Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION“
A modelagem de ameaças está ganhando cada vez mais atenção conforme a dinamicidade do atual cenário tecnológico. O surgimento e a sofisticação dos diversos vetores de ataques oferecem um destaque para o processo de localização de vulnerabilidades, buscando o ponto de vista de invasores em potencial a fim de melhorar a aproximação de uma situação real. Geralmente, essa atividade é realizada centralizando o sistema, as pessoas ou o risco.
Independentemente da abordagem utilizada, os objetivos são os mesmos: identificar possíveis ameaças e adotar medidas preventivas para as mesmas, preferencialmente desde a concepção do produto ou serviço. Entretanto, tais práticas podem não contemplar de maneira suficiente ou eficaz as possíveis táticas de agentes maliciosos, motivo pelo qual a MITRE, organização responsável por pesquisas e desenvolvimento em agências americanas, elaborou o ATT&CK (Adversarial Tatics, Techniques and Common Knowledge).
A premissa da modelagem de ameaças é aceitar que qualquer sistema terá uma vulnerabilidade indefinida que, em algum momento, poderá ser potencialmente explorada a partir de uma sequência de etapas ou em determinado cenário. Logo, trata-se de um processo cujo objetivo é desencadear novas vulnerabilidades e antecipar a capacidade dos atacantes de realizarem sua exploração. O primeiro passo do ATT&CK é mapear os fluxos de dados entre os sistemas e subsistemas de acordo com suas interações e limites de confiança, então todos os mnemônicos são listados para realizar o registro das táticas utilizadas. São elas:
- Acesso inicial
- Execução
- Persistência
- Escalação de privilégios
- Evasão de defesa
- Acesso credencial
- Descoberta
- Movimento lateral
- Coleção
- Comando e controle
- Exfiltração
- Impacto
Então, todas as técnicas aplicáveis passam por uma avaliação crítica e faz-se por um processo de eliminação daquelas não viáveis. Por último, o processo é devidamente repetido em todos os sistemas e subsistemas a fim de se enumerar as ameaças e validar os mecanismos de defesa. O ATT&CK deve ser utilizado como uma ferramenta extra na verificação da proteção de dados que outras metodologias podem não contemplar, de maneira que o resultado provoque uma melhoria geral tanto na eficiência quanto na eficácia de modelagem das ameaças.
Confira a notícia na íntegra aqui.