Blog Segurança de Dados

Estrutura MITRE ATT&CK: tudo o que você precisa saber

A MITRE ATT&CK é um modelo criado pela MITRE para documentar e rastrear diversas técnicas usadas pelos invasores nos diferentes estágios de um ataque cibernético para se infiltrar em uma rede e exfiltrar dados. 
Michael Buckbee
6 minuto de leitura
Ultima atualização 28 de Novembro de 2023
MITRE ATT&CK

Contents

    A MITRE ATT&CK é um modelo criado pela MITRE para documentar e rastrear diversas técnicas usadas pelos invasores nos diferentes estágios de um ataque cibernético para se infiltrar em uma rede e exfiltrar dados. 

    ATT&CK significa: Adversarial Tactics, Techniques, and Common Knowledge (em português: Táticas, Técnicas e Conhecimento Comum sobre os Adversários). A estrutura é uma matriz de diferentes técnicas de ataque cibernético classificadas por diferentes táticas. Existem diferentes matrizes para sistemas Windows, Linux, Mac e dispositivos móveis. 

    Desde sua criação em 2013, a ATT&CK tornou-se um dos recursos mais respeitados e referenciados em segurança cibernética, formando uma base de conhecimento de técnicas de hacking que podem ser usadas para defender redes contra ameaças à segurança cibernética. Conhecer a ATT&CK é entender seu inimigo. 

    Use o menu abaixo para ir para a seção mais relevante 

    • MITRE ATT&CK x Cyber Kill Chain 
    • Matrizes 
    • Táticas e técnicas 
    • Usos e benefícios 
    • Melhores práticas 
    • Desafios 
    • Atualizações e recursos 

    MITRE ATT&CK vs Cyber Kill Chain

    mitre-attack-vs-cyber-kill-chain

    Em termos gerais, ambos os sistemas seguem o mesmo padrão — entre, não seja pego, roube coisas. A principal diferença é que a matriz ATT&CK é mais uma lista técnica e não propõe uma ordem específica de operações. 

    A Cyber Kill Chain, por outro lado, é uma sequência bem definida de eventos: o Red Team (termo de teste para invasores) passa do reconhecimento para a intrusão e assim por diante, seguindo uma ordem definida. Entretanto, o Red Team utiliza técnicas e táticas de ATT&CK em diferentes momentos do cenário, dependendo da situação. Um cenário ATT&CK poderia começar com uma adição de hardware da tática de acesso inicial, depois pular para Ignorar o controle de conta de usuário da tática de escalonamento de privilégios e voltar para a tática de execução para iniciar o PowerShell. 

    O ATT&CK define as seguintes táticas usadas em um ataque cibernético: 

    • Acesso inicial 
    • Execução 
    • Persistência 
    • Escalação de privilégios 
    • Evasão de defesa 
    • Acesso a credenciais 
    • Descoberta 
    • Movimento lateral 
    • Coleção 
    • Exfiltração 
    • Comando e controle 

    A Cyber Kill Chain é um pouco mais curta: 

    • Reconhecimento 
    • Intrusão 
    • Exploração 
    • Escalação de privilégios 
    • Movimento lateral 
    • Ofuscação/Anti-forense 
    • Negação de serviço 
    • Exfiltração 

    Matrizes MITRE ATT&CK

    O ATT&CK é uma matriz de técnicas de hacking baseado em táticas. Se você quiser saber como o Red Team fica escondido durante uma infiltração, dê uma olhada na categoria Evasão de Defesa, escolha uma das técnicas dessa coluna e clique no link para obter mais informações. 

    Existem várias matrizes diferentes: 

    • A matriz PRE-ATT&CK inclui técnicas usadas para reconhecimento, identificação de alvos e planejamento de ataque 
    • O Windows inclui técnicas usadas para hackear todos os tipos de Windows 
    • O Linux inclui técnicas usadas para hackear todos os tipos de Linux 
    • O MacOS inclui técnicas usadas para hackear o MacOS 
    • A matriz Mobile ATT&CK inclui técnicas usadas para atacar dispositivos móveis 

    A matriz Enterprise ATT&CK é um superconjunto das matrizes Windows, MacOS e Linux. No momento em que esse arquivo foi escrito, haviam 245 técnicas no modelo Empresarial. O MITRE atualiza regularmente o ATT&CK com as melhores e mais recentes técnicas de hacking que hackers e pesquisadores de segurança descobrem no mundo. 

    Táticas e Técnicas para MITRE ATT&CK

    O MITRE chama a categoria de nível superior de “táticas”. Cada coluna de uma tática inclui uma lista de “técnicas” que visam alcançar essa tática. 

    Para melhor utilizar o ATT&CK, o Red Team desenvolve uma estratégia para unir várias técnicas de diferentes colunas para testar as defesas de seu alvo. O Blue Team (termo pentest para Defensores) precisa entender as táticas e técnicas para contrariar a estratégia do Red Team. 

    É um jogo de xadrez, mas as peças são técnicas ATT&CK em vez de cavalos e bispos. Cada lado precisa fazer movimentos específicos, contra-atacar, construir uma defesa e antecipar as próximas técnicas em jogo. 

    Por exemplo, uma estratégia do Red Team pode ser semelhante à lista mostrada abaixo. 

    Clicar em qualquer um dos links para as técnicas abaixo leva a uma página com uma breve explicação da técnica, uma lista de programas, por exemplo, juntamente com dicas de mitigação e detecção: 

    1. O Red Team infecta o alvo com malware usando replicação por meio de mídia removível 
    1. Com o malware instalado, os invasores têm acesso a um computador na rede e usam o PowerShell para procurar contas privilegiadas 
    1. Quando o Red Team encontrar um alvo de conta privilegiada, ele usa uma Exploração para Escalação de privilégios para ter acesso à conta 
    1. Com acesso a uma conta privilegiada, o invasor usa o Remote Desktop Protocol para acessar outras máquinas na rede e encontrar dados para roubar 
    1. O Red Team coleta e exflitra dados de volta à base. Ele poderia usar a compactação de dados para coletar os arquivos confidenciais e, em seguida, passar os dados de volta para casa usando uma técnica de exfiltração por protocolo alternativo 

    Para lidar com o cenário de exemplo, o Blue Team precisa ser capaz de detectar o acesso a arquivos em um dispositivo de mídia removível ou detectar o malware que o invasor implantou. É preciso detectar a execução do PowerShell e saber que não é apenas um administrador fazendo um trabalho regular. O Blue Team também precisa detectar o acesso da conta privilegiada roubada, dados confidenciais e exfiltração. Estas técnicas são difíceis de detectar e correlacionar na maioria dos sistemas de monitorização. 

    O Red Team geralmente sai vitorioso, como os hackers reais. 

    Usos do MITRE ATT&CK

    mitre-attack-uses

    Já discutimos como o Red Team usa técnicas ATT&CK para planejar um cenário para testar as defesas da rede, mas de que outra forma é possível usar a ATT&CK? 

    • Use a ATT&CK para planejar sua estratégia de segurança cibernética. Construa uma defesa para combater técnicas conhecidas e equipe seu monitoramento para detectar evidências de técnicas ATT&CK na rede 
    • A ATT&CK é referência para equipes de Resposta a Incidentes (RI). Sua equipe de RI pode usar a ATT&CK para determinar a natureza das ameaças enfrentadas e os métodos para mitigá-las 
    • Sua equipe de RI pode usar a ATT&CK como referência para novas ameaças à segurança cibernética e planejar com maior antecedência 
    • A ATT&CK pode ajudar a avaliar a estratégia geral de segurança cibernética da empresa e preencher quaisquer lacunas descobertas 

    Benefícios da ATT&CK para as Red Teams

    Outro excelente recurso para o Red Team no repositório ATT&CK é o Group Directory, uma lista de grupos de hackers conhecidos, juntamente com uma lista das ferramentas e técnicas que eles usam para se infiltrar em seus alvos. 

    Por exemplo, a entrada do grupo Rancor lista as técnicas que eles usaram em seus ataques: interface de linha de comando, cópia remota de arquivos etc. Ao lado de cada técnica, há uma breve descrição de como o grupo usou cada uma delas e também uma lista de softwares utilizados — certutil, DDKONG, PLAINTEE e Reg. 

    Com o Group Directory, as Red Teams têm tudo o que precisam para criar dezenas e cenários diferentes do mundo real para as Blue Teams combaterem. 

    Melhores práticas MITRE ATT&CK

    Aqui estão alguns pontos a serem considerados ao usar o ATT&CK como parte dos planos gerais de segurança de dados: 

    1. Use o software e cenários do mundo real da lista de Grupos. Se você não consegue se proteger contra ameaças conhecidas, não há como impedir as ameaças desconhecidas 
    1. Socialize e compartilhe técnicas ATT&CK como uma linguagem comum para suas equipes de segurança 
    1. Identifique lacunas nas defesas com as matrizes ATT&CK e implemente soluções para essas lacunas 
    1. Nunca presuma que, como você pode se defender contra uma técnica de uma forma, você não será prejudicado por uma implementação diferente dessa técnica. Só porque o seu antivírus detecta o “Mimikatz”, não presuma que ele também irá detectar o “tnykttns” ou qualquer outra variante do Mimikats que surgir. 

    Desafios ao usar a ATT&CK

    • Nem todo comportamento que corresponda a uma técnica ATT&CK é malicioso. A exclusão de arquivos, por exemplo, é uma técnica listada em Evasão de Defesa — o que faz total sentido. Mas como você pode distinguir exclusões normais de arquivos das tentativas de um invasor de evitar a detecção? 
    • Da mesma forma, algumas técnicas ATT&CK são difíceis de detectar. Os ataques de força bruta são bastante fáceis de detectar se você souber o que procurar. A exfiltração por protocolo alternativo, como um túnel DNS, pode ser bastante difícil, mesmo se você estiver procurando por ela. A capacidade de descobrir técnicas difíceis de detectar é fundamental para uma estratégia de segurança de dados de longo prazo. 

    A MITRE ATT&CK hoje

    A ATT&CK é um dos recursos mais completos e definitivos de técnicas hackers disponíveis atualmente. Os profissionais de segurança falam cada vez mais sobre técnicas de ataque cibernético em termos de ATT&CK, e estão construindo defesas e escolhendo software baseado nos modelos. 

    Atualizações para a ATT&CK

    A MITRE faz atualizações regulares na ATT&CK, acompanhe seu blog para obter as últimas notícias. 

    Mais recentemente, a MITRE lançou um processo de certificação de software. As empresas de software podem ser certificadas pela MITRE com base na sua capacidade de detectar técnicas ATT&CK. 

    Projetos e recursos da ATT&CK

    A MITRE e outros desenvolvedores terceirizados usam a ATT&CK para ajudar as Red e Blue Teams a implementar seus esforços de defesa e pentesting: 

    • Caldera é a ferramenta de emulação de técnica de fixação automatizada da MITRE 
    • Cascade é o conjunto de ferramentas Blue Team da MITRE 
    • Attack Navigator é um aplicativo da web que pode ser usado para fazer anotações e rastrear seu status ATT&CK 
    • Oilrig é o Manual do Adversário de Palo Alto baseado no modelo ATT&CK 
    • O Repositório de Análise Cibernética da MITRE é um projeto separado da ATT&CK que rastreia informações detalhadas sobre como detectar técnicas 

    A Varonis detecta diversas técnicas ATT&CK e ataques cibernéticos em sua rede — incluindo Pass the Hash, Pass the Ticket e ataques de força bruta. Os modelos de ameaças da Varonis usam a mesma linguagem da ATT&CK para que a organização possa consultar facilmente ambos os recursos quando precisam pesquisar ataques cibernéticos. 

    Entre em contato e agende uma sessão de demonstração para tirar dúvidas e entender se a Varonis é adequada para suas necessidades. 

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Michael Buckbee
    Michael Buckbee Michael trabalhou como administrador de sistemas e desenvolvedor de software em startups no Vale do Silício, na Marinha dos Estados Unidos e em todos vários setores nesse meio.

    Experimente Varonis gratuitamente.

    Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
    Implanta em minutos.
    Iniciar Ver amostra

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    uba-deverá-ajudar-na-educação-do-funcionário
    UBA deverá ajudar na educação do funcionário
    uba-deverá-ajudar-na-educação-do-funcionário
    Emilia Bertolli
    18 de Abril de 2016
    No futuro, o user behaviour analytics (UBA) será ser usado para lidar com padrões de “ignorância” e falta de atenção para auxiliar na educação do usuário.
    vmware-esxi-na-linha-de-fogo-do-ransomware
    VMware ESXi na linha de fogo do ransomware
    vmware-esxi-na-linha-de-fogo-do-ransomware
    Jason Hill
    22 de Março de 2023
    Os servidores que executam o popular hipervisor de virtualização VMware ESXi foram atacados por pelo menos um grupo de ransomware há poucos dias, provavelmente após uma atividade de varredura para identificar hosts com vulnerabilidades Open Service Location Protocol (OpenSLP). 
    o-que-é-uma-porta-smb-+-explicação-sobre-as-portas-445-e-139
    O que é uma porta SMB + Explicação sobre as portas 445 e 139
    o-que-é-uma-porta-smb-+-explicação-sobre-as-portas-445-e-139
    Michael Buckbee
    7 de Maio de 2021
    Uma porta SMB é uma porta de rede que costuma ser usada para compartilhamento de arquivos. O programador da IBM Barry Feigenbaum desenvolveu o protocolo Server Message Blocks (SMB) na década de 1980 para IBM DOS. O SMB continua sendo o protocolo padrão de compartilhamento de arquivos de rede usado até hoje.
    ids-vs.-ips:-o-que-as-organizações-precisam-saber-para-se-proteger
    IDS vs. IPS: o que as organizações precisam saber para se proteger
    ids-vs.-ips:-o-que-as-organizações-precisam-saber-para-se-proteger
    Emilia Bertolli
    31 de Agosto de 2022
    Um IDS gera alertas para que a equipe de segurança possa agir de acordo com o problema. O IPS vai além e desliga a rede