0
0
MITRE ATT&CK é uma estrutura que abrange múltiplas táticas e técnicas que os adversários usam para penetrar sistemas, mover-se lateralmente e, finalmente, assumir a rede. Abrange múltiplas plataformas, grupos de ameaças, estágios e indústrias de setores públicos a privados
A base de conhecimento MITRE ATT&CK descreve essas táticas e técnicas da perspectiva do adversário. Ele se concentra no que eles querem alcançar e como fazê-lo. A ATT&CK representa essas atividades dividindo o comportamento adversário em objetivos técnicos que desejam alcançar; as táticas do quadro.
Para cada tática, a ATT&CK especifica uma lista de técnicas e subes técnicas que um adversário pode usar para alcançar seu objetivo. Como as redes são configuradas de forma diferente, as mesmas ferramentas nem sempre estão disponíveis. Além disso, como aprendido com ataques passados, alguns grupos adversários têm suas próprias preferências para construir mecanismos de ataque. É por isso que existem uma série de técnicas diferentes para alcançar a mesma categoria de metas.
O objetivo da MITRE é preparar as equipes de segurança apresentando as informações em um formato estruturado, unificado e acionável. Inclui uma avaliação de como eles podem detectar ou parar comportamentos maliciosos. Todas essas informações são apresentadas em uma única matriz, projetada para permitir uma rápida avaliação de como a organização está preparada para lidar com cada técnica.
Na Preempt, usamos a estrutura ATT&CK para ajudar nossos clientes a executar modelagem de ameaças para avaliar sua cobertura atual para potenciais ataques. Acreditamos que a cobertura técnica não é apenas uma caixa de seleção para preencher – isso leva a uma “abordagem de 3 fases” para os recursos do Preempt: Avaliação, Detecção e Aplicação:
– A avaliação indica como o Preempt descobre onde sua rede é vulnerável a uma técnica.
– A detecção abrange como o Preempt pode detectar e alertar quando uma técnica é usada.
– A aplicação mostra como as equipes de segurança
podem usar o Preempt para configurar uma política para evitar a técnica.
Além dessas fases, cada técnica recebe uma pontuação acumulada de como o Preempt cobre a maioria das abordagens e malwares atuais disponíveis nessa técnica. Em julho de 2020, a MITRE lançou a ATT&CK com subes técnicas (chamada apenas ATT&CK). Essas subesse técnicas permitem o foco em métodos específicos de diferentes técnicas. Sempre que existem sub-técnicas, a cobertura preempt as avalia para maior granularidade.
Estamos entusiasmados em anunciar que nossos clientes podem explorar como o Preempt ajuda a cobrir essas técnicas usando o MITRE ATT&CK Navigator. Este navegador foi projetado para fornecer representação e anotação da matriz ATT&CK. Ele ajuda a visualizar a matriz de cobertura defensiva e ajuda a facilitar o uso da ATT&CK para determinar qual cobertura de segurança você pode ou não ter no lugar para cada tipo de ataque ou mesmo grupo APT.
Como funciona?
Os clientes começam indo para https://mitre-attack.github.io/attack-navigator/enterprise/, depois pressionam ‘+’, depois “Abra a camada existente” e carregue o arquivo de camada (você pode solicitar o arquivo de cobertura com base na sua implantação do Preempt abrindo um bilhete de suporte).
Uma vez carregado, você verá a cobertura oferecida para cada técnica e grupo pelo Preempt. Note que a cobertura pode parecer diferente dependendo do tipo de licença Preempt que demonstra.
Fig. 1 – Cobertura preempta de ATT&CK – Acesso Condicional Completo
Cada técnica ou subcoplicação tem uma pontuação de cobertura preempt e lista como o Preempt cobre isso é baseado na avaliação, detecção e aplicação.
Vejamos a Avaliação Preempt e a cobertura da sub-técnica Kerberoasting(T1558.003). Kerberoasting é um processo de aquisição de um bilhete que contém um desafio de senha criptografada para uma conta e quebrá-la offline para obter essa senha.
O primeiro passo deste ataque é descobrir quais contas são vulneráveis a essa técnica. Essas informações estão disponíveis como um risco no Preempt chamado Contas Mal Protegidas com Nome Principal do Serviço (SPN). Ter um SPN por si só não é uma vulnerabilidade, pois a atividade de rede da conta pode ser legítima; portanto, o risco leva em conta a política de senha e força. Recomendamos combinar essas informações com outro risco que o Preempt pode encontrar, contas com Senhas Comprometidas. Como o Kerberoasting requer decifrar as senhas, senhas comprometidas são naturalmente mais fáceis de determinar. Preempt avalia essas senhas usando diferentes bancos de dados de violações (ou seja, o banco de dados HaveIBeenPwned) ou permite o upload de um dicionário personalizado com base no contexto organizacional. O módulo de detecção do Preempt pode ver as tentativas de Kerberoasting à medida que estão sendo feitas ao vivo, juntamente com quaisquer outras atividades suspeitas associadas do ponto final, da identidade ou do destino.
O Score de cobertura indica cobertura preemptada para a sub-técnica dentro da estrutura MITRE. Além de fornecer uma avaliação da sua pilha de segurança, o Preempt detectará se há uma pesquisa LDAP ativa realizada que está associada a essa técnica.
O Preempt garante todas as identidades da força de trabalho para ajudar a criar um ambiente de zero confiança sem atrito. Como 80% de todas as violações envolvem credenciais comprometidas, o Preempt unifica a visibilidade de segurança e o controle para identidades no local e na nuvem.
FONTE: PREEMPT