Sobre ATT&CK: Como a metodologia do MITRE para encontrar ameaças e contramedidas pode funcionar em sua organização

Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION

A modelagem de ameaças está ganhando ainda mais atenção com o ambiente dinâmico de ameaças de hoje.  A sofisticação dos atores e o desenvolvimento de táticas, técnicas e procedimentos avançados (TTPs) evidenciam a necessidade do processo de identificação de vulnerabilidades, incorporando o ponto de vista do invasor.

Existem várias abordagens e técnicas de modelagem de ameaças a serem consideradas.  Geralmente, elas podem ser classificadas como: centrada em ativos, centrada em sistema, centrada em pessoas ou centrada em risco.  Por exemplo, o STRIDE da Microsoft (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service and Elevation of Privilege) é centrado no sistema, enquanto o PASTA (Process for Attack Simulation and Threat Analysis) é centrado no risco.

Independentemente do modelo, os objetivos principais permanecem os mesmos – identificar ameaças e incorporar contramedidas no início e, de preferência, durante o design.  No entanto, a modelagem de ameaças para cada uma dessas abordagens pode não ser abrangente o suficiente e também pode ser difícil de aplicar. Mais importante, não há estruturas formais para identificação holística de ameaças. 

Isso foi verdade até o MITRE desenvolver o Adversarial Tactics, Techniques and Common Knowledge framework, mais conhecido como ATT&CK. 

Fundamentos de modelagem de ameaças

A premissa subjacente da modelagem de ameaças, como uma extensão da engenharia de confiabilidade, é que um sistema sempre terá uma vulnerabilidade indefinida que pode ser potencialmente explorada por uma sequência de etapas ou em um determinado cenário.  Simplificando: um sistema sempre terá uma falha indefinida esperando para ser explorada.  

 A maioria das abordagens de modelagem de ameaças possui quatro componentes:

  • Ator ou adversário
  • Sistema
  • Vulnerabilidade
  • Técnica ou método de ataque

Das quatro, as técnicas de ataque são as mais comuns e mais uteis para o reconhecimento do padrão de ataque.  Ironicamente, a taxonomia relacionada às técnicas de ataque não foi formalizada e vinculada ao ator no contexto de um sistema.

No contexto de entradas para modelagem de ameaças, os processos para manter e relatar vulnerabilidades amadureceram ao longo dos anos e vários bancos de dados de vulnerabilidades disponíveis publicamente evoluíram.  Por exemplo, o NIST National Vulnerability Database (NVD) oferece uma boa fonte de vulnerabilidades conhecidas em várias tecnologias.  

Além disso, pesquisadores de segurança fizeram tentativas deliberadas de capturar e mapear padrões usados por adversários. A Cyber ​​Kill Chain, publicada por Lockheed Martin, é uma dessas abordagens e descreve as táticas adversariais como um processo de sete etapas.  Essas etapas são: reconhecimento, armamento, entrega, exploração, instalação, comando e controle e ações sobre os objetivos. Embora o NVD e o Cyber ​​Kill Chain ofereçam informações valiosas, nenhum deles é holístico o suficiente para modelagem eficaz de ameaças. A Cyber ​​Kill Chain é uma estrutura de táticas adversas de alto nível, enquanto os bancos de dados de vulnerabilidade são de nível muito baixo.

É aqui que a estrutura do MITRE ATT&CK se encaixa – para preencher a lacuna e fornecer um conjunto sucinto de táticas com profundidade e taxonomia apropriadas de técnicas.

MITRE ATT&CK

Em essência, o ATT&CK é semelhante ao Cyber ​​Kill Chain, ainda mais definido com profundidade e atualizado ativamente (semelhante à forma como o NVD é atualizado ativamente).  Em alto nível, o ATT&CK é organizado como uma matriz de padrões antagônicos, capturando as táticas progressivas (e a intenção) do comportamento dos ciber-adversários, juntamente com as técnicas correspondentes.

A principal diferença entre o ATT&CK e a Cyber ​​Kill Chain é a profundidade das técnicas e a taxonomia com curadoria dessas técnicas.  Além disso, a organização da matriz apresenta casos de uso para defesa e proteção cibernética. Alguns dos casos de uso da defesa cibernética são avaliações de lacunas em operações de segurança com base na exposição específica a ameaças e levantam oportunidades para melhorar a proteção.

O ATT&CK também se apresenta como um plug-in ou uma segunda camada para outras estruturas que não cobrem as táticas e técnicas adversárias. Mais especificamente, ele pode ser usado como uma segunda camada para o STRIDE, que geralmente é usado para conduzir a modelagem de ameaças no desenvolvimento seguro de software.

Modelagem de ameaças com o Microsoft STRIDE

STRIDE é uma técnica popular de modelagem de ameaças centrada no sistema usada para levantar ameaças em sistemas e no ciclo de vida de desenvolvimento de software (SDL) ao longo das dimensões ou mnemônicos de falsificação, violação, repúdio, divulgação de informações, negação de serviço e elevação de privilégio.

 As principais etapas necessárias para aplicar o STRIDE exigem:

  • Identificação de processos, repositórios e fluxos de dados
  • Estabelecer limites de confiança entre sistemas e subsistemas (como diagramas de fluxo de dados)

Posteriormente, cada um dos sistemas ou subsistemas é analisado sistematicamente em relação a cada um dos componentes do STRIDE, bem como o resultado desejado para proteger a autenticidade, integridade, não repúdio, confidencialidade, disponibilidade e autorização.

O STRIDE é um processo robusto para modelagem de ameaças de alto nível.  Ele também oferece a quantidade certa de “shift left” (desenvolvimento de contramedidas de segurança desde o início) exigido de segurança em SDL e como uma extensão do DevOps durante o design e o desenvolvimento ágil – em oposição a um estágio posterior (como uma release de software).

O que o STRIDE não faz, no entanto, é responsável por como os adversários pretendem explorar um sistema.  Qual é o plano de ataque deles? Por exemplo, o STRIDE não leva em consideração a intenção das táticas, de “acesso inicial” a “movimento lateral” ou para manter a “persistência” dentro de um sistema ou subsistema.

Da mesma forma, dentro de cada tática, a taxonomia das técnicas usadas para explorar vulnerabilidades não é definida no nível exigido pelos TTPs modernos.  Todos esses fatores são necessários para o desenvolvimento de proteções cibernéticas fortes durante SDL. Além disso, a profundidade e a amplitude da modelagem de ameaças se tornam uma preocupação de segurança ainda mais crítica no DevOps, devido ao desenvolvimento ágil, que inclui integração e desenvolvimento contínuos (CI/CD), além de infraestrutura e segurança desenvolvidas como código.

Também não devemos esquecer a minúcia da segurança necessária para derivar e desenvolver as bases para uma imagem de ouro (plano de contramedidas de segurança).  A imagem de ouro deve estar em sintonia com os riscos de alta segurança de ciclos de liberação mais curtos (dias ou horas, em oposição a meses) em processos de integração contínua / entrega contínua com testes de segurança automatizados durante o desenvolvimento.

Passo a passo com ATT&CK

Dado tudo o que foi abordado, a aplicação do ATT&CK no processo STRIDE é um ajuste natural.  Como no STRIDE, o primeiro passo é identificar os sistemas, subsistemas, mapear os fluxos de dados e as interações entre eles e os limites de confiança. 

Segundo, para cada um dos subsistemas, enumere uma matriz STRIDE listando os mnemônicos.  Depois, as 12 táticas ATT&CK são registradas. As táticas enumeradas são:

  •  Acesso inicial
  •  Execução
  •  Persistência
  •  Escalonamento de privilégios
  •  Evasão de defesa
  •  Acesso credencial
  •  Descoberta
  •  Movimento lateral
  •  Coleção
  •  Comando e controle
  •  Exfiltração
  •  Impacto

Cada uma dessas táticas é progressivamente sofisticada e, portanto, a defesa (proteção) de cada uma delas se torna mais complicada.

Na Etapa 4, para cada uma das táticas dentro de cada uma das mnemônicas STRIDE, as técnicas aplicáveis ​​são avaliadas.  Por exemplo, para o mnemônico STRIDE de falsificação, as 12 táticas são avaliadas quanto às técnicas de ameaça ATT&CK que podem resultar em falsificação contra autenticidade.  Em outras palavras, as etapas 2 a 4 são um processo de eliminação. Na quinta e última etapa, esse processo é repetido em todos os subsistemas para enumerar todas as ameaças e verificar defesas.

MELHOR JUNTOS

A matriz ATT&CK oferece uma rica taxonomia de táticas adversárias, com uma enumeração curada de técnicas antagônicas prontamente disponíveis para vários casos de uso.  O ATT&CK pode ser usado como uma ferramenta para avaliar sistematicamente táticas e técnicas adversárias que estão faltando no processo de modelagem de ameaças STRIDE amplamente utilizado durante SDL.  O resultado é uma melhoria geral na eficácia e eficácia da modelagem de ameaças.

Confira a notícia na íntegra aqui.