Agendar uma demo

Suíte de produtos Anomali

Os produtos de segurança orientados por inteligência da Anomali oferecem visibilidade de ameaças e detecção acelerada incomparáveis, permitindo que os clientes reduzam o risco de violações de segurança e melhorem a produtividade da equipe de segurança.

Saiba mais

Nossos produtos

ThreatStream

Operacionalize sua inteligência contra ameaças em uma única plataforma para acelerar a detecção de ameaças e permitir medidas proativas de defesa.

Match

Automatize a detecção de ameaças em sua rede, correlacionando continuamente toda a inteligência contra ameaças disponível a todos os seus registros de eventos.

Lens

Tenha acesso ao conhecimento de inteligência contra as ameaças na ponta dos dedos, identifique ameaças novas e conhecidas e entenda se você foi afetado numa questão de segundos.

Anomali APP Store

Um lugar único para adquirir acesso instantâneo a um crescente catálogo de provedores de inteligência contra ameaças, ferramentas de análise de ameaças, e parceiros de integração.

Saiba mais

Ofertas do Marketplace

Inteligência contra ameaças

Faça testes e adquira feeds de inteligência contra ameaças de parceiros da Anomali – encontre a inteligência certa para sua organização, setor, local, tipo de ameaça e muito mais.

Ferramentas de análise de ameaças

Obtenha as ferramentas para pesquisar rapidamente entre as informações, procurar outras fontes de dados e obter uma visão completa de uma ameaça – tudo num clique.

Integrações de segurança

A Anomali integra-se perfeitamente a muitos sistemas de segurança e TI para operacionalizar a inteligência contra ameaças.

Para parceiros

Anomali SDKs

Seja um parceiro da APP Store

Visão geral dos parceiros

A Anomali oferece vantagens competitivas e novas oportunidades de receita para parceiros que desejam integrar seus portfólios de produtos com nossa plataforma líder de mercado em inteligência contra ameaças.

Saiba mais

Inscreva-se hoje mesmo

Revendedores

MSSP

Integradores de Sistemas

Pesquisa em destaque

Recursos

Fichas técnicas

Fichas técnicas de parceiros

Tópicos

O que é inteligência contra ameaças?

Compartilhamento de inteligência contra ameaças

Plataforma de inteligência contra ameaças (TIP)

STIX/TAXII

MITRE ATT&CK

Ferramentas gratuitas

Anomali Cyber Watch

STAXX

Limo

Boletim informativo da Anomali

Sobre a Anomali

A Anomali oferece soluções de segurança cibernética orientadas pela inteligência, incluindo ThreatStream®, Match™ e Lens™. As empresas usam a Anomali para aprimorar a visibilidade das ameaças, automatizar o processamento e a detecção de ameaças, e acelerar a investigação, resposta e remediação de ameaças.

Saiba mais

Anomali no trabalho

Liderança

Eventos e Notícias

Prêmios

Fale conosco

Entre em contato

Solicitar uma demo

Trabalhe conosco

O que é o MITRE ATT&CK e como ele é útil

O que é o MITRE ATT&CK™?

A MITRE introduziu o ATT&CK ( (Adversarial Tactics, Techniques & Common Knowledge – Táticas, Técnicas e Conhecimento Comum de Adversários) em 2013 como uma forma de descrever e categorizar os comportamentos dos adversários. O ATT&CK é uma lista estruturada de comportamentos conhecidos de invasores que foram compilados em táticas e técnicas, expressos em várias matrizes e também por meio do STIX/TAXII. Como essa lista é uma representação abrangente dos comportamentos que os invasores utilizam quando comprometem as redes, ela é útil para diversas medidas ofensivas e defensivas, representações e outros mecanismos.

Entendendo as matrizes do ATT&CK

A MITRE dividiu o ATT&CK em diferentes matrizes: Enterprise, Mobile e PRE-ATT&CK. Cada uma dessas matrizes contém várias táticas e técnicas associadas ao seu tema.

A matriz Enterprise é formada por técnicas e táticas que se aplicam aos sistemas Windows, Linux e/ou MacOS. A matriz Mobile contém táticas e técnicas que são aplicadas em dispositivos móveis. A PRE-ATT&CK contém táticas e técnicas relacionadas ao que os invasores fazem antes de tentarem explorar uma determinada rede ou sistema alvo.

Conhecendo o ATT&CK: táticas e técnicas

Ao olhar para o ATT&CK na forma de uma matriz, os títulos das colunas na parte superior são as táticas que são, basicamente, as categorias das técnicas. Táticas são o que os invasores estão tentando alcançar, enquanto as técnicas individuais são como eles realizam essas etapas ou metas.

ATT&CK Enterprise Matrix
Matriz empresarial do ATT&CK em https://attack.mitre.org/matrices/enterprise/

Por exemplo, uma das táticas é o Movimento lateral. Para que um invasor consiga executar o movimento lateral com sucesso em uma rede, ele vai querer utilizar uma ou mais das técnicas listadas na coluna Movimento lateral na matriz do ATT&CK.

Uma técnica é um comportamento específico para atingir uma meta e, muitas vezes, é uma etapa única em uma sequência de atividades empregadas para concluir a missão geral do invasor. O ATT&CK fornece diversos detalhes sobre cada técnica incluindo descrições, exemplos, referências e sugestões para mitigação e detecção.

Technique description in MITRE ATT&CK
Exemplo de uma descrição de técnica no MITRE ATT&CK

Um exemplo de como as táticas e técnicas funcionam no ATT&CK é: um invasor pode querer ter acesso a uma rede e instalar um software de mineração de criptomoedas no maior número possível de sistemas dentro dessa rede. Para atingir esse objetivo geral, o invasor precisa executar várias etapas intermediárias com sucesso. Primeiro, ele obtém acesso à rede, possivelmente por meio de um Link de Spearphishing. Em seguida, ele pode precisar elevar privilégios por meio da Injeção de processo. Agora, ele pode obter outras credenciais do sistema por meio do Depósito de credenciais e, em seguida, estabelecer a persistência definindo o script de mineração para executá-lo como uma Tarefa agendada. Com isso feito, o invasor poderá mover-se lateralmente pela rede com o Pass the Hash e espalhar seu software minerador de moedas no maior número possível de sistemas.

Neste exemplo, o invasor teve que executar com sucesso cinco etapas, cada uma representando uma tática ou estágio específico de seu ataque geral: Acesso inicial, Elevação de privilégios, Acesso a credenciais, Persistência e Movimento lateral. São usadas técnicas específicas dentro dessas táticas para realizar cada estágio do ataque (link de spearphishing, injeção de processo, depósito de credenciais etc.).

As diferenças entre o PRE-ATT&CK e o ATT&CK Enterprise

O PRE-ATT&CK e o ATT&CK Enterprise combinam-se entre si para formar a lista completa de táticas que se alinham com a Cyber Kill Chain. O PRE-ATT&CK se alinha principalmente com as três primeiras fases da Kill Chain: reconhecimento, armamento e entrega. O ATT&CK Enterprise está alinhado com as quatro fases finais da Kill Chain: exploração, instalação, comando e controle, e ações sobre os objetivos.

Cyber Kill Chain

Táticas do PRE-ATT&CK	Táticas do ATT&CK Enterprise
Definição de prioridades Seleção de alvo Coleta de informações Identificação de pontos fracos OpSec de adversária Estabelecer e manter a infraestrutura Desenvolvimento de persona Recursos de criação Recursos de teste Recursos de estágios	Acesso inicial Execução Persistência Elevação de privilégios Evasão de defesa Acesso a credenciais Descoberta Movimento lateral Coleta Exfiltração Comando e controle

O que pode ser feito com o ATT&CK

O ATT&CK é útil em diversos ambientes cotidianos. Quaisquer atividades defensivas que referenciem invasores e seus comportamentos podem se beneficiar da aplicação da taxonomia do ATT&CK. Além de oferecer um léxico comum para defensores cibernéticos, o ATT&CK também fornece uma base para testes de penetração e formação da equipe vermelha. Isso dá aos defensores e aos profissionais da equipe vermelha uma linguagem comum para se referir ao comportamento dos adversários.

Exemplos em que a aplicação da taxonomia do ATT&CK pode ser útil:

Mapeamento de controles defensivos
- Os controles defensivos podem ter um significado bem fácil de compreender quando usados como referência contra as táticas e técnicas do ATT&CK às quais se aplicam.
Busca de ameaças
- O mapeamento das defesas do ATT&CK produz um roteiro de brechas defensivas que proporcionam aos buscadores de ameaças os locais perfeitos para encontrar atividades de ataque perdidas.
Detecções e investigações
- A Central de Operações de Segurança (Security Operations Center, SOC) e a equipe de resposta a incidentes podem referenciar técnicas e táticas do ATT&CK que foram detectadas ou descobertas. Isto ajuda a entender onde estão os pontos defensivos fortes e fracos e valida os controles de mitigação e detecção, e pode revelar erros de configuração e outras questões operacionais.
Agentes de referenciação
- Agentes e grupos podem ser associados a comportamentos específicos e definíveis.

Integrações de ferramentas
- Ferramentas e serviços diferentes podem padronizar táticas e técnicas do ATT&CK, dando coesão a uma defesa que muitas vezes não existe.
Compartilhamento
- Ao compartilhar informações sobre um ataque, um agente ou grupo, ou controles defensivos, os defensores podem garantir o entendimento comum usando técnicas e táticas do ATT&CK.
Equipe vermelha/Atividades do teste de penetração
- O planejamento, a execução e o relatório das atividades da equipe vermelha, da equipe roxa e do teste de penetração podem usar o ATT&CK para assegurar um entendimento comum entre os defensores e destinatários dos relatórios.

Uso do ATT&CK para mapear defesas e entender as brechas

A inclinação natural da maioria das equipes de segurança ao olhar para o MITRE ATT&CK é tentar desenvolver algum tipo de controle de detecção ou prevenção para cada técnica na matriz empresarial. Embora essa não seja uma ideia ruim, os detalhes do ATT&CK tornam essa abordagem um pouco perigosa se certas advertências não forem lembradas. As técnicas nas matrizes do ATT&CK geralmente podem ser executadas de várias maneiras. Portanto, bloquear ou detectar uma maneira única de executá-las não significa necessariamente que haja cobertura para todas as maneiras possíveis de executar essa técnica. Isto pode levar a uma falsa sensação de segurança, considerando que, porque uma ferramenta bloqueia uma forma de empregar uma técnica, a técnica é adequadamente coberta pela organização. No entanto, os invasores ainda podem empregar com sucesso outras formas de utilizar essa técnica sem qualquer detecção ou prevenção no local.

A forma de abordar essa questão é a seguinte:

Sempre suponha que haja mais de uma maneira de executar uma técnica do ATT&CK
Pesquise e teste maneiras conhecidas de executar técnicas específicas, medir a eficácia das ferramentas e a visibilidade em vigor
Registre cuidadosamente os resultados dos testes para mostrar onde existem brechas para essa técnica e quais formas de utilizar essa técnica podem ser evitadas ou detectadas
Observe quais ferramentas são eficazes em detecções específicas e observe as brechas onde não há nenhuma cobertura
Mantenha-se atualizado com novas formas de executar técnicas e certifique-se de testá-las em relação ao ambiente para medir a cobertura

Por exemplo, se o antivírus detectar a presença de Mimikatz, isso não significa que o Pass the Hash (T1075) e Pass the Ticket (T1097) estão cobertos, pois ainda há várias outras maneiras de executar essas técnicas que não envolvem o uso de Mimikatz. Tenha isso em mente se estiver tentando usar o ATT&CK para mostrar a cobertura defensiva em uma organização.

Uso do ATT&CK com a inteligência contra ameaças cibernéticas

O ATT&CK podem ser útil para a inteligência contra ameaças cibernéticas, pois permite descrever comportamentos dos adversários de forma padrão. Os agentes podem ser rastreados com técnicas e táticas de associação no ATT&CK que já utilizam. Isso dá um roteiro para os defensores encontrarem nos seus controles operacionais os pontos fortes e fracos contra certos agentes. Criar entradas do navegador do MITRE ATT&CK para agentes específicos é uma boa maneira de visualizar os pontos fortes e fracos do ambiente contra esses agentes ou grupos. O ATT&CK também está disponível como um feed STIX/TAXII 2.0 o que facilita a inclusão em ferramentas existentes compatíveis com essas tecnologias.

O ATT&CK fornece detalhes sobre quase setenta agentes e grupos, incluindo as técnicas e ferramentas conhecidas por serem usadas com base em relatórios de código aberto.

Lista de grupos do MITRE ATT&CK

O processo de criação de inteligência pode se beneficiar do uso do próprio idioma comum do ATT&CK. Como mencionado, isso pode se aplicar a agentes e grupos, mas também pode se aplicar a comportamentos observados, como visto no SOC ou em atividades de resposta a incidentes. O malware também pode ser referido em termos de comportamentos por meio do ATT&CK. Quaisquer ferramentas de inteligência contra ameaças que têm suporte para o ATT&CK ajudam a simplificar esse processo. Inteligências comercial e de código aberto que aplicam o ATT&CK em qualquer comportamento mencionado também são úteis para manter as coisas consistentes. Disseminar inteligência para operações ou gerenciamento é, em último caso, muito mais fácil quando todas as partes falam o mesmo idioma em relação a comportamentos dos adversários. Se a equipe de operações souber exatamente o que é autenticação forçada e ver a expressão em um relatório de inteligência, ela poderá saber exatamente quais ações devem ser tomadas ou quais controles já estão em vigor em relação a essa parte da inteligência. A padronização das referências do ATT&CK em produtos de inteligência dessa forma pode melhorar drasticamente a eficiência e garantir a compreensão comum.

Simulação de adversários e ATT&CK

Testar as técnicas do ATT&CK em relação ao ambiente é a melhor maneira de:

Testar os controles e sua eficácia
Garantir a cobertura contra diferentes técnicas
Entender brechas na visibilidade ou proteção
Validar a configuração de ferramentas e sistemas
Demonstrar onde diferentes atores seriam bem-sucedidos ou seriam envolvidos no ambiente
Evitar palpites e suposições com controles, sabendo exatamente o que é detectado ou mitigado e o que não é

O processo de realização de simulação de adversários não é estranho a muitos ambientes. Ao empregar profissionais de teste de penetração para testar o ambiente, as organizações estão se envolvendo em testes de simulação de adversários. O mesmo se aplica a organizações que têm equipes vermelhas internas ou que realizam engajamentos de equipe roxas. A aplicação das atividades desses envolvimentos às técnicas do ATT&CK aumenta a compreensão dos resultados por parte dos defensores. Em vez de relatar falhas para detectar certas atividades, os relatórios de testes de penetração e as equipes vermelhas podem incluir melhor o contexto para aplicar suas atividades diretamente nos controles operacionais, ferramentas defensivas e procedimentos. Isso facilita na hora de os defensores tomarem as ações apropriadas como resultado dos relatórios.

As simulações podem ser criadas de forma a espelhar ferramentas e técnicas conhecidas por serem utilizadas por agentes específicos. Isso pode ser especialmente útil ao tentar avaliar o sucesso de determinados adversários em relação aos controles presentes no ambiente.

Além disso, existem ferramentas disponíveis que fornecem mecanismos para testar determinadas técnicas diretamente no ambiente e já estão alinhadas com o ATT&CK. Ferramentas comerciais como Verodin, SafeBreach e AttackIQ fornecem a capacidade de executar a simulação de adversários alinhada com o ATT&CK. Existem algumas opções de código aberto para fazer simulação de adversários e também alinhar com o ATT&CK (listadas abaixo). Como sempre, tome cuidado ao realizar simulações de adversários em redes de produção onde o escopo das ramificações potenciais não é totalmente compreendido.

O processo para usar essas ferramentas é simples:

Simulação: escolha critérios de simulação com base no teste desejado e, em seguida, execute a ferramenta ou execute a técnica manualmente
Busca: examine os registros e a saída da ferramenta para comprovar a atividade simulada; observe as expectativas perdidas com controles de detecção e prevenção
Detecção: adicione novas detecções ou mitigações com base nos resultados; observe também quaisquer brechas de visibilidade e quaisquer ferramentas utilizadas para detecção ou mitigação

Melhores práticas de uso do ATT&CK

Veja a seguir uma lista de práticas recomendadas para o ATT&CK.

Use as táticas quando as técnicas forem ambíguas ou difíceis de serem adotadas
Acompanhe pesquisas externas sobre detecções e mitigações

Compartilhe métodos descobertos de detecção e mitigação
Compartilhe táticas e técnicas de comportamentos observados dos invasores
Aproveite a integração do ATT&CK em ferramentas existentes
Incentive fornecedores e prestadores de serviços a adicionar suporte para a ATT&CK onde seria útil

Desafios ao aproveitar o ATT&CK

Usar o ATT&CK é desafiador. É bom ter isso em mente ao aproveitar o ATT&CK.

Nem todas as técnicas são sempre maliciosas
- Exemplo: dados da unidade compartilhada de rede (T1039)
- Chave para detecção: como essa técnica está sendo chamada?
Nem todas as técnicas são fáceis de detectar
- Exemplo: Link de spearphishing (T1192)
- Chave para detecção: outros eventos relacionados ao recebimento de e-mail

Algumas técnicas têm muitos métodos possíveis de execução
- Exemplo: Depósito de credenciais (T1003)
- Chave para detecção: criar métodos conhecidos para chamar a técnica e rotular todos como Depósito de credenciais
- O MITRE lançará subtécnicas para ajudar a lidar com isso
Algumas técnicas são listadas em várias táticas
- Exemplo: Sequestro da ordem de pesquisa de DLL (T1038)
- Aparece nas táticas de Persistência, Elevação de privilégios e Evasão de defesa
- Algumas técnicas, como esta, podem ser usadas em vários casos de uso e são úteis em diversos estágios do ataque

Ferramentas e recursos do ATT&CK

A seguir, é apresentada uma lista de ferramentas e outros recursos que fazem uso do ATT&CK. Alguns deles foram mencionados anteriormente, mas são fornecidos aqui para fácil referência. Para adicionar algo a esta lista, envie um e-mail para marketing@anomali.com.

O melhor lugar para começar com o ATT&CK é sempre o site do MITRE’s ATT&CK.
A MITRE mantém um blog sobre o ATT&CK no Medium.
Existe uma convenção de segurança dedicada ao ATT&CK.
Em caso de dúvidas sobre o ATT&CK, envie e-mails para: attack@mitre.org.

Navegador ATT&CK

O Navegador ATT&CK é uma excelente ferramenta para mapear os controles em relação às técnicas do ATT&CK. Camadas podem ser adicionadas que mostram especificamente controles de detecção, controles preventivos ou até mesmo comportamentos observados. O Navegador pode ser utilizado on-line para situações ou modelos rápidos ou pode ser baixado e configurado internamente como uma solução mais permanente.

Navegador do MITRE ATT&CK

Uber Metta

Metta é um projeto de código aberto da Uber que executa simulação de adversários e está alinhado com o MITRE ATT&CK.

MITRE Caldera

Caldera é uma ferramenta de simulação de adversários automatizada de código aberto baseada no MITRE ATT&CK.

Captura de tela do MITRE Caldera

Red Canary Atomic Red Team

A Atomic Red Team é uma ferramenta de código aberto da Red Canary para simular comportamentos dos adversários mapeados para o MITRE ATT&CK. Mais informações disponíveis em: https://atomicredteam.io/

Exemplo de teste do Atomic Red Team

Endgame Red Team Automation

Red Team Automation é uma ferramenta de código aberto da Endgame que testa comportamento malicioso com base no modelo do MITRE ATT&CK.

Lista atual de técnicas suportadas pelo Red Team Automation (RTA)

Malware Archeology – Planilha com fraudes do ATT&CK em registros Windows

O pessoal da Malware Archeology fornece uma série de planilhas com fraudes em registros do Windows para ajudar os defensores a encontrar atividades maliciosas nos registros. Eles têm uma pessoa dedicada para encontrar técnicas do MITRE ATT&CK.

Exemplo de detalhes incluídos na planilha com fraudes em registro do ATT&CK da Malware Archeology

Repositório de análise cibernética da MITRE (CAR)

A MITRE tem um recurso chamado Repositório de Análise Cibernética (Cyber Analytics Repository, CAR), que é um site de referência para várias análises úteis para detectar comportamentos no MITRE ATT&CK.

Repositório de análise cibernética da MITRE (CAR)

Tabela ATT&CK no Tableau do Cyb3rPanda

A Cyb3rPanda carregou seu ATT&CK em uma instância pública do Tableau para fácil movimentação e filtragem.

Matriz empresarial do ATT&CK em um Tableau público do Cyb3rPanda

Playbook da Unit 42 de Palo Alto

O grupo Unit 42 de Palo Alto lançou um playbook gratuito que mostra comportamentos dos adversários conhecidos para diversos grupos de ameaças alinhados com o MITRE ATT&CK.

Playbook da Unit 42 de Palo Alto

Anomali Cyber Watch

O Anomali Cyber Watch é um relatório semanal gratuito sobre os principais desenvolvimentos de segurança e ameaças da semana. O relatório inclui técnicas relevantes de IOCs e ATT&CK para cada história no briefing.

Exemplo do Anomali Cyber Watch

Resumo

A MITRE fez uma contribuição significativa para a comunidade de segurança, fornecendo o ATT&CK, suas ferramentas e recursos relacionados. Não poderia ter vindo em melhor hora. Como os invasores estão encontrando maneiras para serem mais furtivos e evitando a detecção por meio de ferramentas de segurança tradicionais, os defensores têm que mudar a forma como se aproximam da detecção e da defesa. O ATT&CK muda nossa percepção de indicadores de baixo nível, como endereços IP e nomes de domínio, e faz com que vejamos invasores e nossas defesas através das lentes de comportamentos. Mas essa nova percepção não significa que os resultados serão fáceis. Os dias fáceis com aquelas listas de bloqueios e filtros simples acabaram. O caminho para detectar e prevenir comportamentos é um caminho muito mais difícil do que as ferramentas do passado. Além disso, os invasores certamente se adaptarão à medida que os defensores trouxerem novos recursos. O ATT&CK fornece uma maneira de descrever quaisquer novas técnicas que eles desenvolvam e, com sorte, manter os defensores em sintonia.