MITRE ATT&CK® to globalnie dostępna baza wiedzy o taktykach i technikach przeciwników oparta na rzeczywistych obserwacjach. Baza wiedzy ATT&CK jest wykorzystywana jako podstawa do opracowywania konkretnych modeli zagrożeń i metodologii w sektorze prywatnym, rządowym oraz w społeczności produktów i usług cyberbezpieczeństwa.
Struktura metodologii ATT&CK rozróżnia taktyki i techniki. Taktyka to szerszy termin odnoszący się do etapów ataku, który opisuje, jak daleko przeciwnik dotarł do docelowego środowiska. Każda taktyka zawiera kilka(naście) technik, które obecnie zawierają często po kilka podtechnik. Techniki opisują konkretne działania, które przeciwnik wykonuje w celu realizacji celów ataku. Z kolei techniki mają różne zestawy procedur. Zatem na zasadzie schodzenia od ogółu do szczegółu (tzw. drilldown) korzystanie z TTP (akronim TTP oznacza: Taktyki, Techniki i Procedury) umożliwia zespołom ds. bezpieczeństwa (SOC) czy analitykom bezpieczeństwa wyszukiwanie wzorców ataków zamiast wskaźników naruszenia (tzw. Indicators of Compromise), które wynikają z wcześniej stosowanej w naszej branży metodologii Cyber Kill Chain.
Metodologia MITRE pozwala na bardziej szczegółowe opisanie zachowania przeciwników w trakcie cyklu życia ataku. Co więcej z kolejnymi latami pojawiają się kolejne macierze (bazy wiedzy) adresowane do konkretnych środowisk. Podstawowa macierz ATT&CK, odnosząca się do infrastruktury IT, nosi obecnie nazwę Enterprise. Baza wiedzy ATT&CK Enterprise zawiera szczegółowe informacje na temat ponad stu aktorów i grup, w tym ich technik i narzędzi. Obok niej pojawiły się dedykowane macierze taktyk i technik dla infrastruktury ICS/OT oraz infrastruktury mobilnej (Mobile). Te zbiory informacji są bardzo przydatne dla administratorów sieci i analityków bezpieczeństwa, ponieważ kojarzą cyberprzestępców z technikami i taktykami, z których są znani ze wcześniejszych ataków.
Do planowania i omawiania operacji zaangażowania przeciwnika podczas ataku służy platforma MITRE Engage™. W tym modelu zaangażowanie przeciwnika to wykorzystanie odmowy i decepcji w kontekście planowania strategicznego i analizy, aby podnieść koszty kolejnego ataku, jednocześnie obniżając wartość działań przeciwnika. Metodologię MITRE Engage™ (i jej poprzednika Shield) przedstawiliśmy w naszym artykule: Od ciekawego dodatku do niezbędnego narzędzia: rola Cyber Deception w aktywnej obronie
Co więcej specjaliści MITRE widzą wzajemną synergię pomiędzy obiema metodologiami:
„(Model) ATT&CK pomaga wykryć, co zrobi przeciwnik i zaoferuje sposoby na jego powstrzymanie. Podczas gdy w przypadku (modelu) ENGAGE mówimy, że czasami nie chcesz ich zatrzymywać, ale obserwuj ich. Możesz chcieć zastosować technikę wabika, ale aby to zrobić, potrzebujesz wykrywania ATT&CK. Więc naprawdę obie (te metodologie – przyp. tłumacza) bardzo dobrze ze sobą współpracują.” – powiedział Bill Hill, CISO w MITRE. [1]
Zastosowanie MITRE ATT&CK® w alertach platformy decepcji Labyrinth
Od najbliższej wersji platformy Labyrinth Deception informacje o alertach systemu są uzupełniane opisem działań przeciwnika przy użyciu taktyk i technik zdefiniowanych w macierzy MITRE ATT&CK®.
Techniki i taktyki pojawiające się w opisie alertu są linkami do oficjalnej strony MITRE, na której można przeczytać szczegółowy opis danej taktyki lub techniki.
Jeśli integracja SIEM jest włączona i skonfigurowana, informacje o taktykach i technikach są również dodawane do wiadomości w formacie CEF.
Przykład:
Na wabiku Universal Web Point wykryto próbę zdalnego wykonania kodu (RCE), czyli atak, w którym atakujący może uruchomić złośliwy kod na komputerach lub w sieci organizacji. Jest to działanie opisane w MITRE ATT&CK® w ramach taktyki TA0008 dot. ruchu bocznego (lateral movement), informującej o próbach przemieszczania się przeciwnika w środowisku/infrastrukturze organizacji oraz techniki T1210 dot. wykorzystywania usług zdalnych, które przeciwnik może zastosować w celu uzyskania nieautoryzowanego dostępu do systemów wewnętrznych w sieci firmowej.
Wielu dostawców zabezpieczeń integruje platformę MITRE ATT&CK® ze swoimi rozwiązaniami, począwszy od rozwiązań klasy SOAR i SIEM, przez systemy EDR, XDR i NDR, a skończywszy na „piaskownicach” (tzw. sandbox) i obronie sieci (tzw. active defense), jak ma to miejsce w przypadku technologii decepcji.
Ponadto platforma MITRE ATT&CK® może być używana do ulepszania wykrywania zagrożeń poprzez dodawanie wyższego poziomu abstrakcji do analizy behawioralnej. ATT&CK to bardzo pomocne narzędzie do komunikacji i współpracy zespołów przy wykrywaniu zagrożeń, dochodzeniach i reagowaniu na incydenty.