O MITRE ATT&CK é um framework que compila uma grande base de conhecimento sobre as táticas (objetivos), técnicas (ações tomadas) e procedimentos usados por agentes maliciosos em todo o ciclo de vida dos ataques cibernéticos.
Seu diferencial (além do acrônimo bastante criativo, que significa “Adversarial Tactics, Techniques & Common Knowledge”) é que ele traz um mapeamento comportamental dos agentes e de grupos criminosos, identificando e descrevendo seus métodos e objetivos.
Criado pela Mitre, uma organização sem fins lucrativos que gerencia centros de pesquisa financiados pelo governo dos EUA, as informações do MITRE ATT&CK são de acesso público, além de serem atualizadas constantemente, reunindo as contribuições da comunidade de profissionais de cibersegurança.Falamos sobre o modelo ATT&CK no nosso último RedTalks. Assista e conheça o framework com mais detalhes:
Matrizes do MITRE ATT&CK
Utilizar os dados fornecidos pelo MITRE ATT&CK pode levar a maturidade do SOC a um novo patamar, uma vez que é possível entender com mais precisão os métodos usados pelos agentes maliciosos durante um ataque.
Antes de tudo, porém, é preciso entender como e onde aplicar o framework.
O MITRE ATT&CK possui três matrizes, que são:
- Mobile, que cobre as técnicas relacionadas ao acesso a dispositivos móveis e os efeitos baseados em rede, que podem ser usados por adversários sem o acesso direto ao dispositivo;
- ICS, focada em sistemas de controle industrial (ICS), que detalha técnicas e táticas utilizadas para comprometer, manipular ou afetar sistemas industriais críticos;
- Enterprise, que contempla ambientes amplamente disseminados, como Windows, macOS, Linux, Network, SaaS, Containers etc.
Técnicas, subtécnicas e Pirâmide da Dor
O MITRE ATT&CK relaciona dezenas de técnicas e subtécnicas para cada matriz. As técnicas compilam os métodos que os atacantes podem utilizar para atingir o objetivo. Já as subtécnicas são as variações de uma técnica já existente. Elas detalham como um atacante pode implementar uma técnica de maneira mais específica ou adaptada.
O modelo ATT&CK também utiliza o conceito de Pirâmide da Dor, criado pelo pesquisador de cibersegurança David Bianco. A Pirâmide da Dor representa os tipos de indicadores de comprometimento (IOCs) que, quando negados pela inteligência de ameaça, são mais ou menos problemáticos do ponto de vista do adversário. A pirâmide demonstra desde os IOCs mais comuns (que ficam na base da pirâmide) até os indicadores mais desafiadores (mais ao topo da pirâmide).
Agora o RIS tem um dashboard MITRE ATT&CK
Na Redbelt Security, incorporamos a base de conhecimento do MITRE ATT&CK ao RIS, nossa plataforma de cibersegurança. O novo dashboard proporciona visibilidade sobre a cobertura do SIEM em relação ao framework ATT&CK e o monitoramento de alarmes gerados no ambiente.
Com o dashboard, é possível visualizar:
- Cobertura por regras: é possível identificar quais regras configuradas no SIEM estão associadas às táticas e técnicas do MITRE ATT&CK, garantindo alinhamento estratégico e maior eficiência na detecção de ameaças.
- Cobertura por alarmes: o usuário pode acompanhar a quantidade de alarmes associados ao MITRE ATT&CK para monitorar incidentes ocorridos no ambiente e entender as possíveis ameaças ativas.
- Gaps de regras e alarmes: facilita a visualização das áreas sem cobertura, ou seja, onde não existem regras ou alarmes associados, permitindo priorizar ações para aumentar a maturidade e eficiência do SOC.
Com essa abordagem, o RIS ajuda a melhorar a visibilidade e o alinhamento com as melhores práticas de segurança. Comece a utilizar o RIS hoje mesmo e leve seu SOC para o próximo nível. Fale com nossos consultores para saber mais.
