
Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION“
A modelagem de ameaças está ganhando ainda mais atenção com o ambiente dinâmico de ameaças de hoje. A sofisticação dos atores e o desenvolvimento de táticas, técnicas e procedimentos avançados (TTPs) evidenciam a necessidade do processo de identificação de vulnerabilidades, incorporando o ponto de vista do invasor.
Existem várias abordagens e técnicas de modelagem de ameaças a serem consideradas. Geralmente, elas podem ser classificadas como: centrada em ativos, centrada em sistema, centrada em pessoas ou centrada em risco. Por exemplo, o STRIDE da Microsoft (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service and Elevation of Privilege) é centrado no sistema, enquanto o PASTA (Process for Attack Simulation and Threat Analysis) é centrado no risco.
Independentemente do modelo, os objetivos principais permanecem os mesmos – identificar ameaças e incorporar contramedidas no início e, de preferência, durante o design. No entanto, a modelagem de ameaças para cada uma dessas abordagens pode não ser abrangente o suficiente e também pode ser difícil de aplicar. Mais importante, não há estruturas formais para identificação holística de ameaças.
Isso foi verdade até o MITRE desenvolver o Adversarial Tactics, Techniques and Common Knowledge framework, mais conhecido como ATT&CK.
Fundamentos de modelagem de ameaças
A premissa subjacente da modelagem de ameaças, como uma extensão da engenharia de confiabilidade, é que um sistema sempre terá uma vulnerabilidade indefinida que pode ser potencialmente explorada por uma sequência de etapas ou em um determinado cenário. Simplificando: um sistema sempre terá uma falha indefinida esperando para ser explorada.
A maioria das abordagens de modelagem de ameaças possui quatro componentes:
- Ator ou adversário
- Sistema
- Vulnerabilidade
- Técnica ou método de ataque
Das quatro, as técnicas de ataque são as mais comuns e mais uteis para o reconhecimento do padrão de ataque. Ironicamente, a taxonomia relacionada às técnicas de ataque não foi formalizada e vinculada ao ator no contexto de um sistema.
No contexto de entradas para modelagem de ameaças, os processos para manter e relatar vulnerabilidades amadureceram ao longo dos anos e vários bancos de dados de vulnerabilidades disponíveis publicamente evoluíram. Por exemplo, o NIST National Vulnerability Database (NVD) oferece uma boa fonte de vulnerabilidades conhecidas em várias tecnologias.
Além disso, pesquisadores de segurança fizeram tentativas deliberadas de capturar e mapear padrões usados por adversários. A Cyber Kill Chain, publicada por Lockheed Martin, é uma dessas abordagens e descreve as táticas adversariais como um processo de sete etapas. Essas etapas são: reconhecimento, armamento, entrega, exploração, instalação, comando e controle e ações sobre os objetivos. Embora o NVD e o Cyber Kill Chain ofereçam informações valiosas, nenhum deles é holístico o suficiente para modelagem eficaz de ameaças. A Cyber Kill Chain é uma estrutura de táticas adversas de alto nível, enquanto os bancos de dados de vulnerabilidade são de nível muito baixo.
É aqui que a estrutura do MITRE ATT&CK se encaixa – para preencher a lacuna e fornecer um conjunto sucinto de táticas com profundidade e taxonomia apropriadas de técnicas.
MITRE ATT&CK
Em essência, o ATT&CK é semelhante ao Cyber Kill Chain, ainda mais definido com profundidade e atualizado ativamente (semelhante à forma como o NVD é atualizado ativamente). Em alto nível, o ATT&CK é organizado como uma matriz de padrões antagônicos, capturando as táticas progressivas (e a intenção) do comportamento dos ciber-adversários, juntamente com as técnicas correspondentes.
A principal diferença entre o ATT&CK e a Cyber Kill Chain é a profundidade das técnicas e a taxonomia com curadoria dessas técnicas. Além disso, a organização da matriz apresenta casos de uso para defesa e proteção cibernética. Alguns dos casos de uso da defesa cibernética são avaliações de lacunas em operações de segurança com base na exposição específica a ameaças e levantam oportunidades para melhorar a proteção.
O ATT&CK também se apresenta como um plug-in ou uma segunda camada para outras estruturas que não cobrem as táticas e técnicas adversárias. Mais especificamente, ele pode ser usado como uma segunda camada para o STRIDE, que geralmente é usado para conduzir a modelagem de ameaças no desenvolvimento seguro de software.
Modelagem de ameaças com o Microsoft STRIDE
STRIDE é uma técnica popular de modelagem de ameaças centrada no sistema usada para levantar ameaças em sistemas e no ciclo de vida de desenvolvimento de software (SDL) ao longo das dimensões ou mnemônicos de falsificação, violação, repúdio, divulgação de informações, negação de serviço e elevação de privilégio.
As principais etapas necessárias para aplicar o STRIDE exigem:
- Identificação de processos, repositórios e fluxos de dados
- Estabelecer limites de confiança entre sistemas e subsistemas (como diagramas de fluxo de dados)
Posteriormente, cada um dos sistemas ou subsistemas é analisado sistematicamente em relação a cada um dos componentes do STRIDE, bem como o resultado desejado para proteger a autenticidade, integridade, não repúdio, confidencialidade, disponibilidade e autorização.
O STRIDE é um processo robusto para modelagem de ameaças de alto nível. Ele também oferece a quantidade certa de “shift left” (desenvolvimento de contramedidas de segurança desde o início) exigido de segurança em SDL e como uma extensão do DevOps durante o design e o desenvolvimento ágil – em oposição a um estágio posterior (como uma release de software).
O que o STRIDE não faz, no entanto, é responsável por como os adversários pretendem explorar um sistema. Qual é o plano de ataque deles? Por exemplo, o STRIDE não leva em consideração a intenção das táticas, de “acesso inicial” a “movimento lateral” ou para manter a “persistência” dentro de um sistema ou subsistema.
Da mesma forma, dentro de cada tática, a taxonomia das técnicas usadas para explorar vulnerabilidades não é definida no nível exigido pelos TTPs modernos. Todos esses fatores são necessários para o desenvolvimento de proteções cibernéticas fortes durante SDL. Além disso, a profundidade e a amplitude da modelagem de ameaças se tornam uma preocupação de segurança ainda mais crítica no DevOps, devido ao desenvolvimento ágil, que inclui integração e desenvolvimento contínuos (CI/CD), além de infraestrutura e segurança desenvolvidas como código.
Também não devemos esquecer a minúcia da segurança necessária para derivar e desenvolver as bases para uma imagem de ouro (plano de contramedidas de segurança). A imagem de ouro deve estar em sintonia com os riscos de alta segurança de ciclos de liberação mais curtos (dias ou horas, em oposição a meses) em processos de integração contínua / entrega contínua com testes de segurança automatizados durante o desenvolvimento.
Passo a passo com ATT&CK
Dado tudo o que foi abordado, a aplicação do ATT&CK no processo STRIDE é um ajuste natural. Como no STRIDE, o primeiro passo é identificar os sistemas, subsistemas, mapear os fluxos de dados e as interações entre eles e os limites de confiança.
Segundo, para cada um dos subsistemas, enumere uma matriz STRIDE listando os mnemônicos. Depois, as 12 táticas ATT&CK são registradas. As táticas enumeradas são:
- Acesso inicial
- Execução
- Persistência
- Escalonamento de privilégios
- Evasão de defesa
- Acesso credencial
- Descoberta
- Movimento lateral
- Coleção
- Comando e controle
- Exfiltração
- Impacto
Cada uma dessas táticas é progressivamente sofisticada e, portanto, a defesa (proteção) de cada uma delas se torna mais complicada.
Na Etapa 4, para cada uma das táticas dentro de cada uma das mnemônicas STRIDE, as técnicas aplicáveis são avaliadas. Por exemplo, para o mnemônico STRIDE de falsificação, as 12 táticas são avaliadas quanto às técnicas de ameaça ATT&CK que podem resultar em falsificação contra autenticidade. Em outras palavras, as etapas 2 a 4 são um processo de eliminação. Na quinta e última etapa, esse processo é repetido em todos os subsistemas para enumerar todas as ameaças e verificar defesas.
MELHOR JUNTOS
A matriz ATT&CK oferece uma rica taxonomia de táticas adversárias, com uma enumeração curada de técnicas antagônicas prontamente disponíveis para vários casos de uso. O ATT&CK pode ser usado como uma ferramenta para avaliar sistematicamente táticas e técnicas adversárias que estão faltando no processo de modelagem de ameaças STRIDE amplamente utilizado durante SDL. O resultado é uma melhoria geral na eficácia e eficácia da modelagem de ameaças.
Confira a notícia na íntegra aqui.