MITRE ATT&CK vs. Cyber Kill Chain: Qual é a diferença?

O MITRE ATT&CK® e o Cyber Kill Chain® são estruturas para lidar com ataques cibernéticos contra uma organização. Porém, enquanto a Cyber Kill Chain aborda o processo de ataque cibernético em um nível elevado com suas sete fases, o MITRE ATT&CK contém um escopo mais profundo de conhecimento que inclui detalhes granulares sobre ataques cibernéticos, como técnicas e procedimentos de ataque, e links para consultorias do setor.
MITRE ATT&CK vs. Cyber Kill Chain

O que é a estrutura MITRE ATT&CK?

O MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é uma base de conhecimento gratuita e aberta de informações de segurança cibernética lançada pela primeira vez pela MITRE Corporation em 2018. A ATT&CK foi projetada para ajudar os analistas de segurança cibernética e outras partes interessadas a obter insights de inteligência sobre ameaças cibernéticas (CTI) para planejar e projetar programas de segurança cibernética e facilitar a comunicação, fornecendo um vocabulário de referência comum de segurança cibernética.

O MITRE ATT&CK usa a perspectiva de Táticas, Técnicas e Procedimentos (TTP) para organizar o conhecimento de segurança cibernética em uma estrutura hierárquica. Cada Tática contém várias Técnicas, cada uma definindo um método estratégico para atingir o objetivo tático. O nível hierárquico mais baixo da estrutura ATT&CK inclui procedimentos detalhados para cada técnica, como ferramentas, protocolos e tipos de malware observados em ataques cibernéticos reais. O nível mais baixo de informações da ATT&CK inclui conhecimentos relacionados, como quais grupos adversários são conhecidos por usar cada técnica.

Táticas do MITRE ATT&CK

  • Reconhecimento (empresarial, ICS)
  • Desenvolvimento de recursos (Enterprise, ICS)
  • Acesso inicial
  • Execução
  • Persistência
  • Escalonamento de privilégios
  • Evasão da defesa
  • Acesso a credenciais (empresarial, móvel)
  • Descoberta
  • Movimento lateral
  • Coleção
  • Comando e controle
  • Exfiltração (empresarial, móvel)
  • Impacto 
  • Efeitos de rede (somente celular)
  • Efeitos do serviço de rede (somente celular)
  • Função de inibição de resposta (somente ICS)
  • Impair Process Control (somente ICS)

O que é a cadeia de destruição cibernética?

A Cyber Kill Chain é uma estrutura de ataque cibernético desenvolvida pela Lockheed Martin e lançada em 2011. O termo "Kill Chain" foi adotado a partir do conceito militar tradicional, que o define como o processo de planejamento e lançamento de um ataque.

Assim como o MITRE ATT&CK, o Cyber Kill Chain categoriza todos os comportamentos de ataque cibernético em táticas sequenciais, desde o reconhecimento até a realização dos objetivos. A Cyber Kill Chain também promove a noção de que cada fase do ataque é uma oportunidade de interrompê-lo "quebrando a cadeia de destruição". A Cyber Kill Chain defende que planejar e testar controles de segurança para cada estágio identificado de um ataque resultará em uma estratégia defensiva abrangente.

7 estágios da cadeia de destruição cibernética

  1. Reconhecimento
  2. Armação
  3. Entrega
  4. Exploração
  5. Instalação
  6. Comando e controle
  7. Ações sobre os objetivos

Como o MITRE ATT&CK difere do Cyber Kill Chain

A Cyber Kill Chain é fundamentalmente diferente da estrutura do MITRE ATT&CK, pois afirma que todos os ataques cibernéticos devem seguir uma sequência específica de táticas de ataque para obter sucesso - o MITRE ATT&CK não faz tal afirmação. A Cyber Kill Chain é uma sequência elementar de estágios que compõem um ataque cibernético, combinada com um axioma geral de segurança defensiva de que "quebrar" qualquer fase da "kill chain" impedirá que um invasor atinja seu objetivo com sucesso. 

O MITRE ATT&CK é mais do que uma sequência de táticas de ataque. É uma base de conhecimento profundo que correlaciona informações de segurança cibernética específicas do ambiente ao longo de uma hierarquia de táticas, técnicas, procedimentos e outros conhecimentos comuns, como a atribuição a grupos adversários específicos.

O que é melhor: MITRE ATT&CK ou Cyber Kill Chain?

Como uma introdução básica ao comportamento de ataques cibernéticos, a simplicidade da Cyber Kill Chain proporciona uma compreensão fundamental do processo de ataque cibernético e não deve sobrecarregar os novos alunos. Mas seu ponto forte nesse sentido é seu ponto fraco em outro, pois não oferece percepções profundas sobre os procedimentos do atacante, limitando sua utilidade.

Além disso, a Cyber Kill Chain é frequentemente criticada por se concentrar na segurança do perímetro, e é discutível se seu axioma central - que impedir um estágio do processo de um invasor desativará o ataque - é uma abordagem realista da segurança cibernética. Uma abordagem prática da segurança cibernética orientada pelo risco exige a aplicação de recursos de acordo com o risco contextual; uma abordagem que tenta evitar violações de segurança priorizando os estágios iniciais de um ataque é inadequada.

A estrutura MITRE ATT&CK representa uma biblioteca mais completa de comportamento malicioso (TTP e Conhecimento Comum) e fornece uma biblioteca mais profunda de Inteligência sobre Ameaças Cibernéticas (CTI) acionável. Por ser uma base de conhecimento abrangente de informações sobre ataques cibernéticos, a ATT&CK serve como uma lista de verificação das metodologias e dos objetivos do atacante, justificando a inclusão de controles de segurança e garantindo que esses controles sejam abrangentes e ofereçam algum grau de proteção contra todos os aspectos dos ataques cibernéticos do mundo real.

A ATT&CK é mais útil para caçadores de ameaças, equipes vermelhas e para aqueles que projetam e implementam políticas e controles de segurança, como arquitetos e administradores de segurança e de rede. Ele também pode normalizar a comunicação sobre segurança cibernética entre as partes interessadas, fornecendo um conjunto mais abrangente de terminologia e definições.

BlackBerry Segurança cibernética comprovadamente 100% eficaz nas emulações do MITRE ATT&CK

BlackBerryO conjunto de soluções de segurança cibernética Cylance da MITRE foi 100% bem-sucedido na prevenção das emulações de ataque Wizard Spider e Sandworm logo no início da avaliação de 2022 da MITRE ATT&CK - antes que ocorresse qualquer dano. 

BlackBerry's CylancePROTECT® e CylanceOPTICS® forneceram detecções abrangentes sobre técnicas de ataque individuais com alta confiança, ajudando a reduzir o desperdício de recursos gastos na busca de falsos positivos.

Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos