Estrutura MITRE ATT&CK

O que é a estrutura MITRE ATT&CK?

A MITRE é uma organização sem fins lucrativos apoiada pelo governo que realiza pesquisas de segurança cibernética financiadas pelo governo federal para apoiar a segurança defensiva de TI em todos os setores, incluindo agências governamentais e empreiteiras de defesa. 

O MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) é uma base de conhecimento gratuita e aberta de informações de segurança cibernética lançada pela primeira vez em 2018. O ATT&CK foi projetado para ajudar os analistas de segurança cibernética e outros a obter insights de inteligência contra ameaças cibernéticas (CTI) para planejar e projetar programas de defesa cibernética e facilitar a comunicação, fornecendo um vocabulário de referência comum. 

Táticas do MITRE ATT&CK

Matriz MITRE ATT&CK

A estrutura completa da MITRE ATT&CK é dividida em três variantes principais, cada uma contendo um subconjunto de TTP que se aplica a ambientes de TI específicos. Cada variante é conhecida como "Matrix". 

As três matrizes principais da estrutura da ATT&CK são a Enterprise Matrix, a Mobile Matrix e a ICS (Industrial Control System) Matrix. As Matrizes Empresarial e Móvel são subdivididas em submatrizes filtradas para conter apenas as Táticas, Técnicas e Procedimentos (TTP) relevantes para cada ambiente.

Matriz ATT&CK da empresa

A Enterprise ATT&CK Matrix contém 14 táticas que se aplicam a ataques cibernéticos contra a infraestrutura empresarial. A Enterprise Matrix pode ainda ser limitada a 7 sub-matrizes. Essas submatrizes se concentram em atividades pré-ataque (PRE Matrix), ataques contra sistemas operacionais específicos (Windows, Linux e macOS Matrices), ataques à infraestrutura de rede (Network Matrix), ataques à infraestrutura de nuvem (Cloud Matrix) e ataques contra contêineres (Containers Matrix).

Matriz ATT&CK móvel

A Mobile ATT&CK Matrix contém 14 táticas, mas difere um pouco da Enterprise Matrix pelo fato de as táticas "Reconnaissance" e "Resource Development" terem sido substituídas por "Network Effects" e "Remote Service Effects". A Mobile Matrix concentra-se no sistema operacional móvel alvo (iOS e Android). As táticas adicionais específicas para dispositivos móveis destacam o potencial de interceptar e adulterar dados em trânsito em conexões WiFi e a capacidade de atingir objetivos comprometendo aplicativos e serviços móveis.

Matriz ATT&CK de sistemas de controle industrial (ICS)

A Matriz ICS ATT&CK contém 12 táticas aplicáveis a ataques cibernéticos contra o ICS. Ela não inclui as táticas "Credential Access" (acesso a credenciais) ou "Exfiltration" (exfiltração), mas contém duas táticas exclusivas que não constam nas matrizes Enterprise ou Mobile: "Inibir a função de resposta" e "Prejudicar o controle do processo". As táticas exclusivas do ICS incluem atividades hostis, como inibir funções de segurança, proteção, garantia de qualidade ou intervenção do operador ou alterar parâmetros de configuração ou firmware para prejudicar o controle do processo e causar danos à infraestrutura física.

Táticas, Técnicas e Procedimentos ATT&CK

Uma campanha cibernética ofensiva completa consiste em vários estágios e requer a combinação de várias táticas para atingir seu objetivo. O MITRE ATT&CK usa a perspectiva TTP para organizar o conhecimento de segurança cibernética em uma estrutura hierárquica. As táticas são a categoria de nível mais alto na hierarquia da ATT&CK e correspondem aos objetivos específicos que os atacantes tentam alcançar em várias fases de um ataque. 

Táticas ATT&CK

  • Reconhecimento (empresarial, ICS)
  • Desenvolvimento de recursos (Enterprise, ICS)
  • Acesso inicial
  • Execução
  • Persistência
  • Escalonamento de privilégios
  • Evasão da defesa
  • Acesso a credenciais (empresarial, móvel)
  • Descoberta
  • Movimento lateral
  • Coleção
  • Comando e controle
  • Exfiltração (empresarial, móvel)
  • Impacto 
  • Efeitos de rede (somente celular)
  • Efeitos do serviço de rede (somente celular)
  • Função de inibição de resposta (somente ICS)
  • Impair Process Control (somente ICS)
Cada tática contém várias técnicas, cada uma definindo um método estratégico para atingir o objetivo tático. O nível hierárquico mais baixo na estrutura da ATT&CK inclui procedimentos detalhados para cada técnica, como ferramentas, protocolos e cepas de malware observados em ataques cibernéticos reais. O nível mais baixo de informações da ATT&CK também inclui outros conhecimentos comuns, como quais grupos adversários são conhecidos por usar cada técnica.

MITRE D3FEND

O MITRE D3FEND é uma base de conhecimento - definida como um "gráfico de conhecimento" pelo MITRE - que serve como uma biblioteca de contramedidas defensivas de segurança cibernética, componentes e suas associações e capacidades. Ele é complementar à estrutura MITRE ATT&CK de Táticas, Técnicas e Procedimentos (TTP) dos criminosos cibernéticos.

MITRE ATT&CK vs. Cyber Kill Chain

O Cyber Kill Chain® é uma estrutura de ataque cibernético lançada em 2011 pela Lockheed Martin. Assim como o MITRE ATT&CK, o Cyber Kill Chain categoriza todos os comportamentos de ataque cibernético em táticas sequenciais.

7 estágios da cadeia de destruição cibernética

  1. Reconhecimento
  2. Armação
  3. Entrega 
  4. Exploração
  5. Instalação
  6. Comando e controle
  7. Ações sobre os objetivos

A Cyber Kill Chain é fundamentalmente diferente da estrutura MITRE ATT&CK, pois afirma que todos os ataques cibernéticos devem seguir uma sequência específica de táticas para obter sucesso; a MITRE ATT&CK não faz tal afirmação. Outra diferença entre as duas estruturas é que a Cyber Kill Chain é essencialmente uma sequência de estágios que compreendem um ataque cibernético combinado com um axioma geral de segurança defensiva de que "quebrar" qualquer fase da "kill chain" impedirá que um invasor atinja seu objetivo com sucesso e, portanto, oferecerá proteção ao defensor. 

O MITRE ATT&CK é muito mais do que uma sequência de táticas de ataque. É uma base de conhecimento profunda que correlaciona informações de segurança cibernética específicas do ambiente ao longo de uma hierarquia de táticas, técnicas, procedimentos e outros conhecimentos comuns, como a atribuição a grupos adversários específicos.

Como usar a estrutura MITRE ATT&CK

Como a ATT&CK inclui uma perspectiva ampla e de alto nível e informações granulares e de baixo nível, as equipes de segurança podem usá-la para atravessar as lacunas de conhecimento entre objetivos distintos de ataques cibernéticos e informações de baixo nível. Isso o torna uma ferramenta poderosa para a educação em segurança cibernética e para o planejamento de programas de segurança empresarial.

Casos de uso do MITRE ATT&CK

Caçadores de ameaças, equipes vermelhas e defensores usam o ATT&CK para obter insights sobre ataques cibernéticos e um sistema de classificação padrão que pode ser usado como referência para a comunicação entre as partes interessadas no desenvolvimento de programas de segurança cibernética empresarial.

Por ser uma base de conhecimento abrangente de informações sobre ataques cibernéticos, a ATT&CK pode servir como uma lista de verificação de objetivos e metodologias de ataque. Você pode usar essa lista de verificação para justificar a implementação de controles de segurança, garantindo que eles sejam abrangentes e ofereçam algum grau de proteção contra todos os elementos que compõem os ataques cibernéticos do mundo real.

A ATT&CK também pode ser usada por testadores de penetração, equipes vermelhas e testadores de produtos de segurança para emular ataques cibernéticos realistas. A ATT&CK permite que os adversários simulados compreendam o cenário do ataque e apliquem as mesmas táticas e técnicas que os atacantes do mundo real.

PERGUNTAS FREQUENTES

O que significa MITRE ATT&CK?

ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge (Táticas, técnicas e conhecimento comum adversários).

O que é a estrutura MITRE ATT&CK?

O MITRE ATT&CK é uma base de conhecimento gratuita e aberta de estratégias de ataque cibernético e informações relacionadas, projetada para ajudar os analistas de segurança cibernética e outras partes interessadas a obter informações de inteligência sobre ameaças cibernéticas (CTI) e facilitar a comunicação sobre segurança cibernética ofensiva e defensiva.

O que é a Matriz MITRE ATT&CK?

A Matriz ATT&CK do MITRE é uma estrutura hierárquica de táticas e técnicas de ataque que compreendem as metas e estratégias individuais dos criminosos cibernéticos. Há três Matrizes ATT&CK principais, cada uma abordando ambientes distintos: Enterprise, Mobile e Industrial Control Systems.

BlackBerry Segurança cibernética comprovadamente 100% eficaz nas emulações do MITRE ATT&CK

BlackBerryO conjunto de soluções de segurança cibernética Cylance da MITRE foi 100% bem-sucedido na prevenção das emulações de ataque Wizard Spider e Sandworm logo no início da avaliação de 2022 da MITRE ATT&CK - antes que ocorresse qualquer dano. 

BlackBerry's CylancePROTECT® e CylanceOPTICS® forneceram detecções abrangentes sobre técnicas de ataque individuais com alta confiança, ajudando a reduzir o desperdício de recursos gastos na busca de falsos positivos.

Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos