O que é Mitre ATT&CK e qual a importância para segurança?
Na constante luta contra a expansão agressiva do cibercrime, o Mitre ATT&CK é uma das estratégias que os profissionais de segurança da informação estão recorrendo para evoluir diante da criatividade das mentes maliciosas que tentam, incessantemente, tirar proveito da vulnerabilidade de sistemas desprotegidos e da desinformação de pessoas comuns e empresas de qualquer tamanho.
Desta forma, o Mitre ATT&CK é um recurso de segurança que consiste em identificar padrões em invasões anteriores para compreender a metodologia utilizada pelos cibercriminosos.
Ao longo deste artigo, vamos entender o que é o Mitre ATT&CK e como este recurso pode ajudar as equipes de SI a deixarem os sistemas mais seguros. Boa leitura!
O que é Mitre ATT&CK?
O Mitre ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) - ou Táticas, Técnicas e Conhecimento Comum de Adversários, em tradução livre - é um repositório de informações que contém padrões e metodologias observadas em invasões e ataques cibernéticos.
Criada pela Mitre Corporation em 2013, essa estrutura é resultado de um experimento de ciberataque envolvendo um Purple Team – time formado por equipes de ataque e defesa.
Os dados coletados no experimento serviram de base para a criação de uma estrutura modelo, com o objetivo de categorizar ataques cibernéticos e desenvolver diferentes cenários de violação para colocar à prova sistemas de segurança de empresas e organizações.
Sendo formado por matrizes selecionadas, os modelos do Mitre ATT&CK fornecem informações de ciberataques e ações de resposta defensiva, para que profissionais de SI possam compreender a forma como cibercriminosos agem após obterem acesso a um sistema, identificando padrões de “trajetos” que podem seguir dentro dos códigos para evitarem detecção.
Quem usa o Mitre ATT&CK e para quê?
Como dito anteriormente, o Mitre ATT&CK é utilizado por profissionais de segurança da informação ou TI em geral, como material de estudo de técnicas de invasão e para consulta a modelos de operações de cibercriminosos.
O Mitre ATT&CK permite a compreensão aprofundada dos objetivos dos cibercriminosos ao realizar uma invasão, bem como as possíveis pré-etapas necessárias para que ele consiga ter êxito na obstrução do sistema de segurança e no que ele precisa fazer para garantir a permanência do seu acesso indevido.
Nos próximos tópicos, vamos entender como as equipes de SI das empresas podem usar o Mitre ATT&CK para antecipar ciberataques, vasculhando os “perímetros” de um sistema e reforçando a vigilância no que seriam as primeiras etapas a serem superadas para o início de uma invasão. Vamos lá?
Por que o Mitre ATT&CK é importante para a segurança das empresas?
O Mitre ATT&CK atua como um ponto comum entre profissionais de SI, servindo como uma linguagem universal, possibilitando a interpretação e troca rápida de informações sobre como agir em uma situação real de risco à cibersegurança.
Entender essa estrutura é essencial para estar um passo à frente do invasor, visualizando o cenário sob a perspectiva dele e possibilitando a ação de resposta antes de qualquer tentativa de infiltração. Se utilizado de maneira correta, o Mitre ATT&CK pode garantir a segurança das empresas, proporcionando uma solução inteligente e preventiva.
Matrizes do Mitre ATT&CK
Existem quatro matrizes que compõem a estrutura do Mitre ATT&CK. Cada uma direcionada a um tipo específico de infraestrutura de segurança:
PRE-ATT&CK
É comum que cibercriminosos iniciem estratégias de invasão analisando informações que orbitam as competências de uma empresa. Muitas vezes, eles se utilizam de dados disponíveis na internet e das relações inter-empresariais para explorar vulnerabilidades. Basta que uma das empresas envolvidas tenha uma vulnerabilidade para que o invasor a explore para chegar à outra.
Sendo assim, o PRE-ATT&CK fornece os dados necessários para que os times de cibersegurança das empresas avaliem as etapas de pré-invasão, tomando as devidas precauções para blindarem seus sistemas e impedir a execução das etapas iniciais que causariam a exposição de dados.
Enterprise ATT&CK
A estrutura Enterprise é voltada para a proteção da infraestrutura de corporações, fornecendo informações detalhadas sobre como os cibercriminosos podem comprometer os sistemas de rede em uma vasta gama de plataformas como Windows, macOS, Linux, Azure AD, Office 365, Google Workspace e outras plataformas de Cloud Computing como SaaS, IaaS, redes e contêineres.
Mobile ATT&CK
Descreve a metodologia usada para a violação de dispositivos móveis, seja iOS ou Android. Para isso, ele se baseia no Mobile Threat Catalogue (Catálogo de Ameaças a Dispositivos Móveis) da NIST.
ICS ATT&CK
Essa estrutura é destinada a operações com fins industriais como o setor agrícola, fornecimento de energia elétrica e fábricas. É semelhante à estrutura Enterprise, com a única diferença de ser focada em sistemas que dependem de sensores, redes e maquinários interconectados.
Como usar o Mitre ATT&CK na minha empresa?
Para a utilização da estrutura Mitre ATT&CK, é fundamental a compreensão total do tipo de sistema a ser defendido e decidir qual estrutura utilizar. Uma vez que essas especificações estejam alinhadas, a equipe de cibersegurança deve atuar como agente constante na interpretação das informações fornecidas pelas matrizes e aplicá-las de forma consistente.
Apesar de também fornecer protocolos de ataque a diferentes abordagens de invasão, o Mitre ATT&CK foca na prevenção e pode ser combinado com outras medidas de detecção de vulnerabilidades como o Bug Bounty, que oferece testes de segurança constantes com a atenção de centenas de profissionais de segurança da informação voltadas para o seu sistema.
Com essas duas ferramentas poderosas de cibersegurança combinadas, é certo que sua empresa ficará longe do radar de cibercriminosos.
Gostou deste conteúdo e quer ficar mais informado sobre o universo da cibersegurança? Você pode continuar por aqui e ler mais artigos sobre as tendências da segurança da informação no mercado e como manter sua empresa segura contra o cibercrime.