MITRE propõe metodologia para modelar e prevenir ameaças de segurança da informação

Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION

A modelagem de ameaças está ganhando cada vez mais atenção conforme a dinamicidade do atual cenário tecnológico. O surgimento e a sofisticação dos diversos vetores de ataques oferecem um destaque para o processo de localização de vulnerabilidades, buscando o ponto de vista de invasores em potencial a fim de melhorar a aproximação de uma situação real. Geralmente, essa atividade é realizada centralizando o sistema, as pessoas ou o risco.

Independentemente da abordagem utilizada, os objetivos são os mesmos: identificar possíveis ameaças e adotar medidas preventivas para as mesmas, preferencialmente desde a concepção do produto ou serviço. Entretanto, tais práticas podem não contemplar de maneira suficiente ou eficaz as possíveis táticas de agentes maliciosos, motivo pelo qual a MITRE, organização responsável por pesquisas e desenvolvimento em agências americanas, elaborou o ATT&CK (Adversarial Tatics, Techniques and Common Knowledge).

A premissa da modelagem de ameaças é aceitar que qualquer sistema terá uma vulnerabilidade indefinida que, em algum momento, poderá ser potencialmente explorada a partir de uma sequência de etapas ou em determinado cenário. Logo, trata-se de um processo cujo objetivo é desencadear novas vulnerabilidades e antecipar a capacidade dos atacantes de realizarem sua exploração. O primeiro passo do ATT&CK é mapear os fluxos de dados entre os sistemas e subsistemas de acordo com suas interações e limites de confiança, então todos os mnemônicos são listados para realizar o registro das táticas utilizadas. São elas:

  • Acesso inicial
  • Execução
  • Persistência
  • Escalação de privilégios
  • Evasão de defesa
  • Acesso credencial
  • Descoberta
  • Movimento lateral
  • Coleção
  • Comando e controle
  • Exfiltração
  • Impacto

Então, todas as técnicas aplicáveis passam por uma avaliação crítica e faz-se por um processo de eliminação daquelas não viáveis. Por último, o processo é devidamente repetido em todos os sistemas e subsistemas a fim de se enumerar as ameaças e validar os mecanismos de defesa. O ATT&CK deve ser utilizado como uma ferramenta extra na verificação da proteção de dados que outras metodologias podem não contemplar, de maneira que o resultado provoque uma melhoria geral tanto na eficiência quanto na eficácia de modelagem das ameaças.

Confira a notícia na íntegra aqui.