MITRE describe ATT & CK ™ como «una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en observaciones del mundo genuine». Si bien esta es una definición precisa, ayuda a comprender la importancia que permite este marco.
Las tácticas, técnicas y procedimientos (TTP) representados en ATT y CK permiten a las organizaciones comprender cómo operan los adversarios. Una vez que tenga esta comprensión, puede tomar medidas para mitigar esos riesgos.
Entonces, al remaining, ATT & CK trata sobre mitigación de riesgos.
ATT & CK en acción
En la conferencia MITER ATT & CKcon 2., los líderes de la industria de Nationwide presentaron Usando amenaza
Inteligencia para enfocar las actividades ATT y CK. Describieron el proceso de tomar la matriz ATT & CK más grande y reducirla a un conjunto de elementos más contextuales y manejables que podrían actuar para mitigar los vectores más relevantes para su organización.
Un gran aspecto de ATT & CK es que los datos están disponibles para que todos los vean. Aprovechando la base colectiva de informes, podemos construir una vista de prevalencia de la matriz. A partir de enero de 2020, había unas 266 técnicas, referenciadas en 449 actores y herramientas.
MITER ATT & CK ™ Business Treemap (octubre de 2019)
Aquí vemos que el Copia remota de archivos La técnica fue utilizada por el 42% de los actores y herramientas referenciados. De hecho, esta es una técnica importante y muy utilizada presente en los ataques llevados a cabo por varios actores, incluidos APT3 y ATP38, así como en ataques de malware notables como Shamoon y WannaCry, solo por nombrar algunos.
Evaluación MITRE ATT & CK
En 2019, MITRE comenzó a evaluar a los proveedores de seguridad utilizando estas técnicas para medir su capacidad de Ver Las actividades de un adversario. La primera evaluación, o La ronda 1, se basó en un ataque de estilo APT3 e incluyó muchos de los elementos en el mapa de árbol anterior. Como era de esperar, se representó Remote File Copy. Durante la evaluación, MITRE copió una DLL en un sistema remoto (algo que el Petia malware lo hace). Si bien varios proveedores pudieron mostrar telemetría para esta acción, gracias a MVISION EDR, McAfee fue uno de los dos únicos proveedores que mostraron una alerta de comportamiento específico para esta actividad (ver 7.B.1 en el comparación técnica) Esta designación reservada para la más descriptiva de todas las categorías de detección. (Ver Categorías de detección de la ronda 1) Para obtener más información sobre los resultados de la Ronda 1 de McAfee, consulte: Evaluación MITRE ATT & CK ™ APT3
Poniendolo todo junto
Tener la visibilidad necesaria de las acciones tomadas por un atacante es un componente clave para comprender los riesgos que enfrenta una organización. Armado con esta información, se puede llevar a cabo una respuesta y se puede crear y desplegar un plan de mitigación para frustrar futuros ataques.
MITRE ATT & CK es un gran avance al permitir a las organizaciones caracterizar y, posteriormente, gestionar el riesgo.
