O Mitre ATT&CK foi criado em 2013, como uma ferramenta para descrever e categorizar os comportamentos dos adversários.
O ATT&CK é uma lista estruturada de comportamentos conhecidos de invasores que foram compilados em táticas e técnicas, expressos em várias matrizes e também por meio do STIX/TAXII. Como a lista é uma representação abrangente dos comportamentos que os invasores utilizam quando comprometem as redes, ela é útil para diversas medidas ofensivas, defensivas e outros mecanismos.
Técnicas e Táticas
Ao validar o framework ATT&CK na forma de matriz, os títulos das colunas na parte superior são as táticas, que são, basicamente, as categorias das técnicas. Mais especificamente, táticas são o que os atores maliciosos tentam alcançar, enquanto técnicas individuais são como realizam essas etapas e metas.
As táticas são classificadas da seguinte maneira:
Reconhecimento;
Desenvolvimento de Recursos;
Acesso Inicial;
Execução;
Persistência;
Escalonamento de Privilégio;
Evasão de defesa;
Acesso a credenciais;
Discovery;
Movimentação lateral;
Coleção;
Comando e controle;
Extração.
O que pode ser feito com o Mitre ATT&CK?
O ATT&CK é útil em diversos ambientes cotidianos. Quaisquer atividades defensivas que referenciem invasores e seus comportamentos podem se beneficiar da aplicação da taxonomia do ATT&CK. Além de oferecer um léxico comum para defensores cibernéticos, o ATT&CK também fornece uma base para testes de penetração e formação da equipe vermelha. Isso dá aos defensores e aos profissionais da equipe vermelha uma linguagem comum para se referir ao comportamento dos adversários.
Exemplos em que a aplicação da taxonomia do ATT&CK pode ser útil:
Mapeamento de controles defensivos:
Os controles defensivos podem ter um significado bem fácil de compreender quando usados como referência contra as táticas e técnicas do ATT&CK às quais se aplicam.
Busca de ameaças:
O mapeamento das defesas do ATT&CK produz um roteiro de brechas defensivas que proporcionam aos buscadores de ameaças os locais perfeitos para encontrar atividades de ataque perdidas.
Red Team/Atividades do Pentest:
O planejamento, a execução e o relatório das atividades da equipe vermelha, da equipe roxa e do teste de penetração podem usar o ATT&CK para assegurar um entendimento comum entre os defensores e destinatários dos relatórios.
Integrações de ferramentas:
Ferramentas e serviços diferentes podem padronizar táticas e técnicas do ATT&CK, dando coesão a uma defesa que muitas vezes não existe.
Uma técnica é um comportamento específico para atingir uma meta e, muitas vezes, é uma etapa única em uma sequência de atividades empregadas para concluir a missão geral do ator malicioso. O ATT&CK fornece diversos detalhes sobre cada técnica, incluindo descrições, exemplos, referências, e sugestões para mitigação e detecção.
Nenhum comentário:
Postar um comentário