Mitre ATT&CK

O Mitre ATT&CK foi criado em 2013, como uma ferramenta para descrever e categorizar os comportamentos dos adversários. O ATT&CK é uma lista estruturada de comportamentos conhecidos de invasores que foram compilados em táticas e técnicas, expressos em várias matrizes e também por meio do STIX/TAXII. Como a lista é uma representação abrangente dos comportamentos que os invasores utilizam quando comprometem as redes, ela é útil para diversas medidas ofensivas, defensivas e outros mecanismos.

Técnicas e Táticas

Ao validar o framework ATT&CK na forma de matriz, os títulos das colunas na parte superior são as táticas, que são, basicamente, as categorias das técnicas. Mais especificamente, táticas são o que os atores maliciosos tentam alcançar, enquanto técnicas individuais são como realizam essas etapas e metas.

As táticas são classificadas da seguinte maneira:

• Reconhecimento;
• Desenvolvimento de Recursos;
• Acesso Inicial;
• Execução;
• Persistência;
• Escalonamento de Privilégio;
• Evasão de defesa;
• Acesso a credenciais;
• Discovery;
• Movimentação lateral;
• Coleção;
• Comando e controle;
• Extração.

Fonte: https://attack.mitre.org/matrices/enterprise/

Uma técnica é um comportamento específico para atingir uma meta e, muitas vezes, é uma etapa única em uma sequência de atividades empregadas para concluir a missão geral do ator malicioso. O ATT&CK fornece diversos detalhes sobre cada técnica, incluindo descrições, exemplos, referências, e sugestões para mitigação e detecção.

O que pode ser feito com o Mitre ATT&CK?

O ATT&CK é útil em diversos ambientes cotidianos. Quaisquer atividades defensivas que referenciem invasores e seus comportamentos podem se beneficiar da aplicação da taxonomia do ATT&CK. Além de oferecer um léxico comum para defensores cibernéticos, o ATT&CK também fornece uma base para testes de penetração e formação da equipe vermelha. Isso dá aos defensores e aos profissionais da equipe vermelha uma linguagem comum para se referir ao comportamento dos adversários.

Exemplos em que a aplicação da taxonomia do ATT&CK pode ser útil:

• Mapeamento de controles defensivos:

  Os controles defensivos podem ter um significado bem fácil de compreender quando usados como referência contra as táticas e técnicas do ATT&CK às quais se aplicam.

• Busca de ameaças:

  O mapeamento das defesas do ATT&CK produz um roteiro de brechas defensivas que proporcionam aos buscadores de ameaças os locais perfeitos para encontrar atividades de ataque perdidas.

• Red Team/Atividades do Pentest:

  O planejamento, a execução e o relatório das atividades da equipe vermelha, da equipe roxa e do teste de penetração podem usar o ATT&CK para assegurar um entendimento comum entre os defensores e destinatários dos relatórios.

• Integrações de ferramentas:

  Ferramentas e serviços diferentes podem padronizar táticas e técnicas do ATT&CK, dando coesão a uma defesa que muitas vezes não existe.

Fontes:

• Mitre ATT&CK;
• ServiceNow