MITRE ATT&CK® stands for MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). A estrutura MITRE ATT&CK é uma base de conhecimentos com curadoria e um modelo do comportamento dos adversários cibernéticos, refletindo as várias fases do ciclo de vida de ataque de adversários e as plataformas notoriamente atacadas por eles. A abstração de táticas e técnicas no modelo fornece uma taxonomia comum de ações adversárias individuais compreendidas por ambos os lados ofensivo e defensivo da segurança cibernética. Também fornece um nível apropriado de categorização para a ação adversária e formas específicas de se defender contra ela.
O modelo comportamental apresentado pelo ATT&CK contém os seguintes componentes centrais:
O MITRE ATT&CK foi criado em 2013 como resultado do experimento FMX do MITRE, onde os pesquisadores emularam o comportamento de adversários e defensores em um esforço para melhorar a detecção pós-comprometimento de ameaças por meio de sensores de telemetria e análise comportamental. A pergunta mais importante para os pesquisadores era: “o quão bem estamos nos saindo na detecção de comportamento adversário documentado?” Para responder a essa pergunta, os pesquisadores desenvolveram o ATT&CK, que foi usado como uma ferramenta para categorizar o comportamento adversário.
O MITRE ATT&CK agora tem três iterações:
Concentra-se no comportamento adversário em ambientes Windows, Mac, Linux e na nuvem.
Concentra-se no comportamento adversário nos sistemas operacionais iOS e Android.
Concentra-se em descrever as ações que um adversário pode realizar ao operar dentro de uma rede ICS.
O MITRE ATT&CK é usado em todo o mundo em várias disciplinas, incluindo detecção de intrusão, caça a ameaças, engenharia de segurança, inteligência de ameaças, “red teaming” e gerenciamento de riscos. [2]
A matriz MITRE ATT&CK contém um conjunto de técnicas usado pelos adversários para atingir um objetivo específico. Esses objetivos são categorizados como táticas na matriz ATT&CK. Os objetivos são apresentados linearmente desde o ponto de reconhecimento até o objetivo final de exfiltração ou “impacto”. Analisando a versão mais ampla do ATT&CK para grandes empresas, que inclui Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, rede e contêineres, as seguintes táticas adversárias são categorizadas:
Dentro de cada tática da matriz MITRE ATT&CK existem técnicas adversárias, que descrevem a atividade realizada pelo adversário. Algumas técnicas possuem subtécnicas que explicam com mais detalhes como um adversário emprega uma técnica específica. A matriz ATT&CK para grandes empresas completa do navegador MITRE ATT&CK está representada abaixo:
MITRE ATT&CK para grandes empresas, 2021
Dentro da matriz MITRE ATT&CK para grandes empresas, você encontrará uma subseção, a matriz MITRE ATT&CK para nuvem, que contém um subconjunto de táticas e técnicas da matriz ATT&CK para grandes empresas mais ampla. A matriz MITRE ATT&CK para nuvem é diferente do resto da matriz para grandes empresas porque o comportamento dos adversários e as técnicas usadas em um ataque na nuvem não seguem o mesmo roteiro dos ataques em ambientes Windows, macOS, Linux ou outros ambientes corporativos.
As técnicas MITRE ATT&CK em ambientes Windows, macOS, Linux e outros ambientes relacionados geralmente envolvem malware e entrada em uma rede que pertence e é operada pela organização alvo.
As técnicas MITRE ATT&CK em ambientes AWS, Azure, Office 365 e outros ambientes relacionados normalmente não envolvem malware, pois o ambiente-alvo pertence e é operado por um provedor de serviços de nuvem de terceiros, como a Microsoft ou a Amazon. Sem a capacidade de entrar no ambiente da vítima, o adversário geralmente aproveitará os recursos nativos do CSP para entrar na conta da vítima, elevar privilégios, mover-se lateralmente e exfiltrar dados. Um exemplo de comportamento adversário usando a estrutura ATT&CK para nuvem é ilustrado nas seguintes técnicas de exemplo:
Acesso inicial
Usa credenciais roubadas para criar uma nova conta
Persistência
Adversário usa spearphishing contra a vítima, ganhando credenciar para o AWS
Ampliação de privilégios
Usa uma conta válida para alterar permissões de acesso
Evasão de defesas
Cria uma nova instância de VM para ignorar regras de firewall
Acesso a credenciais
Rouba token de acesso a um banco de dados
Descoberta
Localiza o banco de dados alvo
Movimento lateral
Usa o token de acesso de aplicativo para acessar o banco de dados
Coleta
Extrai informações do banco de dados
Vazamento
Exfiltra para conta adversária no AWS
Toda a matriz ATT&CK para nuvem pode ser vista abaixo, mostrando seu subconjunto de táticas e técnicas da matriz ATT&CK para grandes empresas:
MITRE ATT&CK para nuvem, 2021
MITRE ATT&CK para contêineres, 2021
O Lockheed Martin Cyber Kill Chain® é outra estrutura bem conhecida para entender o comportamento do adversário em um ataque cibernético. O modelo Kill Chain contém os seguintes estágios, apresentados em sequência:
A Lockheed Martin fornece mais detalhes sobre sua estrutura Cyber Kill Chain neste gráfico. [3]
Existem duas diferenças importantes entre o MITRE ATT&CK e o Cyber Kill Chain.
A estrutura MITRE ATT&CK pode ajudar uma organização de várias maneiras. De modo geral, estes são benefícios aplicáveis à adoção do MITRE ATT&CK:
A implementação do MITRE ATT&CK normalmente envolve mapeamento manual ou integração com ferramentas de segurança cibernética. As mais comuns são gerenciamento de eventos e informações de segurança (SIEM), detecção e resposta para terminais (EDR) e agente de segurança de acesso à nuvem (CASB).
Usar o MITRE ATT&CK com um SIEM envolve agregar dados de log de terminais, redes e serviços na nuvem, identificar ameaças e mapeá-las para o MITRE ATT&CK. Em seguida, mudanças na postura de segurança são conduzidas nas ferramentas de segurança que fornecem seus dados de log (ou seja, EDR ou CASB).
Usar o MITRE ATT&CK com EDR envolve mapear eventos observados pelo agente de terminal, permitindo que os defensores determinem as fases de um evento de ameaça, avaliem o risco associado e priorizem a resposta.
A Trellix participou de todas as avaliações do MITRE ATT&CK