índice

Como o MITRE ATT&CK melhorou, se adaptou e evoluiu?

índice

O MITRE ATT&CK evoluiu, o que mostra a dedicação da organização em melhorar e adaptar constantemente sua inteligência de ameaças para ajudar as equipes de segurança a combater ataques cibernéticos. O fato de a Matriz ATT&CK ser cada vez mais usada como base de conhecimento para a segurança cibernética e como recurso para identificar atacantes e táticas diz muito sobre seu valor no aprimoramento da postura de segurança de uma organização.

ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge (Táticas, Técnicas e Conhecimento Comum Adversários), resumindo seu papel como uma ferramenta para entender e combater as ameaças cibernéticas. A nomenclatura da estrutura destaca seu compromisso de oferecer inteligência aprofundada e acionável em segurança cibernética.

Uma estrutura abrangente de segurança cibernética, o MITRE ATT&CK evoluiu e se adaptou continuamente para acompanhar o ritmo dos grupos de ameaças cibernéticas, fornecendo detecção de ameaças e contramedidas eficazes. O MITRE ATT&CK fornece informações reais sobre as mudanças de táticas, técnicas e conhecimento compartilhado (informações sobre os procedimentos) dos adversários cibernéticos para permitir defesas rápidas e eficazes.

 

Quais são os três principais componentes da estrutura MITRE ATT&CK?

A estrutura ATT&CK é composta por três elementos interconectados: táticas, técnicas e procedimentos (TTPs). Ele tem várias Matrizes ATT&CK, cada uma abordando ambientes distintos. Entre elas estão a Matriz Empresarial, Móvel, em Nuvem e de Sistemas de Controle Industrial (ICS). As matrizes do MITRE oferecem às equipes de segurança uma visão completa das ameaças cibernéticas e das TTPs empregadas pelos atores de ameaças, classificadas por vulnerabilidade.

Em cada matriz, as colunas simbolizam as táticas, as linhas indicam as técnicas e as células fornecem detalhes complementares, como procedimentos, grupos, software e atenuações associadas a cada uma das técnicas específicas.

Atualizada regularmente para acompanhar o cenário de ameaças cibernéticas do mundo real em constante mudança, a estrutura do MITRE é um ativo essencial para os profissionais de segurança cibernética. Ele reforça seus recursos de inteligência de ameaças, detecção de ameaças e resposta.

A estrutura MITRE ATT&CK gira em torno de três componentes principais que são atualizados para dar suporte a vários casos de uso, incluindo insights sobre o comportamento do adversário e resposta a incidentes.

Táticas

As táticas encapsulam os alvos estratégicos que as ameaças cibernéticas em potencial pretendem atingir, incluindo a obtenção de acesso inicial, execução, envolvimento persistente, escalonamento de privilégios, evasão de defesa, acesso a credenciais, descoberta, movimento lateral, coleta de dados, exfiltração, escalonamento de privilégios e estabelecimento de comando e controle.

Técnicas

As técnicas detalham os métodos distintos que os atores de ameaça empregam para atingir seus objetivos táticos. Cada técnica oferece uma compreensão profunda de como um adversário se esforçará para realizar uma tática específica.

Por exemplo, na tática Reconnaissance, várias técnicas incluídas na matriz são Active Scanning (por exemplo, em preparação para o acesso inicial, subtécnica - Scanning IP Blocks), Gather Victim Identity Information (por exemplo, para spear phishing, subtécnica - Email Addresses) e Phishing for Information (por exemplo, credential phishing, subtécnica - Spear phishing Link).

Procedimentos

Os procedimentos denotam as ações ou etapas que o adversário emprega ao executar uma técnica para atingir seus objetivos táticos. Os procedimentos variam entre os atores de ameaças, demonstrando as ferramentas, os comandos e o malware (por exemplo, ransomware) que eles empregam.

 

Histórico da estrutura MITRE ATT&CK

Orientado pela comunidade desde o início, o MITRE ATT&CK foi inicialmente lançado como um wiki com o Fort Meade Experiment (FMX) do MITRE. Para esse experimento, os pesquisadores de segurança cibernética emularam o comportamento do adversário (Red Team) e do defensor (Blue Team) para entender como se proteger melhor contra ameaças cibernéticas. Esse experimento ajudou a moldar a estrutura e seu foco em observabilidades do mundo real, incluindo a detecção de adversários.

A primeira versão incluía nove táticas que refletiam as várias fases do ciclo de vida de um ataque cibernético do adversário. Com o tempo, a estrutura evoluiu e se expandiu, tornando-se uma base de conhecimento globalmente acessível de táticas adversárias e novas técnicas de ataque cibernético.

A estrutura MITRE ATT&CK forneceu uma linguagem comum para preencher as lacunas entre as equipes de segurança e outras partes interessadas cibernéticas.

Uma breve linha do tempo da MITRE ATT&CK

  • 2013: MITRE ATT&CK: A estrutura de segurança cibernética forneceu táticas, técnicas e procedimentos (TTPs) comuns que as ameaças persistentes avançadas usaram contra as redes corporativas do Windows.
  • 2015: ATT&CK for Enterprise: A primeira versão da matriz da ATT&CK Enterprise foi lançada. Ele forneceu uma maneira estruturada e organizada de entender as táticas e técnicas adversárias usadas para atingir ambientes corporativos.
  • 2017: MITRE PRE-ATT&CK: A estrutura MITRE PRE-ATT&CK aborda as preocupações da comunidade sobre o que os adversários cibernéticos fazem antes de obterem acesso. Ele detalha as táticas, técnicas e procedimentos (TTPs) que os adversários usam para selecionar um alvo, obter informações e lançar uma campanha.
  • 2017: MITRE ATT&CK for Mobile Matrix: O MITRE Mobile Matrix foi projetado para abranger técnicas que envolvem acesso a dispositivos e efeitos baseados em rede que podem ser usados por um adversário sem acesso a dispositivos. Desde então, ele foi atualizado várias vezes para refletir a evolução das TTPs usadas para detectar adversários cibernéticos que tentam comprometer dispositivos móveis iOS e Android.
  • 2019: MITRE ATT&CK Matrix for Cloud Matrix; Com o MITRE Cloud Matrix, as equipes de segurança ganharam acesso para fornecer uma compreensão organizada e abrangente de vários TTPs que os atores de ameaça empregam para atingir ambientes de nuvem. A Matrix contém informações sobre o Azure Active Directory, o Office 365, o Google Workspace, o SaaS e o IaaS.
  • 2019: Subtécnicas do MITRE ATT&CK: A versão Beta do MITRE ATT&CK com subtécnicas foi disponibilizada publicamente. As subtécnicas fornecem um nível mais granular de detalhes, permitindo uma compreensão mais sutil de como os adversários operam, dividindo as técnicas em variantes ou métodos específicos.
  • 2019: Avaliações do MITRE Engenuity ATT&CK: As avaliações MITRE Engenuity ATT&CK forneceram processos estruturados e uma estrutura para avaliar a eficácia dos produtos e soluções de segurança cibernética na detecção e mitigação de táticas e técnicas adversárias no mundo real. Usando as Avaliações ATT&CK, os fornecedores puderam demonstrar os recursos de seus produtos de segurança em relação a cenários de ameaças específicas.
  • 2021: MITRE adiciona macOS e mais tipos de dados: Em resposta às sugestões da comunidade, o MITRE adicionou suporte para informações sobre ameaças que afetam o macOS e os contêineres da Apple. Também permitiu mais fontes de dados e relacionamentos.

A estrutura MITRE ATT&CK continua a evoluir para lidar com a natureza mutável das ameaças cibernéticas. Atualizações regulares, novas matrizes e recursos adicionais são introduzidos para aumentar a relevância e a utilidade da estrutura para a comunidade de segurança cibernética.

 

MITRE ATT&CK e segurança na nuvem

A expansão da estrutura MITRE ATT&CK para incluir a segurança em nuvem é uma adaptação crucial ao cenário de segurança cibernética em constante mudança. Essa evolução demonstra a capacidade da MITRE ATT&CK de se manter relevante e eficaz diante de tecnologias e ameaças emergentes.

O papel do MITRE ATT&CK na segurança em nuvem

O MITRE ATT&CK incorporou matrizes específicas para a nuvem, que descrevem as táticas e técnicas que os atacantes utilizam contra os serviços de nuvem. Essa adição é vital para ajudar as organizações a identificar e se defender contra ameaças exclusivas das infraestruturas de nuvem, como exploração de API, configurações incorretas de serviços de nuvem e ataques entre locatários.

A adaptação da estrutura à nuvem permite que os especialistas em segurança cibernética adaptem seus mecanismos de defesa às complexidades dos ambientes de nuvem, proporcionando uma abordagem de segurança mais robusta e direcionada.

 

Desafios e futuro do MITRE ATT&CK

À medida que o cenário digital evolui, o mesmo acontece com os desafios enfrentados por estruturas como a MITRE ATT&CK. Esses desafios são essenciais para moldar o desenvolvimento contínuo e a eficácia da estrutura.

Desafios atuais

Acompanhar o ritmo das táticas sofisticadas e em rápida evolução dos atores de ameaça continua sendo um desafio significativo. A estrutura deve ser continuamente atualizada para refletir novas técnicas e contramedidas.

Outro desafio é manter sua aplicabilidade global, garantindo que permaneça relevante em vários setores e ambientes de TI. A crescente complexidade dos ambientes híbridos, combinando infraestruturas no local, em nuvem e móveis, complica ainda mais essa tarefa.

 

Evolução das perguntas frequentes do MITRE ATT&CK

A Matriz ATT&CK do MITRE foi inicialmente projetada para ambientes corporativos, fornecendo um método sistemático e bem ordenado para compreender as estratégias e os métodos utilizados pelos adversários cibernéticos ao visar os sistemas corporativos para ajudar a otimizar os controles de segurança. Essa matriz funciona como uma ampla base de conhecimento de inteligência de ameaças, facilitando a identificação das táticas cibernéticas do adversário.
Os três componentes da estrutura MITRE ATT&CK são táticas, técnicas e procedimentos (ou seja, técnicas na prática). Cada Matriz MITRE ATT&CK inclui seções que detalham esses três elementos para cada tipo de matriz.
O MITRE ATT&CK é atualizado regularmente para refletir o cenário de ameaças em evolução e incorporar novas observações e percepções. Embora a frequência exata das atualizações possa variar, as novas versões da estrutura MITRE ATT&CK são normalmente lançadas duas vezes por ano. Essas atualizações geralmente incluem novas técnicas, grupos, campanhas e software para ambientes como empresas, dispositivos móveis e sistemas de controle industrial (ICS). Para se manter atualizada, a MITRE incorpora novas técnicas, táticas e procedimentos (TTPs) e atualizações de subtécnicas à medida que são identificadas.
Conteúdo relacionado
O que são as técnicas do MITRE ATT&CK?
A estrutura MITRE ATT&CK consiste em uma taxonomia detalhada de táticas e técnicas específicas empregadas por atores de ameaças para realizar ataques cibernéticos.
Página do Cortex XDR MITRE ATT&CK
O senhor está mergulhando fundo nas avaliações MITRE ATT&CK do Cortex XDR.
Painel de avaliações do MITRE Engenuity ATT&CK
Nosso painel interativo permite que os usuários explorem os resultados de avaliações passadas e atuais.
O Guia Essencial para a Rodada 5 do MITRE ATT&CK
Nosso guia oferece uma visão comparativa do desempenho dos fornecedores em várias medidas, com orientações sobre como explorar os resultados de forma mais aprofundada.

Receba as últimas notícias, convites para eventos e alertas de ameaças