What is MITRE ATT&CK Framework?

A Estrutura MITRE ATT&CK

A estrutura MITRE ATT&CK foi projetada para aumentar a conscientização e a compreensão de como funcionam os ataques cibernéticos. Para conseguir isso, ele organiza as informações em uma hierarquia, incluindo:

• Táticas: MITRE ATT&CK As táticas são objetivos de alto nível que um invasor pode desejar alcançar durante um ataque cibernético. Isso inclui estágios de um ataque, como obter acesso inicial a um sistema, comprometer contas de usuários e mover-se lateralmente pela rede.
• Técnicas: Para cada uma das Táticas de alto nível, MITRE ATT&CK define múltiplas Técnicas para atingir o objetivo. Por exemplo, um invasor pode obter acesso às credenciais do usuário por meio de um ataque de adivinhação de força bruta, roubando-as do sistema operacional e outros métodos.
• Subtécnicas: Algumas técnicas MITRE ATT&CK podem ser alcançadas de várias outras maneiras (chamadas Subtécnicas). Por exemplo, um ataque de força bruta de senha pode ser realizado quebrando hashes de senha, preenchimento de credenciais ou outros meios.

As táticas, técnicas e subtécnicas do MITRE ATT&CK detalham uma maneira específica pela qual um invasor pode atingir um objetivo. Para cada uma dessas técnicas, MITRE ATT&CK inclui uma descrição do ataque, bem como o seguinte:

• Procedimentos: Os procedimentos descrevem exemplos específicos do uso de uma técnica. Isso inclui malware, ferramentas de hacking e agentes de ameaças conhecidos por usarem essa técnica específica.
• Detecção: Para uma determinada técnica, a MITRE ATT&CK recomenda métodos de detecção da técnica. Esta seção é inestimável para projetar defesas de segurança cibernética porque descreve os tipos de informações que precisam ser coletadas para detectar um ataque específico.
• Mitigação: A seção de mitigação descreve etapas que uma organização pode tomar para prevenir ou reduzir o impacto de uma técnica específica. Por exemplo, o uso de Autenticação multifatorial (MFA) é uma mitigação comum para técnicas projetadas para obter acesso a contas de usuários.

Aproveitando o MITRE ATT&CK para defesa cibernética

A estrutura MITRE ATT&CK foi concebida como uma ferramenta, não apenas como um repositório de informações. As equipes do centro de operações de segurança (SOC) podem operacionalizar a matriz MITRE ATT&CK de várias maneiras, incluindo:

• Projetando Defesas: A estrutura MITRE ATT&Ck descreve métodos para detectar e mitigar diferentes técnicas de ataque cibernético. Essas informações podem ser usadas para garantir que uma organização tenha as defesas corretas e esteja coletando as informações necessárias para detectar uma ameaça específica. de ameaça de inteligência pode ser usada para priorizar as técnicas nas quais uma organização se concentra.
• Detecção de incidentes: A estrutura MITRE ATT&CK descreve as maneiras pelas quais uma ameaça específica pode ser detectada. Essas informações devem ser utilizadas para desenvolver regras de detecção em uma solução de gerenciamento de informações e eventos de segurança (SIEM), Firewall de próxima geração (NGFW) e outras soluções de segurança.
• Investigação de incidentes: A estrutura MITRE ATT&CK descreve como funciona um ataque específico e o malware que usa determinadas técnicas. Essas informações são inestimáveis para a investigação de incidentes porque permitem que um investigador identifique a técnica MITRE ATT&CK em uso e aproveite os dados adicionais fornecidos pela estrutura.
• Remediação de infecção: A estrutura MITRE ATT&CK descreve como uma técnica específica é executada e os recursos de diferentes amostras de malware e agentes de ameaças. Isto pode ajudar nos esforços de remediação, pois descreve as ações que um invasor realizou e que devem ser desfeitas para remover a infecção.
• Relatórios: Ao padronizar a terminologia, a estrutura MITRE ATT&CK simplifica os relatórios. Ferramentas e analistas podem gerar relatórios referenciando técnicas específicas na estrutura, que fornecem detalhes adicionais e etapas de mitigação, se necessário.
• Caça a ameaças: As descrições e informações de detecção fornecidas no MITRE ATT&CK podem ser inestimáveis para a caça a ameaças. Ao realizar uma avaliação MITRE ATT&CK e trabalhar com cada uma das técnicas descritas na estrutura, os caçadores de ameaças podem determinar se foram alvo de invasores usando uma técnica específica e se as soluções de segurança existentes são ou não capazes de detectar e prevenir esses ataques.

Check Point e MITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

Isso fornece ao analista SOC uma série de vantagens. Ao analisar um ataque específico, o uso do MITRE ATT&CK facilita a compreensão das causas raízes, do fluxo do ataque e da intenção do invasor em cada estágio. Ao compreender o que o invasor está tentando alcançar e como, uma equipe SOC pode compreender facilmente o escopo de um ataque, qualquer correção necessária e como melhorar as defesas para o futuro.

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.