O que é MITRE ATT&CK?
MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) é uma estrutura, um conjunto de matrizes de dados e uma ferramenta de avaliação desenvolvida pela MITRE Corporation para ajudar as organizações a entender sua preparação para segurança e descobrir vulnerabilidades em seus métodos de defesa.
Desenvolvido em 2013, a estrutura MITRE ATT&CK usa observações reais para documentar métodos, táticas e técnicas de ataque específicos. À medida que novas vulnerabilidades e superfícies de ataque surgem, elas são adicionadas à estrutura ATT&CK, que está em constante evolução. Nos últimos anos, a estrutura MITRE ATT&CK e suas matrizes se tornaram um padrão do setor para ferramentas de conhecimento e correção em relação ao comportamento de invasores.

VMware oferece visibilidade abrangente de endpoints e redes, segundo a mais recente avaliação MITRE Engenuity ATT&CK®

Manual do MITRE ATT&CK
Quem usa o MITRE ATT&CK e por quê?
As matrizes do ATT&CK são utilizadas por uma ampla gama de profissionais de TI e segurança, incluindo equipes vermelhas que desempenham o papel de invasor ou adversário, caçadores de ameaças, engenheiros de desenvolvimento de produtos de segurança, equipes de inteligência de detecção de ameaças e profissionais de gerenciamento de risco.
Os integrantes da equipe vermelha usam a estrutura MITRE ATT&CK como um esquema para descobrir as superfícies de ataque e as vulnerabilidades em sistemas e dispositivos corporativos, bem como para melhorar a capacidade de mitigar ataques assim que eles ocorrem, assimilando informações. Essas informações incluem os invasores que obtiveram acesso, como eles se movem na rede afetada e quais métodos estão sendo usados para driblar a detecção. Esse conjunto de ferramentas permite que as organizações obtenham uma melhor conscientização sobre sua postura geral de segurança, identifiquem e testem vulnerabilidades nos métodos de defesa e priorizem possíveis falhas de segurança com base no risco que elas apresentam para a organização.
Os caçadores de ameaças usam a estrutura ATT&CK para encontrar correlações entre as técnicas específicas que os invasores estão usando contra sua abordagem de defesa e usam a estrutura para entender a visibilidade dos ataques nos endpoints e em todo o perímetro da rede.
Os desenvolvedores e engenheiros de plataformas de segurança usam o MITRE ATT&CK como uma ferramenta para avaliar a eficácia de seus produtos, descobrir pontos fracos anteriormente desconhecidos e determinar como seus produtos se comportarão durante o ciclo de vida de um ataque cibernético.
O que é a estrutura MITRE ATT&CK?
MITRE ATT&CK significa MITER Adversarial Tactics, Techniques, and Common Knowledge. A estrutura MITRE ATT&CK é um repositório selecionado com matrizes que fornecem um modelo para comportamentos de ataque cibernético. A estrutura é geralmente apresentada em forma de tabela, com colunas que representam as táticas (ou resultados desejados) usadas durante a vida útil de um ataque e linhas que representam as técnicas utilizadas para atingir seus objetivos táticos. A estrutura também documenta o uso da técnica e outros metadados vinculados a técnicas individuais.
A estrutura MITRE ATT&CK é consequência de um experimento da MITRE que emulou o invasor e o defensor para tentar entender como os ataques acontecem e melhorar a detecção pós-comprometimento usando sensor de telemetria e técnicas de análise comportamental. Para entender melhor como o setor está se saindo na detecção de comportamentos adversários documentados, eles criaram a estrutura ATT&CK como uma ferramenta para categorizar esses comportamentos.
Em que consiste a matriz do MITRE ATT&CK?
Atualmente, há quatro matrizes principais que compõem a estrutura ATT&CK. Pre-ATT&CK e ATT&CK for Enterprise estão relacionadas a ataques à infraestrutura corporativa.
PRE-ATT&CK: muitas das atividades (como reconhecimento e desenvolvimento de recursos) que os criminosos cibernéticos realizam antes que uma empresa seja comprometida normalmente ocorrem fora da visibilidade da organização e, portanto, essas táticas e técnicas pré-ataque são extremamente difíceis de serem detectadas no momento. Por exemplo, os invasores cibernéticos podem aproveitar as informações disponíveis gratuitamente na Internet, os relacionamentos que a organização tem com outras organizações já comprometidas ou outros métodos de tentativa de acesso. A PRE-ATT&CK permite que as organizações de defesa monitorem e entendam melhor essas atividades pré-ataque que ocorrem externamente ao perímetro de rede.
Enterprise ATT&CK: a ATT&CK for Enterprise fornece o modelo que descreve detalhadamente as ações que os invasores cibernéticos podem realizar para comprometer e executar suas atividades em uma rede empresarial. Existem táticas e técnicas específicas na matriz para uma vasta gama de plataformas, incluindo Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, redes e contêineres. Inicialmente, a matriz PRE-ATT&CK fazia parte da ATT&CK for Enterprise, pois ela também se concentrava nas tentativas de comprometer a infraestrutura corporativa. A estrutura Enterprise ajuda as organizações a priorizar suas defesas de rede, concentrando-se nas que apresentam maior risco para a empresa em questão.
Mobile ATT&CK: a matriz Mobile ATT&CK descreve as táticas e técnicas usadas para comprometer dispositivos móveis iOS e Android. Para isso, a ATT&CK for Mobile baseia-se no Mobile Threat Catalog do NIST e, até o momento em que este documento está sendo escrito, cataloga uma dezena de táticas e mais de 100 técnicas usadas para comprometer dispositivos móveis e alcançar quaisquer objetivos maliciosos dos criminosos cibernéticos. Além disso, a ATT&CK for Mobile lista os efeitos baseados em rede: táticas e técnicas que podem ser usadas sem exigir o acesso ao dispositivo real.
ICS ATT&CK: a mais recente matriz da família ATT&CK é a MITRE ATT&CK for Industrial Control Systems (ICS), que é semelhante à Enterprise ATT&CK; a única diferença é que ela destina-se especificamente a sistemas de controle industrial, como redes de energia, fábricas, moinhos e outras organizações que dependem de maquinário, dispositivos, sensores e redes interconectados.
Cada uma das matrizes inclui descrições detalhadas de cada técnica usada para cada tática ao longo do ciclo de vida do ataque adversário, ativos e sistemas visados por cada técnica, além de indicar enfoques de mitigação e contramedidas para cada uma delas, técnicas de análise de detecção utilizadas para descobrir a técnica e exemplos de uso real.
Ao visualizar as matrizes, as táticas são apresentadas de forma linear, descrevendo o ciclo de vida do ataque, começando pelo ponto de reconhecimento até o objetivo final, quer esse objetivo seja a exfiltração de informações, a criptografia de arquivos para fins de ransomware, ambos ou qualquer outra ação maliciosa.
Quais são os benefícios da estrutura MITRE ATT&CK?
O principal benefício da estrutura ATT&CK é que as organizações podem entender como os adversários atuam e estar a par das etapas que eles possivelmente executarão para obter acesso inicial, detectar, mover-se lateralmente e exfiltrar dados. Assim, as equipes podem visualizar as atividades sob a perspectiva do invasor, o que pode levar a uma compreensão mais profunda das motivações e táticas. Por fim, as organizações podem aproveitar essa compreensão e conhecimento para identificar lacunas em sua postura de segurança e melhorar a detecção e resposta a ameaças, permitindo que as equipes prevejam os próximos movimentos do invasor para que a correção ocorra rapidamente. Nos esportes, costuma-se dizer que a melhor defesa é um bom ataque. Na segurança cibernética, entender os efeitos do ataque pode ajudar muito a proteger a rede, os dispositivos e os usuários.
Além disso, no ambiente de trabalho atual, em que há uma grave escassez de profissionais qualificados em segurança cibernética, as estruturas podem ajudar a equipe de segurança iniciante ou recém-contratada, fornecendo o conhecimento e as ferramentas de pesquisa necessárias para que eles reajam rapidamente a qualquer ameaça, aproveitando o conhecimento coletivo de todos os profissionais de segurança anteriores a eles que contribuíram para as matrizes da estrutura MITRE ATT&CK.
Quais são os desafios do uso da estrutura MITRE ATT&CK?
À medida que as matrizes do ATT&CK continuam evoluindo e se multiplicando, elas se tornam cada vez mais complexas. O número de combinações e permutações de táticas e técnicas da estrutura, embora muito abrangente, pode ser desafiante devido à grande quantidade de dados que devem ser digeridos e processados.
Por exemplo, existem atualmente mais de 400 técnicas ou padrões de ataque diferentes descritos nas quatorze táticas contidas na ATT&CK for Enterprise. Várias dessas técnicas também contêm subtécnicas que aumentam ainda mais o número de permutações. Muitas organizações não automatizaram o mapeamento de todos esses dados para sua infraestrutura de segurança atual, o que pode ser uma tarefa formidável.
Um estudo recente da UC Berkely descobriu que, embora quase todas as organizações usem a estrutura para marcar eventos de rede com vários produtos de segurança, sequer metade dos entrevistados automatizou as alterações da política de segurança indicadas pela estrutura.
Outros desafios incluem a dificuldade de correlacionar eventos locais e com base em nuvem ou a incapacidade de correlacionar eventos de dispositivos móveis e endpoints.
Como você usa a estrutura MITRE ATT&CK?
Um relatório recente da Agência de Segurança Cibernética e Infraestrutura (CISA, pela sigla em inglês) dos Estados Unidos oferece uma lista de práticas recomendadas para que as organizações utilizem a estrutura MITRE ATT&CK a fim de mapear ataques para técnicas de correção e proteção. Embora o estudo tenha descoberto que grandes empresas estavam adotando a estrutura, a maioria dos usuários não acredita que seus atuais produtos de segurança possam detectar todas as ameaças conhecidas nas matrizes do ATT&CK relacionadas à infraestrutura.
Como a VMware utiliza a estrutura MITRE ATT&CK?
O dimensionamento e os aspectos econômicos da nuvem têm sido uma grande benefício para as empresas atuais. No entanto, a migração de aplicativos e dados do data center para ambientes multi-cloud expandiu bastante as superfícies de ameaça, colocando as empresas em maior risco devido aos ataques de ransomware. Além disso, os aplicativos modernos têm dezenas de milhares de componentes. Para proteger-se contra os ataques de ransomware cada vez mais sofisticados e prejudiciais, as organizações devem ir além da segmentação dentro do data center e dos firewalls tradicionais de próxima geração no perímetro. Participe desta sessão para ver um ataque de ransomware real, após adoção da estrutura MITRE ATT&CK, e como a inovação da VMware na nuvem, aliada à segurança entre nuvens, oferece a defesa mais forte do setor. - Inovações na defesa contra ransomware para os ambientes multi-cloud atuais
As organizações estão encontrando lacunas em suas defesas e melhorando sua capacidade de impedir, detectar e responder a ameaças de rede mapeando seus controles de segurança de rede para o MITRE ATT&CK. Esta sessão descreve os benefícios que as organizações podem obter ao mapear os controles de segurança de rede para o MITRE ATT&CK. Ela fornece uma visão geral de como mapear controles de segurança de rede para movimentos adversários nas táticas e técnicas do MITRE ATT&CK e destaca as diferenças críticas da cobertura do MITRE ATT&CK para firewall definido por NSX, sistemas de prevenção contra intrusões, sandbox de rede e análise do tráfego de rede. - Mapeamento de controles do NSX Firewall para a estrutura MITRE ATT&CK
Saiba como detectar falhas de segurança antes que um invasor o faça usando a matriz do MITRE ATT&CK. Veja como você pode desenvolver uma série de pontos de partida para perseguir ameaças com mais eficácia e fortalecer sua postura de segurança. Saiba mais sobre a avaliação Carbanak+FIN7 mais recente da MITRE, bem como as etapas básicas para melhorar seu programa de busca de ameaças com o VMware Carbon Black Cloud e o VMware NSX Advanced Threat Prevention. - Como aprimorar seu SOC com a estrutura MITRE ATT&CK.
Soluções e produtos relacionados
NSX Network Detection and Response
Correlação de eventos com tecnologia de IA em vários mecanismos de detecção
Carbon Black Cloud
Transforme a segurança com uma proteção inteligente de endpoints e cargas de trabalho que se adapta às suas necessidades.
NSX Distributed Firewall
Firewall interno de camada 7