0
0
Pergunta: Como meu analista de segurança deve usar o Quadro MITRE ATT&CK?
Yair Manor, Co-Fundador e CTO, CardinalOps: Como analista, a ATT&CK permite a você raciocinar e se comunicar de forma estruturada sobre o que um invasor pode estar tentando alcançar e onde eles estão na cadeia da morte. Por exemplo, um alerta específico está relacionado a um invasor que estabelece acesso inicial ou já estão exfiltrando dados? Use a ATT&CK como uma linguagem padrão para se comunicar com seus pares durante as investigações.
Use a ATT&CK para orientar seu pensamento sobre o que investigar a seguir. Se você ver uma técnica discovery sendo usada, você pode querer procurar uma técnica de Movimento Lateral na mesma máquina. Ou talvez procurar acesso credencial ou execução para entender como o invasor entrou na máquina em primeiro lugar. Mapeie cada uma de suas ferramentas de segurança e registre fontes de registro para ATT&CK para que você conheça as melhores ferramentas para usar para cada tipo de ativo e cada passo na cadeia de mortes.
Comece certificando-se de que você tenha detecções para seus ativos mais críticos de “joia da coroa” e fontes de dados associadas, como Windows, Linux e a nuvem. Você não pode verificar a caixa para “Persistência”, por exemplo, até que você tenha implementado a cobertura para todos eles. Se sua organização está focada em confiança zero, certifique-se de que você também está cobrindo fontes de identidade, como Active Directory e Okta. Você também pode priorizar detecções baseadas em técnicas empregadas por grupos específicos de APT e cibercriminosos que visam sua indústria.
Lembre-se que as técnicas novas e emergentes nem sempre mapeiam diretamente para a estrutura DO MITRE, por isso não deixe de monitorar também fontes de inteligência de ameaças e implementar detecções o mais rápido possível para os tipos de ataque mais recentes (como o Log4Shell). Informe regularmente sua cobertura atual da ATT&CK para as partes interessadas e concentre-se na melhoria contínua ao longo do tempo, com base na redução do risco para seus ativos de joias da coroa.
FONTE: DARK READING