0
0
O que são “táticas”?
Introdução
MITRE ATT&CK é um grande recurso, mas algo sobre isso tem me incomodado desde que ouvi pela primeira vez sobre isso há vários anos. É um ponto menor, mas eu queria documentar caso confundisse mais alguém.
O documento MITRE ATT&CK Design and Philosophy de março de 2020 diz o seguinte:
Em alto nível, ATT&CK é um modelo comportamental que consiste nos seguintes componentes principais:
- Táticas, denotando gols de adversário tático de curto prazo durante um ataque;
- Técnicas, descrevendo os meios pelos quais os adversários alcançam objetivos táticos;
- Subseções, descrevendo meios mais específicos pelos quais os adversários atingem objetivos táticos em nível inferior às técnicas; E
- Uso de técnicas, procedimentos e outros metadados.
Minha preocupação é com a definição da MITRE de “táticas” como “objetivos táticos e táticos de curto prazo durante um ataque”, o que é estranhamente recursivo.
A palavra-chave na definição de táticas são metas. Segundo a MITRE, “táticas” são “metas”.
Exemplos de táticas ATT&CK
A ATT&CK lista os seguintes como “Enterprise Tactics“:
Olhando para esta lista, os primeiros 11 itens poderiam de fato ser vistos como metas. O último item, Impact, não é um objetivo. Esse item é um artefato de tentar colocar mais informações na estrutura da ATT&CK. Mas essa não é a minha principal preocupação.
Teoria e Definições Militares
Como um graduado da academia de serviços que teve que assistir a muitas palestras sobre teoria militar, e que participou de exercícios de pequenas unidades, a ideia de táticas como “objetivos” não faz sentido.
Eu gostaria de compartilhar três recursos que oferecem uma perspectiva diferente sobre táticas. Embora os três sejam militares, meu argumento não depende dessa associação.
O Dicionário do DOD de Termos Militares e Associados define táticas como “o emprego e o arranjo ordenado de forças em relação uns aos outros. Veja também os procedimentos; Técnicas. (CJCSM 5120,01)” (ênfase adicionada)
Em seu livro On Tactics, B. A. Friedman define táticas como “o uso de forças militares para alcançar a vitória sobre as forças inimigas no curto prazo”. (ênfase adicionada)
Dr. Martin van Creveld, estudioso e autor do mundo da estratégia militar, escreveu a excelente entrada da Enciclopédia Britânica em táticas. Seu artigo inclui o seguinte:
“Táticas, na guerra, a arte e a ciência de lutar batalhas em terra, no mar e no ar. Preocupa-se com a abordagem do combate; a disposição das tropas e outras personalidades; o uso feito de vários braços, navios ou aeronaves; e a execução de movimentos para ataque ou defesa…
A palavra tática tem origem nos táxis gregos, o que significa ordem, arranjo ou disposição – incluindo o tipo de disposição em que formações armadas costumavam entrar e lutar batalhas. A partir disso, o historiador grego Xenofonte derivava o termo tactica, a arte de elaborar soldados em matriz. Da mesma forma, o Tactica, um manual do início do século X, que diz ter sido escrito sob a supervisão do imperador bizantino Leão VI, o Sábio, tratava de formações, armas e formas de lutar com eles.
As táticas de termo caíram em desuso durante a Idade Média Europeia. Ele reapareceu apenas no final do século XVII, quando “Tacticks” foi usado pelo enciclopédico inglês John Harris para significar “a Arte de Eliminar qualquer Número de Homens em uma forma proposta de Batalha…”.
A partir desses três exemplos, é claro que as táticas são sobre uso e disposição de forças ou capacidades durante os compromissos. Os objetivos são totalmente diferentes. Táticas são os métodos pelos quais os líderes alcançam metas.
Como isso aconteceu?
Eu não era uma mosca na parede quando a equipe da MITRE projetou ATT&CK. Talvez a equipe do MITRE se fixou na frase “táticas, técnicas e procedimentos”, ou “TTPs”, novamente derivadas de exemplos militares, quando eles estavam projetando ATT&CK? Os TTPs tornaram-se quentes durante os anos 2000, à medida que os respondentes de incidentes se baseavam nessa linguagem ao desenvolver conceitos como indicadores de compromisso. Essa fixação pode ter levado a MITRE a usar “táticas” para sua estrutura de alto nível.
Teria feito mais sentido para a MITRE ter dito apenas “objetivo” ou “objetivo”, mas “GTP” não é reconhecido pelo mundo do defensor digital.
Não é só o Exército.
Alguns leitores podem pensar que “a ATT&CK não é uma ferramenta militar, então seus exemplos militares não se aplicam.” Uso as referências militares para mostrar que a palavra tática tem origens militares, como a palavra “estratégia”, dos Strategos gregos ou strategus, estratolúgioplural , (grego: στρατηγός, pl. στρατηγοί; Grego dórico: στραταγός, estragos; significando “líder do exército”).
Dito isso, ficaria surpreso em ver a palavra tática usada como “metas” em qualquer outro lugar. Por exemplo, nenhum desses exemplos do mundo não militar envolve táticas como objetivos:
Este artigo da Harvard Business Review define as táticas como “as decisões diárias e mensais necessárias para gerenciar um negócio”.
Este guia para treinadores de hóquei no gelo menciona táticas como “dar e ir, atravessar ataques, andar de bicicleta, cortar o disco para o espaço e se sobrepor”.
O guia de marketing de pequenas empresas lista táticas como publicidade, esforços de base, feiras, otimização de sites e e-mail e marketing social.
No mundo civil, táticas são como os líderes alcançam objetivos ou objetivos.
Conclusão
No quadro geral, não importa tanto para o conteúdo da ATT&CK que a MITRE use o termo “táticas” quando realmente significa “metas”.
No entanto, escrevi este artigo porque o design e a filosofia da ATT&CK enfatizam uma linguagem comum, por exemplo, a ATT&CK “organiza sucintamente táticas e técnicas adversárias, juntamente com o fornecimento de uma linguagem comum usada entre disciplinas de segurança”.
Se queremos compartilhar uma linguagem comum, é importante que reconheçamos que o uso att&CK do termo “táticas” é uma anomalia. Talvez uma edição futura mude a terminologia, mas duvido que seja entrincheirada neste momento.
Atualização: Este Tweet de Matt Brady fez este ponto:
“Acordado – por exemplo, o compromisso da cadeia de suprimentos é uma tática usada para acesso inicial, enquanto o compromisso da cadeia de fornecimento de software (ShadowHammer) é uma técnica específica.”
FONTE: TAO SECURITY