DeTT&CT: Detecção de mapeamento para MITRE ATT&CK

Views: 182
0 0
Read Time:20 Minute, 25 Second

Introdução

A detecção de edifícios é uma tarefa complexa, especialmente com uma quantidade cada vez maior de fontes de dados. Manter o controle dessas fontes de dados e suas regras de detecção apropriadas ou evitar regras de detecção duplicadas que cobrem as mesmas técnicas pode dificultar os engenheiros de detecção.

Para um SOC, é crucial ter uma boa visão geral e uma compreensão clara de sua visibilidade real e cobertura de detecção para identificar lacunas, priorizar o desenvolvimento de novas regras de detecção ou integrar novas fontes de dados.

Nesta postagem do blog, aprenderemos como o DeTT&CT pode ajudá-lo a criar, manter e pontuar sua visibilidade e cobertura de detecção.

Falaremos primeiro do MITRE ATT&CK, que é uma base de conhecimento dos TTPs adversários (Táticas, Técnicas e Procedimentos) e seu “Navegador”, uma matriz que descreve visualmente os TTPs adversários. Em seguida, abordaremos a estrutura e as funcionalidades do DeTT&CT. Por fim, percorreremos as diferentes etapas para começar a documentar sua própria cobertura de detecção.


AT&CK

MITRE ATT&CK é uma base de conhecimento de TTPs adversários baseada em observações do mundo real e usada por adversários contra redes corporativas. Embora o ATT&CK cubra algumas ferramentas e softwares usados ​​pelos invasores, o foco da estrutura é como os adversários interagem com os sistemas para atingir seus objetivos.

ATT&CK contém um conjunto de técnicas e subtécnicas organizadas em um conjunto de táticas. As táticas representam o “porquê” de uma técnica ATT&CK, o objetivo tático do adversário para uma determinada ação. Esse objetivo tático pode ser obter acesso inicial, obter persistência, mover-se lateralmente, exfiltrar dados e assim por diante.

Técnicas e subtécnicas representam “como” um adversário atinge um objetivo tático. Por exemplo, um adversário pode criar um novo serviço do Windows para executar repetidamente cargas maliciosas e persistir mesmo após uma reinicialização. Existem muitas maneiras ou técnicas para atingir um objetivo tático.

Essas táticas e técnicas são representadas em uma matriz contendo, no momento da escrita, 14 táticas e 188 técnicas.

Figura 1: Matriz MITRE ATT&CK

Atualmente, o MITRE ATT&CK está firmemente estabelecido com profissionais de segurança e forma um vocabulário comum tanto para ataque quanto para defesa. As equipes de emulação de adversários o usam para planejar engajamentos e criar cenários com base em técnicas realistas usadas por adversários do mundo real, as equipes de detecção usam o ATT&CK para avaliar sua cobertura de detecção e encontrar lacunas em suas defesas, e as equipes de inteligência de ameaças cibernéticas (CTI) rastreiam adversários e ameaças grupos de atores pelo uso de TTPs mapeados para a estrutura ATT&CK.

MITRE ATT&CK™ contém muitas informações valiosas sobre:

  • TTPs (Táticas, Técnicas e Procedimentos)
  • Grupos (atores de ameaças)
  • Software (software usado por agentes de ameaças)
  • Fontes de dados (visibilidade necessária para detecção)
  • Mitigações

A relação entre esses tipos de informações pode ser visualizada usando o seguinte diagrama:

Figura 2: Relacionamento de entidades dentro do ATT&CK 
(Fonte: https://www.mbsecure.nl/blog/2019/5/dettact-mapping-your-blue-team-to-mitre-attack )

Para nos ajudar a visualizar essa matriz e destacar os TTPs, o MITRE fornece uma interface da Web chamada ATT&CK Navigator . Existe uma instância online que lhe permite testar as suas funcionalidades de forma fácil e rápida. Mas, se você pretende usá-lo para mais do que testes, é altamente recomendável ter sua própria instância.

Para instalar uma instância local, clone o repositório GitHub e siga o procedimento descrito na documentação ( https://github.com/mitre-attack/attack-navigator#Install-and-Run ).

Figura 3: Navegador ATT&CK

Embora pudéssemos usar o ATT&CK Navigator para documentar nossa cobertura de detecção, ele carece de funcionalidades mais complexas, como pontuação em vários níveis, diferenciação entre visibilidade e detecção e separação com base em plataformas e fontes de dados.

É nessa lacuna que o DeTT&CT entra em ação. Vamos descobrir como essa ferramenta funciona e como ela pode nos ajudar a construir, manter e pontuar nossa visibilidade e cobertura de detecção.


DeTT&CT

Propósito

DeTT&CT significa Detect Tactics, Techniques & Combat Threats. Essa estrutura foi criada no Centro de Defesa Cibernética do Rabobank e é desenvolvida e mantida por Marcus Bakker e Ruben Bouman.

O objetivo do DeTT&CT é ajudar as equipes azuis usando o MITRE ATT&CK para pontuar e comparar a qualidade da fonte de registro de dados, cobertura de visibilidade e cobertura de detecção. Ao usar essa estrutura, as equipes azuis podem detectar rapidamente lacunas na cobertura de detecção ou visibilidade e priorizar a ingestão de novas fontes de log.

Funcionalidades

O DeTT&CT oferece uma estrutura que pode mapear as informações que você possui sobre as entidades disponíveis no ATT&CK e ajudá-lo a gerenciar os dados, a visibilidade e a cobertura de detecção de suas equipes azuis.

A estrutura DeTT&CT consiste em diferentes componentes:

  • uma ferramenta Python (DeTT&CT CLI)
  • Arquivos de administração YAML
  • o DeTT&CT Editor (para criar e editar os arquivos de administração YAML)
  • tabelas de pontuação para detecções, fontes de dados e visibilidade

DeTT&CT CLI é um script python (dettect.py) que funciona com seis modos diferentes:

  • editor: iniciar a interface web do editor DeTT&CT
  • datasource (ds): mapeamento e qualidade da fonte de dados
  • visibilidade (v): mapeamento de cobertura de visibilidade com base em técnicas e fontes de dados
  • detecção (d): mapeamento de cobertura de detecção com base em técnicas
  • grupo (g): mapeamento de grupos de agentes de ameaças
  • genérico (ge): inclui:estatísticas sobre fonte de dados ATT&CK e atualizações sobre técnicas, grupos e software

Você pode usar a interface de linha de comando ou iniciar o editor para criar e gerenciar os diferentes arquivos de administração YAML.

O DeTT&CT Framework usa arquivos YAML para administrar fontes de dados, visibilidade, técnicas e grupos. Os seguintes tipos de arquivo podem ser identificados:

  • Administração de fontes de dados
  • Administração técnica (visibilidade e cobertura de detecção)
  • Administração de grupos

Falaremos sobre esses arquivos de administração daqui a pouco.

Você pode encontrar um exemplo de arquivo de administração no repositório do Github.

Uma das primeiras etapas ao usar o DeTT&CT é fazer um inventário de suas fontes de dados, pontuando a qualidade dos dados.

Fontes de dados

As fontes de dados são os logs brutos ou eventos gerados pelos sistemas, por exemplo, dispositivos de segurança, dispositivos de rede e endpoints. ATT&CK tem mais de 30 fontes de dados diferentes que são divididas em mais de 90 componentes de dados. Todos esses componentes de dados estão incluídos nesta estrutura. Essas origens de dados são administradas no  arquivo YAML de administração da origem de dados . Para cada fonte de dados, entre outros, a qualidade dos dados pode ser pontuada. No ATT&CK, essas fontes de dados são listadas nas próprias técnicas (por exemplo, T1003 na seção Detecção).

Figura 4: Exemplo de fonte de dados ATT&CK

A pontuação da fonte de dados é baseada em vários critérios da tabela de pontuação de qualidade de dados:

  • Integridade dos dados
  • Integridade do campo de dados
  • pontualidade
  • Consistência
  • Retenção
Figura 5: tabela de pontuação de qualidade da fonte de dados

Visibilidade

A visibilidade é usada no DeTT&CT para indicar se você tem fontes de dados suficientes com qualidade suficiente para poder capturar evidências de atividades associadas às técnicas ATT&CK. A visibilidade é necessária para realizar a resposta a incidentes, executar investigações de caça e construir detecções. No DeTT&CT, você pode pontuar a cobertura de visibilidade por técnica ATT&CK. As pontuações de visibilidade são administradas no arquivo YAML de administração da técnica.

As pontuações de visibilidade são classificadas de 0 a 4:

Figura 6: tabela de pontuação de visibilidade

Detecção

Somente quando você tem as fontes de dados certas com qualidade de dados adequada e disponíveis para análise de dados, sua visibilidade pode ser usada para criar novas detecções para técnicas ATT&CK. As detecções geralmente acionam alertas e, portanto, são acompanhadas por sua equipe azul. Pontuar e administrar suas detecções também é feito no arquivo YAML de administração da técnica.

As pontuações de detecção são classificadas de -1 a 5:

Figura 7: tabela de pontuação de detecção

Você pode avaliar a pontuação de uma detecção com base na tabela a seguir:

Figura 8: Detalhes da pontuação de detecção

Prática 

Vamos agora percorrer as diferentes etapas para construir a cobertura de detecção e realizar a análise de lacunas contra um grupo de agentes de ameaças. Primeiro, precisamos instalar o DeTT&CT.

Instalação

Você pode instalar facilmente o DeTT&CT, usando uma imagem do Docker Hub ou instalando-o localmente. Quanto ao ATT&CK Navigator, sugerimos fortemente a instalação do DeTT&CT localmente se você estiver documentando a cobertura de detecção de sua própria organização.

Para instalá-lo localmente, clone o repositório do Github e instale os pacotes necessários. Você também precisa ter o Python 3.6 ou superior.

Instalação

Para instalar o DeTT&CT, execute os seguintes comandos:

git clone https://github.com/rabobank-cdc/DeTTECT.gitcd DeTTECT
pip install -r requirements.txt

Depois de instalado, você pode usar a interface de linha de comando ou iniciar o Editor DeTT&CT.

Para iniciar o Editor DeTT&CT, digite o seguinte comando:

python3 dettect.py e
  • e: inicie o editor DeTT&CT localmente
Figura 9: Iniciando o Editor DeTT&CT

Isso iniciará automaticamente um navegador da web na interface do editor.

Figura 10: Interface do Editor DeTT&CT

Cobertura da fonte de dados

ATT&CK tem mais de 30 fontes de dados diferentes, que são divididas em mais de 90 componentes de dados. Todos os componentes de dados estão incluídos nesta estrutura.

Usando o arquivo de administração de fonte de dados YAML, você pode administrar suas fontes de dados e registrar o seguinte:

  • A data em que você registrou a entrada no DeTT&CT
  • Os dados quando você conectou a fonte de dados ao data lake de segurança
  • Em que produto(s) os dados residem
  • O tipo de sistema(s) a que a fonte de dados se aplica
  • Um sinalizador para indicar se a fonte de dados pode ser usada na análise de dados
  • Um possível comentário
  • Qualidade dos dados

Além dos campos predefinidos, você pode adicionar mais informações usando pares chave-valor.

Vamos primeiro listar nossas fontes de dados usando o Editor DeTT&CT.

Vá para o Editor DeTT&CT, selecione Data Sources e crie um novo arquivo.

Figura 11: Configurando o arquivo de administração da fonte de dados

Em seguida, adicione fontes de dados de acordo com as fontes de dados que você já tem disponíveis.

Clique em “Adicionar fonte de dados” e selecione uma fonte de dados. As fontes de dados do MITRE ATT&CK estão documentadas em seu site.

Por exemplo, digamos que você tenha um EDR instalado em seus terminais Windows e Linux. Este EDR tem a capacidade de monitorar processos para que possamos adicionar fonte de dados de criação de processo. 
Selecione a data desde que você está coletando esta fonte de dados e a data em que você registrou a fonte de dados em seu arquivo YAML de fontes de dados.

Figura 12: Configurando fontes de dados

Acompanhar as datas pode ajudá-lo a monitorar a melhoria da fonte de dados. Para gerar um gráfico com base no arquivo de administração da fonte de dados, você pode executar o comando abaixo:

1python dettect.py ds -fd sample-data/data-sources-endpoints.yaml -g
Figura 13: Gráfico de melhoria das fontes de dados

O mesmo tipo de gráfico pode ser gerado para melhorar a visibilidade e a detecção.

Ativar a opção “Fonte de dados habilitada” para sim definirá todas as pontuações de qualidade de dados como 1. Se desejar que sua configuração seja mais precisa, você pode modificar esses valores de acordo com a tabela de pontuação de qualidade da fonte de dados .

Ative a opção “Disponível para análise de dados” se você centralizou os logs em um SIEM, por exemplo.

Você também pode adicionar “Process Creation” às suas fontes de dados se coletar eventos Sysmon event ID (EID) 1 ou Windows EID 4688, por exemplo.

Vamos adicionar as seguintes fontes de dados para completar nosso exemplo:

  • Execução de comando (Windows EID 4688 de cmd.exe, log do Powershell, bash_history, etc.)
  • Criação de chave de registro do Windows (EDR, Windows EID 4656 ou Sysmon EID 12, etc.)
  • Fluxo de Tráfego de Rede (Netflow, Zeek logs, etc.)

Depois de adicionar todas as suas fontes de dados, salve o arquivo de administração da fonte de dados clicando em “Salvar arquivo YAML”.

Figura 14: Salvando seu arquivo de administração da fonte de dados

Agora, vamos converter este arquivo YAML em um arquivo JSON usando a ferramenta DeTT&CT CLI e carregar este arquivo JSON como uma camada ATT&CK no ATT&CK Navigator .

python3 dettect.py ds -fd ~/Downloads/data-sources-new.yaml -l

Os sinalizadores relevantes para este comando são

  • ds: selecione o modo de fonte de dados
  • -fd: caminho para o arquivo YAML de administração da fonte de dados
  • -l: gerar uma camada de fonte de dados para o ATT&CK Navigator

Vá para a página da web ATT&CK Navigator e selecione Open Existing Layer. Escolha “Upload from local” e selecione o arquivo JSON que acabamos de criar usando o comando acima.

Figura 15: Navegador MITRE ATT&CK
Figura 16: Cobertura da fonte de dados

Essa camada representa o mapeamento MITRE ATT&CK com base nas fontes de dados que especificamos em nosso arquivo de administração de fonte de dados.

As cores, conforme explicado na legenda, representam a porcentagem de fontes de dados disponíveis para aquela técnica específica.

Vejamos algumas técnicas da tática Privilege Escalation.

Figura 17: Exemplo de técnica ATT&CK

Por exemplo, a técnica Logon Script (Windows) requer a seguinte cobertura de fonte de dados:

  • Criação de chave de registro do Windows
  • Criação de processo
  • Execução de Comando

Felizmente para nós, já temos todas as três fontes de dados disponíveis.

Figura 18: Cobertura da fonte de dados da Técnica ATT&CK

Porém, o Network Logon Script requer as seguintes fontes de dados:

  • Criação de processo
  • Execução de Comando
  • Modificação de objeto do Active Directory
  • Modificação de arquivo

Como temos apenas 2 fontes de dados disponíveis, a camada ATT&CK mostra uma cobertura de 26-50%.

Figura 19: Fontes de dados ausentes

Se você quiser melhorar a cobertura dessa técnica específica, agora saberá quais fontes de dados você precisa integrar a seguir em sua detecção.

Usando o ATT&CK Navigator, você também pode comparar essa camada de fonte de dados com uma camada de análise de ameaças ATT&CK para identificar lacunas em sua detecção com base nessa análise de ameaças. Você também pode compará-lo com outra camada de fonte de dados para enfatizar os benefícios de integrar uma fonte de dados adicional em sua detecção.

Cobertura de visibilidade

O próximo passo é entender bem onde temos visibilidade, o nível de visibilidade e onde falta visibilidade.

Para começar, podemos gerar um arquivo YAML de administração de técnica com base em nosso arquivo de administração de fonte de dados, que nos dará pontuações aproximadas de visibilidade. Por padrão, o argumento  --yaml incluirá apenas técnicas no YAML resultante para as quais a pontuação de visibilidade é maior que 0. Para incluir todas as técnicas ATT&CK que se aplicam à(s) plataforma(s) especificada(s) no arquivo YAML da fonte de dados, inclua o argumento:  --yaml-all-techniques.

python3 dettect.py ds -fd ~/Downloads/data-sources-new.yaml --yaml

ou

python3 dettect.py ds -fd ~/Downloads/data-sources-new.yaml --yaml --yaml-all-techniques

Os sinalizadores relevantes para este comando são

  • ds: selecione o modo de fonte de dados
  • -fd: caminho para o arquivo YAML de administração da fonte de dados
  • --yaml: gere um arquivo YAML de administração de técnica com pontuações de visibilidade com base no número de fontes de dados disponíveis
  • --yaml-all-techniques: inclui todas as técnicas ATT&CK no arquivo YAML gerado que se aplicam à(s) plataforma(s) especificada(s) no arquivo YAML da fonte de dados (você precisa fornecer o --yamlargumento para isso)
Figura 20: Geração de cobertura de visibilidade

No arquivo YAML resultante, você pode ajustar a pontuação de visibilidade por técnica com base no conhecimento especializado ou na qualidade de uma fonte de dados específica.

Se você deseja editar facilmente o arquivo YAML de administração da técnica, pode carregá-lo usando o DeTT&CT Editor.

Figura 21: Exemplo de arquivo de administração da técnica

Por técnica, você pode ver e editar a pontuação aproximada de visibilidade atribuída com base no arquivo de administração da fonte de dados. Se necessário, você pode atribuir pontuação diferente para diferentes plataformas, como Windows, Linux, Rede ou Nuvem.

Figura 22: Pontuação de visibilidade da técnica

O diário de pontuação acompanhará as mudanças na pontuação.

Para visualizar as pontuações de visibilidade em uma camada do ATT&CK Navigator, execute o seguinte comando e carregue o arquivo resultante no ATT&CK Navigator.

python3 dettect.py v -ft ~/Downloads/techniques-administration-example-all.yaml -l

Os parâmetros e sinalizadores relevantes para este comando são

  • v: mapeamento de cobertura de visibilidade baseado em técnicas e fontes de dados
  • -ft: caminho para o arquivo YAML de administração da técnica
  • -l: gerar uma camada de fonte de dados para o ATT&CK Navigator
Figura 23: Camada de cobertura de visibilidade
Figura 24: cobertura de visibilidade ATT&CK

Cobertura de detecção

Agora que listamos nossas fontes de dados e temos um bom entendimento de nossa visibilidade, precisamos ter um bom entendimento de onde temos detecção, o nível de detecção e a falta de detecção que temos.

Usando o mesmo arquivo de administração de fonte de dados YAML que usamos para nossa cobertura de visibilidade, podemos administrar nosso nível de detecção e registrar o seguinte:

  • O(s) tipo(s) de sistema(s) aos quais a detecção se aplica (por exemplo, terminais Windows, servidores Windows, servidores Linux, crown jewel x, etc.).
  • Onde reside a detecção (por exemplo, pode ser um ID de evento, o nome de uma regra de detecção/caso de uso, SIEM ou um nome de produto)
  • Um possível comentário.
  • A data em que a detecção foi implementada ou aprimorada.
  • Uma pontuação de detecção.

Além dos campos predefinidos, você pode adicionar mais informações usando pares chave-valor.

Para permitir a pontuação detalhada de suas detecções por tipo de sistema, você pode selecionar várias detecções por técnica no arquivo YAML. Isso pode ser obtido usando a propriedade “applicable_to”.

Figura 25: Administração da técnica – Aplicável a

Recomendamos usar os mesmos valores apply_to entre sua técnica e seu arquivo de administração de fonte de dados. Um diário de pontuação permite que você acompanhe as alterações na pontuação por ter vários objetos de pontuação.

Figura 26: Administração da técnica – Logbook de pontuação

Para revisar os detalhes, clique no botão “Logbook de pontuação”:

Figura 27: Administração da técnica – Detalhes do diário de pontuação
Figura 28: Pontuação de detecção de técnica

Não se esqueça de salvar seu arquivo YAML se você o editar com o DeTT&CT Editor.

Para gerar um arquivo de camada para o ATT&CK Navigator com base no arquivo de administração da técnica, você pode executar o seguinte comando:

python3 dettect.py d -ft ~/Downloads/techniques-administration-example-all.yaml -l

Os parâmetros e sinalizadores relevantes para este comando são

  • d: mapeamento de cobertura de detecção baseado em técnicas
  • -ft: caminho para o arquivo YAML de administração da técnica
  • -l: gerar uma camada de fonte de dados para o ATT&CK Navigator
Figura 29: Camada de detecção

Como demos nota a apenas uma técnica específica, somente essa técnica aparecerá em nossa camada.

Figura 30: Cobertura de Detecção ATT&CK

Análise de lacunas contra o grupo de agentes de ameaças

Além disso, você pode comparar sua camada de detecção com sua camada de análise de ameaças ou com uma camada gerada para um exercício específico da equipe vermelha para identificar quaisquer lacunas em sua detecção.

Ao realizar a emulação do adversário, a equipe vermelha definirá um escopo de técnicas que imitam uma ameaça conhecida a uma organização. Eles geralmente representam esse escopo gerando uma camada de matriz ATT&CK.

Digamos que esta é a camada gerada da emulação do adversário:

Figura 31: Camada de equipe ATT&CK Red

Você pode comparar uma camada de grupo de agentes de ameaças com sua sobreposição de cobertura de detecção ou visibilidade. Use o seguinte comando para gerar uma camada que destaque as diferenças:

python3 dettect.py g -g sample-data/groups.yaml -o sample-data/techniques-administration-example-all.yaml -t detection
  • g: mapeamento de grupos de agentes de ameaças
  • -g: especifique os Grupos ATT&CK a serem incluídos. Outra opção é fornecer um arquivo YAML com um grupo personalizado
  • -o: especifique o que sobrepor no(s) grupo(s). Para sobrepor Visibilidade ou Detecção, forneça o arquivo YAML de administração da técnica.
  • -t {group,visibility,detection}: especifique o tipo de sobreposição. Você pode escolher entre grupo, visibilidade ou detecção (padrão = group)
Figura 32: Comparação do grupo de agentes de ameaças

Se compararmos nossa camada de detecção com o exercício da equipe vermelha, teremos a seguinte camada resultante:

Figura 33: grupo de agentes de ameaças ATT&CK versus detecção

Por fim, você também pode gerar uma camada que irá comparar sua visibilidade e cobertura de detecção. Isso lhe dará uma visão geral decente das técnicas em que você tem visibilidade ou detecção.

Para gerar esta camada, digite um dos seguintes comandos:

1python dettect.py d -ft ~/Downloads/techniques-administration-endpoints.yaml -o

ou

1python dettect.py v -ft sample-data/techniques-administration-endpoints.yaml -o

Ambos os comandos gerarão a mesma saída mostrada na figura a seguir.

Figura 34: Detecção ATT&CK vs Visibilidade

Conclusão

Nesta postagem do blog, aprendemos como criar, manter e pontuar visibilidade e cobertura de detecção com MITRE ATT&CK e DeTT&CT. Mapear sua visibilidade e cobertura de detecção para TTPs e visualizá-los no MITRE ATT&CK Navigator ajudará você a entender melhor sua maturidade de detecção. Isso também oferece a possibilidade de comparar sua cobertura de detecção com o comportamento de um agente de ameaça e identificar possíveis lacunas.

Manter uma compreensão clara de seus recursos de detecção atuais é crucial para sua postura geral de segurança. Com esse conhecimento, os engenheiros de detecção podem priorizar o desenvolvimento de novas regras de detecção e a integração de novas fontes de dados, as equipes vermelhas podem adaptar suas campanhas para testar as suposições dos defensores sobre suas capacidades e ajudar os tomadores de decisão a acompanhar o progresso e alocar recursos para ajudar a melhorar a postura de segurança.

A configuração de uma linha de base para a estrutura DETT&CT requer algum tempo e recursos no início, mas depois de configurada, ela pode fornecer informações sobre seus recursos de detecção atuais e onde focar nas melhorias .

Referências

“DeTT&CT: Mapeando seu Blue Team para MITRE ATT&CK™ — MB Secure”, https://www.mbsecure.nl/blog/2019/5/dettact-mapping-your-blue-team-to-mitre-attack

“MITRE ATT&CK®”, https://attack.mitre.org/

“ATT&CK 101. Este post foi publicado originalmente em maio… | por Blake Strom | MITRE ATT&CK® | Médio”, https://medium.com/mitre-attack/att-ck-101-17074d3bc62

“rabobank-cdc/DeTTECT: Detecte táticas, técnicas e ameaças de combate”, https://github.com/rabobank-cdc/DeTTECT/

“MITRE DeTTECT – Data Source Visibility and Mapping – YouTube”, https://www.youtube.com/watch?v=EXnutTLKS5o

“ATT&CK® Navigator“, https://mitre-attack.github.io/attack-navigator/

FONTE: BLOG NVISO

POSTS RELACIONADOS