MITRE ATT&CK significa Táticas, Técnicas e Conhecimento Comum Adversário, é uma base de conhecimento pública de táticas e técnicas adversárias que pode ser usada como base para o desenvolvimento de modelos e metodologias específicas de ameaças cibernéticas.
Índice
Esta base de conhecimento foi desenvolvida com base nos seguintes três conceitos
Ela mantém a perspectiva do adversário
Ela segue o uso real de atividades por meio de exemplos empíricos
O nível de abstração é apropriado para conectar ações ofensivas com possíveis ações defensivas
MITRE ATT&CK ajuda a indústria a definir e padronizar como descrever a abordagem de um atacante. Ele coleta e categoriza táticas, técnicas e procedimentos comuns (TTPs), depois organiza essas informações em uma estrutura.
O 3º conceito, que requer um nível de abstração apropriado para criar uma ponte entre o método de ataque e as contramedidas que podem ser implementadas no lado da defesa, é particularmente importante quando você entende a estrutura do ATT&CK. A informação é organizada como informação com um alto grau de abstração, não informações individuais/específicas como endereços IP, URL ou informações de assinatura de malware.
A base do conceito de fatores é analisar ataques com base nos chamados Tática, Técnica e Procedimento (TTP). Principalmente, o conhecimento sobre Técnicas é adquirido e organizado.
Tática: Um objetivo de curto prazo de um atacante.
Técnica: Os meios que um atacante utiliza para atingir um objetivo.
Procedimento: Um método específico para um atacante utilizar técnicas
Essa estrutura pode ser usada para ajudar a explicar como os adversários se comportam, o que estão tentando fazer e como estão tentando fazê-lo.
Ter uma linguagem e uma estrutura comuns é importante na capacidade de comunicar, entender e responder a ameaças de forma tão eficiente e eficaz quanto possível.
MITRE ATT&CK tornou-se uma base de conhecimento importante para defensores cibernéticos, aprimorando a eficiência e o tempo de resposta. A avaliação anual da MITRE compara a inovação em toda a indústria para fornecer as soluções necessárias para detectar e responder ao cenário de ameaças em constante evolução.
O recurso original pode ser encontrado aqui
Esse tipo de estrutura é extremamente útil para profissionais de segurança da informação, ajudando a mantê-los atualizados sobre novas técnicas de ataque e a prevenir ataques antes que aconteçam.
Organizações usam ATT&CK para padronizar conversas de segurança, testes de defesa e avaliações de produtos/serviços.
Avaliações MITRE ATT&CK
A MITRE ATT&CK Evaluation oferece transparência aos clientes e cenários de ataque do mundo real. Isso garante que os clientes possam avaliar ativamente produtos de segurança para se protegerem dos avanços mais recentes dos atacantes, com base em suas áreas de maior necessidade. A avaliação usa emulação adversária para garantir que os clientes possam enfrentar as ameaças de hoje. Usando técnicas, ferramentas, métodos e objetivos inspirados nos de um atacante.
As simulações são executadas em um ambiente controlado para garantir testes justos e precisos. As técnicas dos atacantes são então usadas em sequência lógica para explorar a abrangência da cobertura ATT&CK.
As avaliações não são uma análise competitiva. Não há pontuações, classificações ou notas. Em vez disso, elas mostram como cada fornecedor aborda a detecção de ameaças no contexto da base de conhecimento ATT&CK.
A avaliação oferece aos compradores e clientes de solução de cibersegurança uma opção imparcial para avaliar produtos de segurança, permitindo que se preparem contra os últimos avanços dos atacantes com base em suas áreas de maior necessidade.
Por exemplo, em 2022 a avaliação emulou fluxos operacionais de Wizard Spider e Sandworm para simular ataques semelhantes aos observados na natureza por esses grupos. Após a simulação ser executada, os resultados foram processados e divulgados publicamente, incluindo a metodologia.
Matrizes MITRE ATT&CK
A estrutura MITRE ATT&CK é organizada em múltiplas matrizes, cada uma adaptada a ambientes específicos onde ameaças cibernéticas operam. Essas matrizes categorizam táticas, técnicas e procedimentos (TTPs) usados por atacantes, ajudando equipes de segurança a aprimorar suas estratégias de defesa.
Matriz Enterprise
A matriz mais abrangente, cobrindo ameaças em ambientes Windows, macOS, Linux e nuvem. Ela inclui técnicas como escalonamento de privilégios, movimento lateral e exfiltração de dados.
Matriz Mobile
Focada em ameaças direcionadas a dispositivos iOS e Android. Essa matriz detalha técnicas de ataque como roubo de credenciais, exploração de rede e persistência de malware móvel.
ICS (Industrial Control Systems)
Aborda ameaças cibernéticas específicas para ambientes industriais, como sistemas SCADA. Ela destaca técnicas usadas para interromper infraestrutura crítica, incluindo comando não autorizado e manipulação de firmware.
Táticas MITRE ATT&CK
A base do ATT&CK consiste em uma série de Técnicas que representam ações para que um atacante alcance um objetivo. Os objetivos são classificados como Táticas.
A Tática representa o "porquê" da Técnica. É a razão pela qual um atacante executa uma ação. A Técnica é o "como" para um atacante alcançar um objetivo ao executar uma ação. Ela também representa "o que" o atacante adquire.
Ao usar o domínio Enterprise como analogia, a Tática é a seguinte
Acesso Inicial: Métodos que atacantes usam para infiltrar uma rede, como phishing, comprometimento de supply chain e exploração de aplicações expostas publicamente.
Execução: Técnicas que executam código malicioso em um sistema, incluindo execução em linha de comando, scripting e exploração para execução no cliente.
Persistência: Métodos que atacantes usam para manter o acesso após o comprometimento inicial, como criar novas contas de usuário, modificações de registro e tarefas agendadas.
Escalonamento de Privilégios: Formas pelas quais adversários obtêm permissões de nível mais alto, como explorar vulnerabilidades, dumping de credenciais e manipulação de tokens de acesso.
Evasão de Defesa: Técnicas para contornar medidas de segurança, incluindo desativação de ferramentas de segurança, ofuscação de arquivos e injeção de processos.
Acesso a Credenciais: Métodos para roubar credenciais, como keylogging, ataques de força bruta e dumping de credenciais.
Descoberta: Táticas usadas para coletar informações sobre um sistema ou rede, como varredura de rede e enumeração de contas.
Movimento Lateral: Técnicas para se mover entre sistemas, como protocolo de área de trabalho remota (RDP) e ataques pass-the-hash.
Coleta: Métodos para coletar dados sensíveis, incluindo captura de tela, keylogging e dados de bancos de dados locais.
Exfiltração: Formas de transferir dados roubados para fora de uma rede, como exfiltração criptografada e abuso de armazenamento em nuvem.
Impacto: Técnicas destinadas a interromper operações, incluindo implantação de ransomware , destruição de dados e ataques de negação de serviço.
Técnicas MITRE ATT&CK
A estrutura MITRE ATT&CK categoriza técnicas adversárias usadas em ciberataques. As principais técnicas incluem
Acesso Inicial - Métodos como phishing e exploração de aplicações públicas para obter entrada.
Execução Execução de código malicioso por meio de linha de comando ou scripting.
Persistência - Manutenção de acesso por meio de alterações no registro ou tarefas agendadas.
Escalonamento de Privilégios - Obtenção de privilégios mais altos usando exploits ou dumping de credenciais.
Evasão de Defesa – Contornar a segurança com ofuscação ou desativação de ferramentas.
Movimento Lateral – Propagação pelas redes via RDP ou pass-the-hash.
Exfiltração – Roubo de dados usando abuso de nuvem ou transferências criptografadas.
Entender essas técnicas ajuda as organizações a fortalecer suas defesas de segurança.
Anatomia da estrutura MITRE ATT&CK
Táticas são semelhantes a um capítulo de um livro.
Táticas são semelhantes a um capítulo de um livro. Um CISO pode delinear a história que deseja contar com as táticas de alto nível usadas em um ataque e depois recorrer às técnicas para contar a história de como o ataque foi realizado, o que fornece mais detalhes.
Exemplo de história: Construindo uma história de ataque em uma linguagem comum
O objetivo do atacante era obter acesso inicial à rede. Usando um comprometimento drive-by com um link de spear phishing e relacionamento confiável, o atacante obteve acesso inicial usando essa técnica.
Nota: A estrutura lista todas as formas conhecidas pelas quais um atacante pode obter acesso inicial.
Como uma solução de cibersegurança ajuda
A solução mapeia os produtos que possui para a estrutura ATT&CK, mostrando táticas e técnicas nas detecções, o que demonstra como podemos ajudar você a enfrentar os desafios de detectar e responder a ameaças.
E quanto à prevenção
Controles preventivos são uma parte importante de uma estratégia de mitigação de ameaças, que adiciona resiliência quando sob ataque. Controles preventivos foram testados na rodada mais recente com a capacidade de desviar riscos cedo, permitindo que organizações gastem mais tempo em problemas de segurança mais complexos.
MITRE ATT&CK vs Cyber Kill Chain
MITRE ATT&CK foi projetado para fornecer um nível mais profundo de granularidade ao descrever o que pode ocorrer durante um ataque, o que é um avanço em relação à kill chain.
Existem sete etapas na Cyber Kill Chain
Reconhecimento
Intrusão
Exploração
Execução de Privilégios
Movimento Lateral
Ofuscações / Anti Forense
Negação de serviço
Exfiltração
Casos de uso do MITRE ATT&CK
MITRE ATT&CK permite que você organize tecnologias do ponto de vista do atacante e faça referência a contramedidas no lado da defesa. Portanto, os seguintes casos de uso são descritos.
Emulação adversária
A emulação de um atacante. A partir de grupos no banco de dados, extraia Técnicas e cenários de ataque usados por um atacante específico, detecte uma série de ataques e verifique se existem medidas defensivas contra esses ataques.
Red teaming
Criar cenários de ataque para exercícios cibernéticos. A equipe vermelha desempenha o papel do atacante, a equipe azul desempenha o papel da defesa e a equipe branca desempenha o papel de controle e julgamento.
Desenvolvimento de analytics comportamental
Em vez de IoC e informações conhecidas sobre ameaças, use a base de conhecimento ATT CK e analise técnicas desconhecidas e padrões de ação para desenvolver novas contramedidas.
Avaliação de lacunas defensivas
Identificar o que está deficiente nas contramedidas existentes de uma organização. Determinar prioridades para investimento.
Avaliação de maturidade de SOC
Determinar quão eficazes são a detecção, análise e resposta do SOC.
Enriquecimento de inteligência de ameaças cibernéticas
O analista pode compreender profundamente as ações de um grupo de atacantes e relatá-las. É possível identificar claramente que tipo de ferramentas um grupo específico usou, que tipo de tecnologia e qual procedimento o grupo utilizou ao iniciar ataques, recuperando dados do banco de dados.
Embora seja um campo profissional, o site do MITRE ATT&CK também fornece um aplicativo chamado ATT&CK Navigator, que permite criar uma matriz de acordo com os propósitos descritos acima.
Resultados do MITRE ATT&CK 2024 para segurança empresarial
Em 2024, o MITRE Engenuity aprimorou o jogo, simulando as técnicas modernas de ataque mais realistas até o momento. Dizer que a Trend Micro arrasou na tarefa é um eufemismo.
O desempenho incrível de 2024 nas MITRE Engenuity ATT&CK Evaluations é o nosso quinto consecutivo e inclui algumas das pontuações mais altas já registradas por qualquer fornecedor.
Com mais de 161 bilhões de ameaças bloqueadas em 2023 – um aumento de 10% em relação a 2022 – maior visibilidade de risco é crucial para interromper proativamente até os ataques mais avançados.
As avaliações deste ano focaram nas táticas, técnicas e procedimentos (TTPs) de DPRK, CLOP e LockBit, três das ameaças de ransomware mais sofisticadas e perigosas existentes.
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.