MITRE ATT & CK ™, ¿Cuál es la gran plan?


MITRE explain ATT & CK ™ como «una foundation de conocimiento accesible globalmente de tácticas y técnicas adversas basadas en observaciones del mundo authentic». Si bien esta es una definición precisa, ayuda a comprender la importancia que permite este marco.

Las tácticas, técnicas y procedimientos (TTP) representados en ATT y CK permiten a las organizaciones comprender cómo operan los adversarios. Una vez que tenga esta comprensión, puede tomar medidas para mitigar esos riesgos.

Entonces, al final, ATT & CK se trata de gestión de riesgos.

Ciclo de mitigación

ATT & CK en acción

En la conferencia MITER ATT & CKcon 2., los líderes de la industria de Nationwide presentaron Usando amenaza Inteligencia para enfocar las actividades ATT y CK. Describieron el proceso de tomar la matriz ATT & CK más grande y reducirla a un conjunto de elementos más contextuales y manejables que podrían actuar para mitigar los vectores más relevantes para su organización.

Un gran aspecto de ATT & CK es que los datos están disponibles para que todos los vean. Aprovechando la foundation colectiva de informes, podemos construir una vista de prevalencia de la matriz. A partir de enero de 2020, había unas 266 técnicas, referenciadas en 449 actores y herramientas.

MITER ATT & CK ™ Organization Treemap (octubre de 2019)

Aquí vemos que el Copia remota de archivos La técnica fue utilizada por el 42% de los actores y herramientas referenciados. De hecho, esta es una técnica importante y muy utilizada presente en los ataques llevados a cabo por varios actores, incluidos APT3 y ATP38, así como en ataques de malware notables como Shamoon y WannaCry, solo por nombrar algunos.

Evaluación de MITRE ATT y CK

En 2019, MITRE comenzó a evaluar a los proveedores de seguridad utilizando estas técnicas para medir su capacidad de Ver Las actividades de un adversario. La primera evaluación, o La ronda 1, se basó en un ataque de estilo APT3 e incluyó muchos de los elementos en el mapa de árbol anterior. Como era de esperar, se representó Distant File Copy. Durante la evaluación, MITRE copió una DLL en un sistema remoto (algo que hace el malware Petya). Si bien varios proveedores pudieron mostrar telemetría para esta acción, gracias a MVISION EDR, McAfee fue uno de los dos únicos proveedores que mostraron una alerta de comportamiento específico para esta actividad (ver 7.B.1 en el comparación técnica) Esta designación reservada para la más descriptiva de todas las categorías de detección. (Ver Categorías de detección de la ronda 1) Para obtener más información sobre los resultados de la Ronda 1 de McAfee, consulte: Evaluación MITRE ATT & CK ™ APT3

Poniendolo todo junto

Tener la visibilidad necesaria de las acciones tomadas por un atacante es un componente clave para comprender los riesgos que enfrenta una organización. Armado con esta información, se puede llevar a cabo una respuesta y se puede crear y desplegar un approach de mitigación para frustrar futuros ataques.

MITRE ATT & CK es un gran avance al permitir a las organizaciones caracterizar y, posteriormente, gestionar el riesgo.





Enlace a la noticia primary