Não confunda com “Jeitinho brasileiro”, o comportamento malicioso e oportunista, sem ética e trapaceiro, parece ser requisito essencial para os cibercriminosos. Digo isso pois todo ataque se baseia na insistência e criatividade do cibercriminoso em descobrir uma forma de invadir o sistema de organizações e empresas no mundo inteiro. Cada vez mais novos métodos e formas de ataque surgem e estar atento à todas pode parecer tarefa difícil. A troca de informações é essencial para todos, principalmente no mundo da Tecnologia da Informação, que além dos chamados internos a equipe de TI se torna responsável por proteger a rede. Nem sempre sobra tempo para estudar e classificar as novas formas de ataque que constantemente sofrem mudanças.
Agora imagine uma estrutura que se assemelha a uma ‘biblioteca’, onde existem táticas e comportamentos de ataques hacker categorizados de maneira que permita aos profissionais da área da TI obter informações e base para reforçar a sua rede contra ciberataques. Isso é possível graças ao MITRE ATT&CK, entenda abaixo.
A MITRE Corporation lá em 2013 desenvolveu o ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Táticas, Técnicas e Conhecimento Comum de Adversários) como resposta à ciberataques específicos, a fim de descrever e categorizar os comportamentos de quem ataca. A solução se baseia em listar de maneira estruturada os comportamentos conhecidos de invasores, divididos em duas categorias “táticas” e “técnicas”. Essa lista é uma representação ampla dos comportamentos utilizados por invasores para comprometer as redes, dando base para diversas medidas ofensivas e defensivas aos times de TI.
O ATT&CK tem se mostrado cada vez mais útil no cotidiano das organizações. Toda estratégia defensiva que busca identificar comportamento malicioso de possíveis invasores pode se beneficiar do uso do ATT&CK. Com seu uso é possível ter uma base para pentests (testes de penetração) e formação de red team, fornecendo material suficiente para que “hackers bons” (defensores cibernéticos, red team e etc) tenham uma linguagem/biblioteca comum para se basear na hora de defender a rede contra seus adversários (“hackers maus” – colocamos entre aspas pois o que hackers fazem é explorar as vulnerabilidades deixadas pela organização, com um objetivo criminoso, mas ao mesmo tempo eles conseguem nos trazer um panorama geral sobre como a rede está e o que falta para que ela esteja mais segura.
O ATT&CK então utiliza cerca de 14 técnicas para categorizar os comportamentos, sendo:
- Reconhecimento (TA0043): Coleta de detalhes como endereços IP, políticas de segurança, lista de usuários, etc., sobre uma organização alvo.
- Desenvolvimento de recursos (TA0042): Estabelecer recursos para apoiar as operações, como configurar canais de comunicação entre os sistemas da vítima e o atacante.
- Acesso inicial (TA0001): Obtendo entrada em uma rede por meio de técnicas comuns como phishing ou explorar serviços remotos externos.
- Execução (TA0002): Execução de código malicioso no sistema da vítima que permite ao invasor controlar o sistema remotamente.
- Persistência (TA0003): Aproveitando sua presença e se esforçando para mantê-la na rede, a o invasor tenta aplicar técnicas como alterar configurações ou credenciais para cortar usuários legítimos tenham acesso à rede.
- Escalonamento de Privilégios (TA0004): Obtenção de permissões de nível superior para escalonar privilégios.
- Evasão de Defesa (TA0005): Obtendo acesso a software confiável e ferramentas existentes no sistema para mascarar o malware que circula no sistema e ocultar suas próprias pegadas.
- Acesso de credencial (TA0006): Usando ferramentas bacanas como software de captura de teclado para roubar credenciais dos usuários.
- Descoberta (TA0007): Descobrindo pontos vulneráveis na rede que podem ser explorados. Podendo também envolver a descoberta de uma lista de contas e seu status no ambiente, ou examinar relações de confiança entre vários domínios na mesma rede que podem ser exploradas.
- Movimento lateral (TA0008): Girando através de vários sistemas usando credenciais legítimas ou explorando sessões remotas existentes para se mover dentro da rede da organização.
- Coleta (TA0009): Coleta de dados de interesse para o objetivo adversário, como acessar dados em armazenamento na nuvem.
- Comando e Controle (C&C) (TA0011): Comunicação com sistemas comprometidos no rede para executar tarefas maliciosas. O invasor pode usar aplicativos e web protocolos para misturar comandos maliciosos em tráfego regular, dificultando a detecção comunicação entre o atacante e o sistema da vítima.
- Exfiltração (TA0010): Roubando dados por meio de procedimentos automatizados e empacotando-os para evitar a detecção. Os dados exfiltrados geralmente são compactados e criptografados e exfiltrados por um protocolo alternativo em vez do canal C&C existente.
- Impacto (TA0040): Interromper a disponibilidade ou comprometer a integridade dos dados, manipulação de negócios e processos operacionais. As técnicas usadas para o impacto podem incluir destruir ou adulterar dados.
Tudo em um ambiente controlado de testes semelhante a uma sandbox (referência a uma zona segura, desconectada do parque principal, utilizada para rodar programas, dispositivos removíveis, softwares e afins a fim de verificar se são ou não seguros para entrar na rede principal).
Cabe aos times especializados a utilização dessa solução, hoje por sorte temos em muitas organizações (e até empresas que terceirizam o serviço) os chamados red team para testes de força bruta, pentest, assim garantindo cada dia mais a integridade das redes de pequenas, médias e grandes corporações.
Uma equipe vermelha ou equipe vermelha é um grupo que desempenha o papel de um inimigo ou concorrente para fornecer feedback de segurança dessa perspectiva. Temos também o blue team que é um grupo de indivíduos que realiza uma análise dos sistemas de informação para garantir a segurança, identificar falhas de segurança, verificar a eficácia de cada medida de segurança e garantir que todas as medidas de segurança continuem efetivas após a implementação.
Quer entender um pouco mais sobre MITRE ATT&CK e red team, blue team, pentest? Temos dois episódios incríveis sobre o tema com convidados especialistas no tema, confira abaixo:
- “As melhores táticas e técnicas de defesa vem à partir da observação de situações do mundo real e neste episódio do PodCafé da TI, convidamos um trio de especialistas com João Santos, Consultor de Segurança da Informação para trocarmos ideias importantes sobre a mais importante base de conhecimento do momento neste tema”
Episódio #97 -MITRE ATT&CK E CTI
- “Neste episódio do PodCafé da TI vamos te provar que SOC Sim! Recebemos Luccas Bertti, co-fundador SOC Brazil e head de SOC, para mostrar que o azul pode sim ser a cor mais quente e discutir a importância do Blue Team nos processos de segurança.”
Episódio #58 – SOC sim! Os desafios do Blue Team
Estratégias de mitigação contra ameaças, associadas ao uso das técnicas categorizadas que o ATT&CK pe capaz de fornecer tem se mostrado cada vez mais importante para as organizações.
É interessante que as organizações tenham protocolos e políticas de segurança que regulem o tipo de software, atividade e permissão que os usuários podem ou não instalar. Com o Log360 da ManageEngine, é possível monitorar a adesão a essas políticas, auditando endpoints para todas instalações e alterações de software. Também é possível monitorar a execução de aplicativos na lista de permissões, recebendo informações sobre falhas e erros dos aplicativos.
Uma solução capaz de fazer o gerenciamento de eventos e informações de segurança e logs pode ajudar a afastar ameaças cibernéticas de maneira efetiva, para organizações que fazem ou não o uso de times especializados.
As consequências de um ciberataque bem sucedido podem (e na maioria dos casos são) ser devastadoras para qualquer organização que seja atacada, levando à perda de informações sigilosas. Esse tipo de vazamento pode ter um impacto maior do que apenas a perda de capital. Imagina o transtorno para um hospital que perde os arquivos dos paciente, isso pode significar a parada geral do sistema, venda desses dados a terceiros, prejuízo na hora de buscar relatório médico do paciente. Em instituições financeiras perder dados como valor em conta, endereço, nome, número de documentos pode colocar em risco os donos dessas informações. A LGPD vem com o intuito de penalizar severamente organizações que não protegem os dados corretamente e para casos assim sanções são aplicadas.
Clique no botão abaixo e faça o seu teste da solução gratuitamente contando com o apoio da equipe da ACSoftware durante todo o período de testes, confira:
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
