A MITRE ATT&CK é um modelo criado pela MITRE para documentar e rastrear diversas técnicas usadas pelos invasores nos diferentes estágios de um ataque cibernético para se infiltrar em uma rede e exfiltrar dados.
ATT&CK significa: Adversarial Tactics, Techniques, and Common Knowledge (em português: Táticas, Técnicas e Conhecimento Comum sobre os Adversários). A estrutura é uma matriz de diferentes técnicas de ataque cibernético classificadas por diferentes táticas. Existem diferentes matrizes para sistemas Windows, Linux, Mac e dispositivos móveis.
Desde sua criação em 2013, a ATT&CK tornou-se um dos recursos mais respeitados e referenciados em segurança cibernética, formando uma base de conhecimento de técnicas de hacking que podem ser usadas para defender redes contra ameaças à segurança cibernética. Conhecer a ATT&CK é entender seu inimigo.
Use o menu abaixo para ir para a seção mais relevante
Em termos gerais, ambos os sistemas seguem o mesmo padrão — entre, não seja pego, roube coisas. A principal diferença é que a matriz ATT&CK é mais uma lista técnica e não propõe uma ordem específica de operações.
A Cyber Kill Chain, por outro lado, é uma sequência bem definida de eventos: o Red Team (termo de teste para invasores) passa do reconhecimento para a intrusão e assim por diante, seguindo uma ordem definida. Entretanto, o Red Team utiliza técnicas e táticas de ATT&CK em diferentes momentos do cenário, dependendo da situação. Um cenário ATT&CK poderia começar com uma adição de hardware da tática de acesso inicial, depois pular para Ignorar o controle de conta de usuário da tática de escalonamento de privilégios e voltar para a tática de execução para iniciar o PowerShell.
O ATT&CK define as seguintes táticas usadas em um ataque cibernético:
A Cyber Kill Chain é um pouco mais curta:
O ATT&CK é uma matriz de técnicas de hacking baseado em táticas. Se você quiser saber como o Red Team fica escondido durante uma infiltração, dê uma olhada na categoria Evasão de Defesa, escolha uma das técnicas dessa coluna e clique no link para obter mais informações.
Existem várias matrizes diferentes:
A matriz Enterprise ATT&CK é um superconjunto das matrizes Windows, MacOS e Linux. No momento em que esse arquivo foi escrito, haviam 245 técnicas no modelo Empresarial. O MITRE atualiza regularmente o ATT&CK com as melhores e mais recentes técnicas de hacking que hackers e pesquisadores de segurança descobrem no mundo.
O MITRE chama a categoria de nível superior de “táticas”. Cada coluna de uma tática inclui uma lista de “técnicas” que visam alcançar essa tática.
Para melhor utilizar o ATT&CK, o Red Team desenvolve uma estratégia para unir várias técnicas de diferentes colunas para testar as defesas de seu alvo. O Blue Team (termo pentest para Defensores) precisa entender as táticas e técnicas para contrariar a estratégia do Red Team.
É um jogo de xadrez, mas as peças são técnicas ATT&CK em vez de cavalos e bispos. Cada lado precisa fazer movimentos específicos, contra-atacar, construir uma defesa e antecipar as próximas técnicas em jogo.
Por exemplo, uma estratégia do Red Team pode ser semelhante à lista mostrada abaixo.
Clicar em qualquer um dos links para as técnicas abaixo leva a uma página com uma breve explicação da técnica, uma lista de programas, por exemplo, juntamente com dicas de mitigação e detecção:
Para lidar com o cenário de exemplo, o Blue Team precisa ser capaz de detectar o acesso a arquivos em um dispositivo de mídia removível ou detectar o malware que o invasor implantou. É preciso detectar a execução do PowerShell e saber que não é apenas um administrador fazendo um trabalho regular. O Blue Team também precisa detectar o acesso da conta privilegiada roubada, dados confidenciais e exfiltração. Estas técnicas são difíceis de detectar e correlacionar na maioria dos sistemas de monitorização.
O Red Team geralmente sai vitorioso, como os hackers reais.
Já discutimos como o Red Team usa técnicas ATT&CK para planejar um cenário para testar as defesas da rede, mas de que outra forma é possível usar a ATT&CK?
Outro excelente recurso para o Red Team no repositório ATT&CK é o Group Directory, uma lista de grupos de hackers conhecidos, juntamente com uma lista das ferramentas e técnicas que eles usam para se infiltrar em seus alvos.
Por exemplo, a entrada do grupo Rancor lista as técnicas que eles usaram em seus ataques: interface de linha de comando, cópia remota de arquivos etc. Ao lado de cada técnica, há uma breve descrição de como o grupo usou cada uma delas e também uma lista de softwares utilizados — certutil, DDKONG, PLAINTEE e Reg.
Com o Group Directory, as Red Teams têm tudo o que precisam para criar dezenas e cenários diferentes do mundo real para as Blue Teams combaterem.
Aqui estão alguns pontos a serem considerados ao usar o ATT&CK como parte dos planos gerais de segurança de dados:
A ATT&CK é um dos recursos mais completos e definitivos de técnicas hackers disponíveis atualmente. Os profissionais de segurança falam cada vez mais sobre técnicas de ataque cibernético em termos de ATT&CK, e estão construindo defesas e escolhendo software baseado nos modelos.
A MITRE faz atualizações regulares na ATT&CK, acompanhe seu blog para obter as últimas notícias.
Mais recentemente, a MITRE lançou um processo de certificação de software. As empresas de software podem ser certificadas pela MITRE com base na sua capacidade de detectar técnicas ATT&CK.
A MITRE e outros desenvolvedores terceirizados usam a ATT&CK para ajudar as Red e Blue Teams a implementar seus esforços de defesa e pentesting:
A Varonis detecta diversas técnicas ATT&CK e ataques cibernéticos em sua rede — incluindo Pass the Hash, Pass the Ticket e ataques de força bruta. Os modelos de ameaças da Varonis usam a mesma linguagem da ATT&CK para que a organização possa consultar facilmente ambos os recursos quando precisam pesquisar ataques cibernéticos.
Entre em contato e agende uma sessão de demonstração para tirar dúvidas e entender se a Varonis é adequada para suas necessidades.