MITRE ha presentato ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come modo per descrivere e categorizzare i comportamenti degli avversari in base alle osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti di aggressori noti che è stato compilato in tattiche e tecniche ed espresso in file tabulari oltre che mediante STIX/TAXII. Dal momento che tale elenco è una rappresentazione esaustiva dei comportamenti utilizzati dagli aggressori quando mettono a rischio le reti, è utile per una varietà di controlli, rappresentazioni e per creare meccanismi offensivi e difensivi.
MITRE ha suddiviso ATT&CK in un po' di tabelle diverse: Enterprise, Mobile e PRE-ATT&CK. Ciascuna di queste tabelle contiene varie tattiche e tecniche associate con l'argomento della tabella specifica.
Ad esempio la tabella Enterprise è costituita da tecniche e tattiche valide per i sistemi operativi Windows, Linux e/o Mac. Mobile contiene tattiche e tecniche valide per dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche correlate a ciò che fanno gli aggressori prima di tentare di sfruttare una rete o un sistema specifici.
Quando si guarda ad ATT&CK sotto forma di tabella, i titoli delle colonne in alto sono le tattiche e sono fondamentalmente categorie di tecniche. Le tattiche sono ciò che gli aggressori tentano di ottenere, mentre le singole tecniche sono come essi mettono in atto tali operazioni.
Tabella ATT&CK Enterprise da https://attack.mitre.org/matrices/enterprise/
Ad esempio, una delle tattiche consiste nel Movimento laterale. Affinché un aggressore possa ottenere correttamente un movimento laterale in una rete, deciderà di utilizzare una o più tecniche fra quelle elencate nella colonna Movimento laterale della tabella ATT&CK.
Una tecnica è un comportamento specifico volto a ottenere un obiettivo e spesso consiste in un'unica fase di una stringa di attività utilizzate per realizzare la missione globale dell'aggressore. ATT&CK fornisce molti dettagli di ciascuna tecnica, compreso una descrizione, degli esempi, riferimenti e consigli per la mitigazione e il rilevamento.
Esempio di una descrizione di tecnica in MITRE ATT&CK
Ecco un esempio di come funzionano tattiche e tecniche in ATT&CK: un aggressore potrebbe voler ottenere l'accesso a una rete e installare un software di ricerca di criptovaluta su quanti più sistemi possibile all'interno di quella rete. Al fine di realizzare questo obiettivo globale, l'aggressore deve portare a termine correttamente una serie di fasi intermedie. Innanzitutto, deve ottenere l'accesso alla rete, possibilmente attraverso un Spearphishing Link. Poi, potrebbe dover aumentare le autorizzazioni attraverso Process Injection. A quel punto, può ottenere altre credenziali dal sistema attraverso dumping delle credenziali e quindi stabilire la persistenza impostando lo script di ricerca affinché esegua come Operazione programmata. Una volta fatto ciò, l'aggressore potrebbe essere in grado di spostarsi lateralmente nella rete con Pass the Hash e diffondere il software di ricerca di valuta nel maggior numero di sistemi possibile.
In questo esempio, l'aggressore ha eseguito correttamente cinque fasi, ciascuna rappresentante una tattica o fase specifica dell'attacco globale: Accesso iniziale, Aumento dei privilegi, Accesso alle credenziali, Persistenza e Movimento laterale. All'interno di tali tattiche, ha usato tecniche specifiche per realizzare ogni fase del suo attacco (link spearphishing, process injection, dumping delle credenziali, ecc.).
PRE-ATT&CK e ATT&CK Enterprise si combinano per formare l'elenco completo di tattiche che si verificano per allinearsi grossomodo alla Cyber Kill Chain. PRE-ATT&CK si allinea perlopiù con le prime tre fasi della kill chain: riconoscimento, trasformazione in arma e consegna. ATT&CK Enterprise si allinea bene con le quattro fasi finali della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.
Tattiche PRE-ATT&CK | Tattiche ATT&CK Enterprise |
---|---|
|
|
ATT&CK risulta prezioso in svariate situazioni di tutti i giorni. Qualsiasi attività difensiva che abbia come bersaglio gli aggressori e i loro comportamenti può trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a fornire un lessico comune per i difensori cibernetici, ATT&CK offre anche una base per la realizzazione dei test di penetrazione e del red teaming. Ciò offre ai difensori e ai membri del red team un linguaggio comune quando fanno riferimento ai comportamenti dell'avversario.
Possono risultare utili degli esempi di applicazione della tassonomia di ATT&CK:
L'inclinazione naturale della maggior parte dei team di sicurezza quando guarda a MITRE ATT&CK è di tentare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ciascuna tecnica della tabella aziendale. Sebbene questa non sia una cattiva idea, le sfumature di ATT&CK rendono tale approccio un po' pericoloso se non si tengono presenti alcune avvertenze. Le tecniche delle tabelle di ATT&CK spesso possono essere realizzate in svariati modi. Pertanto, il blocco o il rilevamento di un unico modo per realizzarle non significa necessariamente che esista una copertura per ogni possibile modo per realizzare tale tecnica. Ciò può portare a un falso senso di sicurezza in base al quale poiché uno strumento blocca una forma di utilizzo di una tecnica, tale tecnica è adeguatamente coperta per l'organizzazione. Tuttavia, gli aggressori possono utilizzare con successo altri modi di servirsi di tale tecnica senza alcun rilevamento in essere.
Per risolvere tale problematica, occorre procedere come segue:
Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che sarete al riparo anche da Pass the Hash (T1075) e Pass the Ticket (T1097), poiché esistono svariati altri modi di realizzare queste tecniche che non comportano l'uso di Mimikatz. Importante tener presente ciò se si tenta di usare ATT&CK per dimostrare la copertura difensiva di un'organizzazione.
ATT&CK può risultare utile per la Threat intelligence informatica, poiché consente di descrivere i comportamenti degli avversari in modo standard. Gli autori possono essere tracciati con associazioni alle tecniche e tattiche presenti in ATT&CK e che sono noti di aver utilizzato in precedenza. Ciò fornisce ai difensori una mappa da poter applicare confrontandola ai loro controlli operativi per vedere dove siano i punti deboli a fronte di determinati singoli e dove invece siano i punti di forza. La creazione di voci del navigatore MITRE ATT&CK per singoli specifici è un buon modo per visualizzare i punti di forza e i punti deboli dell'ambiente rispetto a quelli di singoli o gruppi. ATT&CK è anche disponibile come STIX/TAXII 2.0 feed che facilita l'assimilazione negli strumenti attuali che supportano tali tecnologie.
ATT&CK fornisce dettagli praticamente su tutti i singoli e i gruppi, incluso su quali tecniche e strumenti questi sono soliti usare in base al reporting open source.
Elenco gruppi di MITRE ATT&CK
Il processo di creazione di informazioni stesso può trarre vantaggio dall'uso del gergo comune di ATT&CK. Come già detto, ciò può valere per singoli e gruppi, ma anche per i comportamenti osservati così come sono visti dal SOC o dalle attività di risposta agli incidenti. Il malware può anch'esso essere considerato in termini di comportamenti via ATT&CK. Qualsiasi strumento di Threat intelligence che disponga di supporto per ATT&CK contribuisce a semplificare questo processo. Anche le informazioni commerciali e open source che applicano ATT&CK a uno qualsiasi dei citati comportamenti sono utili per mantenere l'uniformità. La distribuzione di informazioni alle operazioni o alla gestione è in definitiva molto più facile quando tutte le parti utilizzano lo stesso linguaggio sui comportamenti degli avversari. Se le operazioni sanno esattamente cosa sia l'autenticazione forzata e la vedono citata in un report informativo, potrebbero sapere esattamente quali azioni occorre intraprendere o quali controlli sono già in essere in relazione a tali informazioni. Questa standardizzazione sui riferimenti di ATT&CK nei prodotti informativi può notevolmente migliorare l'efficienza e garantire una comprensione comune.
La realizzazione di test sulle tecniche di ATT&CK rispetto all'ambiente è il modo migliore di:
Il processo di realizzazione della simulazione dell'avversario non è estraneo a molti ambienti. Quando si utilizzano test di penetrazione per testare l'ambiente, le organizzazioni si impegnano in test di simulazione dell'avversario. Lo stesso vale per le organizzazioni che dispongono di red team interni o che realizzano attività di purple teaming. L'applicazione delle attività di tali ingaggi alle tecniche di ATT&CK aumenta la comprensione dei risultati da parte dei difensori. Invece di segnalare i mancati rilevamenti di determinate attività, il reporting da test di penetrazione e red team può contenere un contesto migliore per applicare le loro attività direttamente ai controlli operativi, agli strumenti difensivi e alle procedure. Ciò facilita ai difensori il compito di implementare le azioni idonee in conseguenza dei report.
Le simulazioni possono essere progettate inoltre per rispecchiare strumenti e tecniche che autori specifici notoriamente usano. Ciò può risultare particolarmente utile quando si tenta di valutare il livello di riuscita che potrebbero avere determinati avversari a fronte dei controlli presenti nell'ambiente.
Inoltre, sono disponibili strumenti che forniscono dei meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali quali Verodin, SafeBreach e AttackIQ forniscono la capacità di realizzare simulazioni dell'avversario allineate con ATT&CK. Esistono alcune opzioni open source per realizzare la simulazione dell'avversario e anche allinearla con ATT&CK (elencate di seguito). Come sempre, occorre essere cauti quando si realizzano simulazioni degli avversari su reti di produzione in cui non è ancora del tutto chiara la portata di possibili ramificazioni.
Il processo per servirsi di questi strumenti è semplice:
Quello che segue è un elenco di pratiche ottimali per ATT&CK.
L'uso di ATT&CK non è privo di sfide. Sarà bene tenerlo presente quando si utilizza ATT&CK.
Quello che segue è un elenco di strumenti e altre risorse che si servono di ATT&CK. Alcuni di questi sono stati citati in precedenza, ma vengono forniti qui come facile riferimento. Per far aggiungere qualcosa a questo elenco, inviare un'email a marketing@anomali.com.
ATT&CK Navigator è uno strumento eccezionale da usare per la mappatura dei controlli contro le tecniche di ATT&CK. È possibile aggiungere strati che mostrano in modo specifico controlli di rilevamento, controlli preventivi o perfino comportamenti osservati. Navigator può essere utilizzato online per simulazioni o scenari rapidi oppure può essere scaricato e configurato internamente come soluzione permanente.
MITRE ATT&CK Navigator
Metta è un progetto open source di Uber che realizza simulazioni dell'avversario ed è allineato con MITRE ATT&CK.
Caldera è uno strumento di simulazione dell'avversario open source e automatizzato basato su MITRE ATT&CK.
Screenshot di MITRE Caldera
Atomic Red Team è uno strumento open source di Red Canary per la simulazione dei comportamenti dell'avversario mappato su MITRE ATT&CK. Ulteriori informazioni disponibili alla pagina: https://atomicredteam.io/
Esempio di test di Atomic Red Team
Atomic Red Automation è uno strumento open source di Endgame che testa il comportamento dannoso modellato su MITRE ATT&CK.
Elenco di tecniche attuale supportate da Red Team Automation (RTA)
Gli amici di Malware Archeology forniscono un certo numero di promemoria di registrazione di Windows per supportare i difensori nel rilevamento di attività dannose nei log. Ne hanno uno apposta per il rilevamento di tecniche provenienti da MITRE ATT&CK.
Esempio di dettagli inclusi nel Promemoria di registrazione di ATT&CK di Malware Archeology
MITRE ha una risorsa denominata Cyber Analytics Repository (CAR) che è un sito di riferimento per varie analitiche utili per il rilevamento di comportamenti in MITRE ATT&CK.
MITRE Cyber Analytics Repository (CAR)
Cyb3rPanda ha caricato ATT&CK in un'istanza di tabella pubblica per consentire un agevole pivoting e filtraggio.
ATT&CK Enterprise Matrix in una tabella pubblica di Cyb3rPanda
Il gruppo Unit 42 di Palo Alto ha rilasciato un visualizzatore di manuali gratuito che mostra comportamenti noti dell'avversario per una manciata di gruppi di minacce allineato a MITRE ATT&CK.
Visualizzatore di manuali della Unit 42 di Palo Alto
Il Briefing settimanale sulle minacce di Anomali è un report settimanale gratuito di sviluppi fondamentali sulla sicurezza e di minacce della settimana. Il report include tecniche di IOC e ATT&CK pertinenti per ciascuna storia del briefing.
Esempio di Briefing settimanale sulle minacce di Anomali
MITRE ha apportato un contributo notevole alla community della sicurezza offrendoci ATT&CK e i relativi strumenti e risorse. Non poteva arrivare in un momento migliore. Man mano che gli aggressori trovano nuovi modi per rendersi più invisibili ed evitare il rilevamento mediante strumenti di sicurezza tradizionali, i difensori si trovano a dover cambiare il modo in cui approcciano il rilevamento e la difesa. ATT&CK sposta la nostra percezione dagli indicatori di livello basso quali gli indirizzi IP e i nomi di dominio e ci fa vedere gli aggressori e le nostre difese attraverso l'obiettivo dei comportamenti. Questa nuova concezione non significa tuttavia che i risultati arriveranno senza sforzo. Sono finiti i bei tempi delle liste di blocchi e dei filtri semplici. La strada del rilevamento e della prevenzione dei comportamenti è un percorso molto più difficile degli strumenti 'mordi e fuggi'. Inoltre, gli aggressori si staranno sicuramente adattando man mano che i difensori mettono in opera nuove competenze. ATT&CK fornisce un modo per descrivere qualunque nuova tecnica essi sviluppino e si spera che i difensori stiano al passo.