Por que é vital entender o comportamento e as ferramentas dos cibercriminosos
This post is also available in:
Inglês 
Francês 
Alemão 
Italiano 
Espanhol 
Russo
O cenário de ataques continua crescendo rapidamente e, com esse crescimento, vem o complexo desafio de rastrear as Táticas, Técnicas e Procedimentos (TTPs) usados por diferentes agentes de ameaças. O Centro de Recursos de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST) descreve os TTPs como o comportamento de um agente de ameaça; rastrear esse comportamento tornou-se um conceito essencial para Analistas de Inteligência de Ameaças Cibernéticas (CTI). Ao traçar o perfil e documentar os TTPs criminosos, os defensores da rede podem entender melhor o comportamento criminoso e como ataques específicos são orquestrados, permitindo que eles se preparem, respondam e atenuem/mitiguem ameaças atuais e futuras.
Definição de Táticas, Técnicas e Procedimentos
Para detalhar ainda mais o TTP, as Táticas referem-se às descrições de alto nível do comportamento ou ação que o agente da ameaça está tentando realizar. Por exemplo, o acesso inicial é uma tática que um agente de ameaça usaria para ganhar uma posição em sua rede.
Técnicas são descrições detalhadas do comportamento ou ações que são esperadas de uma tática específica. Por exemplo, uma técnica para obter acesso inicial a uma rede pode incluir um ataque de phishing.
Procedimentos são detalhes técnicos ou instruções sobre como um agente de ameaça utilizará a técnica para atingir seu objetivo. Por exemplo, os procedimentos para um ataque de phishing incluiriam a ordem de operação ou as fases da campanha. Isso incluiria detalhes sobre a infraestrutura aproveitada para enviar o e-mail malicioso, quem eles planejam atingir e como eles planejam comprometer sua máquina.
Infelizmente, rastrear o comportamento dos agentes de ameaças tem sido um desafio complexo para nosso setor, principalmente porque não tínhamos uma estrutura padronizada única e universalmente adotada para seguir. Conforme mencionado na parte 1 de nossa série Almanaque do hacker, dependendo da organização de segurança que está atribuindo um ataque digital, um grupo de ameaças conhecido como APT10 pela Mandiant também é conhecido por: menuPass pela Fireeye, Stone Panda pela Crowdstrike ou Red Apollo, Cloud Hopper e POTASSIUM pela Microsoft. Isso faz com que seja extremamente difícil documentar, relatar e falar sobre os agentes de ameaça.
Felizmente, nos últimos anos, o setor começou a adotar amplamente a estrutura ATT&CK Enterprise da MITRE; que visa fornecer uma padronização baseada na comunidade e um catálogo de TTPs usados por agente de ameaças e seus apelidos conhecidos.
O que é o MITRE ATT&CK?
A estrutura MITRE ATT&CK Enterprise é uma base de conhecimento aberta e disponível que contém táticas e técnicas adversárias baseadas em observações reais. A MITRE Corporation desenvolveu a estrutura, é uma organização sem fins lucrativos que gerencia Centros de Pesquisa e Desenvolvimento com Financiamento Federal (FFRDCs) apoiando o governo dos EUA. Ao longo dos anos, a estrutura MITRE ATT&CK tornou-se um recurso valioso para empresas em todo o mundo que desejam compreender melhor as ameaças específicas que podem enfrentar.
A estrutura MITRE ATT&CK Enterprise rastreia as ameaças adversárias e os perfila em um formato simples visualização que detalha as ações que os adversários podem realizar para comprometer a rede da sua empresa. A estrutura MITRE ATT&CK fornece uma lista exaustiva de técnicas de ataque conhecidas, organizadas em 14 categorias de táticas diferentes, que vão do Reconhecimento ao Impacto.
Esta estrutura é constantemente atualizada para realizar auditorias atualizadas e melhor estruturar suas políticas defensivas e métodos de detecção. A estrutura MITRE ATT&CK também fornece uma linguagem comum para todos os setores. A incorporação da estrutura e das convenções de nomenclatura usadas na matriz MITRE ATT&CK na política de segurança de uma organização ajudará a habilitar uma linguagem comum em toda a organização e no setor, tornando mais fácil documentar, relatar e falar sobre grupos de ameaças.
ATT&CK – Controles de segurança nativos da plataforma Azure
Em junho, em colaboração com o Center for Threat-Informed Defense (CTID) da MITRE, a Microsoft lançou uma matriz que mapeia os controles de segurança nativos da plataforma Azure para a estrutura MITRE ATT&CK. A estrutura Azure Security Stack é a primeira desse tipo, ao mapear os controles de segurança de um produto, o Azure, de volta à estrutura ATT&CK Enterprise e definir a base para outros seguirem. E, como relata em uma postagem recente no blog da MITRE Engenuity, a próxima plataforma a lançar um mapa em colaboração com a MITRE é a Amazon Web Services (AWS).
[Você também pode se interessar por: Segurança consistente se une à implementação contínua no Azure]
A estrutura Microsoft Azure Security Stack para controles de segurança nativos mapeia de volta aos TTPs originais cobertos na estrutura MITRE ATT&CK Enterprise, fornecendo aos defensores de rede recursos específicos para a plataforma Azure. Isso permite que os defensores da rede preparem, respondam e atenuem as ameaças atuais e futuras ao ambiente do Azure. Por exemplo, em nosso exemplo anterior de acesso inicial via phishing, quando aplicado ao Microsoft Security Stack Mapping para Azure, sugere que os usuários utilizem: o Azure DNS Analytics, Azure Defender para serviços de aplicativos e Microsoft Antimalware para Azure para um nível mínimo de proteção e detecção contra esse vetor de ataque.
Mapear os controles de segurança para produtos de volta à estrutura MITRE ATT&CK para permitir que as organizações avaliem sua cobertura contra TTPs de agentes de ameaças do mundo real é exatamente o que este setor precisa no momento. No entanto, como abordado no blog MITRE Engenuity, a tarefa de mapear uma pilha de segurança de volta para a estrutura MITRE Enterprise é uma tarefa subjetiva e trabalhosa, dada a natureza de um cenário de ameaças em constante evolução. Independentemente das dificuldades em produzir esses mapas, acredito que o setor está se movendo rapidamente para adotar e mapear suas pilhas de segurança de volta para a estrutura MITRE ATT&CK Enterprise. Esses tipos de projetos públicos e colaborativos permitem uma linguagem comum em todo o setor e criam uma base para os defensores da rede documentarem relatórios e falarem sobre ameaças específicas do produto.
Por que Entender o Cenário de Ameaças é Importante
As ameaças de hoje, sem dúvida, exigem soluções de amplo espectro, mas também exigem um conhecimento profundo do cenário de ameaças. Uma das melhores maneiras de ficar por dentro do cenário de ameaças em constante evolução é estudar e contribuir para a padronização da inteligência de ameaças. Ao analisar e traçar o perfil dos padrões dos agentes de ameaças e compartilhá-los com a comunidade, podemos entender melhor o comportamento criminoso e como eles orquestram ataques específicos. Uma compreensão mais profunda dos TTPs dos cibercriminosos ajudará a comunidade e as organizações a compreender como preparar, responder e mitigar a maioria das ameaças.
Depois de começar a entender os TTPs dos seus inimigos, você pode começar a mapeá-los de volta para sua pilha de segurança específica. Isso permite que os usuários tenham a capacidade de proteger, detectar, isolar, enganar e expulsar TTPs do agente de ameaça de seu ambiente específico.
