE ATT & CK dapat membantu tim keamanan
mensimulasikan serangan siber secara akurat untuk menguji pertahanan dunia maya
membuat kebijakan keamanan, kontrol keamanan, dan rencana tanggap insiden yang lebih efektif
memilih dan mengkonfigurasi teknologi keamanan untuk mendeteksi, mencegah, dan mengurangi ancaman siber dengan lebih baik
Selain itu, taksonomi taktik, teknik, dan subteknik musuh MITRE ATT&CK (lihat di bawah) menetapkan bahasa umum yang dapat digunakan oleh para profesional keamanan untuk berbagi informasi tentang ancaman siber dan berkolaborasi dalam pencegahan ancaman.
MITRE ATT&CK bukanlah perangkat lunak itu sendiri. Tetapi banyak solusi perangkat lunak keamanan perusahaan - seperti analisis perilaku pengguna dan entitas (UEBA), deteksi dan respons yang diperluas (XDR), orkestrasi keamanan, otomatisasi dan respons (SOAR), dan informasi keamanan dan manajemen peristiwa (SIEM) - yang dapat mengintegrasikan informasi ancaman MITRE ATT&CK untuk memperbarui dan meningkatkan kemampuan deteksi dan respons terhadap ancaman.
MITRE ATT&CK dikembangkan oleh MITRE Corporation, sebuah perusahaan nirlaba, dan dikelola oleh MITRE dengan masukan dari komunitas profesional keamanan siber global.
MITRE ATT&CK mengatur taktik dan teknik musuh (dan subteknik) ke dalam matriks. Setiap matriks mencakup taktik dan teknik yang sesuai dengan serangan pada domain tertentu:
Enterprise Matrix mencakup semua teknik musuh yang digunakan dalam serangan terhadap infrastruktur perusahaan. Matriks ini mencakup submatriks untuk platform Windows, MacOS, dan Linux, serta infrastruktur jaringan, platform cloud, dan teknologi kontainer. Matriks ini juga mencakup matriks PRE teknik persiapan yang digunakan sebelum serangan.
Mobile Matrix mencakup teknik yang digunakan dalam serangan langsung pada perangkat mobile, dan dalam serangan mobile berbasis jaringan yang tidak memerlukan akses ke perangkat mobile. Matriks ini mencakup submatriks untuk platform seluler iOS dan Android.
ICX Matrix mencakup teknik yang digunakan dalam serangan terhadap sistem kontrol industri-khususnya mesin, perangkat, sensor, dan jaringan yang digunakan untuk mengontrol atau mengotomatisasi operasi pabrik, utilitas, sistem transportasi, dan penyedia layanan penting lainnya.
Setiap taktik MITRE ATT&CK mewakili tujuan musuh yang spesifik, sesuatu yang ingin dicapai oleh penyerang pada waktu tertentu. Taktik ATT & CK berhubungan erat dengan tahapan atau fase serangan cyber. Misalnya, taktik ATT & CK yang dicakup oleh Enterprise Matrix meliputi:
Pengintaian: Mengumpulkan informasi untuk merencanakan serangan
Pengembangan sumber daya: Membangun sumber daya untuk mendukung operasi serangan
Akses awal: Menembus sistem target atau jaringan
Eksekusi: Menjalankan malware atau kode berbahaya pada sistem yang disusupi
Persistensi: Mempertahankan akses ke sistem yang disusupi (jika terjadi pematian atau konfigurasi ulang)
Eskalasi hak istimewa: Mendapatkan akses atau izin tingkat yang lebih tinggi (misalnya, berpindah dari akses pengguna ke administrator)
Penghindaran pertahanan: Menghindari deteksi sekali di dalam sistem
Akses kredensial: Mencuri nama pengguna, kata sandi, dan kredensial masuk lainnya
Penemuan: Meneliti lingkungan target untuk mempelajari sumber daya apa saja yang dapat diakses atau dikendalikan untuk mendukung serangan yang direncanakan
Gerakan lateral: Mendapatkan akses ke sumber daya tambahan di dalam sistem
Pengumpulan: Mengumpulkan data yang terkait dengan tujuan serangan (misalnya, data untuk mengenkripsi dan/atau mengeksfiltrasi sebagai bagian dari serangan ransomware )
Perintah dan kontrol: Membangun komunikasi rahasia/tidak terdeteksi yang memungkinkan penyerang mengendalikan sistem
Eksfiltrasi: Mencuri data dari sistem
Dampak: Mengganggu, merusak, melumpuhkan, atau menghancurkan data atau proses bisnis.
Sekali lagi, taktik dan teknik bervariasi dari satu matriks ke matriks lainnya (dan submatriks). Sebagai contoh, Mobile Matrix tidak menyertakan taktik Pengintaian dan Pengembangan Sumber Daya, tetapi menyertakan taktik lain -Efek Jaringan dan Efek Layanan Jarak Jauh, yang tidak ditemukan dalam Enterprise Matrix.
Jika taktik MITRE ATT&CK mewakili apa yang ingin dicapai penyerang, teknik MITRE ATT&CK mewakili bagaimana mereka mencoba mencapainya. Sebagai contoh, drive-by compromise dan spear phishing adalah jenis-jenis teknik akses awal; menggunakan penyimpanan tanpa berkas adalah contoh teknik penghindaran pertahanan.
Basis pengetahuan menyediakan informasi berikut untuk setiap teknik:
Deskripsi dan ikhtisar teknik ini.
Subteknik apa pun yang diketahui terkait dengan teknik tersebut. Sebagai contoh, subteknik untuk phishing termasuk lampiran spear phishing, tautan spear phishing, dan spear phishing melalui layanan. Pada saat tulisan ini dibuat, MITRE ATT&CK mendokumentasikan 196 teknik dan 411 subteknik.
Contoh prosedur terkait. Ini dapat mencakup cara-cara kelompok penyerang menggunakan teknik ini, atau jenis perangkat lunak berbahaya yang digunakan untuk mengeksekusi teknik ini.
Mitigasi-praktik keamanan (misalnya, pelatihan pengguna) atau perangkat lunak (misalnya perangkat lunak antivirus, sistem pencegahan intrusi) yang dapat memblokir atau mengatasi teknik ini.
Metode deteksi. Biasanya ini adalah data log atau sumber data sistem yang dapat dipantau oleh tim keamanan atau perangkat lunak keamanan untuk mencari bukti dari teknik ini.
MITRE ATT&CK menawarkan beberapa cara lain untuk melihat dan bekerja dengan basis pengetahuan. Alih-alih meneliti taktik dan teknik tertentu melalui matriks, pengguna dapat meneliti berdasarkan
Sumber Data- indeks dari semua data log atau sumber data sistem dan komponen data yang dapat dipantau oleh tim keamanan atau perangkat lunak keamanan untuk mencari bukti percobaan teknik serangan.
Mitigasi- indeks semua mitigasi yang dirujuk dalam basis pengetahuan. Pengguna dapat menelusuri untuk mempelajari teknik-teknik yang ditangani oleh mitigasi tertentu.
Kelompok - indeks kelompok musuh dan taktik serta teknik serangan yang mereka gunakan. Pada saat tulisan ini dibuat, MITRE ATT&CK telah mendokumentasikan 138 grup.
Perangkat lunak— indeks perangkat lunak atau layanan berbahaya (740 pada tulisan ini) yang dapat digunakan penyerang untuk mengeksekusi teknik tertentu.
Kampanye - pada dasarnya database serangan siber atau kampanye spionase siber, termasuk informasi tentang kelompok yang meluncurkannya dan teknik serta perangkat lunak yang digunakan.
MITRE ATT&CK Navigator adalah alat bantu sumber terbuka untuk mencari, memfilter, membuat anotasi, dan menyajikan data dari basis pengetahuan. Tim keamanan dapat menggunakan MITRE ATT&CK Navigator untuk dengan cepat mengidentifikasi dan membandingkan taktik dan teknik yang digunakan oleh kelompok ancaman tertentu, mengidentifikasi perangkat lunak yang digunakan untuk mengeksekusi teknik tertentu, mencocokkan mitigasi dengan teknik tertentu, dan banyak lagi.
ATT&CK Navigator dapat mengekspor hasil dalam format grafis JSON, Excel, atau SVG (untuk presentasi). Tim keamanan bisa menggunakannya secara online (dihosting di GitHub) atau mengunduhnya ke komputer lokal.
MITRE ATT&CK mendukung sejumlah aktivitas dan teknologi yang digunakan organisasi untuk mengoptimalkan operasi keamanan mereka dan meningkatkan postur keamanan secara keseluruhan.
Triase peringatan; deteksi dan respons ancaman. Informasi dalam MITRE ATT&CK sangat berharga untuk memilah-milah dan memprioritaskan banjir peringatan terkait keamanan yang dihasilkan oleh perangkat lunak dan perangkat pada jaringan perusahaan pada umumnya. Faktanya, banyak solusi keamanan perusahaan-termasuk SIEM (informasi keamanan dan manajemen peristiwa), UEBA (analisis perilaku pengguna dan entitas), EDR (deteksi dan respons titik akhir) dan XDR (deteksi dan respons yang diperluas)-dapat mencerna informasi dari MITRE ATT&CK dan menggunakannya untuk melakukan triase peringatan, memperkaya intelijen ancaman siber dari sumber lain, dan memicu pedoman respons insiden atau respons ancaman otomatis.
Perburuan ancaman. Perburuan ancaman adalah latihan keamanan proaktif di mana analis keamanan mencari ancaman di jaringan mereka untuk menemukan ancaman yang telah lolos dari langkah-langkah keamanan siber yang ada. Informasi MITRE ATT & CK tentang taktik, teknik, dan prosedur musuh memberikan ratusan poin untuk memulai atau melanjutkan perburuan ancaman.
Emulasi tim/musuh merah. Tim keamanan bisa menggunakan informasi dalam MITRE ATT&CK untuk mensimulasikan serangan siber di dunia nyata. Simulasi ini dapat menguji efektivitas kebijakan, praktik, dan solusi keamanan yang mereka miliki, dan membantu mengidentifikasi kerentanan yang perlu ditangani.
Analisis kesenjangan keamanan dan penilaian kematangan SOC. Analisis kesenjangan keamanan membandingkan praktik dan teknologi keamanan siber organisasi yang ada dengan standar industri saat ini. Penilaian kematangan SOC mengevaluasi kematangan pusat operasi keamanan (SOC) organisasi berdasarkan kemampuannya untuk secara konsisten memblokir atau memitigasi ancaman siber atau serangan siber dengan sedikit atau tanpa intervensi manual. Dalam setiap kasus, data MITRE ATT&CK dapat membantu organisasi melakukan penilaian ini dengan menggunakan data terbaru mengenai taktik, teknik, dan mitigasi ancaman siber.
Seperti MITRE ATT&CK, Cyber Kill Chain dari Lockheed Martin memodelkan serangan siber sebagai serangkaian taktik permusuhan. Beberapa taktik bahkan memiliki nama yang sama. Namun disitulah kesamaannya berakhir.
Cyber Kill Chain lebih merupakan kerangka kerja deskriptif daripada basis pengetahuan. Kerangka ini jauh lebih detail dibandingkan MITRE ATT&CK. Kerangka ini hanya mencakup tujuh (7) taktik - Pengintaian, Persenjataan, Pengiriman, Eksploitasi, Instalasi, Perintah dan Kontrol, Tindakan terhadap Sasaran - dibandingkandengan 18 taktik MITRE ATT&CK (termasuk taktik khusus Mobile dan ICS). Kerangka ini tidak menyediakan model diskrit untuk serangan pada platform Seluler atau ICS. Dan tidak ada katalog yang mendekati tingkat informasi rinci tentang taktik, teknik dan prosedur dalam MITRE ATT&CK.
Perbedaan penting lainnya: Rantai Pembunuhan Siber didasarkan pada asumsi bahwa setiap serangan siber harus mencapai taktik musuh secara berurutan agar berhasil, dan bahwa memblokir salah satu taktik akan 'memutus rantai pembunuhan' dan menggagalkan musuh untuk mencapai tujuan utamanya. MITRE ATT&CK tidak menggunakan pendekatan ini; ia berfokus pada membantu para profesional keamanan untuk mengidentifikasi dan memblokir atau mengurangi taktik dan teknik musuh individu dalam konteks apa pun yang mereka hadapi.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR-semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim tanggap insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Untuk mencegah dan menanggulangi ancaman ransomware modern, IBM menggunakan wawasan dari 800 TB data aktivitas ancaman, informasi tentang lebih dari 17 juta serangan spam dan phishing, serta data reputasi pada hampir 1 juta alamat IP berbahaya dari jaringan 270 juta titik akhir.
Serangan siber adalah upaya yang tidak diinginkan untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan informasi melalui akses yang tidak sah ke sistem komputer.
Informasi keamanan dan manajemen peristiwa (SIEM) menawarkan pemantauan dan analisis peristiwa secara real-time serta pelacakan dan pencatatan data keamanan untuk tujuan kepatuhan atau audit.
Perburuan ancaman adalah pendekatan proaktif untuk mengidentifikasi ancaman yang tidak diketahui atau yang sedang berlangsung dan belum diremediasi di dalam jaringan organisasi.