Các kỹ thuật và chiến thuật trong khuôn khổ được tổ chức trong một ma trận năng động. Điều này làm cho việc điều hướng trở nên dễ dàng và cũng cung cấp một cái nhìn tổng thể về toàn bộ các hành vi của đối thủ. Kết quả là, khung có thể thao tác và sử dụng được nhiều hơn nếu nó là một danh sách tĩnh.
Bạn có thể tìm thấy Khuôn khổ MITRE ATT&CK tại đây: https://attack.mitre.org/
Xu hướng mới lạ – Các kỹ thuật hoặc diễn viên mới hoặc thú vị được báo cáo, trong khi các kỹ thuật được sử dụng lặp đi lặp lại thì không.
Xu hướng hiển thị – Các nhà xuất bản báo cáo của Intel có thành kiến về khả năng hiển thị dựa trên cách họ thu thập dữ liệu, dẫn đến khả năng hiển thị đối với một số kỹ thuật chứ không phải các kỹ thuật khác. Ngoài ra, các kỹ thuật cũng được xem khác nhau trong các sự cố và sau đó.
Xu hướng nhà sản xuất – Các báo cáo do một số tổ chức xuất bản có thể không phản ánh toàn bộ ngành hoặc thế giới nói chung.
Thành kiến nạn nhân – Một số tổ chức nạn nhân có nhiều khả năng báo cáo hoặc bị báo cáo hơn những tổ chức khác.
Sự thiên vị sẵn có – Các tác giả báo cáo thường bao gồm các kỹ thuật nhanh chóng xuất hiện trong báo cáo của họ.
Etay Maor cho biết thêm, “Khuôn khổ có thể đi sâu như bạn muốn hoặc nó có thể ở mức cao như bạn muốn. Nó có thể được sử dụng như một công cụ để hiển thị bản đồ và nếu chúng ta tốt hay xấu tại một số khu vực nhất định, nhưng nó có thể đi sâu như hiểu quy trình rất cụ thể và thậm chí cả dòng mã được sử dụng trong một cuộc tấn công cụ thể.”
Dưới đây là một số ví dụ về cách sử dụng khung và Bộ điều hướng:
Phân tích tác nhân đe dọa
Ở cấp độ cao hơn, khung có thể được sử dụng để trả lời các câu hỏi cấp độ C về vi phạm hoặc tác nhân đe dọa. Ví dụ: nếu được hỏi- “Chúng tôi nghĩ rằng chúng tôi có thể là mục tiêu của các tác nhân đe dọa nhà nước quốc gia Iran.” Khung này cho phép đi sâu vào các tác nhân đe dọa của Iran như APT33, cho biết chúng sử dụng kỹ thuật nào, ID tấn công, v.v.
Phân tích nhiều tác nhân đe dọa
Dưới đây là phân tích trực quan về nhiều tác nhân đe dọa có thể trông như thế nào, với màu đỏ và vàng đại diện cho các kỹ thuật được sử dụng bởi các tác nhân khác nhau và màu xanh lá cây đại diện cho sự chồng chéo.
Phân tích lỗ hổng
Khung MITRE ATT&CK cũng giúp phân tích các lỗ hổng hiện có trong phòng thủ. Điều này cho phép những người bảo vệ xác định, trực quan hóa và sắp xếp những thứ mà tổ chức không có phạm vi bảo hiểm.
Đây là giao diện của nó, với các màu được sử dụng để sắp xếp thứ tự ưu tiên.
thử nghiệm nguyên tử
Cuối cùng, Atomic Red Team là một thư viện kiểm tra mã nguồn mở được ánh xạ tới khung MITRE ATT&CK. Các thử nghiệm này có thể được sử dụng để thử nghiệm cơ sở hạ tầng và hệ thống của bạn dựa trên khuôn khổ, nhằm giúp xác định và giảm thiểu các khoảng trống về phạm vi bảo hiểm.
MITRE CTID (Trung tâm phòng thủ trước mối đe dọa)
MITRE CTID (Trung tâm phòng thủ trước mối đe dọa) là một trung tâm R&D, được tài trợ bởi các tổ chức tư nhân, hợp tác với cả các tổ chức thuộc khu vực tư nhân và các tổ chức phi lợi nhuận. Mục tiêu của họ là cách mạng hóa cách tiếp cận đối thủ thông qua tập hợp nguồn lực và nhấn mạnh vào ứng phó sự cố chủ động hơn là các biện pháp phản ứng. Nhiệm vụ này được thúc đẩy bởi niềm tin, lấy cảm hứng từ John Lambert, rằng những người phòng thủ phải chuyển từ suy nghĩ theo danh sách sang suy nghĩ theo biểu đồ nếu họ muốn vượt qua lợi thế của kẻ tấn công.
Etay Maor nhận xét: “Điều này rất quan trọng. Chúng tôi cần tạo điều kiện thuận lợi cho sự hợp tác giữa những Người bảo vệ ở các cấp độ khác nhau. Chúng tôi rất tâm huyết với điều này.”
Một sáng kiến quan trọng trong bối cảnh này là dự án “Dòng chảy tấn công”. Attack Flow giải quyết thách thức mà những người bảo vệ phải đối mặt, những người thường tập trung vào các hành vi tấn công nguyên tử, cá nhân. Thay vào đó, Luồng tấn công sử dụng một ngôn ngữ và công cụ mới để mô tả luồng kỹ thuật ATT&CK. Những kỹ thuật này sau đó được kết hợp thành các mẫu hành vi. Cách tiếp cận này cho phép những người bảo vệ và các nhà lãnh đạo hiểu sâu hơn về cách thức hoạt động của đối thủ, để họ có thể tinh chỉnh các chiến lược của mình cho phù hợp.
Bạn có thể thấy ở đây Luồng tấn công trông như thế nào.
Với các luồng tấn công này, người phòng thủ có thể trả lời các câu hỏi như:
Đối thủ đã và đang làm gì? Các đối thủ đang thay đổi như thế nào?
Các câu trả lời có thể giúp họ nắm bắt, chia sẻ và phân tích các kiểu tấn công.
Sau đó, họ sẽ có thể trả lời những câu hỏi quan trọng nhất:
Điều rất có thể tiếp theo họ sẽ làm là gì? Chúng ta đã bỏ lỡ điều gì?
CTID mời cộng đồng tham gia vào các hoạt động của mình và đóng góp vào cơ sở tri thức của mình. Bạn có thể liên hệ với họ trên LinkedIn.
Để tìm hiểu thêm về khuôn khổ MITRE ATT&CK, hãy xem toàn bộ lớp học chính tại đây.
