Traduzido diretamente de Outpost24. Publicado originalmente em 27 de Julho de 2023
O que é o framework MITRE Att&CK?
MITRE ATT&CK® é uma base de conhecimento globalmente acessível de 14 táticas adversárias e mais de 500 técnicas baseadas em observações do mundo real. O primeiro modelo foi proposto em 2013 e lançado publicamente em 2015, o que vem ganhando força nos últimos anos. A estrutura MITRE ATT&CK fornece um padrão líder do setor para ajudar as organizações a desenvolver, organizar e usar uma estratégia baseada em risco para informar estratégias de defesa – que pode ser comunicada de forma padronizada entre organizações e fornecedores para conduzir uma avaliação de risco eficaz com base nos incidentes observados.
No passado, as equipes de segurança lutaram para entender toda a sua superfície de ataque e verificar os métodos de ataque, levando-as a serem vítimas de um ataque cibernético por uma falsa sensação de segurança e excesso de confiança em sua capacidade de se defender contra ele. O projeto ATT&CK surgiu com o objetivo de eliminar esse problema – a base de conhecimento nasceu para criar uma estrutura clara, fornecendo uma lista categorizada de todos os métodos de ataque conhecidos e casando-a com inteligência de ameaças em grupos que os usam.
Além disso, a estrutura ATT&CK identifica informações críticas sobre o software que os hackers analisarão para implementar um ataque e fornece orientação sobre as medidas de defesa mais eficazes para reduzir esse risco. O objetivo da estrutura ATT&CK é fornecer uma lista evolutiva de técnicas usadas pelos adversários para que as equipes de segurança possam confiar e usar com confiança para se defender contra eles.
fonte: https://attack.mitre.org/
Usando a estrutura MITRE ATT&CK com inteligência de ameaças
As organizações podem usar a estrutura ATT&CK para formar conclusões com base em dados verificados e na estrutura da cadeia de morte para melhorar as estratégias de priorização e remediação com base em observações da atividade cibercriminosa do mundo real. A análise do Gartner sobre a estrutura diz que os critérios para definir Táticas, Técnicas e Procedimentos (TTPs) nos dados do MITRE fornecem uma base de conhecimento aprofundada de inteligência de ataque – tornando mais fácil e simples aplicá-los em suas próprias investigações.
As organizações podem começar analisando grupos de ameaças específicos com interesse em roubar seus dados ou ativos com base em quem eles segmentaram anteriormente. Depois que os grupos de interesse de ameaças forem identificados a partir do MITRE, você poderá aproveitar os insights para examinar os TTPs específicos que estão sendo usados. Ao entender os TTPs comuns de grupos que você acha que atacarão sua organização, você pode começar a formar uma lista priorizada de controles de detecção e prevenção que suas equipes de segurança precisam implementar e reduzir os riscos.
Para organizações mais maduras, você pode aproveitar a inteligência de ameaças para enriquecer o que já se sabe sobre esses grupos, vinculando padrões e comportamentos de ataques de campanhas, ferramentas e alimenta essas informações de forma automatizada e utilizável para ajudar a concentrar atividades defensivas. Identificar se ferramentas e/ou softwares específicos estão sendo usados e se estes dependem de vulnerabilidades conhecidas para obter acesso e estabelecer um ponto de apoio.
Ter acesso a esse nível de informação permite que as empresas entendam melhor o comportamento do adversário, campanhas e alvos – incluindo ataques planejados a uma empresa ou setor específico e conhecimento avançado sobre os TTPs que os agentes de ameaças estão usando – para impulsionar respostas defensivas e estratégias de ação preventiva com antecedência para lidar com potenciais explorações.
Mapeando MITRE ATT&CK para CVEs
Embora a estrutura ATT&CK e a inteligência de ameaças pareçam um ajuste natural, ela pode ser aplicada a CVEs? Historicamente, o gerenciamento de ameaças e o gerenciamento de vulnerabilidades têm sido vistos como disciplinas separadas, mas como a grande maioria dos ataques tem como alvo um punhado de CVEs, há um forte argumento para vincular as explorações CVE ao que o invasor está tentando alcançar. Vejamos como o gerenciamento tradicional de vulnerabilidades pode ser melhorado com inteligência de ameaças e TTPs da estrutura ATT&CK:
Jogo "Localizar e corrigir" – o gerenciamento tradicional de vulnerabilidades adota uma abordagem de "localizar e corrigir", verificando a infraestrutura e avaliando vulnerabilidades e usando a pontuação de gravidade CVSS para priorizar a correção. Apesar de ser um indicador de gravidade, a pontuação CVSS é estática e limitada – pois não leva em conta o contexto de ameaças externas e não tem links para ativos críticos dentro de sua empresa, o que significa que você pode estar perdendo tempo corrigindo vulnerabilidades que não representam um risco em primeiro lugar. Portanto, só é bom para organizações menos maduras com propriedades digitais menores e estáticas.
Jogo de "risco de vulnerabilidade" – o nível 2 é o gerenciamento de vulnerabilidade baseado em risco. Essa abordagem permite que as organizações entendam melhor a exposição a ativos com inteligência adicional de ameaças para incluir informações sobre se uma vulnerabilidade está sendo explorada na natureza ou qual a probabilidade de ser explorada – essencialmente uma previsão vital para ajudar a impulsionar a correção proativa, enfrentando os riscos mais perigosos e iminentes primeiro para ajudar na priorização da vulnerabilidade e reduzir o tempo de exposição. Ideal para organizações com propriedades maiores e equipes de segurança sobrecarregadas pelo crescente número de CVEs para remediar.
Jogo de "vetor de ameaças" – o nível 3 é sobre entender como o invasor usa vulnerabilidades para atingir seus objetivos e vinculá-las a TTPs da estrutura MITRE ATT&CK. Essa abordagem começa com o invasor e usa inteligência de ameaças para avaliar quem pode representar um risco para sua organização, combinando isso com a estrutura MITRE ATT&CK para entender como eles podem comprometer sua organização, ou seja, TTPs, e depois avaliar como um CVE pode impactá-lo em todo o caminho de ataque. Essa abordagem avançada significa que você pode mapear e restringir os riscos em relação à sua própria lista de critérios centrados em hackers, como a distribuição geográfica, setores específicos e os tipos de organizações que estão sendo alvo. Muitas ferramentas de segurança agora vêm com conjuntos de assinaturas já classificados em categorias que rotulam alertas com as táticas e técnicas ATT&CK correspondentes que representam. Essa classificação facilita o início imediato da criação de métricas e a rotulagem da atividade para a qual as equipes de segurança podem ser alertadas com informações verificadas da estrutura de técnicas ATT&CK para direcionar uma correção eficaz. Esta é a forma mais eficaz de inteligência de ameaças — informações provenientes de ataques reais que já ocorreram e categorizadas pelo MITRE, fornecendo inteligência vital que pode ser alimentada em seu processo de gerenciamento de risco de vulnerabilidade de forma fácil e automática – capacitando as equipes de segurança a agir de forma rápida e decisiva.
Essa abordagem centrada em hackers ajuda a peneirar milhões de CVEs para ameaças iminentes e impulsiona uma abordagem mais proativa para a correção de vulnerabilidades, que é crucial na corrida contra o Ransomware. Este foi o caso do CVE-2017-0144 (vulnerabilidade do WannaCry em 2017) e como os TTPs foram detectados para mostrar a ameaça de ransomware e mapeá-la para a vulnerabilidade do MITRE para identificar as três áreas para aplicação de patches (varredura ativa; descoberta de arquivos e diretórios e descoberta remota de sistemas). Isso pode ter sido classificado como uma vulnerabilidade de criticidade média/alta pelos métodos tradicionais de gerenciamento de vulnerabilidades usando CVSS, no entanto, as informações adicionais de inteligência de ameaças fornecem uma vitória rápida de uma perspectiva de correção para evitar que elementos desse ransomware se estabeleçam dentro de uma organização.
Conclusão
Para avançar seu programa de gerenciamento de vulnerabilidades, é importante usar ambas as visões de um ângulo baseado em risco e de inteligência de ameaças para entender quais riscos existem e como os agentes de ameaças podem comprometer sua organização para criar um "ponto ideal" de correção.
Com melhor compreensão e dados, é possível mapear CVEs para a estrutura MITRE ATT&CK e identificar áreas onde as cadeias de ataque existem – permitindo que as empresas se antecipem a explorações que podem levar a ataques de ransomware e malware.
Por fim, é importante implementar mudanças de uma forma que corresponda ao nível de maturidade, tamanho e apetite de risco de suas organizações. Em seguida, pense em como você pode utilizar informações avançadas do MITRE para analisar vulnerabilidades de todos os ângulos (vetores de ameaças e visões baseadas em risco) para impulsionar a correção direcionada, que nem sempre é tão eficaz com um modelo CVSS tradicional;
Assista ao nosso webinar Mapeamento de vulnerabilidades sob demanda com o MITRE ATT&CK Framework, onde discutimos como você pode mapear registros CVE com a estrutura MITRE ATT&CK.