O que é MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) é uma estrutura, um conjunto de matrizes de dados e uma ferramenta de avaliação desenvolvida pela MITRE Corporation para ajudar as organizações a entender sua preparação para segurança e descobrir vulnerabilidades em seus métodos de defesa.

Desenvolvido em 2013, a estrutura MITRE ATT&CK usa observações reais para documentar métodos, táticas e técnicas de ataque específicos. À medida que novas vulnerabilidades e superfícies de ataque surgem, elas são adicionadas à estrutura ATT&CK, que está em constante evolução. Nos últimos anos, a estrutura MITRE ATT&CK e suas matrizes se tornaram um padrão do setor para ferramentas de conhecimento e correção em relação ao comportamento de invasores.

As matrizes do ATT&CK são utilizadas por uma ampla gama de profissionais de TI e segurança, incluindo equipes vermelhas que desempenham o papel de invasor ou adversário, caçadores de ameaças, engenheiros de desenvolvimento de produtos de segurança, equipes de inteligência de detecção de ameaças e profissionais de gerenciamento de risco.

Os integrantes da equipe vermelha usam a estrutura MITRE ATT&CK como um esquema para descobrir as superfícies de ataque e as vulnerabilidades em sistemas e dispositivos corporativos, bem como para melhorar a capacidade de mitigar ataques assim que eles ocorrem, assimilando informações. Essas informações incluem os invasores que obtiveram acesso, como eles se movem na rede afetada e quais métodos estão sendo usados para driblar a detecção. Esse conjunto de ferramentas permite que as organizações obtenham uma melhor conscientização sobre sua postura geral de segurança, identifiquem e testem vulnerabilidades nos métodos de defesa e priorizem possíveis falhas de segurança com base no risco que elas apresentam para a organização.

Os caçadores de ameaças usam a estrutura ATT&CK para encontrar correlações entre as técnicas específicas que os invasores estão usando contra sua abordagem de defesa e usam a estrutura para entender a visibilidade dos ataques nos endpoints e em todo o perímetro da rede.

Os desenvolvedores e engenheiros de plataformas de segurança usam o MITRE ATT&CK como uma ferramenta para avaliar a eficácia de seus produtos, descobrir pontos fracos anteriormente desconhecidos e determinar como seus produtos se comportarão durante o ciclo de vida de um ataque cibernético.

MITRE ATT&CK significa MITER Adversarial Tactics, Techniques, and Common Knowledge. A estrutura MITRE ATT&CK é um repositório selecionado com matrizes que fornecem um modelo para comportamentos de ataque cibernético. A estrutura é geralmente apresentada em forma de tabela, com colunas que representam as táticas (ou resultados desejados) usadas durante a vida útil de um ataque e linhas que representam as técnicas utilizadas para atingir seus objetivos táticos. A estrutura também documenta o uso da técnica e outros metadados vinculados a técnicas individuais.

A estrutura MITRE ATT&CK é consequência de um experimento da MITRE que emulou o invasor e o defensor para tentar entender como os ataques acontecem e melhorar a detecção pós-comprometimento usando sensor de telemetria e técnicas de análise comportamental. Para entender melhor como o setor está se saindo na detecção de comportamentos adversários documentados, eles criaram a estrutura ATT&CK como uma ferramenta para categorizar esses comportamentos.

Atualmente, há quatro matrizes principais que compõem a estrutura ATT&CK. Pre-ATT&CK e ATT&CK for Enterprise estão relacionadas a ataques à infraestrutura corporativa.

PRE-ATT&CK: muitas das atividades (como reconhecimento e desenvolvimento de recursos) que os criminosos cibernéticos realizam antes que uma empresa seja comprometida normalmente ocorrem fora da visibilidade da organização e, portanto, essas táticas e técnicas pré-ataque são extremamente difíceis de serem detectadas no momento. Por exemplo, os invasores cibernéticos podem aproveitar as informações disponíveis gratuitamente na Internet, os relacionamentos que a organização tem com outras organizações já comprometidas ou outros métodos de tentativa de acesso. A PRE-ATT&CK permite que as organizações de defesa monitorem e entendam melhor essas atividades pré-ataque que ocorrem externamente ao perímetro de rede.

Enterprise ATT&CK: a ATT&CK for Enterprise fornece o modelo que descreve detalhadamente as ações que os invasores cibernéticos podem realizar para comprometer e executar suas atividades em uma rede empresarial. Existem táticas e técnicas específicas na matriz para uma vasta gama de plataformas, incluindo Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, redes e contêineres. Inicialmente, a matriz PRE-ATT&CK fazia parte da ATT&CK for Enterprise, pois ela também se concentrava nas tentativas de comprometer a infraestrutura corporativa. A estrutura Enterprise ajuda as organizações a priorizar suas defesas de rede, concentrando-se nas que apresentam maior risco para a empresa em questão.

Mobile ATT&CK: a matriz Mobile ATT&CK descreve as táticas e técnicas usadas para comprometer dispositivos móveis iOS e Android. Para isso, a ATT&CK for Mobile baseia-se no Mobile Threat Catalog do NIST e, até o momento em que este documento está sendo escrito, cataloga uma dezena de táticas e mais de 100 técnicas usadas para comprometer dispositivos móveis e alcançar quaisquer objetivos maliciosos dos criminosos cibernéticos. Além disso, a ATT&CK for Mobile lista os efeitos baseados em rede: táticas e técnicas que podem ser usadas sem exigir o acesso ao dispositivo real.

ICS ATT&CK: a mais recente matriz da família ATT&CK é a MITRE ATT&CK for Industrial Control Systems (ICS), que é semelhante à Enterprise ATT&CK; a única diferença é que ela destina-se especificamente a sistemas de controle industrial, como redes de energia, fábricas, moinhos e outras organizações que dependem de maquinário, dispositivos, sensores e redes interconectados.

Cada uma das matrizes inclui descrições detalhadas de cada técnica usada para cada tática ao longo do ciclo de vida do ataque adversário, ativos e sistemas visados por cada técnica, além de indicar enfoques de mitigação e contramedidas para cada uma delas, técnicas de análise de detecção utilizadas para descobrir a técnica e exemplos de uso real.

Ao visualizar as matrizes, as táticas são apresentadas de forma linear, descrevendo o ciclo de vida do ataque, começando pelo ponto de reconhecimento até o objetivo final, quer esse objetivo seja a exfiltração de informações, a criptografia de arquivos para fins de ransomware, ambos ou qualquer outra ação maliciosa.

O principal benefício da estrutura ATT&CK é que as organizações podem entender como os adversários atuam e estar a par das etapas que eles possivelmente executarão para obter acesso inicial, detectar, mover-se lateralmente e exfiltrar dados. Assim, as equipes podem visualizar as atividades sob a perspectiva do invasor, o que pode levar a uma compreensão mais profunda das motivações e táticas. Por fim, as organizações podem aproveitar essa compreensão e conhecimento para identificar lacunas em sua postura de segurança e melhorar a detecção e resposta a ameaças, permitindo que as equipes prevejam os próximos movimentos do invasor para que a correção ocorra rapidamente. Nos esportes, costuma-se dizer que a melhor defesa é um bom ataque. Na segurança cibernética, entender os efeitos do ataque pode ajudar muito a proteger a rede, os dispositivos e os usuários.

Além disso, no ambiente de trabalho atual, em que há uma grave escassez de profissionais qualificados em segurança cibernética, as estruturas podem ajudar a equipe de segurança iniciante ou recém-contratada, fornecendo o conhecimento e as ferramentas de pesquisa necessárias para que eles reajam rapidamente a qualquer ameaça, aproveitando o conhecimento coletivo de todos os profissionais de segurança anteriores a eles que contribuíram para as matrizes da estrutura MITRE ATT&CK.

À medida que as matrizes do ATT&CK continuam evoluindo e se multiplicando, elas se tornam cada vez mais complexas. O número de combinações e permutações de táticas e técnicas da estrutura, embora muito abrangente, pode ser desafiante devido à grande quantidade de dados que devem ser digeridos e processados.

Por exemplo, existem atualmente mais de 400 técnicas ou padrões de ataque diferentes descritos nas quatorze táticas contidas na ATT&CK for Enterprise. Várias dessas técnicas também contêm subtécnicas que aumentam ainda mais o número de permutações. Muitas organizações não automatizaram o mapeamento de todos esses dados para sua infraestrutura de segurança atual, o que pode ser uma tarefa formidável.

Um estudo recente da UC Berkely descobriu que, embora quase todas as organizações usem a estrutura para marcar eventos de rede com vários produtos de segurança, sequer metade dos entrevistados automatizou as alterações da política de segurança indicadas pela estrutura.

Outros desafios incluem a dificuldade de correlacionar eventos locais e com base em nuvem ou a incapacidade de correlacionar eventos de dispositivos móveis e endpoints.

Um relatório recente da Agência de Segurança Cibernética e Infraestrutura (CISA, pela sigla em inglês) dos Estados Unidos oferece uma lista de práticas recomendadas para que as organizações utilizem a estrutura MITRE ATT&CK a fim de mapear ataques para técnicas de correção e proteção. Embora o estudo tenha descoberto que grandes empresas estavam adotando a estrutura, a maioria dos usuários não acredita que seus atuais produtos de segurança possam detectar todas as ameaças conhecidas nas matrizes do ATT&CK relacionadas à infraestrutura.