Wat is MITRE ATT&CK?

  • 5 minuten
  • 19 december 2019

 

Wat is MITRE ATT&CK?

MITRE is een non-profitorganisatie (opgericht in 1958) wiens missie het is om “problemen op te lossen voor een veiligere wereld.” Dit doel wordt deels behaald door de nieuwe vergaarde kennisbank: MITRE ATT&CK (Adversarial Tactics, Techniques & Common Kowledge). Het platform is bedoeld om de verschillende soorten tactieken, technieken en procedures (TTP’s) uit te kristalliseren die cybercriminelen gebruiken. Hierdoor kunnen organisaties makkelijker de gaten in hun cyberbeveiliging zien.

Alle verzamelde aanvalsinformatie wordt getoond in verschillende matrices, zoals die voor enterprise, mobile en pre-attack. De enterprise matrix bevat, bijvoorbeeld, de volgende categorieën (of tactieken):

Initial Access Discovery
Execution Lateral Movement
Persistence Collection
Privilege Escalation Command and Control
Defense Evasion Exfiltration
Credential Access Impact

Elke categorie wordt in specifieke subcategorieën (of -technieken) van de bijbehorende aanvalssoort verdeeld. Hierbij worden ook details over de techniek, voorbeelden, referenties (waarin getoond wordt welke platformen aangevallen kunnen worden, wanneer incidenten werden gedetecteerd, etc.) en suggesties voor het mitigeren en detecteren van de dreiging.

Zo wordt onder Initial Access in een stuk over Spearphishing Link uitgelegd hoe deze methode van initial access gebruikmaakt. Op dit moment bevat deze sectie 19 voorbeelden van threat actors die de techniek gebruiken.

Wat is MITRE ATTCK_1Figuur 1. Het profiel voor Ocean Lotus, oftewel APT32.

Dit aantal zal ongetwijfeld groeien met de publicatie van nieuwe rapporten, inclusief uitleg en aanbevelingen voor het mitigeren van deze dreigingen en welke detectietechnieken nodig zijn om veilig(er) te blijven.

Het platform biedt veel informatie die van pas komt bij het analyseren van de volledige levensloop van een cyberaanval. Reconnaissance, aanvalsvectoren, de daadwerkelijke inbraak en de daarop volgende acties vallen hieronder.

Wat is het nut van MITRE ATT&CK?

Dit soort repository is zeer nuttig voor informatiesecurityprofessionals om up-to-date te blijven over de nieuwe aanvalstechnieken en zo aanvallen te voorkomen.

Organisaties kunnen de het framework gebruiken om hun eigen beveiligingssystemen in kaart te brengen. Ondanks dat het framework voornamelijk wordt gebruikt om vijandig gedrag in kaart te brengen, kunnen enterprises met aanpassingen het framework ook benutten om aanvalsscenario’s uit te werken en hun personeel te trainen.

ATT&CK biedt informatie over een groot aantal actoren en groepen, inclusief de technieken en tools waar ze bekend om staan, op basis van open-source reporting. Door vijandig gedrag in een gestandaardiseerde manier te beschrijven, kan de ATT&CK-kennisbank nuttig zijn in het bieden van intel over cybersecuritydreigingen. De kennisbank biedt een gids die securityteams kunnen gebruiken om bestaande operationele richtlijnen te vergelijken met de richtlijnen die zijzelf gebruiken. Het doel hiervan is om sterke en zwakke plekken in de organisatie te identificeren vóórdat kwaadaardigen daar gebruik van kunnen maken.

Het invullen van de MITRE ATT&CK Navigator voor specifieke actoren kan hierbij helpen. De ATT&CK Navigator kan ook gebruikt worden om systeemtesten binnen de organisatie samen met de resultaten te categoriseren. Deze navigator kan online gebruikt worden of gedownload worden voor langtermijn gebruik.

Wat is MITRE ATTCK_2Figuur 2. Voorbeeld van de MITRE ATT&CK Navigator en de mogelijkheden voor het categoriseren en organiseren van de uitgevoerde testen en diens resultaten.

Er zijn aanvullende middelen die gelinkt zijn aan ATT&CK die mechanismen bieden om aanvalstechnieken in gesimuleerde omgevingen te testen. Zo kunnen bedrijven als Verodin, SafeBreach en AttackIQ een aanvalssimulatie uitvoeren. Er zijn enkele open-source opties, zoals MITRE Caldera, Uber Metta, Red Team Automation (RTA) of Atomic Red Team, die gelinkt zijn aan ATT&CK en het mogelijk maken om aanvalssimulaties uit te voeren. Zoals altijd is het belangrijk om extreem voorzichtig te zijn bij het uitvoeren van dergelijke testen in productienetwerken waarbij de mogelijke gevolgen niet altijd volledig bekend zijn. Het is altijd verstandig om hier een gecontrolleerde omgeving voor te gebruiken die zo veel mogelijk losstaat van de netwerken met productiesystemen waar daadwerkelijke bedrijfsgegevens op staan.

Ter conclusie biedt MITRE ATT&CK een boei in de vorm van tools en middelen om elke securitystrategie aan te vullen. De kennisbank biedt organisaties threat intelligence en geeft ze inzicht in hoe voorbereid ze zijn om inbraken te detecteren en daarop te reageren. Zo kunnen zij zichzelf beter in hun cybersecuritybehoeften voorzien en voorbereid zijn als of wanneer een cybercrimineel toeslaat.