MITRE ATT&CK: protegendo a rede a partir do olhar do inimigo
Ser gestor de segurança da informação é uma função particularmente cruel. Fazem tudo para literalmente não acontecer nada, com a certeza de que nunca será suficiente, e que segurança plena é apenas uma utopia. Assim mesmo, a perseguem tentando chegar ao mais próximo possível, onde entra a questão se os procedimentos e tecnologias adotadas são eficientes, seja para impedir um ataque, seja para rapidamente responder a uma invasão. A solução para o dilema veio nas últimas duas décadas em um sem número de padrões e boas práticas, benchmarks para medir algo bastante intangível, e mutável. Em comum entre todas terem sido concebidas a partir da visão do alvo, em identificar vulnerabilidades, falhas ou pontos frágeis a serem corrigidos antes que sejam explorados por uma ameaça. Mas nesse cenário razoavelmente resolvido uma novidade trouxe uma visão totalmente nova, a do atacante.
Testar a segurança da organização a partir do outro lado não é algo exatamente novo. Para isso existem os testes e simulações de invasão. Mas catalogar as táticas, técnicas e procedimentos usados nos ciberataques nunca foi feito, até o lançamento do ATT&CK pelo MITRE, organização sem fins lucrativos dedicada à pesquisa e ao aperfeiçoamento das práticas em várias áreas do conhecimento, entre elas a segurança digital.
ATT&CK é abreviação de Adversary Tactics, Techniques and Common Knowledge. Por anos, os pesquisadores do MITRE têm investigado as táticas, técnicas e procedimentos (TTTPs) usados por ciberataques. Eles então catalogaram os TTPs em matrizes, resultando em uma ampla base de conhecimento e linguagem comum sobre comportamento adversário. E aqui está a inovação. Trata-se de uma abordagem única, algo como o oposto das melhores práticas, como a estrutura de segurança cibernética do NIST (National Institute of Standards and Technology) ou os controles do CIS (Center for Internet Security). Por exemplo, em vez de dizer “proteger contra ameaças de e-mail”, a ATT&CK descreve como os hackers enviam e-mails com links encurtados de URL projetados para enganar as pessoas. Os e-mails parecem legítimos e seus links encurtados disfarçam o destino real. Quando os usuários clicam, o site continua a explorar o usuário ou dispositivo. Ele começa mostrando como os invasores se comportam. Mais que isso, é uma compilação das melhores práticas adotadas por eles.
O ATT&CK
O ATT&CK está organizado em matrizes, em diferentes níveis: táticas, técnicas e subtécnicas, em que os níveis inferiores vão detalhando os superiores. A matriz Enterprise Security, por exemplo, lista apenas 12 táticas, as quais utilizam 156 técnicas, que por sua vez podem ser decompostas em mais de duzentas subtécnicas. Vejamos, por exemplo, a tática Persistence (persistência), cujo objetivo é o invasor manter sua posição dentro das instalações da vítima. Para alcançá-la, há dezoito técnicas listadas, entre elas a Pre-OS Boot, na qual o atacante busca infiltrar-se no processo de boot do sistema, permanecendo no equipamento mesmo que o usuário o reinicie ou desligue. Para executar esse intento há cinco alternativas – as subtécnicas. Uma delas é comprometer o firmware do sistema, como a BIOS.
O exemplo acima possui uma ação de defesa correlata e imediata: garantir que o firmware nunca mude ou que o equipamento realize uma verificação de integridade ao iniciar. Mas nem todos são assim, e para isso o ATT&CK inclui as atenuações (mitigations), ou as medidas que se pode tomar contra uma técnica ou subtécnica.
Como começar?
A abordagem diferente requer um pouco mais de aprendizado que outros padrões, um novo enfoque, e o MITRE tem vários recursos disponíveis para ajudar nisso: uma série de blogs, um ebook, e um artigo de “filosofia”, ou as ideias por trás do ATT&CK. O site é muito rico em informações.
Logo no primeiro acesso, a grande quantidade de técnicas e subtécnicas pode amedrontar o iniciante, porém elas existem para se chegar às atenuações, e é aqui que se deve começar em minha opinião. A quantidade não é muita grande, são 41 no momento em que escrevo esse artigo, e elas estão mapeadas com as TTPs. Mais que um atalho, é um caminho reverso para o rápido aperfeiçoamento das medidas de proteção enquanto as táticas são estudadas com profundidade, podendo inclusive levar o especialista a concluir por uma nova atenuação. E é o que pode ocorrer ao se compreender a “filosofia” do ATT&CK.
Usando as atenuações
Através das atenuações você pode avaliar seu programa de segurança e descobrir seus pontos fracos e, então, discutir suas prioridades com provedores que também adotam a ATT&CK. Afinal, é muito mais fácil ter conversas quando ambas as partes entendem do que está sendo falado, e compartilham uma referência comum. É também mais eficaz que questões genéricas, como por exemplo se “vulnerabilidades são identificadas e corrigidas”. É exatamente por isso que, aqui na Cisco, mapeamos nossos recursos para atenuações ATT&CK. Afinal, depois de percorrer a lista de atenuações e decidir sobre suas prioridades, provavelmente você precisará de um produto ou serviço cibernético para ajudá-lo. E aí está: a magia das atenuações é a chave para começar a usar a ATT&CK.
Na Cisco, entendemos o MITRE ATT&CK, conhecemos nossas soluções e podemos responder a todas as perguntas técnicas que você tiver. Pergunte-nos. Estamos aqui para ajudar.
Tags:1 Comentários
Adorei o artigo. Muito didático sobre MITRE ATT&CK.