Czym jest MITRE ATT&CK?

Podczas dyskusji dotyczących słuszności wyboru określonych rozwiązań z zakresu cybersecurity często przewija się aspekt tzw. MITRE ATT&CK. Bywa, że niektórzy traktują ten framework jako swego rodzaju złoty standard możliwości wykrywania i odpowiedzi na zagrożenia przez określone systemy, a inni jako zbiór ciekawych, ale nie zawsze w 100% niezbędnych informacji.

W tym artykule obiektywnie spojrzymy na to, czym tak naprawdę jest MITRE ATT&CK i dlaczego stał się tak istotnym, a także powszechnym narzędziem dla analityków, pracujących w zespołach SOC oraz wszelkiej istoty specjalistów ds. cyberbezpieczeństwa.

Skąd wziął się MITRE ATT&CK?

MITRE ATT&CK jest wieloletnim projektem rozwijanym przez organizację MITRE (jest to amerykański ośrodek badawczo-rozwojowy zajmujący się m.in. cyberbezpieczeństwem).

Projekt ten powstał w 2013 roku, w wyniku eksperymentu MITRE Fort Meade Experiment (FMX), w którym to badacze MITRE naśladowali zachowanie zarówno atakującego, jak i atakowanego, starając się jednocześnie poprawić wykrywanie zagrożeń po naruszeniu zabezpieczeń za pomocą danych telemetrycznych i analizy behawioralnej.

Głównym celem było stworzenie kompleksowego modelu opisującego metody, jakie są wykorzystywane do przeprowadzania ataków.

Początkowo projekt ATT&CK miał służyć głównie do testowania i doskonalenia mechanizmów obronnych, jednak z czasem stał się swego rodzaju standardem branżowym, który dziś znajduje zastosowanie w:

• threat intelligence,
• detekcji,
• reakcji na incydenty.

Z czego składa framework MITRE ATT&CK?

MITRE ATT&CK jest otwartą bazą wiedzy, która opisuje techniki i taktyki stosowane do przeprowadzania ataków. Struktura tego frameworka opiera się na tzw. macierzy ATT&CK (ATT&CK Matrix), w której każdy etap ataku cybernetycznego podzielony jest na:

• Taktyki – opisują one, co atakujący chce osiągnąć (np. eskalacja uprawnień czy eksfiltracja danych).
• Techniki – określają one, jak atakujący realizuje swoje cele (jakim rodzajem np. malware).
• Podtechniki – uszczegóławiają metody ataku w bardziej szczegółowy sposób.

Dzięki takiemu podejściu MITRE ATT&CK umożliwia mapowanie ataków na konkretne działania stosowane przez cyberprzestępców, co pomaga organizacjom w lepszym wykrywaniu zagrożeń.

Zastosowania MITRE ATT&CK w praktyce:

Rozwijając temat zastosowania MITRE ATT&CK:

• Threat Intelligence – analitycy cyberbezpieczeństwa wykorzystują ATT&CK do klasyfikacji i lepszego rozumienia specyfiki ataków.
• Testowanie zabezpieczeń – zespoły tzw. red team wykorzystują ATT&CK do symulacji ataków, co pozwala ocenić, na jakim poziomie znajduje się skuteczność mechanizmów obronnych.
• Detekcja i reakcja – analitycy SOC mapują podejrzane aktywności na macierz ATT&CK, co pomaga w wykrywaniu wzorców ataku, a także pozwala ocenić skuteczność poszczególnych systemów w tej kwestii.

Czy MITRE ATT&CK jest konieczny?

Nikt nie zakwestionuje tego, że ATT&CK jest niezwykle przydatnym narzędziem, lecz warto pamiętać, że nie jest to gotowe rozwiązanie, które można wdrożyć z automatu. To ogólna baza wiedzy, którą trzeba umiejętnie wykorzystać w kontekście obrony własnej organizacji.

MITRE ATT&CK nigdy nie zastąpi systemów SIEM/XDR, ale może znacząco poprawić ich skuteczność, poprzez integracje z nimi.