Neste mundo digital, onde tudo avança em ritmo acelerado, nunca foi tão imprescindível garantir a segurança da informação. Com as ameaças cibernéticas ganhando sofisticação dia após dia, é crucial que as organizações se mantenham sempre um passo à frente, entendendo as táticas e estratégias que os adversários podem usar para comprometer seus sistemas. É nesse cenário que surge a matriz Mitre ATT&CK.
A estrutura Mitre ATT&CK deriva seu nome da MITRE Corporation que a mantém e do acrônimo ATT&CK, que significa Adversarial Tactics, Techniques, and Common Knowledge. A estrutura é acessível publicamente e serve como uma base de conhecimento de técnicas usadas por adversários cibernéticos para atingir os sistemas corporativos de TI.
O Mitre ATT&CK não é simplesmente uma ferramenta, é um verdadeiro mapa de orientação para a segurança cibernética. Trata-se de um recurso interativo e constantemente atualizado, que descreve em detalhes as táticas, técnicas e procedimentos (TTPs) utilizados por cibercriminosos em seus ataques. Dominar e aplicar o Mitre ATT&CK pode oferecer às organizações uma vantagem inestimável na luta contra as ameaças cibernéticas.
Mas como transformar esse mapa valioso em uma estratégia de segurança tangível e eficaz? É aqui que este guia entra em cena. Ao longo deste material, você aprenderá a inserir o ATT&CK em sua organização, identificar falhas de segurança, priorizar e implementar controles de segurança, proporcionar treinamento eficaz e estabelecer um processo de monitoramento e revisão contínuo.
Com o Mitre ATT&CK como seu aliado, você estará mais capacitado para antecipar, evitar e responder a ataques cibernéticos, protegendo assim o seu precioso ativo digital.
Pronto para embarcar nessa jornada rumo a uma segurança da informação mais robusta e eficiente?
1. Contextualização
O primeiro passo é garantir que todos na empresa, dos gestores à equipe técnica, compreendam o que é o Mitre ATT&CK e o valor que ele representa. Realize apresentações ou workshops para introduzir o conceito. Simplifique a explicação, comparando o ATT&CK a uma “lista de verificação de segurança” que identifica todas as maneiras possíveis pelas quais um adversário pode tentar invadir os sistemas.
É importante lembrar que a contextualização é um processo contínuo. À medida que a matriz ATT&CK é atualizada e novas técnicas são adicionadas, é necessário revisitar esse passo para garantir que todos na organização continuem entendendo a matriz e sua relevância.
1.1. Explicando o Conceito:
Antes de abordar o Mitre ATT&CK com sua equipe, é essencial que você possa explicar o conceito de maneira clara e concisa. É preciso entender completamente o que é o ATT&CK, como ele funciona e sua importância. Prepare uma apresentação simples e informativa que trate desses pontos.
1.2. Identificando os Stakeholders:
Os stakeholders podem variar dependendo da organização, mas geralmente incluem a equipe de TI, a equipe de segurança, a equipe de gerenciamento de riscos e os executivos de alto nível. Cada grupo de stakeholders necessita de informações diferentes, então, personalize sua comunicação para cada um.
1.3. Promovendo Reuniões de Sensibilização:
Para a equipe técnica, como a de TI e segurança, detalhe o funcionamento da matriz ATT&CK e como será aplicada. Enfatize também a importância do papel de cada indivíduo no uso eficaz da matriz. Para a equipe de gerenciamento e os executivos, concentre-se na relevância do ATT&CK para a segurança geral da empresa, como ele pode ajudar a prevenir ataques e como isso pode impactar o negócio em termos de redução de risco e conformidade.
1.4. Organizando Workshops de Treinamento:
Para a equipe técnica, promova workshops de treinamento mais detalhados para familiarizá-los com a matriz. Use exemplos práticos e estudos de caso para demonstrar como as técnicas de ataque são usadas na vida real e como a matriz ATT&CK pode ajudar a detectar e prevenir esses ataques.
1.5. Estabelecendo um Canal de Comunicação Aberto:
Crie um canal de comunicação aberto para perguntas e discussões sobre a matriz ATT&CK, podendo ser desde um chat dedicado, reuniões regulares de perguntas e respostas, ou um endereço de e-mail específico. Esse canal permitirá que as pessoas esclareçam dúvidas e discutam problemas conforme começam a trabalhar com a matriz.
2. Estudo da Matriz ATT&CK:
A matriz ATT&CK é um recurso visual que exibe todas as táticas e técnicas listadas no framework. As táticas representam os objetivos de alto nível que um adversário pode ter, como Initial Access ou Lateral Movement, enquanto as técnicas são os métodos específicos que podem ser usados para alcançar esses objetivos.
Dedique-se ao estudo desta matriz para compreender o significado de cada tática e técnica.
2.1. Explorando a matriz:
A matriz ATT&CK está disponível online no site da Mitre. Comece navegando pela matriz para se familiarizar com a sua estrutura. Observe que a matriz é dividida em várias categorias de táticas, como Initial Access, Execution, Persistence, Defense Evasion, entre outros. Cada uma dessas categorias possui várias técnicas associadas.
2.2. Compreendendo as táticas e técnicas:
Na matriz, clique em cada tática e técnica para obter mais informações. As táticas representam os objetivos que um adversário pode ter durante um ataque, enquanto as técnicas são os métodos específicos que podem ser usados para alcançar esses objetivos.
Por exemplo, a tática Initial Access descreve as maneiras como um adversário pode obter acesso a uma rede ou sistema. Uma técnica sob essa tática poderia ser Spearphishing Link, que descreve uma forma específica que um atacante poderia usar para obter acesso inicial.
Todas as técnicas descritas na estrutura foram usadas por invasores cibernéticos e organizações criminosas no mundo real para se infiltrar nas redes das organizações visadas e roubar seus dados. No momento da escrita deste artigo, a estrutura contém informações sobre 227 técnicas diferentes.
De acordo com as táticas apresentadas no Mitre ATT&CK, são 14 as maneiras (táticas) pelas quais os ataques cibernéticos podem acontecer:
- Reconhecimento (Reconnaissance): coleta de informações da organização alvo para preparar futuras atividades adversárias. No momento, apresenta 10 técnicas.
- Desenvolvimento de Recursos (Resource Development): aquisição de infraestrutura e recursos para apoiar atividades adversárias contra a organização-alvo. No momento, apresenta 8 técnicas.
- Acesso Inicial (Initial Access): obter acesso inicial à rede de destino. No momento, apresenta 9 técnicas.
- Execução (Execution): técnicas para executar códigos maliciosos na rede, geralmente para explorar ou roubar dados. No momento, apresenta 14 técnicas.
- Persistência (Persistence): manter o acesso à rede de destino ao longo do tempo contornando medidas como alterações de credenciais ou reinicializações que podem interromper o acesso. No momento, apresenta 19 técnicas.
- Escalação de Privilégios (Privilege Escalation): obter permissões de administrador ou outras permissões de alto nível na rede de destino. No momento, apresenta 13 técnicas.
- Evasão de defesa (Defense Evasion): evitando a detecção por software de segurança e equipes de segurança de TI. No momento, apresenta 42 técnicas.
- Acesso a Credenciais (Credential Access): roubar nomes de contas e senhas, permitindo que o atacante contorne as medidas de segurança acessando a rede com credenciais legítimas. No momento, apresenta 17 técnicas.
- Descoberta (Discovery): explorar a rede e coletar informações, como quais aplicativos e serviços estão em execução, quais contas existem, quais recursos estão disponíveis, etc. No momento, apresenta 31 técnicas.
- Movimento Lateral (Lateral Movement): acessando e controlando serviços remotos na rede de destino.
- Coleta (Collection): agregando dados de uma variedade de fontes na rede de destino. No momento, apresenta 9 técnicas.
- Comando e Controle (Command and Control): técnicas para comunicação com sistemas sob controle do adversário dentro da rede alvo. No momento, apresenta 16 técnicas.
- Exfiltração (Exfiltration): técnicas para roubar dados da rede de destino e transferi-los para um servidor externo controlado pelo adversário. No momento, apresenta 9 técnicas.
- Impacto (Impact): técnicas para destruir dados ou interromper a disponibilidade de aplicativos, serviços ou a própria rede de destino. No momento, apresenta 13 técnicas.
2.3. Analisando os detalhes das técnicas:
Cada técnica na matriz ATT&CK é acompanhada de uma descrição detalhada, incluindo um resumo da técnica, exemplos de como ela foi usada em ataques reais, sugestões de detecção e possíveis medidas de mitigação.
Para cada técnica, a estrutura inclui:
- Uma descrição da técnica;
- Uma lista de sub técnicas relacionadas à técnica;
- Uma lista de métodos de mitigação conhecidos para a técnica;
- Uma lista de métodos de detecção conhecidos para a técnica;
- Alguns metadados relacionados à técnica;
- Referências e recursos adicionais relacionados à técnica.
As técnicas na estrutura Mitre ATT&CK são categorizadas em 14 táticas que abrangem todo o ciclo de vida de um ataque cibernético, desde a coleta inicial de informações até a exfiltração de dados e impactos adicionais do ataque.
Quando os criminosos cibernéticos visam o ambiente de TI de uma organização, sabemos que seu objetivo final será a exfiltração de dados.
Recomendo que dedique algum tempo estudando esses detalhes para cada técnica, pois tenha certeza de que permitirá uma compreensão mais aprofundada de como os ataques reais ocorrem e como você pode se proteger contra eles.
2.4. Como criminosos obtém dados de sistemas corporativos?
Podemos prever qual será o comportamento do adversário:
- Obtenha acesso à rede e evite a detecção;
- Explore a rede para descobrir ativos de dados valiosos;
- Proteja as permissões necessárias para habilitar a exfiltração de dados;
- Roube dados organizacionais e danifique sistemas de rede.
As 14 táticas descritas na estrutura Mitre ATT&CK são uma extensão desse padrão geral de ação, cobrindo todas as metas e objetivos de curto prazo que atacantes tentam realizar em seu caminho para roubar dados das organizações com sucesso. As técnicas são os métodos específicos usados para atingir esses objetivos táticos, e é por isso que cada técnica é listada de acordo com a tática a que serve.
A estrutura Mitre ATT&CK também contém informações sobre grupos conhecidos de ameaças cibernéticas em todo o mundo. Para cada grupo de ameaças conhecido, a estrutura descreve quais tipos de organizações visam, as técnicas que usaram em ataques anteriores e os programas de software que usaram para atacar as redes-alvo.
Adicionalmente, a estrutura inclui um banco de dados de programas de software que foram usados em ataques cibernéticos maliciosos.
2.5. Relacionando as técnicas ao seu ambiente:
Pense em como cada técnica se aplica ao seu próprio ambiente de TI. Por exemplo, se você usa um tipo específico de software ou hardware, existem técnicas específicas que um adversário poderia usar contra isso? Ou, se você tem uma política específica, como permitir o acesso remoto, quais técnicas poderiam ser usadas para explorá-la? Fazer essa análise ajudará você a personalizar a matriz ATT&CK para a sua situação específica.
2.6. Casos de Uso Comuns
A estrutura ATT&CK pode ser utilizada e adaptada para inúmeros cenários, como os exemplos citados a seguir:
- Detecções e análises: pode ajudar na defesa cibernética no desenvolvimento de análises que detectam as técnicas usadas por um adversário.
- Inteligência de Ameaças (Threat Intelligence): oferece aos profissionais de segurança uma linguagem comum para estruturar, comparar e analisar a inteligência de ameaças.
- Adversary Emulation e Red Teaming: fornece uma linguagem e uma estrutura comuns que red teams podem usar para emular ameaças específicas e planejar suas operações.
- Avaliação e Engenharia: pode ser usado para avaliar os recursos de sua organização e conduzir decisões de engenharia, como quais ferramentas ou registro você deve implementar.
Para trabalhar esses casos de uso com o ATT&CK, você pode contar com a ajuda de alguns recursos da infraestrutura ATT&CK que são apresentados a seguir:
- Interfaces para trabalhar com ATT&CK: esta página descreve como você pode acessar o conteúdo ATT&CK usando STIX/TAXII, bem como Excel.
- ATT&CK Navigator: o ATT&CK Navigator é projetado para fornecer navegação básica e anotação de matrizes ATT&CK. Você pode usar o Navegador para visualizar a cobertura defensiva, o planejamento dos times blue e red team ou qualquer outra coisa que você queira fazer com o ATT&CK. Se você quiser começar imediatamente, uma instância hospedada está disponível aqui.
3. Descobrindo e preenchendo lacunas de segurança:
Aproveitando a matriz ATT&CK, você poderá compreender suas vulnerabilidades presentes e identificar os focos de seus esforços de segurança. Para cada técnica da matriz, reflita se há estratégias de segurança em vigor para identificar ou barrar essa abordagem. Anote os pontos onde a proteção é insuficiente – são esses os “vazios” de segurança.
Tenha em mente que a análise de lacunas é uma tarefa constante. Com as mudanças em seu ambiente e as novas técnicas incluídas na matriz ATT&CK, será necessário atualizar continuamente sua análise de lacunas.
Veja, agora, um aprofundamento sobre como efetuar a análise de lacunas:
3.1. Domine o seu ambiente:
Inicialmente, é crucial ter um conhecimento pleno do seu ambiente de TI, abrangendo todos os sistemas, aplicações, redes e os controles de segurança já estabelecidos. Faça um inventário detalhado, caso ainda não tenha realizado.
3.2. Mapeando seus controles atuais e vigentes:
Identifique, para cada técnica listada na matriz ATT&CK, se você já estabeleceu controles de segurança capazes de detectar, barrar ou mitigar essa técnica. Você pode considerar que é englobado desde firewalls, sistemas de detecção de intrusão, softwares antivírus até políticas de segurança e treinamentos.
3.3. Detectando as lacunas:
Em seguida, identifique as áreas onde não há cobertura. São essas as suas “lacunas” de segurança – os pontos onde você não tem capacidade de identificar, prevenir ou mitigar uma técnica específica. Liste essas lacunas.
3.4. Avaliando o risco:
Para cada lacuna, avalie o risco a ela associado, que pode variar com base em diversos fatores, como a probabilidade de um atacante utilizar essa técnica, a sensibilidade dos sistemas ou dados que poderiam ser impactados, e a capacidade da sua organização de responder a um incidente relacionado a essa técnica.
3.5. Documentando sua análise:
Registre sua análise de lacunas em um formato que seja de fácil compreensão e possa ser compartilhado com outros na sua organização. O registro pode ser em um documento simples, como uma planilha com uma linha para cada técnica, colunas para descrever os controles existentes e o risco associado, e uma coluna para as lacunas identificadas.
4. Priorização:
Nem tudo pode ser feito ao mesmo tempo, certo? Portanto, priorizar é um passo crucial após a análise de lacunas.
Baseando-se na análise de lacunas, decida quais delas precisam ser resolvidas em primeiro lugar. Algumas técnicas podem representar um risco maior para a sua empresa do que outras, dependendo da sua situação específica. Utilize o seu conhecimento do seu ambiente e das ameaças prováveis para auxiliar na priorização.
Lembre-se, a priorização é um processo contínuo. À medida que seu ambiente muda e novas técnicas são adicionadas à matriz ATT&CK, será necessário revisar e atualizar suas prioridades.
Agora, vamos ver como priorizar suas ações de segurança baseando-se nos resultados da análise de lacunas:
4.1. Avaliando o risco:
Revise as lacunas identificadas na sua análise e o risco associado a cada uma delas. As lacunas que carregam maior risco devem, geralmente, ser resolvidas em primeiro lugar. As considerações de risco podem incluir a probabilidade de uma técnica ser utilizada por um atacante, a sensibilidade dos sistemas ou dados impactados, e a capacidade da organização de responder a um incidente.
4.2. Considerando a viabilidade:
Nem todas as ações de segurança serão igualmente práticas de implementar. Algumas podem exigir grandes investimentos em novas tecnologias, enquanto outras podem ser alcançadas com os recursos já disponíveis. Leve em consideração a viabilidade ao priorizar as ações.
4.3. Pensando estrategicamente:
Algumas ações de segurança podem trazer benefícios mais amplos para a sua organização além da mitigação de uma única técnica de ataque. Por exemplo, a promoção de treinamentos de conscientização de segurança para os funcionários pode ajudar a prevenir diversas técnicas de ataque. Busque identificar e priorizar essas ações de “alto rendimento”.
4.4. Elaborado um plano de ação:
Com base em sua avaliação de risco, viabilidade e benefícios estratégicos, elabore um plano de ação. Este plano deve listar as ações de segurança que você planeja implementar, em ordem de prioridade, e estabelecer um cronograma para cada ação.
4.5. Comunicando o plano:
Compartilhe seu plano de ação com as partes interessadas relevantes dentro da sua organização, incluindo a equipe de TI, a de segurança, a de gerenciamento de riscos e os executivos. Certifique-se de que todos compreendem os motivos da priorização e o que é esperado deles como parte da implementação do plano.
5. Implementação de controles de segurança:
Inicie a implementação dos controles de segurança para preencher as lacunas identificadas. Os controles de segurança são medidas que você adota para proteger sua organização contra as ameaças descritas na matriz ATT&CK.
Lembre-se de que a segurança é um processo contínuo, não algo que pode ser configurado e esquecido. Portanto, à medida que o ambiente muda e novas ameaças surgem, é necessário revisar e, possivelmente, atualizar seus controles de segurança.
Vamos explorar mais detalhes sobre a implementação dos controles:
5.1. Elaborando um plano de implementação:
Para cada controle de segurança que você planeja implementar, crie um plano detalhado. Esse plano deve incluir o que precisa ser feito, quem é responsável, quais recursos são necessários e um cronograma realista.
5.2. Reunindo os recursos:
Antes de iniciar a implementação, reúna todos os recursos necessários, o que pode incluir hardware, software, tempo da equipe, treinamento e qualquer outro recurso necessário.
5.3. Implementando controles de segurança:
Comece a implementar os controles de segurança de acordo com o seu plano. Certifique-se de que cada controle seja implementado corretamente e esteja funcionando conforme o esperado.
5.4. Treinamentos:
Certifique-se de que sua equipe esteja adequadamente treinada para usar e manter os novos controles de segurança. Os treinamentos são importantes para controles técnicos, como novos softwares ou hardwares, mas também se aplica a controles de processo, como novas políticas ou procedimentos.
5.5. Documentação:
Documente todos os novos controles de segurança e quaisquer alterações feitas em seus sistemas ou processos. Essa documentação será útil para análises de segurança futuras, auditorias e para ajudar a equipe a entender o que foi feito e por quê.
5.6. Monitoramento e ajustes:
Após a implementação dos controles, continue monitorando-os para garantir que continuem eficazes. Essa ação pode envolver a revisão de logs, testes regulares de segurança e solicitação de feedback da equipe. Faça os ajustes necessários com base nesse monitoramento.
6. Treinamento:
Para garantir que todos na organização compreendam e possam implementar efetivamente as estratégias de segurança, incluindo a matriz Mitre ATT&CK, é essencial fornecer treinamentos. Sua equipe deve estar preparada para detectar e responder a cada técnica descrita na matriz ATT&CK.
O objetivo do treinamento não é apenas transmitir informações, mas também criar uma cultura de segurança em sua organização, onde todos compreendam a importância da segurança e seu papel em mantê-la.
Vejamos agora como esses treinamentos podem ser abordados:
6.1. Identificando os requisitos de treinamento:
Determine quais habilidades ou conhecimentos sua equipe precisa para implementar e manter os controles de segurança que você estabeleceu, o que pode, obviamente, variar dependendo do tipo de controle. Por exemplo, um novo software de segurança pode exigir treinamento técnico, enquanto uma nova política de segurança pode exigir treinamento em conscientização.
6.2. Desenvolvendo um plano de treinamento:
Crie um plano que descreva o que será abordado no treinamento, quem precisa participar, quem irá conduzir o treinamento, quando e onde será realizado. O treinamento pode ser conduzido internamente ou você pode contratar um fornecedor externo, dependendo das necessidades da sua organização.
6.3. Realizando o treinamento:
Implemente o treinamento conforme planejado. Certifique-se de que o treinamento seja interativo e envolvente o máximo possível, para manter o interesse dos participantes. Utilize exemplos práticos para ajudar a ilustrar os pontos e permitir que os participantes apliquem o que aprenderam.
6.4. Avaliando a efetividade:
Após a realização do treinamento, avalie sua efetividade através de testes, feedback dos participantes ou observando se houve mudanças no comportamento ou nas práticas de segurança após o treinamento.
6.5. Atualização e reciclagem:
O treinamento em segurança da informação não é um evento único. À medida que a matriz ATT&CK é atualizada e novos controles de segurança são implementados, será necessário fornecer treinamentos de atualização ou reciclagem para a sua equipe. Planeje essas sessões de treinamento regularmente.
7. Monitoramento e revisão contínua:
Por fim, mantenha um processo contínuo de monitoramento e revisão. À medida que novas técnicas são adicionadas à matriz ATT&CK, repita a análise de lacunas e o processo de implementação para essas novas técnicas. Além disso, revise regularmente os controles existentes para garantir que continuem eficazes.
O objetivo do monitoramento e da revisão contínua é garantir que sua estratégia de segurança permaneça eficaz diante de uma paisagem de ameaças em constante evolução. É um processo contínuo que requer comprometimento e vigilância constantes.
Vamos analisar como o monitoramento e a revisão contínua podem ser abordados:
7.1. Estabelecendo métricas:
Para monitorar efetivamente seus controles de segurança, você precisa estabelecer métricas claras. Essas métricas podem incluir o número de tentativas de ataque detectadas, o tempo de resposta a incidentes de segurança, a taxa de conformidade com as políticas de segurança, entre outros.
7.2. Configurando o monitoramento:
Configure sistemas de monitoramento para acompanhar automaticamente as métricas definidas, o que pode envolver o uso de ferramentas de SIEM (Security Information and Event Management), IDS/IPS (Intrusion Detection Systems / Intrusion Prevention Systems) ou outras tecnologias de segurança.
7.3. Revisões regulares:
Realize revisões regulares dos dados coletados pelo seu sistema de monitoramento. O objetivo é identificar tendências, detectar novas ameaças e avaliar a eficácia dos seus controles de segurança atuais.
7.4. Respondendo incidentes:
Quando um incidente de segurança é detectado, a resposta deve ser rápida e eficaz, o que pode envolver a investigação do incidente, a contenção da ameaça, a recuperação dos sistemas afetados e a comunicação com as partes interessadas.
7.5. Aprendizado com os incidentes:
Após a resolução de um incidente de segurança, realize uma análise pós-incidente para compreender o que aconteceu, por que aconteceu e como pode ser prevenido no futuro.
7.6. Atualizando a matriz:
Mantenha-se atualizado com as atualizações da matriz ATT&CK e revise e atualize regularmente sua matriz para refletir novas técnicas de ataque e táticas.
7.7. Ajustando os controles de segurança:
Com base nas informações coletadas por meio do monitoramento e das revisões, pode ser necessário ajustar seus controles de segurança. Tal situação pode envolver o fortalecimento de controles existentes, a implementação de novos controles ou a descontinuação de controles que não sejam mais eficazes.
8. Recursos adicionais e outros links úteis
Para mais detalhes sobre o ATT&CK, assim como links adicionais para te ajudar a começar a usá-lo, saber os casos de uso que pode encaixá-lo, assim como entender os motivadores de criação por parte do Mitre, confira os links a seguir:
- Getting Started oficial do Mitre ATT&CK
- Paper: ATT&CK Design and Philosophy
- Paper: ATT&CK for ICS extension
- Paper: Finding Cyber Threats with ATT&CK-Based Analytics
- ATT&CK Sightings
- Adversary Emulation Plans
- ATT&CK Evaluations
- ATT&CK Update Log
- Interfaces for Working with ATT&CK
- Graphic: MITRE ATT&CK Roadmap
- Graphic: MITRE ATT&CK Matrix Poster
9. Considerações finais:
A implementação do Mitre ATT&CK pode ser um projeto significativo, mas é um investimento valioso na segurança da sua empresa. A estrutura ATT&CK proporciona uma maneira sistemática de pensar sobre a segurança, garantindo que você cubra todas as possíveis formas de ataque.
Estudar a matriz ATT&CK é um processo contínuo, uma vez que novas técnicas são regularmente adicionadas à matriz à medida que novos ataques são descobertos. Portanto, é importante continuar revisando a matriz regularmente para se manter atualizado sobre as últimas ameaças.
* * * * *