Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Estrutura MITRE ATT&CK: tudo o que você precisa saber

6 minuto de leitura
Ultima atualização 28 de Novembro de 2023
MITRE ATT&CK

A MITRE ATT&CK é um modelo criado pela MITRE para documentar e rastrear diversas técnicas usadas pelos invasores nos diferentes estágios de um ataque cibernético para se infiltrar em uma rede e exfiltrar dados. 

ATT&CK significa: Adversarial Tactics, Techniques, and Common Knowledge (em português: Táticas, Técnicas e Conhecimento Comum sobre os Adversários). A estrutura é uma matriz de diferentes técnicas de ataque cibernético classificadas por diferentes táticas. Existem diferentes matrizes para sistemas Windows, Linux, Mac e dispositivos móveis. 

Desde sua criação em 2013, a ATT&CK tornou-se um dos recursos mais respeitados e referenciados em segurança cibernética, formando uma base de conhecimento de técnicas de hacking que podem ser usadas para defender redes contra ameaças à segurança cibernética. Conhecer a ATT&CK é entender seu inimigo. 

Use o menu abaixo para ir para a seção mais relevante 

  • MITRE ATT&CK x Cyber Kill Chain 
  • Matrizes 
  • Táticas e técnicas 
  • Usos e benefícios 
  • Melhores práticas 
  • Desafios 
  • Atualizações e recursos 

MITRE ATT&CK vs Cyber Kill Chain

mitre-attack-vs-cyber-kill-chain

Em termos gerais, ambos os sistemas seguem o mesmo padrão — entre, não seja pego, roube coisas. A principal diferença é que a matriz ATT&CK é mais uma lista técnica e não propõe uma ordem específica de operações. 

A Cyber Kill Chain, por outro lado, é uma sequência bem definida de eventos: o Red Team (termo de teste para invasores) passa do reconhecimento para a intrusão e assim por diante, seguindo uma ordem definida. Entretanto, o Red Team utiliza técnicas e táticas de ATT&CK em diferentes momentos do cenário, dependendo da situação. Um cenário ATT&CK poderia começar com uma adição de hardware da tática de acesso inicial, depois pular para Ignorar o controle de conta de usuário da tática de escalonamento de privilégios e voltar para a tática de execução para iniciar o PowerShell. 

O ATT&CK define as seguintes táticas usadas em um ataque cibernético: 

  • Acesso inicial 
  • Execução 
  • Persistência 
  • Escalação de privilégios 
  • Evasão de defesa 
  • Acesso a credenciais 
  • Descoberta 
  • Movimento lateral 
  • Coleção 
  • Exfiltração 
  • Comando e controle 

A Cyber Kill Chain é um pouco mais curta: 

  • Reconhecimento 
  • Intrusão 
  • Exploração 
  • Escalação de privilégios 
  • Movimento lateral 
  • Ofuscação/Anti-forense 
  • Negação de serviço 
  • Exfiltração 

Matrizes MITRE ATT&CK

O ATT&CK é uma matriz de técnicas de hacking baseado em táticas. Se você quiser saber como o Red Team fica escondido durante uma infiltração, dê uma olhada na categoria Evasão de Defesa, escolha uma das técnicas dessa coluna e clique no link para obter mais informações. 

Existem várias matrizes diferentes: 

  • A matriz PRE-ATT&CK inclui técnicas usadas para reconhecimento, identificação de alvos e planejamento de ataque 
  • O Windows inclui técnicas usadas para hackear todos os tipos de Windows 
  • O Linux inclui técnicas usadas para hackear todos os tipos de Linux 
  • O MacOS inclui técnicas usadas para hackear o MacOS 
  • A matriz Mobile ATT&CK inclui técnicas usadas para atacar dispositivos móveis 

A matriz Enterprise ATT&CK é um superconjunto das matrizes Windows, MacOS e Linux. No momento em que esse arquivo foi escrito, haviam 245 técnicas no modelo Empresarial. O MITRE atualiza regularmente o ATT&CK com as melhores e mais recentes técnicas de hacking que hackers e pesquisadores de segurança descobrem no mundo. 

Táticas e Técnicas para MITRE ATT&CK

O MITRE chama a categoria de nível superior de “táticas”. Cada coluna de uma tática inclui uma lista de “técnicas” que visam alcançar essa tática. 

Para melhor utilizar o ATT&CK, o Red Team desenvolve uma estratégia para unir várias técnicas de diferentes colunas para testar as defesas de seu alvo. O Blue Team (termo pentest para Defensores) precisa entender as táticas e técnicas para contrariar a estratégia do Red Team. 

É um jogo de xadrez, mas as peças são técnicas ATT&CK em vez de cavalos e bispos. Cada lado precisa fazer movimentos específicos, contra-atacar, construir uma defesa e antecipar as próximas técnicas em jogo. 

Por exemplo, uma estratégia do Red Team pode ser semelhante à lista mostrada abaixo. 

Clicar em qualquer um dos links para as técnicas abaixo leva a uma página com uma breve explicação da técnica, uma lista de programas, por exemplo, juntamente com dicas de mitigação e detecção: 

  1. O Red Team infecta o alvo com malware usando replicação por meio de mídia removível 
  1. Com o malware instalado, os invasores têm acesso a um computador na rede e usam o PowerShell para procurar contas privilegiadas 
  1. Quando o Red Team encontrar um alvo de conta privilegiada, ele usa uma Exploração para Escalação de privilégios para ter acesso à conta 
  1. Com acesso a uma conta privilegiada, o invasor usa o Remote Desktop Protocol para acessar outras máquinas na rede e encontrar dados para roubar 
  1. O Red Team coleta e exflitra dados de volta à base. Ele poderia usar a compactação de dados para coletar os arquivos confidenciais e, em seguida, passar os dados de volta para casa usando uma técnica de exfiltração por protocolo alternativo 

Para lidar com o cenário de exemplo, o Blue Team precisa ser capaz de detectar o acesso a arquivos em um dispositivo de mídia removível ou detectar o malware que o invasor implantou. É preciso detectar a execução do PowerShell e saber que não é apenas um administrador fazendo um trabalho regular. O Blue Team também precisa detectar o acesso da conta privilegiada roubada, dados confidenciais e exfiltração. Estas técnicas são difíceis de detectar e correlacionar na maioria dos sistemas de monitorização. 

O Red Team geralmente sai vitorioso, como os hackers reais. 

Usos do MITRE ATT&CK

mitre-attack-uses

Já discutimos como o Red Team usa técnicas ATT&CK para planejar um cenário para testar as defesas da rede, mas de que outra forma é possível usar a ATT&CK? 

  • Use a ATT&CK para planejar sua estratégia de segurança cibernética. Construa uma defesa para combater técnicas conhecidas e equipe seu monitoramento para detectar evidências de técnicas ATT&CK na rede 
  • A ATT&CK é referência para equipes de Resposta a Incidentes (RI). Sua equipe de RI pode usar a ATT&CK para determinar a natureza das ameaças enfrentadas e os métodos para mitigá-las 
  • Sua equipe de RI pode usar a ATT&CK como referência para novas ameaças à segurança cibernética e planejar com maior antecedência 
  • A ATT&CK pode ajudar a avaliar a estratégia geral de segurança cibernética da empresa e preencher quaisquer lacunas descobertas 

Benefícios da ATT&CK para as Red Teams

Outro excelente recurso para o Red Team no repositório ATT&CK é o Group Directory, uma lista de grupos de hackers conhecidos, juntamente com uma lista das ferramentas e técnicas que eles usam para se infiltrar em seus alvos. 

Por exemplo, a entrada do grupo Rancor lista as técnicas que eles usaram em seus ataques: interface de linha de comando, cópia remota de arquivos etc. Ao lado de cada técnica, há uma breve descrição de como o grupo usou cada uma delas e também uma lista de softwares utilizados — certutil, DDKONG, PLAINTEE e Reg. 

Com o Group Directory, as Red Teams têm tudo o que precisam para criar dezenas e cenários diferentes do mundo real para as Blue Teams combaterem. 

Melhores práticas MITRE ATT&CK

Aqui estão alguns pontos a serem considerados ao usar o ATT&CK como parte dos planos gerais de segurança de dados: 

  1. Use o software e cenários do mundo real da lista de Grupos. Se você não consegue se proteger contra ameaças conhecidas, não há como impedir as ameaças desconhecidas 
  1. Socialize e compartilhe técnicas ATT&CK como uma linguagem comum para suas equipes de segurança 
  1. Identifique lacunas nas defesas com as matrizes ATT&CK e implemente soluções para essas lacunas 
  1. Nunca presuma que, como você pode se defender contra uma técnica de uma forma, você não será prejudicado por uma implementação diferente dessa técnica. Só porque o seu antivírus detecta o “Mimikatz”, não presuma que ele também irá detectar o “tnykttns” ou qualquer outra variante do Mimikats que surgir. 

Desafios ao usar a ATT&CK

  • Nem todo comportamento que corresponda a uma técnica ATT&CK é malicioso. A exclusão de arquivos, por exemplo, é uma técnica listada em Evasão de Defesa — o que faz total sentido. Mas como você pode distinguir exclusões normais de arquivos das tentativas de um invasor de evitar a detecção? 
  • Da mesma forma, algumas técnicas ATT&CK são difíceis de detectar. Os ataques de força bruta são bastante fáceis de detectar se você souber o que procurar. A exfiltração por protocolo alternativo, como um túnel DNS, pode ser bastante difícil, mesmo se você estiver procurando por ela. A capacidade de descobrir técnicas difíceis de detectar é fundamental para uma estratégia de segurança de dados de longo prazo. 

A MITRE ATT&CK hoje

A ATT&CK é um dos recursos mais completos e definitivos de técnicas hackers disponíveis atualmente. Os profissionais de segurança falam cada vez mais sobre técnicas de ataque cibernético em termos de ATT&CK, e estão construindo defesas e escolhendo software baseado nos modelos. 

Atualizações para a ATT&CK

A MITRE faz atualizações regulares na ATT&CK, acompanhe seu blog para obter as últimas notícias. 

Mais recentemente, a MITRE lançou um processo de certificação de software. As empresas de software podem ser certificadas pela MITRE com base na sua capacidade de detectar técnicas ATT&CK. 

Projetos e recursos da ATT&CK

A MITRE e outros desenvolvedores terceirizados usam a ATT&CK para ajudar as Red e Blue Teams a implementar seus esforços de defesa e pentesting: 

  • Caldera é a ferramenta de emulação de técnica de fixação automatizada da MITRE 
  • Cascade é o conjunto de ferramentas Blue Team da MITRE 
  • Attack Navigator é um aplicativo da web que pode ser usado para fazer anotações e rastrear seu status ATT&CK 
  • Oilrig é o Manual do Adversário de Palo Alto baseado no modelo ATT&CK 
  • O Repositório de Análise Cibernética da MITRE é um projeto separado da ATT&CK que rastreia informações detalhadas sobre como detectar técnicas 

A Varonis detecta diversas técnicas ATT&CK e ataques cibernéticos em sua rede — incluindo Pass the Hash, Pass the Ticket e ataques de força bruta. Os modelos de ameaças da Varonis usam a mesma linguagem da ATT&CK para que a organização possa consultar facilmente ambos os recursos quando precisam pesquisar ataques cibernéticos. 

Entre em contato e agende uma sessão de demonstração para tirar dúvidas e entender se a Varonis é adequada para suas necessidades. 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
DSPM x CSPM: unindo dados e segurança na nuvem com a Varonis
Soluções DSPM e CSPM são fundamentais para que as organizações garantam que sua infraestrutura na nuvem e dados estejam seguros 
certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0