Analisando ameaças com Mitre ATT&CK Navigator
Visualização da informação(infoviz) é uma das melhores formas que temos para resumir informação. Pense da seguinte forma, imagine a seguinte tabela(1) com data e horário de login e logoff de alguns usuários, por mais que a informação esteja lá, extrair, entender se torna uma tarefa complicada, necessitando de uma carga cognitiva maior.
Agora, compare com a figura. Rapidamente você é capaz de determinar:
1) Qual a hora que a maioria dos usuários faz o Logon?
2) Há algum padrão? qual poderia ser o motivo?
Este modelo mental, é capaz de produzir informações à um menor custo, isso acontece porque a visão é o canal de aquisição de informação com o maior throughput que temos(3), a diferença entre um gráfico e texto(embora ambos sejam absorvidos pela visão) é que no primeiro caso (texto) o cérebro precisa juntar letra por letra, palavra por palavra e manter um estado mental de tudo que foi lido anteriormente para criar contexto e após, traduzir em informação[1]. No segundo caso, informação da hora por exemplo, está mapeada em uma linha horizontal(eixo X) o Login(Verde), o Logoff(Vermelho) e a frequência no Eixo Y, entendendo este modelo torna-se mais fácil extrair valor dos dados.
Sabendo disso a Mitre, organização que criou e mantem o framework ATT&CK[2], possui uma ferramenta chamada Mitre Navigator[3] no qual é possível interagir com um “mapa”, visualizar, aplicar filtros e rapidamente entender a sua situação operacional através de todas as 223 técnicas do ATT&CK.
Vamos dar um exemplo.
Um relatório de Teste de Intrusão possui informações sobre as técnicas utilizadas para driblar a segurança da empresa e recomendações de como a empresa deve corrigir e se defender. No entanto, ao ler o relatório inteiro você até tem uma noção de como o atacante penetrou a sua defesa, mas não tem a visão total de que defesas falharam e o porque. Passando essas informações de ataque do relatório para o Mitre Navigator temos o seguinte Mapa:
(Em vermelho o que o pentest teve sucesso)
Agora é mais fácil visualizar que nas “40 páginas de relatório”, a principal fraqueza em detecção foram as táticas de movimentação lateral e persistência. Porém, essa apenas a metade da sua situação operacional. É necessário entender que ferramentas você tem à disposição, o que foram capazes de detectar(bloquear) durante o engajamento, ou seja entender os pontos fortes.
Em verde o que o BlueTeam foi capaz de detectar e bloquear e em amarelo o que houve alerta porém sem ação do time de defesa:
Unindo as duas imagens temos um quadro completo da sua situação operacional, simples, de fácil entendimento mostrando que a tática de persistência o BlueTeam conseguiu detectar e bloquear 10 técnicas e que na tática “Movimentação lateral” de fato é preciso melhorar um monte.
Já falamos em um outro post o quanto o framework ATT&CK[4] permite um idioma comum entre o ataque, a defesa e a gestão de riscos. O mitre navigator permite a visualização destas informações de forma rápida e prática.
Sobre a BlueOps
A BlueOps oferece treinamentos em segurança defensiva, focando na ciência e no mindset, independente de software e tecnologia, inclusive com treinamento sobre o framework ATT&CK. Caso tenha interesse entre em contato através do e-mail contato@blueops.com.br
Referências
[1] https://www.youtube.com/watch?v=5Zg-C8AAIGg
[2] https://attack.mitre.org/
[3]https://mitre.github.io/attack-navigator/enterprise/
[4] https://pt.slideshare.net/spookerlabs/mitre-attck-quando-risco-ataque-e-defesa-falam-a-mesma-linguagem
