O MITRE ATT&CK e o MITRE D3FEND
São dois importantes frameworks de segurança da informação, voltados para os profissionais de red team e blue team, respectivamente. Trata-se de ferramentas relevantes para o mundo da segurança cibernética por utilizarem a mesma linguagem tanto para as equipes de ataque, quanto para as de defesa. Além disso, ambos foram formulados pela mesma organização: a MITRE Corporation.
Antes de entendermos melhor sobre os dois frameworks, é válido destacar algumas informações sobre a MITRE. A organização, sem fins lucrativos, é financiada pelo poder público, com parcerias público-privadas, e possui sede em duas cidades estadunidenses: Bedford, em Massachusetts, e McLean, no estado da Virgínia. Ela ainda segue as práticas definidas pelo NIST (National Institute of Standards and Technology), organização responsável pelo desenvolvimento do NICE Framework – documento considerado como uma referência para as práticas e atividades do universo da segurança cibernética.
Segundo as informações apresentadas pela própria instituição, a MITRE atua em diversos segmentos, como inteligência artificial, ciência de dados, ciência da informação, informática médica, segurança espacial, expertise política e econômica, autonomia confiável, compartilhamento de ameaças cibernéticas e resiliência cibernética. Entretanto, ainda que ela possua interesse nos setores públicos (locais, estaduais ou federal), sua atuação se estende para a academia e a indústria (setor privado).
O que é o MITRE ATT&CK?
A base de conhecimento do MITRE ATT&CK é utilizada como parâmetro para o desenvolvimento de modelos e metodologias de ameaças específicas nos variados setores que envolvem a segurança cibernética. Neste framework, há a organização por estágios de ataque, desde o acesso inicial ao sistema até o roubo de dados ou controle da máquina.
Dessa forma, em linhas gerais, podemos definir o MITRE ATT&CK como uma base de conhecimento aberta e disponível ao público, que aborda as táticas e técnicas adversárias (adversararial tactics and techniques – ATT) durante um ataque cibernético, do início ao fim. Já a sigla CK diz respeito ao Common Knowledge, ou conhecimento comum. Logo, MITRE ATT&CK significa Adversarial Tactics, Techniques & Common Knowledge (Táticas e Técnicas Adversárias & Conhecimento Comum).
As táticas abordadas pelo framework englobam uma série de técnicas utilizadas durante um determinado ataque/invasão. Logo, elas podem ser encaradas como as razões para que determinada técnica seja utilizada.
Já as técnicas representam as maneiras como uma certa tática é executada pelos invasores. No caso da tática Defense Evasion (Evasão de Defesa), por exemplo, as técnicas serão as formas utilizadas para que uma detecção de um ataque não ocorra, como a remoção de softwares de segurança ou a modificação de registros.
O Common Knowledge, por sua vez, é a documentação das táticas e técnicas utilizadas pelos invasores. No mundo da cibersegurança, o conhecimento comum está intimamente relacionado aos procedimentos.
As 14 táticas do Mitre ATT&CK
O framework ATT&CK da MITRE possui uma listagem de 14 táticas responsáveis por nortear todo o conjunto de técnicas relacionadas às ameaças da segurança cibernética.
- Reconnaissance (Reconhecimento) – A tática do reconhecimento envolve a identificação dos alvos de um ataque, reunindo, por exemplo, informações de uma determinada organização, infraestrutura ou equipe / pessoal da vítima. Possui 10 técnicas.
- Resource Development (Desenvolvimento de Recursos) – Consiste nas técnicas que os adversários utilizam na coleta e criação de recursos (como contas e infraestruturas) que serão utilizados no decorrer de uma invasão. Esses recursos poderão ser utilizados para auxiliar em outras táticas durante um ataque, como no caso do Defense Evasion. Possui 07 técnicas.
- Initial Access (Acesso Inicial) – Esta tática utiliza de métodos da engenharia social para enganar suas vítimas e obter acesso inicial dentro de uma rede. É comumente associada ao uso de e-mails mal-intencionados (spear phishing). Possui 09 técnicas.
- Execution (Execução) – A Execução diz respeito às técnicas que resultam em códigos controlados por um invasor em um sistema remoto ou local. Elas costumam ser combinadas com métodos de outras táticas para atingir objetivos ainda maiores. Possui 12 técnicas.
- Persistence (Persistência) – A tática da Persistência consiste no conjunto de técnicas utilizadas para que os invasores consigam manter o acesso aos sistemas durante reinicializações, credenciais alteradas e outras interrupções que podem cortar seu acesso. Possui 19 técnicas.
- Privilege Escalation (Escalação de Privilégios) – Tática referente às maneiras do invasor obter permissões de nível superior em um sistema ou rede. Tais permissões muitas vezes são necessárias para que os objetivos do invasor sejam alcançados. Alguns exemplos de permissão elevada são SYSTEM/root level, administrador local ou conta de usuário com acesso de administrador. Possui 13 técnicas.
- Defense Evasion (Evasão de Defesa) – São as técnicas utilizadas para que uma invasão não seja detectada. Nessa tática, há ainda o uso de processos confiáveis para ocultar e disfarçar malwares, além das tentativas de subverter as defesas do sistema ou rede. Possui o maior número de técnicas da lista: 40.
- Credential Access (Acesso a Credenciais) – É o conjunto de técnicas que possuem a finalidade de roubar credenciais, como nomes de contas ou senhas, sendo o keylogging uma das ferramentas mais comuns. Possui 15 técnicas.
- Discovery (Descoberta) – A tática da Descoberta tem como objetivo obter conhecimento sobre o sistema e a rede interna da vítima. Dessa forma, o invasor é capaz de ter maiores orientações e conhecer o ambiente em questão antes de realizar as próximas ações. Possui 29 técnicas.
- Lateral Movement (Movimento Lateral) – Consiste nas formas com que os invasores utilizam para controlar sistemas remotos em uma rede. Possui 09 técnicas.
- Collection (Coleção) – É a tática responsável por reunir as principais informações necessárias para que o adversário consiga seus objetivos. Duas formas comuns de coleta são através da captura de screenshots e entradas de teclados. Possui 17 técnicas.
- Command & Control (Comando e Controle) – É a tentativa do invasor de comunicar com os sistemas sob seu controle dentro da rede da vítima. Possui 16 técnicas.
- Exfiltration (Exfiltração) – São as técnicas utilizadas para o roubo de dados de uma rede. Depois de coletar os dados, os adversários costumam empacotá-los para evitar a detecção ao removê-los. A tática de Command & Control é frequentemente utilizada para transferir tais dados roubados. Possui 09 técnicas.
- Impact (Impacto) – A tática do impacto diz respeito às tentativas do invasor de manipular, interromper ou destruir os sistemas e dados. As técnicas inclusas são usadas para atingir o objetivo final do adversário ou para fornecer cobertura para uma violação de confidencialidade.
A listagem completa das táticas e técnicas do MITRE ATT&CK, bem como as demais informações referentes ao framework, pode ser visualizada clicando aqui.
E o MITRE D3FEND?
O framework MITRE D3FEND é um lançamento da organização de junho de 2021, que visa estabelecer uma linguagem comum para ajudar as equipes de blue team a compartilharem estratégias e métodos. O projeto visa complementar o MITRE ATT&CK, ainda que eles sejam distintos entre si.
Se, por lado, o ATT&CK é denominado como uma base de conhecimento estruturada para classificar as ferramentas, técnicas e métodos que os adversários/invasores usam para violar redes e sistemas, o D3FEND é categorizado como uma base de conhecimento de contramedida e, acima de tudo, um gráfico de conhecimento.
Segundo a definição da própria Mitre, “o gráfico contém tipos e relações semanticamente rigorosos que definem os conceitos-chave no domínio da contramedida de segurança cibernética e as relações necessárias para vincular esses conceitos uns aos outros”. Nesse sentido, ele possibilita que os profissionais de segurança cibernética estipulem defesas contra ameaças digitais específicas, reduzindo as possibilidades de um ataque potencial a alguma rede ou sistema.
A estrutura do MITRE D3FEND
O MITRE D3FEND é fruto do estudo de depósitos de cerca de 20 anos relacionados à segurança cibernética, presentes no banco de dado de patentes dos Estados Unidos da América. e utiliza o gráfico de conhecimento interativo para apresentar os métodos defensivos obtidos.
Diferentemente do MITRE ATT&CK, que contém 14 táticas, o D3FEND foi desenvolvido a partir de 05 táticas gerais que classificam os métodos defensivos. Cada tática é composta por um conjunto de técnicas de contramedida (countermeasure techniques), ou seja, técnicas que possuem como objetivo reduzir as ameaças, vulnerabilidades e ataques de um invasor.
As 05 táticas que compreendem o framework são:
- Harden – É a tática utilizada para aumentar o custo de oportunidade de exploração da rede de computadores. Geralmente é conduzida antes que o sistema esteja online e operacional. Possui 23 técnicas de contramedida.
- Detect (Detectar) – A tática de Detecção é usada para identificar o acesso do invasor ou atividade não autorizada em redes de computadores. Ao contrário da Harden, ela é direcionada aos momentos em que o sistema esteja online e operacional. Possui 63 técnicas de contramedida.
- Isolate (Isolar) – A tática de Isolamento cria barreiras lógicas ou físicas em um sistema, o que reduz as oportunidades para os adversários criarem acessos inéditos. Possui 18 técnicas de contramedida.
- Deceive (Enganar) – Diz respeito à tática responsável por anunciar, atrair e permitir que invasores em potencial acessem um ambiente observado ou controlado. Possui 11 técnicas de contramedida.
- Evict (Despejar) – É o conjunto de métodos utilizados para remover um invasor de uma rede de computadores. Possui 05 técnicas de contramedida.
O gráfico interativo completo do MITRE D3FENDER pode ser visualizado no site da organização.
Os dois frameworks em conjunto são capazes de fornecer ao universo do mundo da segurança cibernética uma compreensão compartilhada dos principais conceitos, além de um vocabulário comum entre os especialistas que compõem o red team e o blue team. Sendo assim, é possível que a comunicação entre os times seja transparente para que a partilha de informações e coordenação de operações defensivas dentro de uma empresa ou organização seja mais efetiva.
Entretanto, há de se destacar que o MITRE D3FEND ainda possui uma atuação recente, e seu gráfico de conhecimento tende a se expandir e detalhar com o passar do tempo. Esse movimento de expansão não somente beneficia a atuação dos defensores cibernéticos, como também propicia avanços significativos para o MITRE ATT&CK. A verdade é que ambos se complementam e caminham juntos em direção a um mundo cibernético cada vez mais seguro.
Comments are closed.