Unindo teoria e prática usando MITRE ATT&CK
Com os ataques cibernéticos cada vez mais sofisticados e frequentes, uma vez que mostram as estatísticasorganizações de todos os setores enfrentam uma guerra difícil para proteger seus valiosos dados e sistemas. A formação eficiente em cibersegurança é fundamental para dotar os alunos dos conhecimentos, competências e consciencialização necessários para mitigar estas ameaças em manente evolução.
Apesar de a sensibilização tradicional para a segurança ter registado alguns sucessos, permanece um duelo fundamental na formação em cibersegurança: colmatar a vazio entre o conhecimento teórico e a emprego prática (1). Os alunos precisam de mais do que exclusivamente uma compreensão superficial das ameaças; eles precisam de insights práticos sobre uma vez que os invasores operam e as ferramentas e técnicas que empregam. É cá que entra o MITRE ATT&CK.
MITRE ATT&CK, que significa Adversarial Tactics, Techniques, and Common Knowledge, é uma estrutura reconhecida globalmente desenvolvida pela MITRE Corporation. Esta base de conhecimento fornece uma compreensão estruturada e abrangente do comportamento dos adversários cibernéticos, detalhando as táticas e técnicas utilizadas em ataques no mundo real.
Segundo Michael Chertoff, do Grupo Chertoff e ex-secretário do Departamento de Segurança Interna, o primeiro passo para melhorar as medidas de risco cibernético é “trazer maior visibilidade aos níveis de risco inerentes às organizações (2)”. É exatamente isso que a MITRE ATT&CK capacita as organizações para saber.
Compreendendo o MITRE ATT&CK
MITRE ATT&CK tem suas raízes em um projeto de pesquisa MITRE de 2013. A equipe do MITRE queria documentar uma vez que hackers avançados estavam invadindo redes Windows em grandes empresas. Portanto, eles montaram um envolvente de laboratório que chamaram de Experimento Fort Meade (FMX), onde poderiam simbolizar cenários de ataque e resguardo.
Não estava focado em manter os bandidos afastados; em vez disso, queriam deslindar uma vez que detectar intrusos que já haviam pretérito furtivamente pelas defesas externas. Levante trabalho acabou sendo a base para a estrutura ATT&CK completa em uso hoje.
O MITRE viu o potencial de documentar uma vez que os hackers operam depois que seu projeto Fort Meade funcionou muito. Isso abriu caminho para a ATT&CK, que foi revelada ao público em 2015. No início, a ATT&CK se concentrava principalmente no Windows, mas se expandiu muito desde logo. Agora, abrange todos os tipos de sistemas: Macs, Linux, telefones, configurações em nuvem e até sistemas de controle industrial.
Um dos benefícios mais significativos do MITRE ATT&CK é o seu papel uma vez que uma linguagem geral para a comunidade de segurança cibernética. A ATT&CK facilita a notícia clara e consistente entre profissionais de segurança, independentemente do seu contexto organizacional ou localização geográfica, fornecendo uma taxonomia padronizada para descrever o comportamento do opositor.
Integrando MITRE ATT&CK em programas de treinamento
Usar o MITRE ATT&CK nos leva além de exclusivamente aprender sobre ameaças cibernéticas. Em vez disso, sujamos as mãos com cenários de ataque do mundo real. Essa abordagem ajuda as equipes de segurança a realmente entrar na mente dos hackers e aprimorar suas habilidades de resguardo em situações que parecem reais. De convenção com Ronan Lavelle, CEO da empresa de validação de segurança cibernética Validato, a abordagem de resguardo informada sobre ameaças da MITRE ATT&CK capacita as organizações, fornecendo “contexto”, que lhes permite ser proativas em vez de reativas (3). Veja uma vez que integrar efetivamente o MITRE ATT&CK ao treinamento de segurança cibernética da sua organização para conseguir isso:
Desenvolvimento Curricular
Comece analisando com atenção seu treinamento atual em segurança cibernética e vendo uma vez que ele se alinha com a matriz MITRE ATT&CK. Descubra onde seus processos existentes correspondem a táticas e técnicas específicas. Isso ajuda a mostrar por que o treinamento é importante no mundo real. Por exemplo, se você tiver um módulo sobre phishing, expanda-o para ocultar diferentes subtécnicas de phishing listadas na ATT&CK, uma vez que spear-phishing via e-mail ou spear-phishing com anexos maliciosos (4).
Você também pode gerar novos módulos de treinamento que se concentram nas técnicas ATT&CK mais importantes para as ameaças e o setor específicos da sua empresa. Para fazer isso, pense em uma vez que os hackers têm maior verosimilhança de perseguir sua organização. Em seguida, faça um treinamento que se aprofunde nessas áreas e ensine habilidades práticas para revidar. Portanto, se sua empresa lida com informações financeiras confidenciais, você pode querer se concentrar nas técnicas que os hackers usam para roubar senhas, movimentar-se pela rede e roubar dados (exfiltração) (5).
Entrega de treinamento
Ao ensinar a abordagem ATT&CK, certifique-se de relatar algumas histórias de ataques do mundo real para mostrar uma vez que essas técnicas ATT&CK realmente funcionam. Use exemplos de grandes hacks que foram notícia, uma vez que Ataques à ergástulo de suprimentos da SolarWinds ou aqueles ataques de ransomware que atingem hospitais. Isso mostra o quão ruins e complicadas essas ameaças podem ser.
Crucialmente, observar incidentes reais ajuda as pessoas a entrar na cabeça do hacker e deslindar melhores maneiras de se protegerem. Uma coisa é falar sobre técnicas de ataque em teoria, mas ver uma vez que elas foram usadas para provocar danos reais deixa a questão clara.
Aliás, métodos de aprendizagem interativos, uma vez que simulações, exercícios de Capture the Flag (CTF) e jogos de guerra, podem ser muito eficazes para proporcionar experiência prática com técnicas ATT&CK (6). As simulações podem variar desde exercícios básicos de phishing até cenários mais avançados que envolvem estudo de malware, resposta a incidentes e caça a ameaças.
Avaliação e Avaliação
Para realmente testar se sua equipe obtém ATT&CK, abandone os testes básicos de múltipla escolha. Em vez disso, lance-lhes alguns cenários do mundo real. Talvez forneça a eles um log de segurança falso e peça que descubram o que o invasor fez, uma vez que impedi-lo e o que fazer a seguir.
Mas não teste exclusivamente uma vez e encerre o dia. Continue verificando se seu treinamento ATT&CK está funcionando muito. Pergunte à sua equipe o que eles pensam sobre isso. Observe aspectos uma vez que a rapidez com que eles detectam ameaças falsas, a frequência com que interrompem os ataques e o quão muito eles entendem o ATT&CK em universal. Essencialmente, não se trata exclusivamente de estimar as pessoas, trata-se de melhorar o treinamento. Use o que você aprendeu para ajustar seus materiais, consertar quaisquer pontos fracos e prometer que você esteja acompanhando novas ameaças cibernéticas.
Benefícios do treinamento integrado ATT&CK
A incorporação da estrutura MITRE ATT&CK em programas de treinamento em segurança cibernética oferece uma infinidade de benefícios para alunos e organizações. Para Etay Maor da Cato Networksa estrutura ATT&CK é radicalmente dissemelhante dos métodos de detecção de intrusões por se concentrar na caça de ameaças por meio da detecção de padrões comportamentais. Vamos explorar as principais vantagens dessa abordagem:
- A ATT&CK fornece uma imagem sólida e abrangente de uma vez que os hackers do mundo real operam. Esse mergulho profundo no comportamento dos hackers ajuda as organizações a identificar e mourejar com ameaças de maneira mais eficiente. É uma vez que entrar no manual do inimigo.
- O treinamento que utiliza ATT&CK vai além do ensino teórico; é tudo uma questão de habilidades práticas. Ao usar exemplos reais, estudos de caso e simulações baseadas em técnicas ATT&CK, as pessoas obtêm experiência prática sem os riscos do mundo real.
- Conforme mencionado anteriormente, a ATT&CK oferece a todos na extensão de segurança cibernética uma linguagem compartilhada. Quando os profissionais de segurança e até mesmo os leigos usam os termos da ATT&CK, é muito mais fácil falar sobre ameaças, tanto dentro de uma empresa quanto entre diferentes organizações.
- ATT&CK não é inalterável, está sempre mudando para seguir novos truques e métodos de ataque de hackers. Ao incorporar a ATT&CK no treinamento, as empresas criam uma cultura onde todos estão sempre aprendendo e melhorando suas habilidades.
- As empresas que realmente obtêm a ATT&CK e a integram em sua mentalidade de segurança cibernética são melhores em deslindar onde investir seu investimento em segurança. Eles podem ver exatamente onde estão preparados para se tutorar contra técnicas específicas e onde precisam substanciar suas defesas.
Epílogo
Embora levante item tenha explorado as muitas facetas da integração do MITRE ATT&CK no treinamento em segurança cibernética, as organizações devem lembrar que adotar o ATT&CK não é uma iniciativa única; é um compromisso com a adaptação contínua. Incentivar o envolvimento contínuo com a estrutura ATT&CK, participar em comunidades de segurança cibernética e manter-se informado sobre ameaças emergentes capacitará as organizações a abordar proativamente as vulnerabilidades, refinar estratégias defensivas e permanecer resilientes contra ataques cibernéticos sofisticados.
Referências:
(1) Treinamento em segurança cibernética: um guia rápido para iniciantes
(2) O risco cibernético está crescendo. Veja uma vez que as empresas podem seguir
(3) MITRE ATT&CK para testes de resiliência cibernética
(4) Phishing: incluso de spearphishing
(5) Exfiltração
