Cos'è MITRE ATT&CK e come è utile?
Che cos'è MITRE ATT&CK™?
MITRA introdotto ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come un modo per descrivere e classificare i comportamenti contraddittori sulla base di osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti noti degli aggressori che sono stati raccolti in tattiche e tecniche ed espressi in una manciata di matrici e tramite STIX/TAXI. Poiché questo elenco è una rappresentazione abbastanza completa dei comportamenti utilizzati dagli aggressori quando compromettono le reti, è utile per una varietà di misurazioni, rappresentazioni e altri meccanismi offensivi e difensivi.
Comprensione delle matrici ATT&CK
MITRE ha suddiviso ATT&CK in diverse matrici: Enterprise, Cellularee PRE-ATT&CK. Ognuna di queste matrici contiene varie tattiche e tecniche associate all'argomento di quella matrice.
La matrice Enterprise è costituita da tecniche e tattiche che si applicano ai sistemi Windows, Linux e/o macOS. Mobile contiene tattiche e tecniche applicabili ai dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche relative a ciò che fanno gli aggressori prima cercano di sfruttare una particolare rete o sistema bersaglio.
I principi fondamentali di ATT&CK: tattiche e tecniche
Quando si esamina ATT&CK sotto forma di matrice, i titoli delle colonne nella parte superiore sono tattiche e sono essenzialmente categorie di tecniche. Le tattiche sono cosa gli aggressori stanno cercando di ottenere mentre le singole tecniche sono le come realizzano quei passaggi o obiettivi.
ATT&CK Enterprise Matrix di https://attack.mitre.org/matrices/enterprise/
Ad esempio, una delle tattiche è Movimento laterale. Affinché un utente malintenzionato riesca a ottenere con successo il movimento laterale in una rete, vorrà utilizzare una o più delle tecniche elencate nella colonna Movimento laterale della matrice ATT&CK.
UN tecnica è un comportamento specifico per raggiungere un obiettivo ed è spesso un singolo passaggio di una serie di attività impiegate per completare la missione complessiva dell'attaccante. ATT&CK fornisce molti dettagli su ciascuna tecnica, tra cui una descrizione, esempi, riferimenti e suggerimenti per la mitigazione e il rilevamento.
Esempio di descrizione della tecnica in MITRE ATT&CK
Come esempio di come funzionano le tattiche e le tecniche in ATT&CK, un utente malintenzionato potrebbe voler accedere a una rete e installare software di mining di criptovalute su quanti più sistemi possibile all'interno di quella rete. Per raggiungere questo obiettivo generale, l'aggressore deve eseguire con successo diversi passaggi intermedi. Innanzitutto, accedi alla rete, possibilmente tramite un Link di spearphishing. Successivamente, potrebbero dover aumentare i privilegi tramite Iniezione di processo. Ora possono ottenere altre credenziali dal sistema tramite Dumping delle credenziali e quindi stabilire la persistenza impostando lo script di mining in modo che venga eseguito come Attività pianificata. Fatto ciò, l'aggressore potrebbe essere in grado di spostarsi lateralmente attraverso la rete con Passa l'hash e diffondere il loro software per minare monete su quanti più sistemi possibile.
In questo esempio, l'aggressore ha dovuto eseguire con successo cinque passaggi, ognuno dei quali rappresentava uno specifico tattica o fase del loro attacco complessivo: Accesso iniziale, Escalation dei privilegi, Accesso con credenziali, Persistenzae Movimento laterale. Hanno usato specifici tecniche all'interno di queste tattiche per portare a termine ogni fase del loro attacco (link di spearphishing, iniezione di processi, dumping delle credenziali, ecc.).
Le differenze tra PRE-ATT&CK e ATT&CK Enterprise
PRE-ATT&CK e ATT&CK Enterprise si uniscono per formare l'elenco completo delle tattiche che si allineano grosso modo con Cyber Kill Chain. PRE-ATT&CK si allinea principalmente alle prime tre fasi della catena di uccisioni: ricognizione, armamento e consegna. ATT&CK Enterprise si allinea bene con le ultime quattro fasi della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.
Cosa si può fare con ATT&CK?
ATT&CK è utile in una varietà di contesti quotidiani. Qualsiasi attività difensiva che faccia riferimento agli aggressori e ai loro comportamenti può trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a offrire un lessico comune per i difensori informatici, ATT&CK fornisce anche una base per i test di penetrazione e il red teaming. Ciò fornisce ai difensori e ai Red Teamer un linguaggio comune quando si riferiscono a comportamenti contraddittori.
Esempi in cui può essere utile applicare la tassonomia di ATT&CK:
Mappatura dei controlli difensivi
I controlli difensivi possono avere un significato ben compreso se confrontati con le tattiche e le tecniche ATT&CK a cui si applicano.
Integrazioni di strumenti
Strumenti e servizi disparati possono standardizzare le tattiche e le tecniche ATT&CK, conferendo coesione a una difesa che spesso manca.
Caccia alle minacce
Mappando le difese su ATT&CK si ottiene una tabella di marcia delle lacune difensive che forniscono ai threat hunter i luoghi perfetti per individuare le attività mancate degli attaccanti.
Condivisione
Quando condividono informazioni su un attacco, su un attore o gruppo o sui controlli difensivi, i difensori possono garantire una comprensione comune utilizzando tecniche e tattiche ATT&CK.
Rilevamenti e indagini
Il Security Operations Center (SOC) e il team di risposta agli incidenti possono fare riferimento alle tecniche e alle tattiche ATT&CK che sono state rilevate o scoperte. Ciò aiuta a comprendere i punti di forza e di debolezza della difesa e a convalidare i controlli di mitigazione e rilevamento e può scoprire configurazioni errate e altri problemi operativi.
Integrazioni di strumenti
La pianificazione, l'esecuzione e la segnalazione delle attività di red team, purple team e penetration test possono utilizzare ATT&CK per parlare un linguaggio comune con i difensori e i destinatari delle segnalazioni e tra di loro.
Attori di riferimento
Attori e gruppi possono essere associati a comportamenti specifici e definibili.
Utilizzo di ATT&CK per mappare le difese e comprendere le lacune
L'inclinazione naturale della maggior parte dei team di sicurezza quando esaminano MITRE ATT&CK è cercare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ciascuna tecnica nella matrice aziendale. Anche se non si tratta di una pessima idea, le sfumature di ATT&CK rendono questo approccio un po' pericoloso se non si tengono presenti alcuni avvertimenti. Le tecniche nelle matrici ATT&CK possono spesso essere eseguite in vari modi. Quindi bloccare o rilevare un solo modo per eseguirle non significa necessariamente che ci sia una copertura per ogni possibile modo di eseguire quella tecnica. Ciò può portare a un falso senso di sicurezza, pensando che, poiché uno strumento blocca una forma di utilizzo di una tecnica, tale tecnica sia adeguatamente coperta dall'organizzazione. Tuttavia, gli aggressori possono ancora impiegare con successo altri modi per impiegare quella tecnica senza che venga eseguita alcuna rilevazione o prevenzione.
Il modo per risolvere questo problema è il seguente:
Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che Pass the Hash (T1075) e Pass the Ticket (T1097) siano coperti, poiché ci sono ancora molti altri modi per eseguire queste tecniche che non prevedono l'uso di Mimikatz. Tienilo a mente se cerchi di utilizzare ATT&CK per mostrare la copertura difensiva in un'organizzazione.
Utilizzo di ATT&CK con informazioni sulle minacce informatiche
ATT&CK può essere utile per l'intelligence sulle minacce informatiche in quanto consente di descrivere i comportamenti contraddittori in modo standard. Gli attori possono essere monitorati associando le tecniche e le tattiche di ATT&CK che sono noti per l'utilizzo. Questo fornisce ai difensori una tabella di marcia da applicare ai controlli operativi per vedere dove hanno punti deboli rispetto a determinati attori e quali sono i loro punti di forza. Creare schede MITRE ATT&CK Navigator per attori specifici è un buon modo per visualizzare i punti di forza e di debolezza dell'ambiente rispetto a tali attori o gruppi. ATT&CK è disponibile anche come Alimentazione STIX/TAXII 2.0 il che semplifica l'integrazione negli strumenti esistenti che supportano tali tecnologie.
ATT&CK fornisce dettagli su quasi settanta attori e gruppi, comprese le tecniche e gli strumenti che sono noti per utilizzare in base alla reportistica open source.
Elenco del gruppo MITRE ATT&CK
Lo stesso processo di creazione dell'intelligence può trarre vantaggio dall'uso del vernacolo comune di ATT&CK. Come accennato, ciò può valere per attori e gruppi, ma può valere anche per i comportamenti osservati visti dal SOC o dalle attività di risposta agli incidenti. Il malware può essere indicato anche in termini di comportamenti tramite ATT&CK. Tutti gli strumenti di threat intelligence che supportano ATT&CK aiutano a semplificare questo processo. L'intelligence commerciale e open source che applica ATT&CK a tutti i comportamenti menzionati è utile anche per mantenere le cose coerenti. Diffondere l'intelligenza nelle operazioni o nella gestione è in definitiva molto più semplice quando tutte le parti parlano la stessa lingua sui comportamenti contraddittori. Se le operazioni sanno esattamente cosa Autenticazione forzata è e lo vedono menzionato in un rapporto di intelligence, potrebbero sapere esattamente quali azioni dovrebbero essere intraprese o quali controlli sono già in atto riguardo a quel pezzo di intelligence. La standardizzazione dei riferimenti ATT&CK nei prodotti di intelligence in questo modo può migliorare notevolmente l'efficienza e garantire una comprensione comune.
Simulazione avversaria e ATT&CK
Testare le tecniche di ATT&CK rispetto all'ambiente è il modo migliore per:
Il processo di esecuzione della simulazione del contraddittorio non è estraneo a molti ambienti. Quando impiegano penetration tester per testare l'ambiente, le organizzazioni si impegnano in test di simulazione contraddittori. Lo stesso vale per le organizzazioni che hanno team rossi interni o che svolgono incarichi in team viola. L'applicazione delle attività di questi impegni alle tecniche ATT&CK aumenta la comprensione dei risultati da parte dei difensori. Invece di segnalare gli errori nell'individuazione di determinate attività, i report provenienti dai pen test e dai red team possono contenere un contesto migliore per applicare le proprie attività direttamente ai controlli operativi, agli strumenti difensivi e alle procedure. In questo modo è più facile per i difensori intraprendere le azioni appropriate a seguito delle segnalazioni.
Le simulazioni possono essere progettate per rispecchiare strumenti e tecniche noti per essere utilizzati anche da attori specifici. Ciò può essere particolarmente utile quando si cerca di valutare il successo di determinati avversari rispetto ai controlli presenti nell'ambiente.
Inoltre, sono disponibili strumenti che forniscono meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali come Verodin, BRECCIA SICURAe AttackIQ fornire la capacità di eseguire simulazioni contraddittorie in linea con ATT&CK. Esistono alcune opzioni open source per eseguire simulazioni contraddittorie e allinearsi anche con ATT&CK (elencate di seguito). Come sempre, fate attenzione quando eseguite simulazioni contraddittorie su reti di produzione in cui la portata delle potenziali ramificazioni non è completamente compresa.
Il processo per utilizzare questi strumenti è semplice:
- Simula — Scegli i criteri di simulazione in base al test desiderato, quindi esegui lo strumento o esegui la tecnica manualmente
- Caccia — Esamina i registri e l'output degli strumenti per verificare l'attività simulata; annota le aspettative mancate con controlli investigativi o preventivi
- Rileva — Aggiungere nuovi rilevamenti o mitigazioni in base ai risultati; annotare anche eventuali lacune di visibilità e tutti gli strumenti utilizzati per il rilevamento o la mitigazione
Le migliori pratiche per l'utilizzo di ATT&CK
Di seguito è riportato un elenco delle migliori pratiche per ATT&CK:
Usare tattiche in cui le tecniche sono ambigue o difficili da definire
Condividi metodi scoperti di rilevamento e mitigazione
Condividi tattiche e tecniche dei comportamenti osservati degli aggressori
Sfruttare Integrazione ATT&CK negli strumenti esistenti
Seguire ricerca esterna su rilevazioni e mitigazioni
Incoraggiare fornitori e fornitori di servizi per aggiungere il supporto per ATT&CK laddove sarebbe utile
Sfide legate all'utilizzo di ATT&CK
L'utilizzo di ATT&CK non è privo di sfide. È bene tenerli a mente quando si sfrutta ATT&CK.
Non tutte le tecniche sono sempre dannose
- Esempio: Dati dall'unità condivisa di rete (T1039)
- Chiave per il rilevamento: Come viene invocata questa tecnica?
Alcune tecniche sono elencate in più tattiche
- Esempio: Dirottamento degli ordini di ricerca DLL (T1038)
- Viene visualizzato nelle tattiche Persistence, Privilege Escalation e Defense Evasion
- Alcune tecniche, come questa, possono essere utilizzate per molteplici casi d'uso e sono utili in più fasi di attacco
Non tutte le tecniche sono facili da rilevare
- Esempio: Link per spearphishing (T1192)
- Chiave per il rilevamento: Altri eventi relativi alla ricezione delle e-mail
Alcune tecniche hanno molti possibili metodi di esecuzione.
- Esempio: Dumping delle credenziali (T1003)
- Chiave per il rilevamento: Sviluppa metodi noti per evocare la tecnica ed etichettali tutti come Credential Dumping
- MITRE rilascerà delle tecniche secondarie per aiutare a risolvere questo problema
Strumenti e risorse ATT&CK
Di seguito è riportato un elenco di strumenti e altre risorse che utilizzano ATT&CK. Alcuni di questi sono stati menzionati in precedenza ma sono forniti qui per una facile consultazione. Per aggiungere qualcosa a questo elenco, invia un'email a marketing@anomali.com.
Navigatore ATT&CK
ATT&CK Navigator è un ottimo strumento da utilizzare per mappare i controlli rispetto alle tecniche ATT&CK. È possibile aggiungere livelli che mostrano specificamente i controlli investigativi, i controlli preventivi o persino i comportamenti osservati. Navigator può essere utilizzato online per prototipi o scenari rapidi o può essere scaricata e configurato internamente come soluzione più permanente.
Navigatore MITRE ATT&CK
Esempio di dettagli inclusi nel cheat sheet di ATT&CK Logging di Malware Archeology
Cheat sheet sulla registrazione di Windows ATT&CK per l'archeologia del malware
I professionisti di fiducia di Malware Archeology forniscono una serie di cheat sheet di registrazione di Windows per aiutare i difensori a trovare attività dannose nei log. Ne hanno uno dedicato alla ricerca delle tecniche di MITRE ATT&CK.
Informazioni su Metta
Metta è un progetto open source di Uber che esegue simulazioni contraddittorie ed è allineato con MITRE ATT&CK.
Archivio di analisi informatica MITRE (CAR)
Archivio di analisi informatica MITRE (CAR)
MITRE dispone di una risorsa chiamata Cyber Analytics Repository (CAR) che è un sito di riferimento per varie analisi utili per rilevare i comportamenti in MITRE ATT&CK.
Caldera MITRE
Caldera è uno strumento di simulazione degli avversari automatizzato e open source basato su MITRE ATT&CK.
Immagine della schermata di MITRE Caldera
ATT&CK Enterprise Matrix in un Tableau pubblico di CYB3RPanda
Tavolo Tableau ATT&CK di CYB3RPanda
CYB3RPanda ha caricato ATT&CK in un'istanza pubblica di Tableau per semplificare il pivoting e il filtraggio.
Red Canary Atomic Red Team
Atomic Red Team è uno strumento open source di Red Canary per simulare comportamenti contraddittori mappati su MITRE ATT&CK. Maggiori informazioni sono disponibili all'indirizzo: https://atomicredteam.io/
Esempio di test Atomic Red Team
Playbook Viewer di Palo Alto Unit 42
Visualizzatore Playbook Palo Alto Unit 42
Il gruppo Unit 42 di Palo Alto ha rilasciato un visualizzatore gratuito che mostra i comportamenti contraddittori noti per una manciata di gruppi di minacce allineati a MITRE ATT&CK.
Automazione Endgame Red Team
Red Team Automation è uno strumento open source di Endgame che verifica i comportamenti dannosi modellati su MITRE ATT&CK.
Elenco attuale delle tecniche supportate da Red Team Automation (RTA)
Esempio di Anomali Cyber Watch
Orologio Anomali Cyber
Questo rapporto settimanale gratuito include i principali sviluppi della settimana in materia di sicurezza e minacce. Il rapporto include gli IOC e le tecniche ATT&CK pertinenti per ogni storia inclusa nel briefing.
Riepilogo
MITRE ha dato un contributo significativo alla comunità della sicurezza fornendoci ATT&CK e i relativi strumenti e risorse. Non poteva arrivare in un momento migliore. Poiché gli aggressori stanno trovando modi per essere più furtivi ed evitare di essere scoperti con gli strumenti di sicurezza tradizionali, i difensori si trovano a dover cambiare il modo in cui affrontano il rilevamento e la difesa. ATT&CK sposta la nostra percezione da indicatori di basso livello come indirizzi IP e nomi di dominio e ci fa vedere gli aggressori e le nostre difese attraverso la lente dei comportamenti. Questa nuova percezione non significa però che i risultati saranno facili. I giorni facili delle liste di blocco e dei semplici filtri sono quasi finiti. La strada per individuare e prevenire i comportamenti è molto più difficile rispetto agli strumenti «spara e dimentica» del passato. Inoltre, gli aggressori si adatteranno sicuramente man mano che i difensori apporteranno nuove capacità. ATT&CK fornisce un modo per descrivere tutte le nuove tecniche che sviluppano e, si spera, tenere i difensori al passo.
.jpeg)
