MITRE ATT&CK versão 13

ATT&CK v13 é publicado e traz novas funcionalidades importantes

O compilado de TTPs traz recursos de análise de dados, fontes específicas para dispositivos móveis, atualizações em seu website, refatoração de ativos ICS e atualizações para nuvem e Linux. Entenda.

O MITRE ATT&CK é uma base de conhecimento que reúne comportamentos de cibercriminosos e taxonomia de ataques através de todo o ciclo de vida de um incidente. Essa base de conhecimento foi criada em 2013 para documentar TTPS (táticas, técnias e procedimentos) comuns usados em ameaças avançadas, num primeiro momento, de ambientes Windows.

O que são TTPs?

A sigla TTP significa, em inglês, tactics, techniques e procedures ou, em tradução livre, táticas, técnicas e procedimentos. 

As táticas representam o "porque" de uma técnica utilizada pelo atacantes, ou seja, seu objetivo e a razão pela qual ele desempenha determinada ação durante ataques cibernéticas. Técnicas representam o "como" o agente malicioso atinge seus objetivos durante o incidente e "procedimentos" são a implementação específica de cada uma das técnicas e táticas utilizadas por cibercriminosos.

O conhecimento reunido no MITRE ATT&CK podem ser utilizados de diversas maneiras para ajuda operações de segurança, inteligência de ameaças e arquitetura de segurança. Hoje, ele cobre sistemas Windows, macOS, Linux, dispositivos de infraestrutura de redes e containers, sistemas em nuvem cobrindo infraestrutura como serviço (IaaS), software as a service (SaaS), Office 365, Azure Active Directory, Google Workspace e dispositivos móveis iOS e Android. 

As novidades da v13: pseudocódigos, melhores recursos de pesquisa e dados sobre dispositivos móveis

Vamos acompanhar quais são as principais mudanças da nova versão do MITRE ATT&CK, descritas em roadmap e explicadas em maior detalhe neste post.

Pseudocódigos para detecção: novos códigos CAR (cyber analytics repository) foram adicionados a diversos componentes da base de conhecimento. Esses códigos analíticos adicionam contexto sobre o que deve ser analisado, com uma visão em alto nível de certos tipos de comportamento malicioso. 

Nova pesquisa e changelogs.json: a pesquisa no website foi otimizada reduzindo o tempo inicial para a resposta de solicitações, com pesquisas subsequentes resolvidas imediatamente. Outra mudança significativa é o changelog que pode ser lido por máquina, o que permite acesso e parsing. 

Mobile: dados específicos disponíveis: agora é possível visualizar fontes de dados específicas para dispositivos móveis. "Mobile" agora está disponível na lista de filtros, juntamente a "Enterprise" e "ICS". 

Refatoramento dos ativos ICS: a matriz de sistemas de controle industrial trazem novas técnicas de ataque, novas campanhas mapeadas e correlacionadas. Esse processo busca alinha a base de conhecimento às diferentes maneiras como cada indústria descreve seus ativos. 

Campanhas, criminosos, APTs e mapeamento cruzado: o recurso foi atualizado com recentes campanhas de ataque e incidentes capturados previamente na páginas "Groups", incluindo a campanha que comprometeu a rede do governo dos EUA, a operação AvosLocker de ransomware-as-a-service, Operation Ghost e SolarWinds. 

Maior cobertura para a nuvem: foram avaliados gaps em táticas de execução e movimentação lateral, identificadas junto à comunidade para refletir melhor o comportamento dos agentes maliciosos nesse ambiente. Além disso, a cobertura ampliada leva em consideração como cada empresa usa a nuvem. 

Tornando o Linux mais seguro: a nova versão traz atualizações e sub-técnicas específicas para Linux. Esse novo conjunto de ferramentas amplia a a capacidade de mitigação em ambientes que utilizam esse sistema operacional.