Mitre er en ikke-for-profit organisation, der ”løser problemer for at sikre verdenen”1, som har lavet og vedligeholder ATT&CK frameworket, som systematisk sætter avancerede hackergrupperingers taktikker og teknikker ind i en ramme, så it-sikkerhedsfolk kan se hvad man bør holde styr på i et it-miljø.
ATT&CK er et akronym for Advanced Tactics, Techniques & Common Knowledge.
Tactics er målet for en given handling.
Techniques er metoden til at opnå målet.
Grunden til at det er smart at bruge et framework som ATT&CK kan ses, hvis man kigger på Pyramid of Pain, som beskriver hvor svært det er for en angriber at ændre forskellige "Indicators of Compromise" (IoC).
Det Pyramid of Pain viser er, at hvis ens metode til at opdage angreb er baseret på de IoC'ere vi ser i bunden at pyramiden er det trivielt for angriberne at ændre mønster, så de undslipper opdagelse, men jo højere op ad pyramiden man klatrer, desto sværre er det - for angriber - at ændre signaturen.
ATT&CK sigter mod "Tools Techniques and Procedures" (TTP) i toppen af figuren og kan man opdage dem, gør man det for alvor svært at forblive uset som angriber.
Bedste sted at få en masse info om ATT&CK er via Mitres forskellige sider online. Her kan man finde bl.a. papers samt blog posts og videoer.
Hurtigt overblik over hovedpointer om ATT&CK:
Kan med fordel læses i denne rækkefølge.
- Getting Started with ATT&CK: Threat Intelligence
- Getting Started with ATT&CK: Detection and Analytics
- Getting Started with ATT&CK: Adversary Emulation and Red Teaming
- Getting Started with ATT&CK: Assessments and Engineering
Se også ATT&CK-hjemmesidens Getting Started afsnit for yderligere ressourcer.
<iframe width="560" height="315" src="https://www.youtube-nocookie.com/embed/0BEf6s1iu5g" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> <iframe width="560" height="315" src="https://www.youtube-nocookie.com/embed/bkfwMADar0M" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> Bemærk evt. top 20 techniques ved ~31:30.Hvordan kan ATT&CK konkret anvendes i et SIEM?
- MITRE ATT&CKcon 2018: Summiting the Pyramid of Pain: Operationalizing ATT&CK (~30:00)
- MITRE ATT&CKcon 2018: From Technique to Detection (~5:00)
- Building The MITRE ATT&CK Technique Detection into Your Security Monitoring (~1:00:00)
(Løst baseret på tanker i bogen A Data-Driven Computer Defence af Roger A. Grimes)
- Identificer de vigtigste succesfulde nuværende angreb (5-10stk).
- Identificer de vigtigste potentielle fremtidige angreb (5-10stk).
- Find metrikker til at måle de i 1+2 identificerede angreb.
- Ranger de i 3 målte angreb baseret på hyppighed / alvorlighed.
- Arbejd på at mitigere værste trussel først indtil den ikke længere er værst mere.
- [goto 5.]
- Periodevis vurderes lister fra 1+2.
ATT&CK:
- Hjemmeside
- ATT&CK Navigator (om navigatoren)
- MITRE Cyber Analytics Repository (Voksende bibliotek af "detection techniques")
- MITREblog: ATT&CK Sub-Techniques Preview
Log Management:
Andre relevante modeller:
- Cyber Kill Chain fra Lockheed Martin. God, når man skal forklare et angrebs anatomi til ledelsen.
- Pyramid of Pain. God, når man skal forstå hvorfor vi bruger ATT&CK.
Test af Detection Techniques:
- Brug Atomic Red Team til automatisering af red team testing.
Artikler:
- Getting Started with ATT&CK? New Report Suggests Prioritizing PowerShell
- Four tools to consider if you're adopting ATT&CK
- ATT&CK™ Is Only as Good as Its Implementation: Avoiding Five Common Pitfalls
APT - Advanced Persistent Threat
ATT&CK - Adversarial Tactics Techniques & Common Knowledge
CTI - Cyber Threat Intelligence
CVE - Common Vulnerabilities and Exposures
IOC - Indicator of Compromise
SIEM - Security Information and Event Management
SOC - Security Operation Center
TTPs - Tactics, Techniques, and Procedures
Se flere på Cybersecurity Dictionary.
Footnotes
-
Ref.: Corporate Overview (mitre.org) ↩