Framework MITRE ATT&CK to uporządkowana baza wiedzy śledząca taktyki i techniki wykorzystywane przez cyberprzestępców na wszystkich etapach cyklu ataku. Framework ten ma być czymś więcej niż tylko zbiorem danych: ma służyć jako narzędzie do wzmacniania pozycji bezpieczeństwa organizacji.
Dzięki temu, że MITRE ATT&CK przyjmuje perspektywę przeciwnika, zespoły ds. bezpieczeństwa mogą łatwiej wywnioskować motywacje przeciwnika dla poszczególnych działań i zrozumieć, jak te działania odnoszą się do konkretnych klas obrony.
Skąd pochodzą dane w ramach MITRE ATTACK Framework?
MITRE’s ATT&CK zdobywa informacje, dzięki Threat Intelligence, raportom z incydentów, oraz badaniom prowadzonym przez analityków cyberbezpieczeństwa oraz Threat Hunters. Wszystkie te dane używa się w celu lepszego zrozumienia “złych aktorów”. Dzięki temu można szybciej wykryć i zatrzymać ich niebezpieczne zachowania.
Historia MITRE ATTACK Framework
MITRE to organizacja non-profit, która została utworzona w celu dostarczania porad inżynieryjnych i technicznych dla rządu federalnego. Organizacja pierwotnie opracowała ten framework w ramach projektu badawczego MITRE w 2013 roku i nazwała go od zbieranych danych, czyli Adversarial Tactics, Techniques, and Common Knowledge, skrótowo ATT&CK.
MITRE ATT&CK został udostępniony publicznie za darmo w 2015 roku i dziś pomaga zespołom ds. bezpieczeństwa we wszystkich sektorach w zabezpieczaniu ich organizacji przed znanymi i pojawiającymi się zagrożeniami. Chociaż pierwotnie MITRE ATT&CK skupiał się na zagrożeniach wobec systemów przedsiębiorstw Windows, dziś obejmuje również systemy Linux, urządzenia mobilne, macOS oraz ICS.
Oto trzy iteracje MITRE ATT&CK:
- ATT&CK dla Przedsiębiorstw: Skupia się na identyfikowaniu i imitowaniu zachowań wrogów w środowiskach Windows, Mac, Linux i chmury.
- ATT&CK dla Mobile: Skupia się na identyfikowaniu i imitowaniu zachowań wrogów w systemach operacyjnych Android i iOS.
- ATT&CK dla ICS: Skupia się na opisywaniu działań, które wrodzy mogą podejmować, działając w systemie kontroli przemysłowej (ICS).
Macierz MITRE ATT&CK: taktyki i techniki
Specyficzni wrogowie, hakerzy zwykle używają specyficznych technik, które musimy poznać, aby jeszcze lepiej zadbać o bezpieczeństwo organizacji. Framework MITRE ATT&CK kataloguje informacje, które korelują grupy przeciwników z kampaniami, dzięki czemu zespoły ds. bezpieczeństwa mogą lepiej zrozumieć, z kim mają do czynienia, ocenić swoją strategię obrony i wzmocnić bezpieczeństwo tam, gdzie jest to najbardziej potrzebne.
Czym są taktyki MITRE ATT&CK?
Taktyki przeciwników to techniczne cele, które zamierza osiągnąć. Możemy je kategoryzować według tych celów. Na przykład, obecnie w macierzy przedsiębiorstw skatalogowanych jest 14 taktyk:- Rozpoznanie: Techniki, które aktywnie lub pasywnie zbierają informacje, aby planować przyszłe ukierunkowane ataki.
- Pozyskiwanie zasobów: Atakujący kupują lub kradną zasoby, aby wykorzystać je do przyszłego ataku.
- Pierwszy dostęp: Techniki, gdzie przeciwnicy próbują uzyskać przyczółek w twojej sieci przez różne wektory ataku.
- Wykonanie: Techniki, które próbują uruchomić złośliwy kod na systemie lokalnym lub zdalnym.
- Utrzymanie dostępu: Taktyki, w których przeciwnicy próbują utrzymać swoją pozycję w sieci lokalnej lub zdalnej.
- Eskalacja uprawnień: Przeciwnik próbuje uzyskać uprawnienia wyższego poziomu do sieci organizacji.
- Unikanie wykrycia: Techniki przeciwnika mające na celu uniknięcie wykrycia podczas przemieszczania się po sieci.
- Dostęp do danych uwierzytelniających: Taktyki koncentrujące się na pozyskiwaniu poufnych danych uwierzytelniających, takich jak hasła.
- Odkrywanie: Przeciwnicy próbują zrozumieć, jak działają twoje systemy.
- Ruch boczny: Obejmuje przeciwników, którzy wchodzą do systemów i kontrolują je, przemieszczając się przez sieć.
- Zbieranie: Techniki gromadzenia informacji z odpowiednich źródeł w organizacji.
- Dowodzenie i kontrola (C2 lub C&C): Gdy przeciwnicy komunikują się z zaatakowanymi systemami w celu uzyskania kontroli.
- Eksfiltracja: Składa się z technik, które bezpośrednio kradną dane z twojej sieci.
- Wpływ: Przeciwnicy koncentrują się na zakłóceniu dostępności lub integralności danych i przerywaniu operacji biznesowych.
Co oznaczają techniki w macierzy MITRE ATT&CK?
Technika opisuje jeden konkretny sposób, w jaki przeciwnik może próbować osiągnąć swój cel. Zidentyfikowano wiele technik i podtechnik. Wynika to z faktu, że przeciwnicy mogą stosować różne techniki w zależności od czynników, takich jak ich umiejętności, konfiguracja systemu, celu i dostępność odpowiednich narzędzi.Każda zidentyfikowana technika zawiera opis metody, systemów i platform, do których się odnosi, informacje na temat grupy przeciwników, która jej używa (jeśli jest to znane), sposoby ograniczenia aktywności.Wykaz wszystkich technik znajdziesz tutaj: MITRE ATT&CK Enterprise Techniques.Przykłady zastosowania macierzy MITRE ATT&CK
Niektóre ze sposobów, w jakie zespół ds. bezpieczeństwa może używać MITRE ATT&CK, to:
- Przeprowadzenie analizy luk w bezpieczeństwie i planowanie poprawek bezpieczeństwa
- Wzmocnienie cyber threat intelligence
- Przyspieszenie oceny i badania alertów
- Tworzenie bardziej realistycznych scenariuszy
- Ocena SOC
- Jasna i zwięzła komunikacja z interesariuszami
- Nabycie wspólnego języka, który jest pomocny podczas pracy z konsultantami i dostawcami.
CrowdStrike według oceny MITRE Engenuity ATT&CK®
Platforma CrowdStrike Falcon, napędzana sztuczną inteligencją, osiągnęła 100% ochrony, 100% widoczności i 100% zasięgu wykrywania analitycznego w 5. rundzie ocen MITRE Engenuity ATT&CK®: Enterprise. Platforma Falcon zatrzymała 13 z 13 scenariuszy ochrony, obejmujących każdy etap ataku, co udowadnia, że została stworzona z myślą o zatrzymywaniu różnego rodzaju naruszeń.
Tutaj warto zaznaczyć, że wyniki tego testu mogą być bardzo mylące. W przeciwieństwie do innych analiz, MITRE nie umieszcza dostawców na kwadrancie czy wykresie, ani nie dostarcza porównawczej oceny. Pozostawia interpretację samym dostawcom i klientom — co oznacza, że zostaniecie zasypani twierdzeniami o „wygranej” w ocenie. W MITRE nie ma zwycięzców ani liderów, tylko surowe dane. Tak więc te surowe dane mówią bardzo wyraźnie, że platforma CrowdStrike Falcon® doskonale radzi sobie z powstrzymywaniem naruszeń, które wymaga pełnej widoczności, wykrywania i ochrony. Platforma osiągnęła pełną 100% ochronę na wszystkich etapach, skutecznie odcinając przeciwnika i uniemożliwiając mu postęp w scenariuszach.
Podsumowanie
MITRE ATT&CK to zaawansowana baza wiedzy dokumentująca taktyki i techniki cyberprzestępców, mająca na celu wzmacnianie cyberbezpieczeństwa organizacji. Dane do frameworka pochodzą z Threat Intelligence, raportów incydentów i badań cyberbezpieczeństwa. Rozwinięty przez organizację non-profit MITRE w 2013 roku, publicznie dostępny od 2015, obejmuje systemy Windows, Linux, macOS, urządzenia mobilne i ICS. Jest wykorzystywany do analizy luk w bezpieczeństwie, wzmocnienia threat intelligence, czy tworzenia scenariuszy testowych. Platforma CrowdStrike Falcon, oceniana przez MITRE Engenuity ATT&CK®, wykazała 100% skuteczność w ochronie, widoczności i wykrywaniu. Framework stanowi kluczowe narzędzie dla zespołów ds. bezpieczeństwa, umożliwiając lepsze zrozumienie i przeciwdziałanie cyberzagrożeniom.
FAQ
Czym jest MITRE ATT&CK Framework?
Dla kogo przeznaczony jest MITRE ATT&CK Framework?
Framework skierowany jest do profesjonalistów z dziedziny cyberbezpieczeństwa, w tym zespołów ds. bezpieczeństwa, analityków cyberbezpieczeństwa oraz threat hunters, czyli osób śledzących cyberzagrożenia.
Skąd pochodzą dane wykorzystywane w MITRE ATT&CK?
Dane są zbierane z Threat Intelligence, raportów z incydentów bezpieczeństwa oraz badań przeprowadzanych przez ekspertów w dziedzinie cyberbezpieczeństwa.
Jakie są główne cele MITRE ATT&CK?
Głównym celem jest dostarczenie zespołom ds. bezpieczeństwa narzędzi umożliwiających lepsze zrozumienie, identyfikację i przeciwdziałanie technikom stosowanym przez cyberprzestępców.
Czy MITRE ATT&CK jest płatny?
Nie, MITRE ATT&CK jest udostępniany publicznie za darmo przez organizację non-profit MITRE.
Jak mogę wykorzystać MITRE ATT&CK w mojej organizacji?
Możesz wykorzystać MITRE ATT&CK do analizy luk w bezpieczeństwie, wzmocnienia cyber threat intelligence, przyspieszenia oceny alertów bezpieczeństwa, tworzenia scenariuszy testowych, czy w ocenie skuteczności SOC (Security Operations Center).
Jakie korzyści niesie za sobą stosowanie MITRE ATT&CK?
Stosowanie MITRE ATT&CK umożliwia organizacjom lepsze przygotowanie się na cyberataki, identyfikację i wzmocnienie słabych punktów w cyberobronie oraz budowanie skuteczniejszych strategii bezpieczeństwa.
