Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Bezpieczeństwo w Internecie

Co to jest MITRE ATT&CK i dlaczego go potrzebujesz?

Piotr R

5 czerwca 2024

MITRE ATT&CK to podstawowa platforma, która kompleksowo rozumie taktyki i techniki cyberprzestępców. Ta uznana na całym świecie baza wiedzy, pochodząca od korporacji MITRE, jest nieocenionym narzędziem dla specjalistów ds. cyberbezpieczeństwa, którzy chcą wzmocnić swoją obronę przed wyrafinowanymi zagrożeniami cybernetycznymi. Zasadniczo MITRE ATT&CK kataloguje szeroką gamę taktyk, technik i procedur (TTP) stosowanych przez cyberprzestępców, zapewniając uporządkowane podejście do modelowania zagrożeń cybernetycznych i opracowywania strategii obrony.

Oceny MITRE

Opracowany w 2013 roku framework MITRE ATT&CK wykorzystuje obserwacje ze świata rzeczywistego do dokumentowania konkretnych metod, taktyk i technik ataku. Gdy na światło dzienne wychodzą nowe luki i powierzchnie ataku, są one dodawane do platformy ATT&CK, która w ten sposób stale się rozwija. W ciągu ostatnich kilku lat platforma MITRE ATT&CK i jej macierze stały się standardem branżowym zarówno w zakresie wiedzy, jak i narzędzi zaradczych dotyczących zachowań atakujących.

Kto używa MITRE ATT&CK i dlaczego?

Macierze ATT&CK są wykorzystywane przez szerokie grono specjalistów ds. IT i bezpieczeństwa, w tym przez członków czerwonych drużyn (Red Team) odgrywających rolę atakującego lub nieuczciwych konkurentów biznesowych, łowców zagrożeń (White Hat), inżynierów zajmujących się rozwojem produktów zabezpieczających, zespołów zajmujących się analizą zagrożeń i specjalistów ds. zarządzania ryzykiem.

Członkowie zespołu czerwonego wykorzystują platformę ransomware MITRE ATT&CK jako wzór pomagający odkryć obszary ataku i luki w systemach i urządzeniach korporacyjnych, a także poprawić zdolność do łagodzenia ataków po ich wystąpieniu poprzez uczenie się informacji. Obejmuje to dostęp atakujących, sposób poruszania się w zaatakowanej sieci oraz metody stosowane w celu uniknięcia wykrycia. Ten zestaw narzędzi umożliwia organizacjom uzyskanie lepszej świadomości ogólnego stanu bezpieczeństwa, identyfikowanie i testowanie luk w zabezpieczeniach oraz ustalanie priorytetów potencjalnych luk w zabezpieczeniach w oparciu o ryzyko, jakie stanowią dla organizacji.

Łowcy zagrożeń korzystają ze struktury ATT&CK, aby znaleźć korelacje między konkretnymi technikami używanymi przez atakujących przeciwko swoim mechanizmom obronnym, a także wykorzystują tę strukturę do zrozumienia widoczności ataków skierowanych na ich zabezpieczenia zarówno w punktach końcowych, jak i na całym obwodzie sieci.

Twórcy i inżynierowie platform bezpieczeństwa wykorzystują MITRE ATT&CK jako narzędzie do oceny skuteczności swoich produktów, odkrywania nieznanych wcześniej słabych punktów i modelowania zachowania swoich produktów w trakcie cyklu życia cyberataku.

Co to jest MITRE ATT&CK?

MITRE ATT&CK to skrót od MITRE Adversarial Tactics, Techniques i Common Knowledge. Struktura MITRE ATT&CK to wyselekcjonowane repozytorium zawierające matryce zapewniające model zachowań cyberataków. Schemat jest zazwyczaj przedstawiony w formie tabelarycznej, z kolumnami przedstawiającymi taktykę (lub pożądane wyniki) zastosowaną w trakcie ataku oraz wierszami przedstawiającymi techniki stosowane do osiągnięcia celów taktycznych. Struktura dokumentuje również wykorzystanie technik i inne metadane powiązane z poszczególnymi technikami.

Struktura MITRE ATT&CK jest następstwem eksperymentu MITRE, który emulował zarówno atakującego, jak i obrońcę, aby pomóc zrozumieć, w jaki sposób dochodzi do ataków i ulepszyć wykrywanie po włamaniu przy użyciu telemetrii i analizy behawioralnej. Aby lepiej zrozumieć, jak dobrze branża radzi sobie z wykrywaniem udokumentowanych zachowań kontradyktoryjnych, stworzyli platformę ATT&CK jako narzędzie do kategoryzacji tych zachowań.

Co znajduje się w macierzy MITRE ATT&CK?

Obecnie istnieją cztery główne macierze składające się na strukturę ATT&CK. Zarówno Pre-ATT&CK, jak i ATT&CK for Enterprise dotyczą ataków na infrastrukturę przedsiębiorstwa.

Wiele działań (takich jak rozpoznanie i zagospodarowanie zasobów), które podejmują cyberprzestępcy, zanim przedsiębiorstwo zostanie naruszone, jest zwykle wykonywanych poza widzialnością organizacji, w związku z czym te taktyki i techniki przed atakiem są niezwykle trudne do wykrycia na samym początku. Na przykład cyberprzestępcy mogą wykorzystać informacje swobodnie dostępne w Internecie, relacje organizacji z innymi organizacjami, które już zostały zainfekowane, lub inne metody próby uzyskania dostępu. PRE-ATT&CK pozwala broniącym się organizacjom lepiej monitorować i rozumieć działania poprzedzające atak, które mają miejsce poza granicami ich sieci.

Enterprise ATT&CK: ATT&CK dla przedsiębiorstw zapewnia model szczegółowo opisujący działania, które cyberprzestępcy mogą podjąć, aby naruszyć bezpieczeństwo i wykonać swoje działania w sieci korporacyjnej. W macierzy znajdują się określone taktyki i techniki dla szerokiej gamy platform, w tym Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, sieci i kontenery. Macierz PRE-ATT&CK pierwotnie była częścią ATT&CK for Enterprise, ponieważ skupiała się również na próbach naruszenia bezpieczeństwa infrastruktury przedsiębiorstwa. Struktura przedsiębiorstwa pomaga organizacjom ustalić priorytety zabezpieczeń sieci, koncentrując się na tych, które stanowią największe ryzyko dla konkretnego przedsiębiorstwa.

Mobilne ATT&CK: Mobilna macierz ATT&CK opisuje taktykę i techniki stosowane w celu naruszenia bezpieczeństwa urządzeń mobilnych z systemem iOS i Android. W tym celu ATT&CK dla telefonów komórkowych opiera się na katalogu zagrożeń mobilnych NIST i kataloguje wiele taktyk oraz technik, które zostały użyte do wpływania na urządzenia mobilne i osiągania wszelkich cyberprzestępczych celów, które chcieli osiągnąć czarne kapelusze. Dodatkowo ATT&CK for Mobile zawiera listę efektów sieciowych – taktyk i technik, których można używać bez konieczności dostępu do rzeczywistego urządzenia.

ICS ATT&CK: Najnowszą matrycą w rodzinie ATT&CK jest matryca MITRE ATT&CK for Industrial Control Systems (ICS), która jest podobna do Enterprise ATT&CK, z tą różnicą, że jest przeznaczona specjalnie do przemysłowych systemów sterowania, takich jak sieci energetyczne, fabryki, młyny i inne organizacje, które opierają się na wzajemnie połączonych maszynach, urządzeniach, czujnikach i sieciach.

Każda z macierzy zawiera szczegółowe opisy techniczne każdej techniki stosowanej w przypadku każdej taktyki poprzez cykl życia ataku przeciwnika, zasoby i systemy, na które dana technika jest celem, a także wskazuje podejścia do łagodzenia i przeciwdziałania dla każdej z nich, analizy wykrywania wykorzystywane do odkrycia techniki oraz przykłady użytkowania w świecie rzeczywistym.

Przeglądając macierze, odnosimy wrażenie, że taktyki są prezentowane w sposób liniowy, opisujący cykl życia ataku, począwszy od punktu rozpoznania aż do ostatecznego celu, niezależnie od tego, czy celem tym jest eksfiltracja informacji, szyfrowanie plików dla celów oprogramowania ransomware i innych złośliwych działań.

Jakie są zalety framework MITRE ATT&CK?

Główną zaletą platformy ATT&CK jest to, że organizacje mogą zrozumieć, w jaki sposób działają przeciwnicy, jakie kroki mogą zaplanować, aby uzyskać początkowy dostęp, odkryć i eksfiltrować dane. Pozwala to zespołom spojrzeć na działania z perspektywy atakującego, co może prowadzić do lepszego zrozumienia ich motywacji i taktyki. Ostatecznie organizacje mogą wykorzystać tę wiedzę i do identyfikowania luk w swoim stosie zabezpieczeń oraz ulepszania wykrywania zagrożeń i reagowania na nie, umożliwiając zespołom przewidywanie kolejnych ruchów atakującego, co umożliwi szybkie podjęcie działań zaradczych. W sporcie często mówi się, że najlepszą obroną jest atak, a w cyberbezpieczeństwie zrozumienie, na czym polega przestępstwo, może znacznie pomóc w obronie sieci, urządzeń i użytkowników.

Ponadto w obecnym środowisku pracy, w którym występuje poważny niedobór umiejętności w zakresie cyberbezpieczeństwa, framework MITRE ATT&CK mogą pomóc nowo zatrudnionym pracownikom ochrony, zapewniając im wiedzę i narzędzia badawcze, których potrzebują, aby szybko reagować na każde zagrożenie poprzez wykorzystanie zbiorowej wiedzy wszystkich poprzedzających ich specjalistów ds. bezpieczeństwa, którzy wnieśli swój wkład w tworzenie matryc framework MITRE ATT&CK.

Jakie są wyzwania związane ze stosowaniem framework MITRE ATT&CK?

W miarę jak macierze ATT&CK stale rosną zarówno pod względem liczby, jak i rozmiaru, stają się one coraz bardziej złożone. Liczba kombinacji i permutacji taktyk i technik w ramach, choć niezwykle dokładna, może być przytłaczająca ze względu na ogromną ilość danych do przetrawienia i przetworzenia.

Na przykład obecnie istnieje ponad 400 różnych technik lub wzorców ataków przedstawionych w czternastu taktykach opisanych w ATT&CK dla przedsiębiorstw. Wiele z tych technik zawiera również podtechniki, które dodatkowo zwiększają liczbę permutacji. Wiele organizacji nie zautomatyzowało mapowania wszystkich danych do swojej obecnej infrastruktury bezpieczeństwa, co może być ogromnym zadaniem.

Inne wyzwania obejmują trudności w korelowaniu zdarzeń w chmurze i lokalnie lub brak możliwości korelowania zdarzeń z urządzeń mobilnych i punktów końcowych.

Narzędzia i zasoby MITRE ATT&CK

Zagłębienie się w strukturę MITRE ATT&CK ujawnia skarbnicę narzędzi i zasobów umożliwiających wzmocnienie zabezpieczeń cybernetycznych. Narzędzia te ułatwiają głębsze zrozumienie struktury i umożliwiają specjalistom ds. bezpieczeństwa skuteczne wdrażanie jej strategii.

Do najbardziej godnych uwagi zasobów należą ATT&CK Navigator, MITRE Cyber Analytics Repository (CAR), Caldera i Atomic Red Team. Każdy z nich służy unikalnemu celowi w ekosystemie cyberbezpieczeństwa, oferując wgląd i możliwości dostosowane do różnych aspektów wykrywania, analizy i symulacji zagrożeń.

MITRE ATT&CK Navigator

MITRE ATT&CK Navigator wyróżnia się jako narzędzie do wizualizacji. Umożliwia użytkownikom odkrywanie i dostosowywanie szerokiej gamy taktyk, technik i procedur (TTP) udokumentowanych w ramach ATT&CK. Jego interaktywny interfejs pozwala na mapowanie mechanizmów obronnych organizacji przed potencjalnymi zagrożeniami, podkreślając obszary mocnych i słabych stron.

Repozytorium Cyber Analytics (CAR)

Repozytorium Cyber Analytics (CAR) MITRE przyjmuje inne podejście, koncentrując się na analitycznej stronie cyberbezpieczeństwa. Zapewnia kompleksowy zbiór analiz opartych na technikach ATT&CK, które można zastosować bezpośrednio do danych sieciowych i zdarzeń. To repozytorium jest nieocenione dla tych, którzy chcą zwiększyć swoje możliwości wykrywania i zrozumieć specyfikę techniczną różnych metod ataku.

Caldera i Atomic Red Team

Caldera i Atomic Red Team oferują praktyczne narzędzia do symulowania technik przeciwnika i testowania zabezpieczeń sieci. Caldera to zautomatyzowany system emulacji przeciwnika, który wykorzystuje framework ATT&CK do tworzenia realistycznych scenariuszy ataków. Z kolei Atomic Red Team udostępnia bibliotekę skryptów do wykonywania określonych technik, pozwalając zespołom przetestować swoją odporność na znane zagrożenia.

MITRE ATT&CK – kluczowe wnioski

MITRE ATT&CK to doskonałe źródło informacji dla organizacji, które mogą pomóc im bronić się przed stale zmieniającym się krajobrazem zagrożeń cybernetycznych. Operacjonalizacja macierzy ATT&CK dla przedsiębiorstw rozpoczyna się od ustalenia priorytetów technik ATT&CK.

Jednak jeśli chcesz dowiedzieć się, w jaki sposób możesz dodatkowo podnieść poziom cyberbezpieczeństwa w swojej firmie za pomocą systemu antywirusowego z linii Bitdefender GravityZone, to sprawdź tę stronę.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy