0
0
MITRE ATT&CK é uma base de conhecimento de táticas e técnicas adversárias baseadas em observações do mundo real. O ATT&CK está aberto e disponívelpara uso gratuito de qualquer pessoa ou organização. Abaixo, você encontra uma coleção de ferramentas e recursos MITRE ATT&CK disponíveis gratuitamente.
eBook: Introdução ao ATT&CK
Este eBook gratuito reúne o conteúdo de postagens de blog sobre inteligência de ameaças, detecção e análise, emulação de adversários e red teaming, além de avaliações e engenharia em um pacote único e conveniente.
CALDEIRA
CALDERA é uma plataforma de segurança cibernética projetada para automatizar facilmente a emulação adversária, auxiliar red-teams manuais e automatizar a resposta a incidentes. Ele é construído sobre a estrutura MITRE ATT&CK e é um projeto de pesquisa ativo no MITRE.
A estrutura consiste em dois componentes:
- O sistema central. Este é o código do framework, consistindo no que está disponível neste repositório. Está incluído um servidor assíncrono de comando e controle (C2) com uma API REST e uma interface da web.
- Plug-ins. Esses repositórios expandem os recursos principais da estrutura e fornecem funcionalidade adicional. Exemplos incluem agentes, relatórios, coletas de TTPs, etc.
Whitepaper: Melhores práticas para mapeamento MITRE ATT&CK
A CISA usa o ATT&CK como uma lente para identificar e analisar o comportamento do adversário. A CISA criou este guia com o Homeland Security Systems Engineering and Development Institute (HSSEDI), um centro de pesquisa e desenvolvimento financiado pelo governo federal (FFRDC) de propriedade do DHS, que trabalhou com a equipe MITRE ATT&CK.
CASCATA
CASCADE é um projeto de pesquisa no MITRE que busca automatizar grande parte do trabalho investigativo que uma equipe de “equipe azul” realizaria para determinar o escopo e a malícia de comportamento suspeito em uma rede usando dados de host.
O protótipo do servidor CASCADE tem a capacidade de lidar com a autenticação do usuário, executar análises e realizar investigações. O servidor executa análises em relação aos dados armazenados no Splunk/ElasticSearch para gerar alertas. Os alertas acionam um processo investigativo recursivo em que várias consultas subsequentes reúnem eventos relacionados. Os relacionamentos de eventos suportados incluem processos pai e filho (árvores de processo), conexões de rede e atividade de arquivo. O servidor gera automaticamente um gráfico desses eventos, mostrando as relações entre eles, e marca o gráfico com informações do projeto ATT&CK.
Metta
Metta é uma ferramenta de preparação para segurança da informação. Este projeto usa Redis/Celery, Python e vagrant com VirtualBox para fazer simulação adversária. Isso permite que você teste sua instrumentação baseada em host, mas também pode permitir que você teste qualquer detecção e controles baseados em rede, dependendo de como você configurou seus vagrants. O projeto analisa arquivos YAML com ações e usa o Celery para enfileirar essas ações e executá-las uma de cada vez sem interação.
Scryer Sandbox
O Sandbox Scryer é uma ferramenta de código aberto para produzir dados de inteligência e caça a ameaças a partir da saída de detonação de sandbox pública. A ferramenta aproveita o MITRE ATT&CK Framework para organizar e priorizar as descobertas, auxiliando na montagem de IOCs, compreendendo o movimento do ataque e as ameaças de caça. Ao permitir que os pesquisadores enviem milhares de amostras para um sandbox para criar um perfil para uso com a técnica ATT&CK, o Sandbox Scryer pode ajudar a resolver casos de uso em escala.
White paper: Encontrando ameaças cibernéticas com análise baseada em ATT&CK
Este whitepaper apresenta uma metodologia para usar a estrutura MITRE ATT&CK, um modelo de ameaça baseado em comportamento, para identificar sensores defensivos relevantes e construir, testar e refinar recursos analíticos de detecção baseados em comportamento usando a emulação do adversário. Essa metodologia pode ser aplicada para aprimorar a segurança da rede corporativa por meio de análise de lacunas defensivas, avaliações de produtos de segurança de endpoint, criação e ajuste de análises comportamentais para um ambiente específico e execução de validação de defesas contra um modelo de ameaça comum usando uma equipe vermelha emulando o comportamento adversário conhecido.
Equipe Vermelha Atômica
Atomic Red Team é uma biblioteca de testes mapeados para o framework MITRE ATT&CK. As equipes de segurança podem usar o Atomic Red Team para testar seus ambientes de forma rápida, portátil e reproduzível. Você pode executar testes atômicos diretamente da linha de comando, sem necessidade de instalação.
Red Team Automation (RTA)
O RTA fornece uma estrutura de scripts projetada para permitir que as equipes azuis testem seus recursos de detecção contra tradecraft malicioso, modelado após o MITRE ATT&CK.
O RTA é composto de scripts python que geram evidências de mais de 50 táticas ATT&CK diferentes, bem como um aplicativo binário compilado que executa atividades como interrupção de tempo de arquivo, injeções de processo e simulação de beacon conforme necessário.
Mapeando CVEs para MITRE ATT&CK
A equipe de pesquisa da Vulcan Cyber criou este site para mostrar um projeto em andamento para mapear CVEs documentados para táticas e técnicas relevantes da matriz MITRE ATT&CK. Você pode pesquisar CVES com base em técnicas específicas e vice-versa. Para obter mais informações sobre este projeto, leia o whitepaper associado.
FONTE: HELPNET SECURITY