Che cos'è MITRE ATT&CK e come è utile?
Che cos'è MITRE ATT&CK™?
Il MITRE ha introdotto ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come metodo per descrivere e classificare i comportamenti avversari basati sulle osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti noti degli aggressori, che sono stati raccolti in tattiche e tecniche ed espressi in una serie di matrici e tramite STIX/TAXII. Poiché questo elenco è una rappresentazione abbastanza completa dei comportamenti che gli aggressori adottano quando compromettono le reti, è utile per una serie di misure offensive e difensive, rappresentazioni e altri meccanismi.
Comprendere le matrici ATT&CK
MITRE ha suddiviso ATT&CK in diverse matrici: Enterprise, Mobile e PRE-ATT&CK. Ognuna di queste matrici contiene varie tattiche e tecniche associate all'argomento della matrice stessa.
La matrice Enterprise è composta da tecniche e tattiche applicabili ai sistemi Windows, Linux e/o MacOS. Mobile contiene tattiche e tecniche applicabili ai dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche relative a ciò che gli aggressori fanno prima di tentare di sfruttare una particolare rete o sistema bersaglio.
I dettagli dell'ATT&CK: tattiche e tecniche
Quando si guarda ad ATT&CK sotto forma di matrice, i titoli delle colonne in alto sono tattiche e sono essenzialmente categorie di tecniche. Le tattiche sono ciò che gli aggressori cercano di ottenere, mentre le singole tecniche sono il modo in cui realizzano questi passaggi o obiettivi.
Matrice aziendale ATT&CK da https://attack.mitre.org/matrices/enterprise/
Ad esempio, una delle tattiche è il Movimento laterale. Per riuscire a spostarsi lateralmente in una rete, un aggressore dovrà impiegare una o più delle tecniche elencate nella colonna Movimento laterale della matrice ATT&CK.
Una tecnica è un comportamento specifico per raggiungere un obiettivo e spesso è un singolo passo di una serie di attività impiegate per completare la missione complessiva dell'aggressore. ATT&CK fornisce molti dettagli su ogni tecnica, tra cui una descrizione, esempi, riferimenti e suggerimenti per la mitigazione e il rilevamento.
Esempio di descrizione di una tecnica in MITRE ATT&CK
Come esempio di come funzionano le tattiche e le tecniche in ATT&CK, un aggressore potrebbe voler ottenere l'accesso a una rete e installare un software per il mining di criptovalute su quanti più sistemi possibili all'interno della rete. Per raggiungere questo obiettivo generale, l'aggressore deve eseguire con successo diverse fasi intermedie. Innanzitutto, ottenere l'accesso alla rete, possibilmente tramite un collegamento di spearphishing. Successivamente, potrebbe essere necessario aumentare i privilegi attraverso la Process Injection. A questo punto può ottenere altre credenziali dal sistema attraverso il Credential Dumping e quindi stabilire la persistenza impostando lo script di mining come attività pianificata. A questo punto, l'aggressore può spostarsi lateralmente nella rete con Pass the Hash e diffondere il proprio software di mining di monete su quanti più sistemi possibile.
In questo esempio, l'aggressore ha dovuto eseguire con successo cinque passaggi, ognuno dei quali rappresenta una tattica o una fase specifica dell'attacco complessivo: Accesso iniziale, Escalation dei privilegi, Accesso alle credenziali, Persistenza e Movimento laterale. Per portare a termine ogni fase dell'attacco, ha utilizzato tecniche specifiche all'interno di queste tattiche (link di spearphishing, iniezione di processi, dumping di credenziali, ecc.)
Le differenze tra PRE-ATT&CK e ATT&CK Enterprise
PRE-ATT&CK e ATT&CK Enterprise si combinano per formare l'elenco completo delle tattiche che si allineano approssimativamente alla Cyber Kill Chain. PRE-ATT&CK si allinea principalmente alle prime tre fasi della catena della morte: ricognizione, armamento e consegna. ATT&CK Enterprise si allinea bene con le ultime quattro fasi della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.
Cosa si può fare con ATT&CK?
ATT&CK è utile in una serie di contesti quotidiani. Qualsiasi attività difensiva che faccia riferimento agli aggressori e ai loro comportamenti può trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a offrire un lessico comune ai difensori informatici, ATT&CK fornisce anche una base per i test di penetrazione e il red teaming. Questo fornisce ai difensori e ai red team un linguaggio comune quando si riferiscono a comportamenti avversari.
Esempi in cui l'applicazione della tassonomia di ATT&CK può essere utile:
Mappatura dei controlli difensivi
I controlli difensivi possono avere un significato ben chiaro se riferiti alle tattiche e alle tecniche ATT&CK a cui si applicano.
Integrazioni di strumenti
Strumenti e servizi diversi possono standardizzare le tattiche e le tecniche di ATT&CK, conferendo coesione a una difesa che spesso manca.
Caccia alle minacce
La mappatura delle difese su ATT&CK produce una roadmap di lacune difensive che forniscono ai cacciatori di minacce i luoghi perfetti per trovare le attività mancate degli aggressori.
Condivisione
Quando condividono informazioni su un attacco, un attore o un gruppo, o sui controlli difensivi, i difensori possono garantire una comprensione comune utilizzando tecniche e tattiche ATT&CK.
Rilevamenti e indagini
Il Security Operations Center (SOC) e il team di risposta agli incidenti possono fare riferimento alle tecniche e alle tattiche ATT&CK rilevate o scoperte. Questo aiuta a capire dove sono i punti di forza e di debolezza della difesa e a convalidare i controlli di mitigazione e rilevamento, oltre a far emergere configurazioni errate e altri problemi operativi.
Integrazioni di strumenti
La pianificazione, l'esecuzione e il reporting delle attività di red team, purple team e penetration test possono utilizzare ATT&CK per parlare un linguaggio comune con i difensori e i destinatari dei report, oltre che tra di loro.
Referenziare gli attori
Gli attori e i gruppi possono essere associati a comportamenti specifici e definibili.
Uso di ATT&CK per mappare le difese e capire le lacune
L'inclinazione naturale della maggior parte dei team di sicurezza, quando esaminano l'ATT&CK di MITRE, è quella di cercare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ogni tecnica della matrice aziendale. Sebbene questa non sia un'idea terribile, le sfumature di ATT&CK rendono questo approccio un po' pericoloso se non si tengono presenti alcune avvertenze. Le tecniche delle matrici ATT&CK possono spesso essere eseguite in diversi modi. Quindi, bloccare o rilevare un singolo modo di eseguirle non significa necessariamente che vi sia copertura per ogni possibile modo di eseguire quella tecnica. Questo può portare a un falso senso di sicurezza pensando che, poiché uno strumento blocca una forma di impiego di una tecnica, questa sia adeguatamente coperta per l'organizzazione. Tuttavia, gli aggressori possono ancora utilizzare con successo altri modi per impiegare quella tecnica senza alcun rilevamento o prevenzione.
Il modo per affrontare questo problema è il seguente:
Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che Pass the Hash (T1075) e Pass the Ticket (T1097) siano coperti, poiché esistono ancora diversi altri modi per eseguire queste tecniche che non prevedono l'uso di Mimikatz. Tenetelo presente se cercate di usare ATT&CK per mostrare la copertura difensiva in un'organizzazione.
Utilizzo di ATT&CK con l'intelligence sulle minacce informatiche
ATT&CK può essere utile per l'intelligence delle minacce informatiche in quanto consente di descrivere i comportamenti avversari in modo standard. Gli attori possono essere rintracciati con associazioni alle tecniche e alle tattiche di ATT&CK che sono noti per il loro utilizzo. Questo fornisce ai difensori una tabella di marcia da applicare ai loro controlli operativi per vedere dove hanno punti deboli contro certi attori e dove hanno punti di forza. Creare voci del MITRE ATT&CK Navigator per attori specifici è un buon modo per visualizzare i punti di forza e di debolezza dell'ambiente contro tali attori o gruppi. ATT&CK è disponibile anche come feed STIX/TAXII 2.0, il che lo rende facile da inserire negli strumenti esistenti che supportano tali tecnologie.
ATT&CK fornisce dettagli su quasi settanta attori e gruppi, comprese le tecniche e gli strumenti che sono noti per essere utilizzati sulla base di rapporti open-source.
Elenco dei gruppi MITRE ATT&CK
Lo stesso processo di creazione dell'intelligence può trarre vantaggio dall'utilizzo del linguaggio comune dell'ATT&CK. Come già detto, questo termine può essere applicato ad attori e gruppi, ma anche ai comportamenti osservati dal SOC o dalle attività di risposta agli incidenti. Anche il malware può essere definito in termini di comportamenti tramite ATT&CK. Tutti gli strumenti di threat intelligence che supportano l'ATT&CK aiutano a semplificare questo processo. Anche l'intelligence commerciale e open-source che applica l'ATT&CK a qualsiasi comportamento menzionato è utile per mantenere la coerenza. La diffusione di informazioni alle operazioni o alla direzione è in definitiva molto più semplice quando tutte le parti parlano la stessa lingua in merito ai comportamenti avversari. Se le operazioni sanno esattamente che cos'è l'autenticazione forzata e la vedono menzionata in un rapporto di intelligence, possono sapere esattamente quali azioni devono essere intraprese o quali controlli sono già in atto in relazione a quel pezzo di intelligence. Standardizzare in questo modo i riferimenti all'ATT&CK nei prodotti di intelligence può migliorare notevolmente l'efficienza e garantire una comprensione comune.
Simulazione avversaria e ATT&CK
Testare le tecniche di ATT&CK con l'ambiente è il modo migliore per farlo:
Il processo di simulazione avversaria non è estraneo a molti ambienti. Quando si impiegano penetration tester per testare l'ambiente, le organizzazioni sono impegnate in test di simulazione avversaria. Lo stesso vale per le organizzazioni che dispongono di red team interni o che eseguono attività di purple team. L'applicazione delle attività di questi impegni alle tecniche ATT&CK aumenta la comprensione dei risultati da parte dei difensori. Invece di segnalare i fallimenti nel rilevare determinate attività, i report dei pen test e dei red team possono contenere un contesto migliore per applicare le loro attività direttamente ai controlli operativi, agli strumenti e alle procedure di difesa. In questo modo è più facile per i difensori intraprendere azioni appropriate a seguito dei rapporti.
Le simulazioni possono essere progettate per rispecchiare strumenti e tecniche noti per essere utilizzati da attori specifici. Questo può essere particolarmente utile quando si cerca di valutare il successo che certi avversari potrebbero avere contro i controlli presenti nell'ambiente.
Inoltre, sono disponibili strumenti che forniscono meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali come Verodin, SafeBreach e AttackIQ offrono la possibilità di eseguire simulazioni avversarie allineate con ATT&CK. Esistono alcune opzioni open-source per effettuare simulazioni avversarie e allinearsi ad ATT&CK (elencate di seguito). Come sempre, occorre prestare attenzione quando si eseguono simulazioni avversarie su reti di produzione in cui la portata delle potenziali ramificazioni non è pienamente compresa.
Il processo di utilizzo di questi strumenti è semplice:
- Simulare - Scegliere i criteri di simulazione in base ai test desiderati, quindi eseguire lo strumento o eseguire la tecnica manualmente.
- Hunt - Esaminare i registri e i risultati degli strumenti per trovare prove dell'attività simulata; annotare le aspettative mancate con controlli preventivi o investigativi.
- Rilevare - Aggiungere nuovi rilevamenti o mitigazioni in base ai risultati; annotare anche eventuali lacune nella visibilità e gli strumenti utilizzati per il rilevamento o la mitigazione.
Le migliori pratiche per l'utilizzo di ATT&CK
Segue un elenco di best practice per ATT&CK:
Utilizzare tattiche laddove le tecniche sono ambigue o difficili da individuare.
Condividere i metodi di rilevamento e mitigazione scoperti
Condividere tattiche e tecniche dei comportamenti osservati dagli aggressori.
Sfruttare l' integrazione di ATT&CK negli strumenti esistenti
Seguire la ricerca esterna sui rilevamenti e le mitigazioni
Incoraggiare i venditori e i fornitori di servizi ad aggiungere il supporto per ATT&CK dove sarebbe utile.
Sfide nell'utilizzo di ATT&CK
L'utilizzo di ATT&CK non è privo di sfide. È bene tenerle a mente quando si sfrutta ATT&CK.
Non tutte le tecniche sono sempre dannose
- Esempio: Dati dall'unità condivisa di rete (T1039)
- Chiave per il rilevamento: Come viene invocata questa tecnica?
Alcune tecniche sono elencate tra le tattiche multiple
- Esempio: Dirottamento dell'ordine di ricerca delle DLL (T1038)
- Viene visualizzato sotto le tattiche di Persistence, Privilege Escalation e Defense Evasion.
- Alcune tecniche, come questa, possono essere utilizzate per più casi d'uso e sono utili in più fasi dell'attacco.
Non tutte le tecniche sono facili da individuare
- Esempio: Link di Spearphishing (T1192)
- Chiave per il rilevamento: Altri eventi che circondano la ricezione dell'e-mail
Alcune tecniche hanno molti metodi di esecuzione possibili
- Esempio: Dumping delle credenziali (T1003)
- La chiave per il rilevamento: Costruire metodi noti per evocare la tecnica ed etichettarli tutti come Credential Dumping.
- Il MITRE rilascerà delle sotto-tecniche per aiutare a risolvere questo problema.
Strumenti e risorse ATT&CK
Di seguito è riportato un elenco di strumenti e altre risorse che fanno uso di ATT&CK. Alcuni di essi sono già stati menzionati in precedenza, ma vengono forniti qui per una facile consultazione. Per aggiungere qualcosa a questo elenco, inviare un'e-mail a marketing@anomali.com.
Navigatore ATT&CK
ATT&CK Navigator è un ottimo strumento da utilizzare per mappare i controlli rispetto alle tecniche ATT&CK. È possibile aggiungere livelli che mostrano in modo specifico i controlli investigativi, i controlli preventivi o persino i comportamenti osservati. Navigator può essere utilizzato online per simulazioni o scenari rapidi, oppure può essere scaricato e configurato internamente come soluzione più permanente.
MITRE ATT&CK Navigator
Esempio di dettagli inclusi nella scheda di registrazione ATT&CK di Malware Archeology
Archeologia delle minacce informatiche: scheda informativa sulla registrazione ATT&CK di Windows
Gli affidabili professionisti di Malware Archeology forniscono una serie di schede di registrazione di Windows per aiutare i difensori a trovare attività dannose nei registri. Ne hanno uno dedicato alle tecniche di individuazione di MITRE ATT&CK.
Uber Metta
Metta è un progetto open source di Uber che esegue simulazioni avversarie ed è allineato con MITRE ATT&CK.
Repository di analisi cibernetiche (CAR) del MITRE
Repository di analisi cibernetiche (CAR) del MITRE
Il MITRE dispone di una risorsa chiamata Cyber Analytics Repository (CAR) che è un sito di riferimento per varie analisi utili a rilevare i comportamenti in MITRE ATT&CK.
MITRE Caldera
Caldera è uno strumento open source di simulazione automatica degli avversari basato su MITRE ATT&CK.
MITRE Caldera Schermata
Matrice aziendale ATT&CK in un Tableau pubblico di Cyb3rPanda
Tavolo ATT&CK di Cyb3rPanda
Cyb3rPanda ha caricato ATT&CK in un'istanza pubblica di Tableau per facilitare le operazioni di pivoting e filtraggio.
Red Canary Squadra Atomica Rossa
Atomic Red Team è uno strumento open source di Red Canary per la simulazione di comportamenti avversari mappati su MITRE ATT&CK. Ulteriori informazioni sono disponibili all'indirizzo: https://atomicredteam.io/
Esempio di test della squadra rossa atomica
Visualizzatore del Playbook dell'Unità 42 di Palo Alto
Visualizzatore del Playbook dell'Unità 42 di Palo Alto
Il gruppo Unit 42 di Palo Alto ha rilasciato un visualizzatore gratuito di playbook che mostra i comportamenti avversari noti per una manciata di gruppi di minacce allineati al MITRE ATT&CK.
Endgame Red Team Automation
Red Team Automation è uno strumento open source di Endgame che testa il comportamento dannoso sul modello di MITRE ATT&CK.
Elenco attuale delle tecniche supportate da Red Team Automation (RTA)
Anomali Esempio di Cyber Watch
Anomali Cyber Watch
Questo rapporto settimanale gratuito include i principali sviluppi della settimana in materia di sicurezza e minacce. Il rapporto include i CIO pertinenti e le tecniche di ATT&CK per ogni storia inclusa nel briefing.
Sintesi
MITRE ha dato un contributo significativo alla comunità della sicurezza fornendoci ATT&CK e i relativi strumenti e risorse. Non poteva arrivare in un momento migliore. Poiché gli aggressori stanno trovando il modo di essere più furtivi e di evitare il rilevamento da parte degli strumenti di sicurezza tradizionali, i difensori si trovano a dover cambiare il loro approccio al rilevamento e alla difesa. ATT&CK sposta la nostra percezione dagli indicatori di basso livello come gli indirizzi IP e i nomi di dominio e ci fa vedere gli aggressori e le nostre difese attraverso la lente dei comportamenti. Questa nuova percezione non significa però che i risultati arriveranno facilmente. I giorni facili degli elenchi di blocco e dei semplici filtri sono finiti. La strada per individuare e prevenire i comportamenti è molto più difficile rispetto agli strumenti "spara e dimentica" del passato. Inoltre, gli aggressori si adatteranno sicuramente all'introduzione di nuove capacità da parte dei difensori. ATT&CK fornisce un modo per descrivere qualsiasi nuova tecnica sviluppata e, auspicabilmente, per tenere i difensori al passo.
.jpeg)
