MITRE ATT&CK: De olho nas ameaças e ataques digitais

Em 2020, o prejuízo causado por cibercrimes e invasões a sistemas empresariais somou de US$ 1 trilhão (R$ 5,10 trilhões, na conversão direta), segundo levantamento da McAfee. De acordo com a empresa, esse aumento é mais de 50% superior se comparado ao último levantamento, feito em 2018, quando o valor foi de US$ 600 bilhões (R$ 3,06 trilhões). 

Em novembro de 2020, o Brasil enfrentou um de seus piores ataques cibernéticos: o de hackers ao Superior Tribunal de Justiça (STJ). Os responsáveis criptografaram todo o acervo de processos do tribunal e bloquearam o acesso às caixas de e-mail de ministros. 

Ainda ano passado, o Brasil sofreu mais de 3 bilhões de tentativas de ataques cibernéticos, segundo dados da Fortinet Threat Intelligence Insider Latin America, ferramenta de coleta e analisa incidentes de segurança cibernética. 

Com o crescimento desses ataques, muitas organizações, especialmente grandes empresas e bancos, devem se concentrar em medidas mais ousadas para evitar ou mitigar tais ataques e proteger os dados sensíveis de clientes e colaboradores. 

Mas e se as organizações soubessem das estratégias de ataque antes mesmo de acontecer? 

A estrutura MITRE ATT&CK permite que você tenha conhecimentos do comportamento de seu adversário cibernético a partir de uma análise das várias fases do ciclo de vida do ataque e as plataformas que ele tem como alvo. A importância do MITRE está justamente no fato de prever os ataques ao conhecer melhor o "inimigo”. 

Uma das bases do MITRE é justamente a abordagem Cyber Kill Chain, desenvolvida originalmente pela Lockheed Martin em 2011. Ela age como um passo a passo para identificar e interrompe a atividade do inimigo. 

Esta abordagem descreve os estágios de vários ataques cibernéticos comuns e, por extensão, os pontos em que as equipes de segurança da informação pode prevenir, detectar ou interceptar invasores. O modelo Kill Chain contém as seguintes etapas, apresentadas em sequência: 

1. Reconhecimento 

2. Armamento 

3. Entrega 

4. Exploração 

5. Instalação 

6. Comando e controle 

7. Ações baseadas em objetivos 

Matriz MITRE ATT&CK 

O modelo comportamental no qual o MITRE se baseia apresenta como componentes principais: 

• Táticas: denotando os objetivos dos adversários de curto prazo durante um ataque; 

• Técnicas: que descrevem os meios pelos quais eles alcançam seus objetivos táticos. 

Esses componentes são organizados visualmente em uma matriz, para facilitar sua compreensão. A ordem de exibição dos elementos é de acordo com os estágios do ataque, desde o acesso inicial ao sistema até o roubo de dados ou controle da máquina. 

Lucas Pinheiro, Security & Privacy Sales Engineer na McAfee, explica que a versão mais ampla da ATT & CK for Enterprise — ilustrada na imagem acima — apresenta as seguintes as táticas adversas: 

1. Reconhecimento: coleta de dados sobre a organização alvo do ataque; 

2. Desenvolvimento de recursos: delimitar quais recursos darão suporte nas operações;

3. Acesso inicial: tentativa de entrar em sua rede, ou seja, spear phishing;

4. Execução: tentativa de executar o código malicioso, ou seja, tentativa de acesso remoto;

5. Persistência: tentativa de manter sua posição, ou seja, mudando as configurações;

6. Escalonamento de privilégios: tentativa de conseguir permissões de nível mais alto, ou seja, obter mais acesso ao sistema;

7. Evasão de defesa: busca evitar ser detectado, ou seja, deseja que a organização alvo não perceba seu malware;

8. Acesso à credencial: roubo de nomes e senhas de contas, ou seja, keylogging;

9. Descoberta: exploração do que pode ser controlado no ambiente;

10. Movimento lateral: uso de credenciais legítimas para girar em vários sistemas;

11. Coleta: coleta de dados de interesse para o objetivo do adversário;

12. Comando e controle: comunicação com sistemas comprometidos para controlá-los;

13. Exfiltração: roubo de dados;

14. Impacto: manipulação, interrupção ou destruição de sistemas e dados.

Entender o uso desta base de conhecimento te dará o subsidio tanto para ações quanto para a construção de softwares que automatizem esse processo. 

Vale destacar que a base de conhecimento do MITRE ATT&CK é dinâmica, alimentada por experts e serve globalmente. Isso significa que a Matriz de Táticas e Técnicas está sempre evoluindo, à medida de novos tipos de ciberataques são criados e documentados pelas comunidades, ou seja, ela não apresenta critérios de exclusão de ataques. O framework atualmente está em sua versão 9.0. 

Para mais detalhes sobre o MITRE e cibersegurança, assista a live completa! 

Este artigo foi escrito por Editorial Prensa.li e publicado originalmente em Prensa.li.